虚拟专用网络5.ppt

5 虚拟专用网络 VPN 目前的网络状况 公钥基础设施PKI 如何保证公司网络资源的安全 如何面对Internet通信的增加 新的应用服务和减少成本 如何共享和保护通过Internet Extranets和Intranets的信息 如何在合作伙伴之间布置一个灵活和模块化的解决方案 如何有效的管理这一切 谁能提供这一切满足未来的需要 用户面临的挑战 传统远程通信连接方式 专用网络的优点 信息被保留 在文件夹里 远程站点可以立即交换信息远程用户没有隔离感 专用网络的缺点 成本太高 不经济超出预算 不现实 VPN 应用VPN进行远程通信 使用VPN解决方案的优势 防止数据在公网传输中被窃听防止数据在公网传输中被篡改可以验证数据的真实来源成本低廉 相对于专线 长途拨号 应用灵活 可扩展性好 本章提要 VPN概述VPN关键技术实施VPN的价值 5 1VPN概述 VPN VirtualPrivateNetwork 虚拟专用网 针对传统的 企业专用网络 而言的 它是指在公共网络上通过隧道和 或加密技术 为企业所建立的逻辑上的专用网络 VPN以公用开放的网络 如Internet 作为基本传输媒体 通过加密和验证网络流量来保护在公共网络上传输的私有信息不会被窃取和篡改 从而向最终用户提供类似于私有网络 PrivateNetwork 性能的网络服务技术 VPN定义 5 1VPN概述 VPN依靠ISP Internet服务提供商 和其他NSP 网络服务提供商 在Internet公共网络中建立局域网络之间或单点之间 临时的 专用的 安全的 稳定的数据通信网络 隧道 的技术 VPN定义 网络资源的专用性 即VPN网络资源 如信道和带宽 在企业需要时可被企业专门使用 不需要时又可被其它VPN用户使用 企业用户可以获得像传统专用网一样的服务质量 网络的安全性 VPN用户的信息不会流出VPN的范围之外 用户信息受到VPN网络的保护 可以实现用户信息在公共网络传输中隐蔽性 5 1VPN概述 VPN可以省去专线租用费用或者长距离电话费用 大大降低成本VPN可以充分利用Internet公网资源 快速地建立起公司的广域连接 VPN定义 虚拟专用网基础结构 5 1VPN概述 VPN通过一个私有的通道来创建一个安全的私有连接 将远程用户 公司分支机构 公司的业务伙伴等跟企业网连接起来 形成一个扩展的公司企业网 在该网中的主机将不会觉察到公共网络的存在 仿佛所有的主机都处于一个网络之中 主要目的是保护传输数据 是保护从信道的一个端点到另一端点传输的信息流 信道的端点之前和之后 VPN不提供任何的数据包保护 VPN目的 5 1VPN概述 加密数据 以保证通过公网传输的信息即使被他人截获也不会泄露 信息验证和身份识别 保证信息的完整性 合理性 并能鉴别用户的身份 提供访问控制 不同的用户有不同的访问权限 地址管理 VPN方案必须能够为用户分配专用网络上的地址并确保地址的安全性 密钥管理 VPN方案必须能够生成并更新客户端和服务器的加密密钥 多协议支持 VPN方案必须支持公共因特网络上普遍使用的基本协议 包括IP IPX等 VPN基本功能 5 1VPN概述 安全性 隧道 加密 密钥管理 数据包认证 用户认证 访问控制可靠性 硬件 软件 基础网络的可靠性可管理性 记帐 审核 日志的管理 是否支持集中的安全控制策略可扩展性 是否考虑采用硬件加速加解密速度 支持多种类型的数据流 方便增加新的节点 支持多种类型的传输媒介 VPN特性 5 1VPN概述 可用性 系统对应用尽量透明 对终端用户来说使用方便互操作性 尽量采用标准协议 与其他供应商的设备能互通服务质量QoS 通过Internet连接的VPN服务质量很大程度取决于Internet的状况 为企业数据提供不同等级的服务质量保证 充分有效地利用有限的广域网资源 为重要数据提供可靠的带宽多协议支持 VPN特性 5 1VPN概述 VPN服务器端 能够接收和验证VPN连接请求并处理数据打包和解包工作的一台计算机或设备 VPN服务器端操作系统可以是WindowsNT4 0 Windows2000 WindowsXP Windows2003 相关组件为系统自带 要求VPN服务器已经接入Internet 并且拥有一个独立的公网IP VPN组成 5 1VPN概述 VPN客户端 能够发起VPN连接请求并且也可以进行数据打包和解包工作的一台计算机或设备 VPN客户机端操作系统可以选择Windows98 WindowsNT4 0 Windows2000 WindowsXP Windows2003 相关组件为系统自带 要求VPN客户机已经接入Internet VPN组成 5 1VPN概述 VPN数据通道 一条建立在公用网络上的数据连接 其实 所谓的服务器端和客户端在VPN连接建立之后 在通信过程中扮演的角色是一样的 区别仅在于连接是由谁发起的而已 VPN组成 实例 基于windowsXP配置VPN服务器与客户端 5 1VPN概述 VPN分类 按应用范围分 远程访问 Internet ExtranetVPN IntranetVPN AccessVPN 5 1VPN概述 AccessVPN又称为拨号VPN 即VPDN 是指企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟网 用于实现移动用户或远程办公室安全访问企业网络 是个人计算机与企业站点之间的虚拟专用网络典型的远程访问VPN是用户通过本地的信息服务提供商 ISP 登录到因特网上 并在现在的办公室和公司内部网之间建立一条加密信道 VPN分类 按应用 VPN隧道 对于外出旅行的员工而言 无论他们位于何处 都可访问电子邮件 文件和内部系统 无需使用昂贵的长途电话连接拨号服务器在家工作的员工可以像在企业的办公室中工作的员工一样访问网络服务 而无需使用昂贵的租用线路 企业内部网 VPN服务器可以是机构的防火墙或单独的VPN服务器用户通过本地ISP拨号 DSL线路或调制解调器连接到Internet 并通过Internet与公司企业站点建立一个VPN 5 1VPN概述 AccessVPN公司企业的站点需要用户认证AccessVPN可以让机构限制远程用户能够访问的系统或文件 VPN分类 按应用 5 1VPN概述 IntranetVPN用于组建跨地区的企业内部互联网络即企业的总部与分支机构间通过公网构筑的虚拟网这种类型的连接带来的风险最小 因为公司通常认为他们的分支机构是可信的 并将它作为公司网络的扩展 内部网VPN的安全性取决于两个VPN服务器之间加密和验证手段上 VPN分类 按应用 5 1VPN概述 IntranetVPN VPN分类 按应用 企业内部网络 VPN通道 远程局域网 5 1VPN概述 ExtranetVPN用于企业与客户 合作伙伴之间建立互联网络 即企业间发生收购 兼并或企业间建立战略联盟后 使不同企业网通过公网来构筑的虚拟网 它能保证包括TCP和UDP服务在内的各种应用服务的安全 如Email HTTP FTP RealAudio 数据库的安全以及一些应用程序如Java ActiveX的安全 VPN分类 按应用 5 1VPN概述 ExtranetVPN VPN分类 按应用 外部网服务器 VPN通道 5 1VPN概述 ExtranetVPN与IntranetVPN VPN分类 按应用 跨Internet的站点到站点的VPN 5 1VPN概述 ExtranetVPN与IntranetVPN启动连接时 一个站点会试图向另一个站点发送通信数据 在两个VPN端启动VPN两个端点协商连接参数VPN两端进行认证可以作为租用线路的备份 VPN分类 按应用 优点 节约成本 性价比较高 可以严格限制对内部网络和计算机系统的访问 5 2安全VPN的关键技术 VPN主要采用以下四项技术来保证安全 隧道技术加解密技术密钥管理技术使用者与设备身份认证技术 VPN安全技术 5 2安全VPN的关键技术 VPN的隧道协议 隧道是在公用IP网中建立逻辑点到点连接的一种方法 是一个叠加在IP网上的传送通道VPN中的隧道是由隧道协议形成的实质上是一种封装 将一种协议 协议X 封装在另一种协议 协议Y 中传输 从而实现协议X对公用传输网络 采用协议Y 的透明性 VPN安全技术 5 2安全VPN的关键技术 VPN的隧道协议 VPN使用的隧道协议主要有 第二层隧道协议 PPTP L2F L2TP第三层隧道协议 GRE IPSEC VPN安全技术 5 2安全VPN的关键技术 VPN的隧道协议 无论何种隧道协议 其数据包格式都是由乘客协议 封装协议和传输协议3部分组成的 下面我们以L2TP为例 如下图所示 看一下隧道协议的组成 VPN安全技术 用户要传输的数据 也就是被封装的数据 包括IP PPP SLIP等 用于建立 保持和拆卸隧道 包括L2F PPTP L2TP GRE等 乘客协议被封装之后应用传输协议 5 2安全VPN的关键技术 第二层隧道协议 第二层隧道协议用于传输第二层网络协议 主要应用于构建AccessVPN 第二层隧道协议主要有三种 由CiscoNortel等公司支持的L2F协议 Cisco路由器中支持此协议 Microsoft Ascend 3COM等公司支持的PPTP协议 WindowsNT4 0以上版本中支持此协议 成为二层隧道协议工业标准的是由IETF起草并由Microsoft Ascend Cisco 3COM等公司参与制定的L2TP协议 它结合了上述两个协议的优点 VPN安全技术 5 2安全VPN的关键技术 第二层隧道协议 LTF LayerTwoForwardingProtocol L2F 二层转发协议 是由Cisco公司提出的隧道技术 可以支持多种传输协议 如IP ATM 帧中继1 远端用户通过任何拨号方式接入公共IP网络 例如 按常规方式拨号到ISP的NAS 建立PPP连接 2 NAS根据用户名等信息 发起第二重连接 通向企业的本地L2F网关服务器 3 这个L2F服务器把数据包解包之后发送到企业内部网上在L2F中 隧道的配置和建立对用户是完全透明的 L2F没有确定的客户方 VPN安全技术 5 2安全VPN的关键技术 第二层隧道协议 PPTP PointtoPointTunnelingProtocol 点到点隧道协议 PPTP 是由PPTP论坛开发的点到点的安全隧道协议 为使用电话上网的用户提供安全VPN业务 该协议将PPP数据包封装在IP数据包内通过IP网络 如Internet或Intranet 进行传送 PPTP是PPP协议的一种扩展 提供了在IP网上建立多协议的安全VPN的通信方式 远端用户能够通过任何支持PPTP的ISP访问企业的专用网络 VPN安全技术 5 2安全VPN的关键技术 第二层隧道协议 PPTPPPTP协议提供了PPTP客户端和PPTP服务器之间的加密通信 PPTP客户端和服务器进行VPN通信的前提是二者之间有连通且可用的IP网络 也就是说PPTP客户端必须能够通过IP网络访问PPTP服务器 windows中集成了PPTPServer和Client 适合中小企业支持少量移动工作者如果有防火墙的存在或使用了地址转换 PPTP可能无法工作 VPN安全技术 5 2安全VPN的关键技术 第二层隧道协议 PPTPPPTP通信时 客户机和服务器间有2个通道 一个通道是PPTP服务器的tcp1723端口的控制连接 通过控制报文负责PPTP隧道的建立 维护和断开 在创建基于PPTP的VPN连接过程中 使用的认证机制主要有EAP MS CHAP CHAP SPAP和PAP 通过PPP协议的MPPE MicrosoftPointtoPointEncryption 微软点对点加密技术 进行加密 另一个通道是传输GREPPP数据包的IP隧道通过数据报文负责传输用户的真正数据 VPN安全技术 用户的数据可以是多种协议 比如IP数据包 IPX数据包或者NetBEUI数据包 5 2安全VPN的关键技术 第二层隧道协议 PPTP与L2F相比 PPTP把建立隧道的主动权交给了用户 但用户需要在其PC机上配置PPTP 这样不仅增加了用户的工作量 而且造成网络的安全隐患PPTP只支持IP作为其传输协议 VPN安全技术 5 2安全VPN的关键技术 第二层隧道协议 L2TP LayerTwoTunnelingProtocolL2TP 二层隧道协议 结合了L2F和PPTP的优点 可以让用户从客户端或访问服务器端发起VPN连接二层隧道协议的工业标准 并得到众厂商的支持支持IP X 25 帧中继或ATM等作为传输协议 但目前仅定义了基于IP网络的L2TP 可用于Internet和其他企业专用Intranet中 VPN安全技术 5 2安全VPN的关键技术 第二层隧道协议 L2TP连接过程 VPN安全技术 5 2安全VPN的关键技术 第二层隧道协议 L2TPL2TP通信时 客户机和服务器间也有2个通道 一个通道是L2TP服务器的udp端口的控制连接 通过控制报文负责隧道的建立 维护和断开 在创建基于L2TP的VPN连接过程中 使用的认证机制主要有EAP MS CHAP CHAP SPAP和PAP 通过IPSecESP进行加密 另一个通道是传输多层封装数据包的IP隧道通过数据报文负责传输用户的真正数据 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 第三层隧道协议用于传输第三层网络协议 主要包括 由Cisco和NetSmiths公司支持的的GRE由IETF制定的新一代Internet安全标准IPSec协议 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 GRE GenericRoutingEncapsulation GRE是通用的路由封装协议 支持全部的路由协议用于在IP包中封装任何协议的数据包 包括IP IPX NetBEUI AppleTalk BanyanVINES DECnet等 在GRE中 乘客协议就是上面这些被封装的协议 封装协议就是GRE 传输协议就是IP GRE是一种通用的封装形式 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 GRE GenericRoutingEncapsulation 通过GRE 用户可以利用公共IP网络连接非IP网络 使所有协议的私有网络连接起来 通过GRE 还可以使用保留地址进行网络互联 或者对公网隐藏企业网的IP地址 GRE只提供封装 不提供加密 对路由器的性能影响较小 设备档次要求相对较低 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 GRE GenericRoutingEncapsulation GREVPN适合一些小型点对点的网络互联 实时性要求不高 要求提供地址空间重叠支持的网络环境 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSecIPSec由IETF设计的作为基于IP通信环境 IPV4和IPV6环境 下一种端到端的保证数据安全的机制IPSec协议已经成为工业标准的网络安全协议 IPSec协议提供的安全服务包括 访问控制 无连接完整性 数据源鉴别 重传攻击保护 机密性 有限的流量保密等 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSec提供了大量的安全特性 提供认证 加密 数据完整性和抗重放保护 加密密钥的安全产生和自动更新 使用强加密算法来保证安全性 支持基于证书的认证 支持下一代加密算法和密钥交换协议 为L2TP和PPTP远程接入隧道协议提供安全性 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSec直接传输网络协议数据包IPSec不是一个单独的协议 而是一组协议 包含两个安全协议和一个密钥管理协议 VPN安全技术 IPSec数据包的格式 身份认证报头 AH协议 提供数据源身份认证 数据完整性保护 重放攻击保护功能 负载安全封装 ESP协议 提供数据保密 数据源身份认证 数据完整性 重放攻击保护功能 因特网安全关联和密钥管理协议 IKE 提供自动建立安全关联和管理密钥的功能 从而提供双方交流时的共享安全信息 5 2安全VPN的关键技术 第三层隧道协议 IPSecAH 认证报头协议 为IP数据包提供如下3种服务 无连接的数据完整性验证 通过哈希函数 如MD5 产生的校验来保证数据源身份认证 数据源身份认证通过在计算验证码时加入一个共享密钥来实现 防重放攻击 AH报头中的序列号 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSecESP 封装安全有效载荷协议 除了AH已有的3种服务外 还提供 数据包加密 对一个IP包进行加密 可以是对整个IP包 也可以只加密IP包的载荷部分 一般用于客户端计算机 数据流加密 一般用于支持IPSec的路由器 源端路由器并不关心IP包的内容 对整个IP包进行加密后传输 目的端路由器将该包解密后将原始包继续转发 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSecAH和ESP可以单独使用 也可以嵌套使用 通过这些组合方式 可以在两台主机 两台安全网关 防火墙和路由器 或者主机与安全网关之间使用 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSecIKE 因特网密钥交换协议 协商AH和ESP协议所使用的加密算法 IKE协议负责密钥管理 定义了通信实体间进行身份认证 协商加密算法以及生成共享的会话密钥的方法 IKE将密钥协商的结果保留在安全联盟 SA 中 供AH和ESP以后通信时使用 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSecSA 安全联盟 两台IPSec计算机在交换数据之前 必须首先建立某种约定 这种约定 称为 安全联盟 或 安全关联 指双方需要就如何保护信息 交换信息等公用的安全设置达成一致 更重要的是 必须有一种方法 使那两台计算机安全地交换一套密钥 以便在它们的连接中使用 一个安全联盟描述了两个或者多个实体如何使用安全服务来实现安全通信 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSecSA 安全联盟 AH和ESP都需要使用SA 而IKE的主要功能就是SA的建立和维护 只要实现AH和ESP都必须提供对SA的支持 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSec VPN安全技术 解释域 DOI 为使用IKE进行协商SA的协议统一分配标识符 共享一个DOI的协议从一个共同的命名空间中选择安全协议和变换 共享密码以及交换协议的标识符等 5 2安全VPN的关键技术 第三层隧道协议 IPSec工作模式传输模式只对IP数据包的有效负载进行加密或认证 即为上层协议提供安全保护 保护的是IP包的有效载荷 如TCP UDP和ICMP 通常情况下传输模式只用于两台主机之间的安全通信 VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSec工作模式隧道模式对整个IP数据包进行加密或认证 隧道模式首先为原始IP包增加AH或ESP字段 然后再在外部增加一个新的IP头 所有原始的或内部包通过这个隧道从IP网的一端传递到另一端 沿途的路由器只检查最外面的IP报头 不检查内部原来的IP报头 隧道模式通常用在有至少一端是安全网关的时候 如防火墙和路由器 使用隧道模式后 防火墙后面的主机可以使用内部地址进行通信 而且不需要实现IPSec VPN安全技术 5 2安全VPN的关键技术 第三层隧道协议 IPSec体系结构模型图 VPN安全技术 5 2安全VPN的关键技术 第四层隧道协议 IPSec工作模式隧道模式对整个IP数据包进行加密或认证 隧道模式首先为原始IP包增加AH或ESP字段 然后再在外部增加一个新的IP头 所有原始的或内部包通过这个隧道从IP网的一端传递到另一端 沿途的路由器只检查最外面的IP报头 不检查内部原来的IP报头 隧道模式通常用在有至少一端是安全网关的时候 如防火墙和路由器 使用隧道模式后 防火墙后面的主机可以使用内部地址进行通信 而且不需要实现IPSec VPN安全技术 5 2安全VPN的关键技术 第四层隧道协议 IPSec工作模式隧道模式对整个IP数据包进行加密或认证 隧道模式首先为原始IP包增加AH或ESP字段 然后再在外部增加一个新的IP头 所有原始的或内部包通过这个隧道从IP网的一端传递到另一端 沿途的路由器只检查最外面的IP报头 不检查内部原来的IP报头 隧道模式通常用在有至少一端是安全网关的时候 如防火墙和路由器 使用隧道模式后 防火墙后面的主机可以使用内部地址进行通信 而且不需要实现IPSec VPN安全技术 IPSECVPN功能1 数据机密性保护 内部工作子网 下属机构 DDN FRX 25专线 密文传输 明文传输 明文传输 IPSECVPN功能2 数据完整性保护 内部工作子网 下属机构 Internet 原始数据包 对原始数据包进行Hash Hash 摘要 对原始数据包进行加密 加密后的数据包 加密 加密后的数据包 摘要 摘要 解密 原始数据包 Hash 原始数据包 与原摘要进行比较 验证数据的完整性 IPSECVPN功能3 数据源身份认证 内部工作子网 下属机构 Internet 原始数据包 对原始数据包进行Hash Hash 摘要 加密 摘要 摘要 取出DSS 原始数据包 Hash 原始数据包 两摘要相比较 私钥 DSS 将数字签名附在原始包后面供对方验证签名 得到数字签名 DSS 解密 相等吗 验证通过 IPSECVPN功能4 重放攻击保护 AH协议头 ESP协议头 SA建立之初 序列号初始化为0 使用该SA传递的第一个数据包序列号为1 序列号不允许重复 因此每个SA所能传递的最大IP报文数为232 1 当序列号达到最大时 就需要建立一个新的SA 使用新的密钥 IPSECVPN建立方式1 Host Host模式 Internet VPN网关A VPN网关B 主机必须支持IPSec 主机必须支持IPSec 通道建立在两边的