浅论VPN技术的安全及防范措施

浅论VPN技术的安全及防范措施浅论VPN技术的安全及防范措施PAGEPAGE8浅论VPN技术的安全及防范措施军队高等教育自学考试信息安全与网络管理专业毕业论文论文题目：浅论VPN技术安全及防范措施导师姓名：职务（称）:考生姓名：彭源准考证号：182009220359工作单位：武警武汉指挥学院职务(称）:学员通信地址：湖北省武汉市洪山区邮编：430064完成时间:2011年3月16日信息安全与网络管理主考院校办公室制浅论VPN技术的安全及防范措施考号:182009220359姓名：彭源［内容提要］随着现在经济发展，人们工作的地点不再局限于单个的办公室、一个单位，而是日益灵活.计算机网络中的VPN技术使得人们办公可以跨越地区和时间的限制，在任何地方、任何时间都可以办公。帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接，并保证数据的安全传输。VPN技术作为一种通过公共Internet基础设施创建能够确保机密性和安全性的私有专用网络，在节省企业开支的同时也在很大程度上促进了企业现代化办公的发展.VPN技术通过Internet来实现企业网的远程访问，Internet上的潜在不安全因素会对网络上的任何通信造成威胁，因此也会对VPN通信构成不可忽视的安全隐患。对VPN技术安全隐患进行专门的分析,制定出相应的对策来预防安全事故的发生是非常必要的.［关键词]VPN安全防范一、VPNVPN（VirtuaPrivateNetwork），就是虚拟专用网技术。可以提供的功能：防火墙功能、认证、加密、隧道化。VPN可以通过特殊的加密的通讯协议在连接在Internet上的位于不同地方的两个或多个企业内部网之间建立一条专有的通讯线路，就好比是架设了一条专线一样，但是它并不需要真正的去铺设光缆之类的物理线路.这就好比去电信局申请专线，但是不用给铺设线路的费用，也不用购买路由器等硬件设备。VPN技术原是路由器具有的重要技术之一，在交换机，防火墙设备或WindVPNows2000等软件里也都支持VPN功能VPN的核心就是利用公共网络建立虚拟私有专用网。虚拟专用网可以帮助远程用户、公司分支机构、商业伙伴及供应商同公司的内部网建立可信的安全连接,并保证数据的安全传输。通过将数据流转移到低成本的压网络上,一个企业的虚拟专用网解决方案将大幅度地减少用户花费在城域网和远程网络连接上的费用。同时，这将简化网络的设计和管理，加速连接新的用户和网站.另外，虚拟专用网还可以保护现有的网络投资.随着用户的商业服务不断发展,企业的虚拟专用网解决方案可以使用户将精力集中到自己的生意上，而不是网络上.虚拟专用网可用于不断增长的移动用户的全球因特网接入,以实现安全连接;可用于实现企业网站之间安全通信的虚拟专用线路,用于经济有效地连接到商业伙伴和用户的安全外联网虚拟专用网。基于MPLS的VPN提供了逻辑上最大的安全性，网络的安全性是由BGP、IP地址方案、可选的IPSec加密三方面结合而成的。MPLSVPN不仅满足VPN用户对安全性的要求，还减少了网络方和用户方的工作量，可以建立任意的连接，且具有很好的网络可扩展性.MPLSVPN还易于提供增值业务,具有突出优势。VPN用户可以沿用原有的专用地址，不用作任何修改，在骨干网络采用VPN－ID,可以保持全网的唯一性.由于传输的是私有信息，VPN用户对数据的安全性都比较关心.二、VPN漏洞与缺陷

在早期瑞典举行的TelecomixCyphernetics大会上,曾经就有专业人氏公开了VPN一个非常致命的缺陷，黑客可以利用IPV6和点对点隧道协议的组合服务，来进行广播的信息身份设别。漏洞会泄漏用户用VPN隐藏的IP地址，从而导致VPN用户的身份暴光。

而对于别有用心的黑客来说可以利用更多的VPN漏洞来做不同的事,当然这些事完全不是好事,对企业网络来说就是一种无形的破坏之手.这不近期一则新闻更显示了VPN免客户端漏洞的风险存在：来自美国计算机应急响应组织（USCERT)的警告显示,多家供应商的免客户端SSLVPN产品都存在漏洞,可能破坏网络浏览器的基本安全机制。攻击者只需要利用VPN的设备就可以绕过身份认证或进行其它类型的网络攻击。说白了就是恶意用户想方设法的让企业VPN用户访问一个自己制定的带有“软窃听”的网站,只要企业用户访问过该网站后，那么用户的计算机将不在安全，恶意用户可以通过正常企业用户的SSLVPN窃取到所连接的VPN会话令牌，从而进行一系列针对VPN的恶意行动,最终导至计算机控制权的沦落。三、VPN中采用的安全技术VPN主要采用四项安全保证技术:HYPERLINK”/view/626368.htm"隧道技术、加解密技术、密钥管理技术和使用者与设备身份认证技术。（一)隧道技术隧道技术是一种利用公共网络的基础设施在网络之间传递数据的方式。使用隧道传递的数据可以是使用不同协议封装的数据包，隧道协议将这些其他协议封装的数据包重新加密并封装在新的包头中发送。新的包头提供了路由信息，从而使新封装的数据包能够在隧道的两个端点之间通过公共互联网络进行路由传输E3J.被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道。一旦到达网络终点，数据将被解包并转发到最终目地.隧道所使用的传输网络可以是任何类型的公共互联网络，文中主要以目前普遍使用的Intemet为例进行说明.此外，在企业网络同样可以创建隧道。隧道使用三种协议：1、封装协议：信息传输时使用的协议(GRE、IPSec、L2F、PPTP和L2TP）.2、承载协议：信息传输时使用的协议（帧中继、ATM和MPLS）.3、乘客协议：传输原始数据的协议(GRE、IPSec、L2F、PPTP和L2TP）.第二层隧道协议第二层隧道协议是先把各种网络协议封装到PPP中，再把整个数据包装人隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输.创建隧道的过程类似于在双方之间建立会话；隧道的两个端点必须同意创建隧道并协商隧道各种配置变量，如地址分配，加密或压缩等参数.第二层隧道协议有L2F、PPTP、L2TP等。第三层隧道协议IPSec是为IP及其以上协议（TCP和UDP等)提供安全保护的安全协议标准。IPSec通过在IP协议中增加两个基于密码的安全机制一认证头（AH）和封装安全载荷（ESP)来支持IP数据报的认证、完整性和机密性。IPSec协议族包括：IP安全架构、认证头AH、封闭安全载荷ESP和Intemet密钥交换(IKE）等协议。AH协议定义了数据源认证和完整性验证的应用方法。ESP为IP数据报文提供数据源验证、数据完整性校验、抗重播和数据加密服务。IKE为All和ESP提供密钥交换机制,在实际进行IP通信时，可以根据实际安全需求，同时使用AH和ESP协议选择使用其中的一种。AH和ESP都可以提供认证服务，AH提供的认证服务要强于ESP，但不对数据报文进行加密。IPSec的安全服务是由通讯双方建立的安全联盟(SA）来提供的。SA为通讯提供了安全协议、模式、算法和应用于单向IP流的密钥等安全信息,这些信息由SAD管理提供。当IP报文流经IPSec设备时，系统对比安全策略库（SPD）中相应的安全策略，对IP报文进行不同的处理.处理方法一般有三种：丢弃、绕过和IPSec保护。如果选择了1PSec保护,根据SPD和SAD的对应关系，找到相应的SA，进行指定的IPSec处理。（二)加解密技术加密就是对信息重新进行编码，隐藏信息内容,使非法用户无法获得信息的真实内容。信息被称为明文。隐藏信息的过程称为加密。加密后出现的信息称为密文。由密文恢复原文的过程称为解密。密码算法就是用于加密和解密的数学函数。常见的VPN加密算法有：数据加密标准(DES）算法：DES是由IBM开发的一种算法，它使用56位密钥来确保高性能加密，DES是一种对称密钥加密系统。三重DES(3DES)算法:种较新的DES变体，该算法使用一个密钥加密，再用一个不同的密钥解密,最后用另一个密钥再加密一次。3DES显著提高了加密的力度。高级加密标准(AES）:美国国家标准和技术研究所（NIST）采用AES来替代加密设备目前采用的DES加密。AES提供比DES更高的安全性，在计算方面比3DES更有效率。AES提供以下三种不同的密钥长度：128位、192位和256位。Rivest、Shamir与Adleman(RSA)：一种非对称密钥加密系统，密钥长度为512位、768位、1024位或更长。(三）密钥管理技术密钥管理技术的主要实现在公用数据网上安全地传递密钥而不被窃取。现行密钥管与ISAKMP／OAKLEY两种。SKIP主要是利用Difie—Hellman的演算法则,在网络上传输密钥;在ISAKMP中，双方都有两把密钥，分别用于公用、私用。(四）身份认证技术VPN客户端请求进行通信时，必须通过VPN隧道另一端的设备身份验证，才能认为通信路径是安全的，从而进行通过信。.有以下两种对等身份验证方法：预共享密钥（PSK）：一种在需要使用之前在使用某个安全通道的双方之间共享的密钥。PSK使用对称密钥加密算法，它以手动方式输入到每个对等点中，用于验证对等点的身份。在每一端，PSK都与其它信息合并以形成身份验证密钥。RSA特征码：利用数字证书交换来验证对等点身份。本地设备取得哈希值并用其私钥将其加密,加密的哈希值(数字签名）附加在消息上，并转发到远程端。在远程端，使用本地端的公钥将加密的哈希值解密，如果解密的哈希值与重新计算得到的哈希值相同，则表明签名是真实的。四、VPN的安全发展趋势VPN主要依托隧道技术来实现，而隧道技术主基于IPSec。IPSec协议位于网络层，它保护通信双方传递的所有数据.第1次使用IPSec-VPN之前，在客户端和服务器端都要手动配置一些较复杂的网络参数和策略。这些配置工作对于客户端的非专业人员显得过于困难，即使一般技术人员,如果不清楚各项具体参数也无法正确配置，只有相应VPN的管理员才能完成这些。IPSec．VPN在通过，IPSec．VPN在通过复合网络（比如既有以太网ATM）时，通过多个不同的ISP供应商时，甚至通过防火墙时,都有可能出现问题。这主要是由于在网络层对包括IP地址的数据进行认证和加密，可能会造成NAT系统进行内部保留网络地址和Intemet地址转换时出错。与IPSec不同的是，SSL．VPN无需任何特殊客户端软件，也无需进行任何手动配置，仅需要一个Web浏览器,比如常见的IntemetExplorer或者NetscapeNavigator都可以。用户只要给出用户名、密码和SSL网关的URL，就可实现与远程服务器的无缝连接。SSL的会话传输是基于应用层的，所以它在通过复合网络、不同ISP供应商和防火墙时不会有什么问题。因此，SSL对于拥有移动用户或者大量商业伙伴，需要更便捷、更快速的远程访问的公司和集体，是非常适用的。尽管IPSec有缺陷，SSL可以弥补IPSec的不足，但是SSL也不是完美无缺的,如何把两者的长处结合起来，扬长避短，尽可能地减少存在的不足之处，将会是未来VPN技术发展技术的一个很好方向。［参考文献］[1］张恒军.SSLVPN和IPSecVPN综合分析［J]。信息系统工程，2009，11，121。[2］王峥。VPN安全技术方案浅析[J].重庆科技学院学报（自然科学版)，2007：1673-1980（2007）02-0073—03。［3］江涛。VPN技术及应用[J］.晋图学刊,2006:1004-1680（2006）04-0024-04［4］梁雅芝.VPN技术浅谈［J］。高新技术，2007：1672—3791（2007）07(b）-0001—01.［5]王文.VPN技术原理探析及实例［J]。软件导刊,2009：1672-7800（2009）06-0