VPN即虚拟专用网
是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。
虚拟:是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络线路。
专用网:是指用户可以为自己制定一个最符合自己需求的网络。
保密性服务(Confidentiality):防止传输的信息被监听;完整性服务(Integrity):防止传输的信息被修改;
认证服务(Authentication):提供用户和设备的访问认证,防止非法接入。
VPN产品的技术动向具有以下特点:
VPN客户端尽量简化,将出现“零客户端”安装模式;
VPN网关一体化,综合集成多种接入模式,融合多种安全机制和安全功能;
VPN产品可能演变成可信网络产品;
VPN提供标准安全管理数据接口,能够纳入SOC中心(安全运行中心)进行管理控制。
VPN 产品代码实现的安全缺陷。VPN产品的实现涉及多种协议、密码算法等,编程处理不当,极易导致代码安全缺陷,从而使得VPN产品出现安全问题。例如,Open SSL的Heartbleed漏洞(心脏滴血)可以让远程攻击者暴露敏感数据。VPN密码算法安全缺陷。VPN产品如果选择非安全的密码算法或者选择不好的密码参数,都有可能导致VPN系统出现安全问题,不能起到安全保护的作用。例如,密钥长度不够。VPN管理不当引发的安全缺陷。VPN的管理不当导致密码泄露、非授权访问等问题。
VPN的类型包括
链路层VPN
网络层VPN
传输层VPN
VPN的实现技术
隧道技术:PPTP,L2Tp,IPSec,SSL VPN ,TLS VPN
加解密技术:密码算法 (核心)
密钥管理技术
身份认证技术:认证访问控制
VPN的组成:客户机、传输介质(隧道)、服务器
VPN采用的多种安全机制:
隧道技术
加密技术
身份认证技术
密钥管理技术
访问控制
隧道:实质就是一种封装,将一种协议(协议A)封装在另一个协议(协议B)中传输,从而实现协议A对公用网络的透明性。协议A称为被封装协议,协议B称为封装协议,封装时一般还要加上特定的隧道控制信息,因此,隧道协议的一般形式为(协议B(隧道头(协议A)))
封装原始数据(包头不封装)
实现隧道两端的点到点连通
定时检测VPN隧道的连通性(如果隧道不同,则会报警,提醒隧道不存在)
VPN隧道的安全性(进行了封装和加密)
VPN隧道的QoS特性
第二层隧道协议
PPTP:微软、3Com等公司支持,点对点隧道协议 ,第一个VPN协议
L2F:Cisco等公司支持第2层转发协议。 1、用户拨号到ISP接入服务器(NAS),建立PPP链接 2、NAS根据用户名等信息,发起第二重连接,呼叫用户网络的服务器
L2TP:国际互联网工程任务组(IETF)起草,微软、Cisco、3Com等公司共同制定的第2层隧道协议,结合了PPTP和L2F的优点
第三层隧道协议
GRE:普通路由封装IPSec:IP安全协议
IPSec协议在隧道外面再封装,保证了隧道在传输过程中的安全.该协议是第3层隧道协议
Internet 协议安全性(Internet Protocol Security ,IPSec)是通过对IP协议的分组进行加密和认证保护IP协议的网络传输协议簇,其工作在TCP/IP协议栈的网络层
IPSec在IP层对数据包进行安全处理,提供数据源验证(Authentication)、无连接数据完整性(Integrity)和数据机密性、抗重播等安全服务。
IPSec是一个协议体系,有建立安全分组流的密钥交换协议(IKE协议)和保护分组流的协议(AH和ESP协议)两部分构成
IKE协议:Internet密钥交换协议(Internet Key Exchange Protocol,IKE)属于一种混合协议
ISAKMP协议:Internet安全关联和密钥管理协议(internet security association and key management protocol)OAKLEY协议:奥克利协议(Oakley Key Determination Protocol)是一个密钥交换协议,它允许认证过的双方通过不安全的网络交换秘钥的一部分元素,这一过程是通过迪菲-赫尔曼密钥交换来实现的。SKEME:提供了IKE交换密钥的算法,方式;即,通过DH进行密钥交换和管理的方式
即IKE由ISAKMP框架,OAKLEM密钥交换协议及SKEME的共享和密钥更新技术组成.
AH(Authencation Header)协议:认证头
–提供数据源认证,可以保证信息源的可靠性和数据的完整性,以及确保数据到达次序的完整性,并防止重放攻击
–摘要算法采用Hash算法(单向Hash函数MD5和SHA1实现摘要和认证确保数据完整性)
ESP(Encapsulating Security Payload)协议: 封装安全有效负载
–支持数据的保密性,使用DES,3DES,AES等加密算法
–提供数据的完整性和可靠性,使用非对称密钥技术(使用MD5和SHA1实现摘要和认证确保数据完整性)
传输模式
隧道模式
AH与ESP均支持两种模式:传输模式和隧道模式
传输模式通常用于主机和主机之间,不改变原有的IP包头,主要是为上层协议提供保护,同时增加IP包载荷的保护
传输模式下AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头.
隧道模式:通常用于私网与私网之间通过公网进行通信。
传输模式下AH和ESP处理后的IP头部不变
隧道模式下的AH和ESP处理后需要新封装一个新的IP头
AH只做摘要,只能验证数据完整性和合法性
ESP做摘要和加密,验证数据完整性和合法性,还能进行数据加密
IPSec VPN应用场景
站点到站点(site-to-site):又称为网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来
端到端(End-to-End):又称为PC到PC,即两个PC之间的通信由IPSec完成
端到站点(End-to-Site):两个PC之间的通信由网关和异地PC之间的IPSec会话完成
PPTP是一种用于让远程用户拨号连接到本地的ISP,是通过因特网安全访问内网资源的技术,它能将PPP帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP 使用TCP连接创建、维护、终止隧道,并使用GRE (通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密、压缩或同时被加密与压缩。该协议是第2层隧道协议。
PPTP协议是PPP协议的扩展
增强了PPP协议的认证、压缩和加密功能
增加了一个新的安全等级,并且可以通过因特网进行多协议通信。
可用于移动办公或个人用户与VPN服务器进行连接
PPTP协议将控制包和数据包分开,控制包采用TCP控制。
封装服务:使用一般路由封装(GRE)头文件和IP报头数据封装PPP帧加密服务:PPTP继承了PPP的认证和加密机制,采用Chap、EAP、PAP等认证,以及MPPE(微软点对点加密)机制。
L2TP也是PPP协议的发展,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议
L2TP是PPTP与L2F (第二层转发)的一一种综合,是由思科公司推出的一种技术。 该协议是第2层隧道协议。L2TP的封装格式为PPP帧封装L2TP报头,再封装UDP报头,再封IP头。具体如下:
学习参考资料:
信息安全工程师教程(第二版)
建群网培信息安全工程师系列视频教程
信息安全工程师5天修炼
