[ 笔记 ] 计算机网络安全_7_虚拟专网技术

[笔记] 计算机网络安全：（7）虚拟专网技术

1. 网络安全基础
2. internet协议的安全性
3. Web安全
4. 网络扫描和网络监听
5. 防火墙原理与设计
6. 入侵检测系统
7. VPN技术

---

---

7.1 虚拟专网的基本概念和分类

• 信息在传输中可能泄密
• 信息传输中可能失真
• 信息的来源可能是伪造的
• 信息传输的成本可能很高

7.1.1 虚拟专网的概念

虚拟专网：VPN(Virtual Private Network)

定义：是指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。

7.1.2 虚拟专网的特点

• 费用低
• 安全保障
• 服务质量 保证（QoS）
• 可扩充性和灵活性
• 可管理性

7.1.3 虚拟专网的分类

Access 虚拟专网：远程访问虚拟专网

• Access VPN与传统的远程访问网络相对应
• 远端用户只要能使用合法IP地址访问Internet，接入到远端网关即可、可以利用VPN系统在公众网上建立一个从客户端到网关的安全传输通道。
• 降低了长途电话，租用光纤及技术支持的费用
• 适用于企业内部人员流动频繁或远程办公的情况

Intranet 虚拟专网：网关-网关，企业内部虚拟专网

• 如果要进行企业内部异地分支机构的互联，可以使用Intranet VPN方式，这是所谓的网关对网关VPN
• Intranet VPN在异地两个网络的网关之间建立了一个加密的VPN隧道，两端的内部网络可以通过该VPN隧道安全地进行通信，就好像和本地网络通信一样

Extranet 虚拟专网：网关-网关，企业外部虚拟专网

• 如果一个企业希望将客户、供应商、合作伙伴或兴趣群体连接到企业内部网，可以使用Extranet VPN。
• Extranet VPN其实也是一种网关对网关的VPN，与Intranet VPN不同的是，它需要在不同企业的内部网络之间组建，需要有不同协议和设备之间的配合和不同的安全配置

7.1.4 虚拟专网的关键技术

• 隧道技术
• 密码技术
• 密钥管理技术
• 身份认证技术
• 访问控制技术

密码技术

• 密码技术是实现VPN的关键核心技术之一。
• 一般情况下，在VPN实现中：
  • 双方大量的通信流量的加密使用对称加密算法，运算量小、速度快。众多算法中最常用的是DES（Data Encryption Standard）、AES（Adva nced Encryption Standard）和IDEA（Interna tional Data Encryption Algorithm）
  • 而在管理、分发对称加密的密钥上采用更加安全的非对称加密技术。

身份认证技术

• VPN需要解决的首要问题就是网络上用户与设备的身份认证。
• 从技术上说，身份认证基本上可以分为两类：非PKI体系和PKI体系的身份认证。
  • 非PKI体系：UID+PASSWORD
    • PAP，Password Authentication Protocol，口令认证协议
    • CHAP，Challenge Handshake Authentication Protocol，挑战握手认证协议
    • MS CHAP，Microsoft Challenge Handshake Authentication Protocol，微软CHAP
    • RADIUS，Remote Authentication Dial In User Service ，远程认证拨号用户服务
  • PKI体系
    • 常用的方法是依赖于CA（Certificate Authority，数字证书签发中心）所签发的符合X.509规 范的标准数字证书。
    • 通信双方交换数据前，需先确认彼此的身份，交换彼此的数字证书，双方将用此证书进行比较，只有比较结果正确，双方才开始交换数据 ；否则，不能进行后续通信

隧道技术

• 隧道技术通过对数据进行封装，在公共网络上建立一条数据通道（隧道），让数据包通过这条隧道传输。
• 生成隧道的协议有三种：
  • 第二层隧道协议
    • 第二层隧道协议是在数据链路层进行的，先把各种网络协议封装到PPP包中，再把整个数据包装入隧道协议中，这种经过两层封装的数据包由第二层协议进行传输
      • L2F（RFC 2341，Layer 2 Forwarding）
      • PPTP（RFC 2637，Point to Point Tunneling Protocol）
      • L2TP（RFC 2661，Layer Two Tunneling Protocol）。
    • 采用L2TP还是PPTP实现VPN取决于要把控制权放在NAS(Network Access Server)还是用户手中。
    • L2TP比PPTP更安全，因为L2TP接入服务器能够确定用户从哪里来。L2TP主要用于比较集中的、固定的VPN用户，而PPTP比较适合移动的用户。
  • 第三层隧道协议
    • 在网络层进行的，把各种网络协议直接装入隧道协议中，形成的数据包依靠第三层协议进行传输
      • IPSec (IP Security)，是目前最常用的VPN解决方案
      • GRE(RFC 2784，General Routing Encapsulation)
        • GRE主要用于源路由和终路由之间所形成的隧道。例如，将通过隧道的报文用一个新的报文头（GRE报文头）进行封装然后带着隧道终点地址放入隧道中。当报文到达隧道终点时 ，GRE报文头被剥掉，继续根据原始报文的目标地址进行寻址。
        • GRE隧道技术是用在路由器中的，可以满足Extranet VPN以及Intranet VPN的需求
  • 第四层隧道协议
    • 工作在传输层,把网络层数据包或应用数据装入隧道协议中，形成的数据包依靠传输层协议进行传输
      • TLS（ Transport Layer Security）：传输层安全性协议
      • TLS/SSL VPN 主要为远程访问VPN（Access-VPN)

密钥管理技术

• 在VPN应用中密钥的分发与管理非常重要。密钥的分发有两种方法：
  • 手工配置：要求密钥更新不要太频繁，否则管理工作量太大，因此只适合于简单网络的情况。
  • 采用密钥交换协议动态分发：采用软件方式动态生成密钥，保证密钥在公共网络上安全地传输而不被窃取，适合于复杂网络的情况，而且密钥可快速更新，可以显著提高VPN应用的安全性

访问控制技术

• 访问控制决定了谁能够访问系统、能访问系统的何种资源以及如何使用这些资源
• 采取适当的访问控制措施能够阻止未经允许的用户有意或无意地获取数据，或者非法访问系统资源等。

7.2 PPTP、IPSec、TLS等隧道协议

隧道协议

• 指通过一个公用网络（通常是 Internet）建立的一条穿过公用网络的安全的、逻辑上的隧道。在隧道中，数据包被重新封装发送

VPN的主要封装协议:

• 第2层的隧道协议
  • –包括PPTP、L2TP、L2F等
• 第3层的隧道协议
  • –包括IPSec、GRE等
• 第4层的隧道协议
  • –包括SSL、TLS等。

7.2.1 第二层隧道协议

代表协议

• PPTP
  • 让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源。
  • PPTP具有两种不同的工作 模式，即被动模式和主动模式。
• L2F
  • 可以在多种介质（如ATM、 帧中继、IP网）上建立多协议的安全虚拟专用网。
  • 它将链路层的协议（如 HDLC，PPP， ASYNC等）封装起来传送
• L2TP
  • 在上述两种协议的基础上产生。 适合组建远程接入方式的VPN。

优缺点

• 优点
  • 简单易行
• 缺点
  • 可扩展性都不好
  • 不提供内在的安全机制，不能保证企业和企业的外部客户及供应商之间会话的保密性

7.2.2 第三层隧道协议

代表协议

• IPSec
  • 专为IP设计提供安全服务的一种协议
• GRE Generic Routing Encapsulation
  • 规定了如何用一种网络协议去封装另一种网络协议的方法。
• MPLS Multiprotocol Label Switching
  • 引入了基于标记的机制。
  • 它把选路和转发分开，用标签来规定一个分组通过网络的路径

7.3 IPSec 的原理及应用

7.3.1 IP安全概述

• 大型网络系统内运行多种网络协议（TCP/IP、IPX/SP X和NETBEUA等）这些网络协议并非为安全通信设计
• IP协议维系着整个TCP/IP协议的体系结构，除了数据链路层外，TCP/IP的所有协议的数据都是以IP数据报 的形式传输的。
• TCP/IP协议簇有两种IP版本：IPv4、IPv6。IPv6简化了IP头，其数据报更加灵活，同时IPv6还增加了对安全性的考虑

IP安全的必要性

• IPv4在设计之初没有考虑安全性，导致在网络上传输的数据很容易受到各式各样的攻击：比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此，通信双方不能保证收到IP数据报的真实性
• 为了加强因特网的安全性，从1995年开始，IETF着手制定了一套用于保护IP通信的IP安全协议（IP Security，IPSec）。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。

IPSec安全体系结构

• IPSec（IP Security）是一种由IETF设计的端到端的确保IP层通信安全的机制。
• IPSec不是一个单独的协议，而是一组协议，IPSec协议的定义文件包括了12个RFC文件和几十个Internet草案，已经成为工业标准的网络安全协议。
• IPSec在IPv6中是必须支持的，而在IPv4中是可选的

IPSec协议簇

• IPSec协议簇主要包括两个安全协议：AH协议和ESP协议
  • AH协议（Authentication Header，验证头）：可以进行数据源身份验证、保障数据的完整性以及防止相同数据包在因特网重放
  • ESP协议（Encapsulating Security Payload，封装安全载荷）：具有所有AH的功能，还可以利用加密技术保障数据机密性。
• 虽然AH和ESP都可以提供身份认证，但它们有2点区别：
  • ESP要求使用高强度的加密算法，会受到许多限制。
  • 多数情况下，使用AH的认证服务已能满足要求，相对来说，ESP开销较大。
• 有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制，选择安全方案可以有更大的灵活度
• AH和ESP可以单独使用，也可以组合使用，可以在两台主机、两台安全网关（防火墙和路由器），或者主机与安全网关之间使用
• IKE（Internet Key Exchange）
  • IKE协议负责密钥管理，定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方 法。
  • IKE将密钥协商的结果保留在安全联盟（SA）中，供AH和ESP以后通信时使用
• DOI（Domain of Interpretation）
  • 解释域DOI定义IKE所没有定义的协商的内容；
  • DOI为使用IKE进行协商SA的协议统一分配标识符。共享一个DOI的协议从一个共同的命名空间中选择安 全协议和变换、共享密码以及交换协议的标识符等
  • DOI将IPSec的这些RFC文档联系到一起

IPSec的功能

• 保证数据完整性
  • IPSec通过验证算法保证数据从发送方到接收方的传送过程中的任何数据篡改和丢失都可以被检测。
• 保证数据机密性
  • IPSec通过加密算法使只有真正的接收方才能获取真正的发送内容，而他人无法获知数据的真正内容

术语补充

• SA（Security Association，安全关联）
  • 是两个IPSec实体（主机、安全网关）之间经过协商建立起来的一种协定。
  • 内容包括采用何种IPSec协议（AH还是ESP）、运行模式（传输模式还是隧道模式）、验证算法、加密算法 、加密密钥、密钥生存期、抗重放窗口、计数器等，从而决定了保护什么、如何保护以及谁来保护。
  • 可以说SA是构成IPSec的基础。
  • 每个SA由三元组（SPI，IP目的地址，IPSec协议）来唯一标识
    • SPI（Security Parameter Index，安全参数索引）是32位的安全参数索引，用于标识具有相同IP地址和相同安全协议的不同的SA，它通常被放在AH或ESP头中
    • IP目的地址：它是SA的终端地址。
    • IPSec协议：采用AH或ESP。
  • SA是单向的，在一次通信中，IPSec需要建立两个SA，一个用于入站通信，另一个用于出站通信
• SAD（Security Association Database，安全关联数据库）