虛擬專用網(wǎng)絡技術

信息安全技術第8講

虛擬專用網(wǎng)絡技術隨著因特網(wǎng)的服務焦點轉移到電子商務上，對于那些基于傳統(tǒng)信息系統(tǒng)的關鍵性商務應用及數(shù)據(jù)，公司希望通過因特網(wǎng)來實現(xiàn)方便快捷的訪問。通過安全虛擬專用網(wǎng)絡的實現(xiàn)，把公司的業(yè)務安全、有效地拓展到世界各地。第8講

虛擬專用網(wǎng)絡技術虛擬專用網(wǎng)絡(VPN)被定義為通過一個公用網(wǎng)絡(通常是因特網(wǎng))建立的一個臨時的安全連接，是一條穿過公用網(wǎng)絡的安全、穩(wěn)定的隧道。VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸，它通過安全的數(shù)據(jù)通道，幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商與公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，構成一個擴展的公司企業(yè)網(wǎng)，如圖8.1所示。第8講

虛擬專用網(wǎng)絡技術VPN可用于不斷增長的移動用戶的全球因特網(wǎng)接入，以實現(xiàn)安全連接，可用于實現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路。第8講

虛擬專用網(wǎng)絡技術說得通俗一點，VPN實際上是“線路中的線路”，類型于城市道路上的“公交專用線”，所不同的是，由VPN組成的“線路”并不是物理存在的，而是通過技術手段模擬出來，即是“虛擬”的。這種虛擬專用網(wǎng)絡技術可以在一條公用線路中為兩臺計算機建立一個邏輯上的專用“通道”，它具有良好的保密和不受干擾性，使雙方能進行自由而安全的點對點連接，因此被網(wǎng)管們廣泛關注。第8講

虛擬專用網(wǎng)絡技術因特網(wǎng)工程任務小組(IETF)已經(jīng)開始為VPN技術制訂標準，基于這一標準的產(chǎn)品，將使各種應用場合下的VPN有充分的互操作性和可擴展性。VPN可以實現(xiàn)不同網(wǎng)絡組件和資源之間的相互連接，利用因特網(wǎng)或其他公共互連網(wǎng)絡的基礎設施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡一樣的安全和功能保障。第8講

虛擬專用網(wǎng)絡技術提高VPN效用的關鍵問題在于當用戶的業(yè)務需求發(fā)生變化時，用戶能很方便地調整他的VPN以適應變化，并且能方便地升級到將來新的TCP/IP技術；而那些提供門類齊全的軟、硬件VPN產(chǎn)品的供應商，則能提供一些靈活的選擇以滿足用戶的要求。目前的VPN產(chǎn)品主要運行在IPv4之上，但應當具備升級到IPv6的能力，同時要保持良好的互操作性。第8講

虛擬專用網(wǎng)絡技術IPv6：現(xiàn)有的互聯(lián)網(wǎng)是在IPv4協(xié)議的基礎上運行的。IPv6是其下一版本的互聯(lián)網(wǎng)協(xié)議，它的提出最初是因為隨著互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間將被耗盡，地址空間的不足必將影響互聯(lián)網(wǎng)的進一步發(fā)展。為了擴大地址空間，擬通過IPv6重新定義地址空間。第8講

虛擬專用網(wǎng)絡技術IPv4采用32位地址長度，只有大約43億個地址，估計在2005～2010年間將被分配完畢，而IPv6采用128位地址長度，幾乎可以不受限制地提供地址。除了一勞永逸地解決地址短缺問題以外，IPv6的主要優(yōu)勢還體現(xiàn)在以下幾方面：提高網(wǎng)絡的整體吞吐量、改善服務質量(QoS)、安全性有更好的保證、支持即插即用和移動性、更好實現(xiàn)多播功能。第8講

虛擬專用網(wǎng)絡技術1.VPN的安全性使用虛擬專用網(wǎng)絡涉及到一些傳統(tǒng)企業(yè)內(nèi)部網(wǎng)絡中不存在的安全問題。第8講

虛擬專用網(wǎng)絡技術在虛擬專用網(wǎng)絡中，一個典型的端到端的數(shù)據(jù)通路可能包含：1)數(shù)臺不在公司控制之下的機器(例如ISP的接入設備和因特網(wǎng)上的路由器)。2)介于內(nèi)部網(wǎng)(Intranet)和外部網(wǎng)之間的安全網(wǎng)關(可能是防火墻或者是路由器)。第8講

虛擬專用網(wǎng)絡技術3)一個包含若干主機和路由器的內(nèi)部網(wǎng)。其中一些機器可能由惡意攻擊者操作，有的機器同時參與公司內(nèi)部的通信以及與公司外部的通信。4)一個外部公共網(wǎng)絡(因特網(wǎng))上面的數(shù)據(jù)通信來源不僅限于公司網(wǎng)絡。在這樣一個開放的復雜環(huán)境下，很容易被竊聽和篡改數(shù)據(jù)報文的內(nèi)容，很容易實施拒絕服務的攻擊或者是修改數(shù)據(jù)報文的目的地址的攻擊。第8講

虛擬專用網(wǎng)絡技術2.因特網(wǎng)的安全協(xié)議IPSec實現(xiàn)VPN通常用到的安全協(xié)議主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于鏈路層，IPSec主要應用于網(wǎng)絡層，SOCKSv5應用于會話層。為了解決因特網(wǎng)所面臨的不安全因素的威脅，實現(xiàn)在不信任通道上的數(shù)據(jù)安全傳輸，使安全功能模塊能兼容IPv4和下一代網(wǎng)絡協(xié)議IPv6，IPSec協(xié)議將會是主要的實現(xiàn)VPN的協(xié)議。第8講

虛擬專用網(wǎng)絡技術IPSec是IP與Security的簡寫。IPSec結合使用多種安全技術為IP數(shù)據(jù)包提供保密性、完整性和真實性。IPSec實際上指的是多個相關的協(xié)議，它們在RFC2401-2411和RFC2451中定義，規(guī)約已經(jīng)變得相當復雜。IPSec的主要設計目標是良好和互操作性。如果得到正確的實現(xiàn)，IPSec對那些不支持它的主機和網(wǎng)絡不會產(chǎn)生任何負面影響，IPSec的體系結構獨立于當前的密碼算法，IPSec對于IPv6是必需的，而對IPv4是可選的。第8講

虛擬專用網(wǎng)絡技術(1)IPSec的體系結構IPSec框架主要有兩個協(xié)議：一個是用于認證的認證首部(AuthenticationHeader，AH)協(xié)議和一個用于加密數(shù)據(jù)的安全封裝(EncapsulatingSecurityPayload，ESP)協(xié)議。這些安全特征都是作為主要的IP報文首部之后的擴展首部來實現(xiàn)的。AH和ESP可以使用兩種模式，即傳輸模式和隧道模式。第8講

虛擬專用網(wǎng)絡技術1)IPsec文檔。IPSec文檔被劃分成7個組，如圖8.2所示。這是由IETF成立的IP安全協(xié)議工作組在做了大量的工作之后劃分的。第8講

虛擬專用網(wǎng)絡技術體系結構：覆蓋了定義IPSec技術的一般性概念、安全需求、定義和機制。ESP協(xié)議：覆蓋了使用ESP進行分組加密(可選的認證)的格式和一般問題。AH協(xié)議：覆蓋了使用AH進行分組認證的格式和一般問題。加密算法：描述了怎樣將不同的加密算法用于ESP中。第8講

虛擬專用網(wǎng)絡技術認證算法：描述了怎樣將不同的認證算法用于AH和ESP可選的認證選項。解釋域(DOI)：包含了其他文檔需要的為了彼此間相互聯(lián)系的一些值。這些值包括經(jīng)過檢驗的加密和認證算法的標識以及操作參數(shù)，例如密鑰的生存期。密鑰管理：描述密鑰管理機制的文檔，其中IKE(因特網(wǎng)密鑰交換協(xié)議)是默認的密鑰自動交換協(xié)議。第8講

虛擬專用網(wǎng)絡技術2)IPSec的服務。IPSec在IP層提供下列安全服務：訪問控制。無連接的完整性(對IP數(shù)據(jù)包自身的一種檢測方法)。數(shù)據(jù)源的認證。拒絕重發(fā)的數(shù)據(jù)包(部分序列號完整性的一種形式)。保密性(加密)。有限的通信流保密性。第8講

虛擬專用網(wǎng)絡技術(2)AH協(xié)議AH協(xié)議為IP數(shù)據(jù)包提供了數(shù)據(jù)完整性服務和認證服務，并使用一個帶密鑰的哈希函數(shù)以實現(xiàn)認證服務。第8講

虛擬專用網(wǎng)絡技術1)AH協(xié)議的原理。AH協(xié)議可以保證IP分組的可靠性和數(shù)據(jù)的完整性。它的原理是發(fā)送方將IP分組頭、上層數(shù)據(jù)、公共密鑰這3部分通過MD5(或SHA-1)算法進行計算，得出AH首部的認證數(shù)據(jù)，并將AH首部加入IP分組中。當數(shù)據(jù)傳輸?shù)浇邮辗綍r，接收方將收到的IP分組頭、數(shù)據(jù)部分和公共密鑰用相同的MD5(或SHA-1)算法運算，并把得到的結果和收到的數(shù)據(jù)分組的AH首部進行比較和認證。第8講

虛擬專用網(wǎng)絡技術但是，AH協(xié)議并不提供對數(shù)據(jù)的保密性保護，因此，當數(shù)據(jù)通過網(wǎng)絡時，如果攻擊者使用協(xié)議分析器照樣能竊取敏感數(shù)據(jù)。第8講

虛擬專用網(wǎng)絡技術2)傳輸與隧道模式。AH協(xié)議服務可以使用兩種模式：傳輸(transport)模式和隧道(tunnel)模式。AH在IPv4和IPv6數(shù)據(jù)包的實際位置決定于使用何種模式以及AH是應用于一個IPv4還是IPv6數(shù)據(jù)包。在傳輸模式中，AH協(xié)議僅僅應用于主機實現(xiàn)中，并且除了對選定的IP頭域之外還對上層協(xié)議提供保護。該模式通過傳輸安全關聯(lián)(SecurityAssociation，SA)來提供。第8講

虛擬專用網(wǎng)絡技術AH既可以用于主機，也可以用于安全網(wǎng)關。當在一個安全網(wǎng)關中實現(xiàn)AH以保護傳輸?shù)耐ㄐ艜r，必須使用隧道模式。“隧道”技術是VPN的核心，它允許VPN的數(shù)據(jù)流被路由通過IP網(wǎng)絡，而不管生成數(shù)據(jù)流的是何種類型的網(wǎng)絡或設備。隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTack或其他類型的數(shù)據(jù)包。第8講

虛擬專用網(wǎng)絡技術(3)ESP協(xié)議ESP協(xié)議為通過不可信網(wǎng)絡傳輸?shù)腎P數(shù)據(jù)提供保密性服務。另外，ESP協(xié)議還可以提供認證服務。根據(jù)所使用的加密類型和方式的不同，ESP的格式也會有所不同。在任何情況下，與加密關聯(lián)的密鑰都是使用SPI(安全參數(shù)索引)來選擇的。第8講

虛擬專用網(wǎng)絡技術1)ESP協(xié)議的加密算法。ESP協(xié)議兼容多種密碼算法。系統(tǒng)必須有使用密碼分組鏈接(CipherBlockChaining，CBC)模式DES算法：對于要求認證的兼容系統(tǒng)則必須含有NULL算法。同時，也定義了ESP服務使用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。第8講

虛擬專用網(wǎng)絡技術2)傳輸與隧道模式。與AH相同，ESP也可以用于兩種模式：傳輸模式和隧道模式。這些模式的工作方式與它們在AH中的工作方式類似。但是有一個例外：對ESP，在每一個數(shù)據(jù)之后將附加一個尾部(trailer)的數(shù)據(jù)。ESP傳輸模式只用于實現(xiàn)主機之間的加密(和可選的認證)服務，為上層協(xié)議提供保護而不是IP頭本身。第8講

虛擬專用網(wǎng)絡技術ESP隧道模式既可以用于主機，也可以用于安全網(wǎng)關。當在一個安全網(wǎng)關中實現(xiàn)ESP時(用于保護用戶傳輸通信流)，必須使用隧道模式，如圖8.3所示是一個由4個專用網(wǎng)通過因特網(wǎng)互相連接的隧道模式示例。內(nèi)部網(wǎng)絡上的主機使用因特網(wǎng)是為了傳輸數(shù)據(jù)，而不是同其他基于因特網(wǎng)的主機進行交互。在每個內(nèi)部網(wǎng)絡上的安全網(wǎng)關用于終止隧道。第8講

虛擬專用網(wǎng)絡技術(4)安全關聯(lián)安全關聯(lián)(SA)是在發(fā)送者和接收者之間為進出通信量提供安全服務的一種單向的關系，它是IPSec中的一個基本的概念。每一對使用IPSec的主機必須在它們之間建立一個SA。SA數(shù)據(jù)庫定義了與每一個SA相關聯(lián)的參數(shù)，例如，通信使用何種保護類型(是AH還是ESP)、使用的加密算法、密鑰、協(xié)議方式(隧道或傳輸)以及該SA的有效期等。SA在發(fā)送者和接收者之間建立一種單向的關系。如果需要進行雙向通信，則需要第二個SA。第8講

虛擬專用網(wǎng)絡技術AH協(xié)議和ESP協(xié)議可以單獨使用，也可以組合使用，因為每一種協(xié)議都有兩種使用模式，這樣組合使用就有多種可能的組合方式。但是在這么多可能的組合中只有幾個有實際意義的應用。用SA束來實現(xiàn)IPSec的組合，定義了兩種組合SA的方式：傳輸鄰接和循環(huán)隧道。第8講

虛擬專用網(wǎng)絡技術(5)安全管理IPSec包含兩個指定的數(shù)據(jù)庫：安全策略數(shù)據(jù)庫(SecurityPolicyDatabase，SPD)和安全關聯(lián)數(shù)據(jù)庫(SecurityAssociationDatabase，SAD)。SPD指定了決定所有輸入或者輸出的IP通信部署的策略；SAD包含有與當前活動的安全關聯(lián)相關的參數(shù)。第8講

虛擬專用網(wǎng)絡技術(6)密鑰管理當使用IPSec時，與其他安全協(xié)議一樣，必須提供密鑰管理功能。例如，應提供一種方法，用于與其他人協(xié)商協(xié)議、加密算法以及在數(shù)據(jù)交換中使用的密鑰。此外，IPSec需要知道實體之間的所有的這樣的協(xié)定。IETF的IPSec工作組已經(jīng)指定所有兼容的系統(tǒng)必須同時支持手工和自動的SA和密鑰管理。第8講

虛擬專用網(wǎng)絡技術3.VPN應用IPSec提供了在局域網(wǎng)、專用和公用的廣域網(wǎng)(WAN)和因特網(wǎng)上安全通信的能力。第8講

虛擬專用網(wǎng)絡技術(1)通過因特網(wǎng)實現(xiàn)遠程用戶訪問一個系統(tǒng)中配備了IP安全協(xié)議的最終用戶，可以通過調用本地的因特網(wǎng)服務提供商(ISP)來獲得對一個公司網(wǎng)絡的安全訪問，這為在外出差的雇員和遠程的工作者減少了長途通信費用。第8講

虛擬專用網(wǎng)絡技術虛擬專用網(wǎng)絡支持以安全的方式通過公共互連網(wǎng)絡遠程訪問企業(yè)資源。與使用專線撥打長途或電話連接企業(yè)的網(wǎng)絡接入服務器(NAS)不同，虛擬專用網(wǎng)絡用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接，在撥號用戶和企業(yè)VPN服務器之間，創(chuàng)建一個跨越因特網(wǎng)或其他公共互連網(wǎng)絡的虛擬專用網(wǎng)絡，如圖8.4所示。第8講

虛擬專用網(wǎng)絡技術客戶通過撥號到ISP來連接到因特網(wǎng)，然后和內(nèi)部網(wǎng)邊界上的安全網(wǎng)關建立一個經(jīng)認證的、加密的安全通道。通過在遠程和安全網(wǎng)關之間實行IPSec方式的認證，內(nèi)部網(wǎng)可以免受那些不必要的或惡意的IP包攻擊。通過將遠程主機與安全網(wǎng)關之間的數(shù)據(jù)流進行加密，可以防止竊聽。第8講

虛擬專用網(wǎng)絡技術(2)通過因特網(wǎng)實現(xiàn)網(wǎng)絡互連一個公司可以在因特網(wǎng)或者公用的廣域網(wǎng)上建立安全的虛擬私有網(wǎng)絡。這可以使企業(yè)主要依賴因特網(wǎng)而減少它構造專用網(wǎng)絡的需求，節(jié)省了費用和網(wǎng)絡管理有負擔。通過因特網(wǎng)實現(xiàn)兩個相互信任的內(nèi)部網(wǎng)絡安全連接，在這種情況下，即要防范外部對內(nèi)部網(wǎng)絡的攻擊，又要保護在因特網(wǎng)上傳輸數(shù)據(jù)的安全。例如，一個公司的兩個分公司之間通過因特網(wǎng)建立分支機構的VPN，需要滿足公司對通信、安全和成本的需求。第8講

虛擬專用網(wǎng)絡技術可以用以下兩種方式使用VPN來連接遠程局域網(wǎng)絡：1)使用專線連接分支機構和企業(yè)局域網(wǎng)。不需要使用價格昂貴的長距離專用電路，分支機構和企業(yè)端路由器可以使用各自本地的專用線路通過本地的ISP連通因特網(wǎng)。VPN軟件使用與本地ISP建立的連接和因特網(wǎng)在分支機構和企業(yè)端路由器之間創(chuàng)建一個虛擬專用網(wǎng)絡。第8講

虛擬專用網(wǎng)絡技術2)使用撥號線路連接分支機構和企業(yè)局域網(wǎng)。不同于傳統(tǒng)的使用連接分支機構路由器的專線撥打長途或電話連接企業(yè)NAS(網(wǎng)絡接入服務器)的方式，分支機構端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機構和企業(yè)端路由器之間創(chuàng)建一個跨越因特網(wǎng)的虛擬專用網(wǎng)絡，如圖8.5所示。第8講

虛擬專用網(wǎng)絡技