虛擬專用網(wǎng)絡(luò)技術(shù)

信息安全技術(shù)第8講

虛擬專用網(wǎng)絡(luò)技術(shù)隨著因特網(wǎng)的服務(wù)焦點(diǎn)轉(zhuǎn)移到電子商務(wù)上，對(duì)于那些基于傳統(tǒng)信息系統(tǒng)的關(guān)鍵性商務(wù)應(yīng)用及數(shù)據(jù)，公司希望通過(guò)因特網(wǎng)來(lái)實(shí)現(xiàn)方便快捷的訪問(wèn)。通過(guò)安全虛擬專用網(wǎng)絡(luò)的實(shí)現(xiàn)，把公司的業(yè)務(wù)安全、有效地拓展到世界各地。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)虛擬專用網(wǎng)絡(luò)(VPN)被定義為通過(guò)一個(gè)公用網(wǎng)絡(luò)(通常是因特網(wǎng))建立的一個(gè)臨時(shí)的安全連接，是一條穿過(guò)公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸，它通過(guò)安全的數(shù)據(jù)通道，幫助遠(yuǎn)程用戶、公司分支機(jī)構(gòu)、商業(yè)伙伴及供應(yīng)商與公司的內(nèi)部網(wǎng)建立可信的安全連接，并保證數(shù)據(jù)的安全傳輸，構(gòu)成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)，如圖8.1所示。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)VPN可用于不斷增長(zhǎng)的移動(dòng)用戶的全球因特網(wǎng)接入，以實(shí)現(xiàn)安全連接，可用于實(shí)現(xiàn)企業(yè)網(wǎng)站之間安全通信的虛擬專用線路。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)說(shuō)得通俗一點(diǎn)，VPN實(shí)際上是“線路中的線路”，類型于城市道路上的“公交專用線”，所不同的是，由VPN組成的“線路”并不是物理存在的，而是通過(guò)技術(shù)手段模擬出來(lái)，即是“虛擬”的。這種虛擬專用網(wǎng)絡(luò)技術(shù)可以在一條公用線路中為兩臺(tái)計(jì)算機(jī)建立一個(gè)邏輯上的專用“通道”，它具有良好的保密和不受干擾性，使雙方能進(jìn)行自由而安全的點(diǎn)對(duì)點(diǎn)連接，因此被網(wǎng)管們廣泛關(guān)注。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)因特網(wǎng)工程任務(wù)小組(IETF)已經(jīng)開(kāi)始為VPN技術(shù)制訂標(biāo)準(zhǔn)，基于這一標(biāo)準(zhǔn)的產(chǎn)品，將使各種應(yīng)用場(chǎng)合下的VPN有充分的互操作性和可擴(kuò)展性。VPN可以實(shí)現(xiàn)不同網(wǎng)絡(luò)組件和資源之間的相互連接，利用因特網(wǎng)或其他公共互連網(wǎng)絡(luò)的基礎(chǔ)設(shè)施為用戶創(chuàng)建隧道，并提供與專用網(wǎng)絡(luò)一樣的安全和功能保障。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)提高VPN效用的關(guān)鍵問(wèn)題在于當(dāng)用戶的業(yè)務(wù)需求發(fā)生變化時(shí)，用戶能很方便地調(diào)整他的VPN以適應(yīng)變化，并且能方便地升級(jí)到將來(lái)新的TCP/IP技術(shù)；而那些提供門類齊全的軟、硬件VPN產(chǎn)品的供應(yīng)商，則能提供一些靈活的選擇以滿足用戶的要求。目前的VPN產(chǎn)品主要運(yùn)行在IPv4之上，但應(yīng)當(dāng)具備升級(jí)到IPv6的能力，同時(shí)要保持良好的互操作性。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)IPv6：現(xiàn)有的互聯(lián)網(wǎng)是在IPv4協(xié)議的基礎(chǔ)上運(yùn)行的。IPv6是其下一版本的互聯(lián)網(wǎng)協(xié)議，它的提出最初是因?yàn)殡S著互聯(lián)網(wǎng)的迅速發(fā)展，IPv4定義的有限地址空間將被耗盡，地址空間的不足必將影響互聯(lián)網(wǎng)的進(jìn)一步發(fā)展。為了擴(kuò)大地址空間，擬通過(guò)IPv6重新定義地址空間。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)IPv4采用32位地址長(zhǎng)度，只有大約43億個(gè)地址，估計(jì)在2005～2010年間將被分配完畢，而IPv6采用128位地址長(zhǎng)度，幾乎可以不受限制地提供地址。除了一勞永逸地解決地址短缺問(wèn)題以外，IPv6的主要優(yōu)勢(shì)還體現(xiàn)在以下幾方面：提高網(wǎng)絡(luò)的整體吞吐量、改善服務(wù)質(zhì)量(QoS)、安全性有更好的保證、支持即插即用和移動(dòng)性、更好實(shí)現(xiàn)多播功能。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)1.VPN的安全性使用虛擬專用網(wǎng)絡(luò)涉及到一些傳統(tǒng)企業(yè)內(nèi)部網(wǎng)絡(luò)中不存在的安全問(wèn)題。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)在虛擬專用網(wǎng)絡(luò)中，一個(gè)典型的端到端的數(shù)據(jù)通路可能包含：1)數(shù)臺(tái)不在公司控制之下的機(jī)器(例如ISP的接入設(shè)備和因特網(wǎng)上的路由器)。2)介于內(nèi)部網(wǎng)(Intranet)和外部網(wǎng)之間的安全網(wǎng)關(guān)(可能是防火墻或者是路由器)。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)3)一個(gè)包含若干主機(jī)和路由器的內(nèi)部網(wǎng)。其中一些機(jī)器可能由惡意攻擊者操作，有的機(jī)器同時(shí)參與公司內(nèi)部的通信以及與公司外部的通信。4)一個(gè)外部公共網(wǎng)絡(luò)(因特網(wǎng))上面的數(shù)據(jù)通信來(lái)源不僅限于公司網(wǎng)絡(luò)。在這樣一個(gè)開(kāi)放的復(fù)雜環(huán)境下，很容易被竊聽(tīng)和篡改數(shù)據(jù)報(bào)文的內(nèi)容，很容易實(shí)施拒絕服務(wù)的攻擊或者是修改數(shù)據(jù)報(bào)文的目的地址的攻擊。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)2.因特網(wǎng)的安全協(xié)議IPSec實(shí)現(xiàn)VPN通常用到的安全協(xié)議主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于鏈路層，IPSec主要應(yīng)用于網(wǎng)絡(luò)層，SOCKSv5應(yīng)用于會(huì)話層。為了解決因特網(wǎng)所面臨的不安全因素的威脅，實(shí)現(xiàn)在不信任通道上的數(shù)據(jù)安全傳輸，使安全功能模塊能兼容IPv4和下一代網(wǎng)絡(luò)協(xié)議IPv6，IPSec協(xié)議將會(huì)是主要的實(shí)現(xiàn)VPN的協(xié)議。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)IPSec是IP與Security的簡(jiǎn)寫。IPSec結(jié)合使用多種安全技術(shù)為IP數(shù)據(jù)包提供保密性、完整性和真實(shí)性。IPSec實(shí)際上指的是多個(gè)相關(guān)的協(xié)議，它們?cè)赗FC2401-2411和RFC2451中定義，規(guī)約已經(jīng)變得相當(dāng)復(fù)雜。IPSec的主要設(shè)計(jì)目標(biāo)是良好和互操作性。如果得到正確的實(shí)現(xiàn)，IPSec對(duì)那些不支持它的主機(jī)和網(wǎng)絡(luò)不會(huì)產(chǎn)生任何負(fù)面影響，IPSec的體系結(jié)構(gòu)獨(dú)立于當(dāng)前的密碼算法，IPSec對(duì)于IPv6是必需的，而對(duì)IPv4是可選的。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(1)IPSec的體系結(jié)構(gòu)IPSec框架主要有兩個(gè)協(xié)議：一個(gè)是用于認(rèn)證的認(rèn)證首部(AuthenticationHeader，AH)協(xié)議和一個(gè)用于加密數(shù)據(jù)的安全封裝(EncapsulatingSecurityPayload，ESP)協(xié)議。這些安全特征都是作為主要的IP報(bào)文首部之后的擴(kuò)展首部來(lái)實(shí)現(xiàn)的。AH和ESP可以使用兩種模式，即傳輸模式和隧道模式。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)1)IPsec文檔。IPSec文檔被劃分成7個(gè)組，如圖8.2所示。這是由IETF成立的IP安全協(xié)議工作組在做了大量的工作之后劃分的。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)體系結(jié)構(gòu)：覆蓋了定義IPSec技術(shù)的一般性概念、安全需求、定義和機(jī)制。ESP協(xié)議：覆蓋了使用ESP進(jìn)行分組加密(可選的認(rèn)證)的格式和一般問(wèn)題。AH協(xié)議：覆蓋了使用AH進(jìn)行分組認(rèn)證的格式和一般問(wèn)題。加密算法：描述了怎樣將不同的加密算法用于ESP中。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)認(rèn)證算法：描述了怎樣將不同的認(rèn)證算法用于AH和ESP可選的認(rèn)證選項(xiàng)。解釋域(DOI)：包含了其他文檔需要的為了彼此間相互聯(lián)系的一些值。這些值包括經(jīng)過(guò)檢驗(yàn)的加密和認(rèn)證算法的標(biāo)識(shí)以及操作參數(shù)，例如密鑰的生存期。密鑰管理：描述密鑰管理機(jī)制的文檔，其中IKE(因特網(wǎng)密鑰交換協(xié)議)是默認(rèn)的密鑰自動(dòng)交換協(xié)議。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)2)IPSec的服務(wù)。IPSec在IP層提供下列安全服務(wù)：訪問(wèn)控制。無(wú)連接的完整性(對(duì)IP數(shù)據(jù)包自身的一種檢測(cè)方法)。數(shù)據(jù)源的認(rèn)證。拒絕重發(fā)的數(shù)據(jù)包(部分序列號(hào)完整性的一種形式)。保密性(加密)。有限的通信流保密性。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(2)AH協(xié)議AH協(xié)議為IP數(shù)據(jù)包提供了數(shù)據(jù)完整性服務(wù)和認(rèn)證服務(wù)，并使用一個(gè)帶密鑰的哈希函數(shù)以實(shí)現(xiàn)認(rèn)證服務(wù)。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)1)AH協(xié)議的原理。AH協(xié)議可以保證IP分組的可靠性和數(shù)據(jù)的完整性。它的原理是發(fā)送方將IP分組頭、上層數(shù)據(jù)、公共密鑰這3部分通過(guò)MD5(或SHA-1)算法進(jìn)行計(jì)算，得出AH首部的認(rèn)證數(shù)據(jù)，并將AH首部加入IP分組中。當(dāng)數(shù)據(jù)傳輸?shù)浇邮辗綍r(shí)，接收方將收到的IP分組頭、數(shù)據(jù)部分和公共密鑰用相同的MD5(或SHA-1)算法運(yùn)算，并把得到的結(jié)果和收到的數(shù)據(jù)分組的AH首部進(jìn)行比較和認(rèn)證。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)但是，AH協(xié)議并不提供對(duì)數(shù)據(jù)的保密性保護(hù)，因此，當(dāng)數(shù)據(jù)通過(guò)網(wǎng)絡(luò)時(shí)，如果攻擊者使用協(xié)議分析器照樣能竊取敏感數(shù)據(jù)。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)2)傳輸與隧道模式。AH協(xié)議服務(wù)可以使用兩種模式：傳輸(transport)模式和隧道(tunnel)模式。AH在IPv4和IPv6數(shù)據(jù)包的實(shí)際位置決定于使用何種模式以及AH是應(yīng)用于一個(gè)IPv4還是IPv6數(shù)據(jù)包。在傳輸模式中，AH協(xié)議僅僅應(yīng)用于主機(jī)實(shí)現(xiàn)中，并且除了對(duì)選定的IP頭域之外還對(duì)上層協(xié)議提供保護(hù)。該模式通過(guò)傳輸安全關(guān)聯(lián)(SecurityAssociation，SA)來(lái)提供。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)AH既可以用于主機(jī)，也可以用于安全網(wǎng)關(guān)。當(dāng)在一個(gè)安全網(wǎng)關(guān)中實(shí)現(xiàn)AH以保護(hù)傳輸?shù)耐ㄐ艜r(shí)，必須使用隧道模式?！八淼馈奔夹g(shù)是VPN的核心，它允許VPN的數(shù)據(jù)流被路由通過(guò)IP網(wǎng)絡(luò)，而不管生成數(shù)據(jù)流的是何種類型的網(wǎng)絡(luò)或設(shè)備。隧道內(nèi)的數(shù)據(jù)流可以是IP、IPX、AppleTack或其他類型的數(shù)據(jù)包。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(3)ESP協(xié)議ESP協(xié)議為通過(guò)不可信網(wǎng)絡(luò)傳輸?shù)腎P數(shù)據(jù)提供保密性服務(wù)。另外，ESP協(xié)議還可以提供認(rèn)證服務(wù)。根據(jù)所使用的加密類型和方式的不同，ESP的格式也會(huì)有所不同。在任何情況下，與加密關(guān)聯(lián)的密鑰都是使用SPI(安全參數(shù)索引)來(lái)選擇的。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)1)ESP協(xié)議的加密算法。ESP協(xié)議兼容多種密碼算法。系統(tǒng)必須有使用密碼分組鏈接(CipherBlockChaining，CBC)模式DES算法：對(duì)于要求認(rèn)證的兼容系統(tǒng)則必須含有NULL算法。同時(shí)，也定義了ESP服務(wù)使用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)2)傳輸與隧道模式。與AH相同，ESP也可以用于兩種模式：傳輸模式和隧道模式。這些模式的工作方式與它們?cè)贏H中的工作方式類似。但是有一個(gè)例外：對(duì)ESP，在每一個(gè)數(shù)據(jù)之后將附加一個(gè)尾部(trailer)的數(shù)據(jù)。ESP傳輸模式只用于實(shí)現(xiàn)主機(jī)之間的加密(和可選的認(rèn)證)服務(wù)，為上層協(xié)議提供保護(hù)而不是IP頭本身。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)ESP隧道模式既可以用于主機(jī)，也可以用于安全網(wǎng)關(guān)。當(dāng)在一個(gè)安全網(wǎng)關(guān)中實(shí)現(xiàn)ESP時(shí)(用于保護(hù)用戶傳輸通信流)，必須使用隧道模式，如圖8.3所示是一個(gè)由4個(gè)專用網(wǎng)通過(guò)因特網(wǎng)互相連接的隧道模式示例。內(nèi)部網(wǎng)絡(luò)上的主機(jī)使用因特網(wǎng)是為了傳輸數(shù)據(jù)，而不是同其他基于因特網(wǎng)的主機(jī)進(jìn)行交互。在每個(gè)內(nèi)部網(wǎng)絡(luò)上的安全網(wǎng)關(guān)用于終止隧道。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(4)安全關(guān)聯(lián)安全關(guān)聯(lián)(SA)是在發(fā)送者和接收者之間為進(jìn)出通信量提供安全服務(wù)的一種單向的關(guān)系，它是IPSec中的一個(gè)基本的概念。每一對(duì)使用IPSec的主機(jī)必須在它們之間建立一個(gè)SA。SA數(shù)據(jù)庫(kù)定義了與每一個(gè)SA相關(guān)聯(lián)的參數(shù)，例如，通信使用何種保護(hù)類型(是AH還是ESP)、使用的加密算法、密鑰、協(xié)議方式(隧道或傳輸)以及該SA的有效期等。SA在發(fā)送者和接收者之間建立一種單向的關(guān)系。如果需要進(jìn)行雙向通信，則需要第二個(gè)SA。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)AH協(xié)議和ESP協(xié)議可以單獨(dú)使用，也可以組合使用，因?yàn)槊恳环N協(xié)議都有兩種使用模式，這樣組合使用就有多種可能的組合方式。但是在這么多可能的組合中只有幾個(gè)有實(shí)際意義的應(yīng)用。用SA束來(lái)實(shí)現(xiàn)IPSec的組合，定義了兩種組合SA的方式：傳輸鄰接和循環(huán)隧道。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(5)安全管理IPSec包含兩個(gè)指定的數(shù)據(jù)庫(kù)：安全策略數(shù)據(jù)庫(kù)(SecurityPolicyDatabase，SPD)和安全關(guān)聯(lián)數(shù)據(jù)庫(kù)(SecurityAssociationDatabase，SAD)。SPD指定了決定所有輸入或者輸出的IP通信部署的策略；SAD包含有與當(dāng)前活動(dòng)的安全關(guān)聯(lián)相關(guān)的參數(shù)。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(6)密鑰管理當(dāng)使用IPSec時(shí)，與其他安全協(xié)議一樣，必須提供密鑰管理功能。例如，應(yīng)提供一種方法，用于與其他人協(xié)商協(xié)議、加密算法以及在數(shù)據(jù)交換中使用的密鑰。此外，IPSec需要知道實(shí)體之間的所有的這樣的協(xié)定。IETF的IPSec工作組已經(jīng)指定所有兼容的系統(tǒng)必須同時(shí)支持手工和自動(dòng)的SA和密鑰管理。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)3.VPN應(yīng)用IPSec提供了在局域網(wǎng)、專用和公用的廣域網(wǎng)(WAN)和因特網(wǎng)上安全通信的能力。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(1)通過(guò)因特網(wǎng)實(shí)現(xiàn)遠(yuǎn)程用戶訪問(wèn)一個(gè)系統(tǒng)中配備了IP安全協(xié)議的最終用戶，可以通過(guò)調(diào)用本地的因特網(wǎng)服務(wù)提供商(ISP)來(lái)獲得對(duì)一個(gè)公司網(wǎng)絡(luò)的安全訪問(wèn)，這為在外出差的雇員和遠(yuǎn)程的工作者減少了長(zhǎng)途通信費(fèi)用。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)虛擬專用網(wǎng)絡(luò)支持以安全的方式通過(guò)公共互連網(wǎng)絡(luò)遠(yuǎn)程訪問(wèn)企業(yè)資源。與使用專線撥打長(zhǎng)途或電話連接企業(yè)的網(wǎng)絡(luò)接入服務(wù)器(NAS)不同，虛擬專用網(wǎng)絡(luò)用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接，在撥號(hào)用戶和企業(yè)VPN服務(wù)器之間，創(chuàng)建一個(gè)跨越因特網(wǎng)或其他公共互連網(wǎng)絡(luò)的虛擬專用網(wǎng)絡(luò)，如圖8.4所示。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)客戶通過(guò)撥號(hào)到ISP來(lái)連接到因特網(wǎng)，然后和內(nèi)部網(wǎng)邊界上的安全網(wǎng)關(guān)建立一個(gè)經(jīng)認(rèn)證的、加密的安全通道。通過(guò)在遠(yuǎn)程和安全網(wǎng)關(guān)之間實(shí)行IPSec方式的認(rèn)證，內(nèi)部網(wǎng)可以免受那些不必要的或惡意的IP包攻擊。通過(guò)將遠(yuǎn)程主機(jī)與安全網(wǎng)關(guān)之間的數(shù)據(jù)流進(jìn)行加密，可以防止竊聽(tīng)。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)(2)通過(guò)因特網(wǎng)實(shí)現(xiàn)網(wǎng)絡(luò)互連一個(gè)公司可以在因特網(wǎng)或者公用的廣域網(wǎng)上建立安全的虛擬私有網(wǎng)絡(luò)。這可以使企業(yè)主要依賴因特網(wǎng)而減少它構(gòu)造專用網(wǎng)絡(luò)的需求，節(jié)省了費(fèi)用和網(wǎng)絡(luò)管理有負(fù)擔(dān)。通過(guò)因特網(wǎng)實(shí)現(xiàn)兩個(gè)相互信任的內(nèi)部網(wǎng)絡(luò)安全連接，在這種情況下，即要防范外部對(duì)內(nèi)部網(wǎng)絡(luò)的攻擊，又要保護(hù)在因特網(wǎng)上傳輸數(shù)據(jù)的安全。例如，一個(gè)公司的兩個(gè)分公司之間通過(guò)因特網(wǎng)建立分支機(jī)構(gòu)的VPN，需要滿足公司對(duì)通信、安全和成本的需求。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)可以用以下兩種方式使用VPN來(lái)連接遠(yuǎn)程局域網(wǎng)絡(luò)：1)使用專線連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。不需要使用價(jià)格昂貴的長(zhǎng)距離專用電路，分支機(jī)構(gòu)和企業(yè)端路由器可以使用各自本地的專用線路通過(guò)本地的ISP連通因特網(wǎng)。VPN軟件使用與本地ISP建立的連接和因特網(wǎng)在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)虛擬專用網(wǎng)絡(luò)。第8講

虛擬專用網(wǎng)絡(luò)技術(shù)2)使用撥號(hào)線路連接分支機(jī)構(gòu)和企業(yè)局域網(wǎng)。不同于傳統(tǒng)的使用連接分支機(jī)構(gòu)路由器的專線撥打長(zhǎng)途或電話連接企業(yè)NAS(網(wǎng)絡(luò)接入服務(wù)器)的方式，分支機(jī)構(gòu)端的路由器可以通過(guò)撥號(hào)方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機(jī)構(gòu)和企業(yè)端路由器之間創(chuàng)建一個(gè)跨越因特網(wǎng)的虛擬專用網(wǎng)絡(luò)，如圖8.5所示。第8講

虛擬專用網(wǎng)絡(luò)技