第3講第三章P和L2TP協(xié)議

0安全協(xié)議與標(biāo)準(zhǔn)北京信息科技大學(xué)劉凱liukai@第三講1安全協(xié)議與標(biāo)準(zhǔn)

第三章PPTP和L2TP協(xié)議2上節(jié)課回顧TCP/IP協(xié)議簇的分層結(jié)構(gòu)

TCP/IP協(xié)議簇協(xié)議的安全隱患

TCP/IP的安全架構(gòu)3第三章PPTP和L2TP協(xié)議

3.1概述

3.2PPP協(xié)議

3.3PPTP協(xié)議

3.4L2TP協(xié)議

3.5PPTP協(xié)議和L2TP協(xié)議分析

43.1概述

PPTP和L2TP都屬于第二層的隧道協(xié)議.PPP協(xié)議是為同等單元之間設(shè)計(jì)的鏈路層協(xié)議.上述二個(gè)協(xié)議依靠PPP協(xié)議的各種特性鏈路層的隧道技術(shù)將第二層連接的端點(diǎn)與PPP會(huì)話(huà)的端點(diǎn)分離,通過(guò)公共網(wǎng)進(jìn)行互聯(lián).

為改變PPTP協(xié)議的兼容性問(wèn)題,Microsoft和Cisco提交了L2TP協(xié)議,作為IETF規(guī)范.該協(xié)議保證了L2F和PPTP中最出色的部分.

比起PPTP,L2TP突破了只能在IP網(wǎng)絡(luò)上傳輸?shù)木窒扌?并且提供了較為完善的身份認(rèn)證機(jī)制.53.2PPP協(xié)議

設(shè)計(jì)的目的是通過(guò)撥號(hào)或?qū)＞€(xiàn)方式建立點(diǎn)對(duì)點(diǎn)的連接.是建立各種簡(jiǎn)單連接的共同解決方案.

3.2.1PPP協(xié)議的基本原理

PPP協(xié)議的定義：PPP協(xié)議提供了一種標(biāo)準(zhǔn)的方式在點(diǎn)對(duì)點(diǎn)的鏈路上傳輸多種網(wǎng)絡(luò)層協(xié)議的數(shù)據(jù)報(bào)。如圖(書(shū)中p35),主機(jī)通過(guò)調(diào)制解調(diào)器接入Internet,在主機(jī)和ISP的路由器之間通過(guò)PPP協(xié)議建立連接.63.2PPP協(xié)議

73.2PPP協(xié)議

3.2.1PPP協(xié)議的基本原理

PPP協(xié)議的特點(diǎn):支持點(diǎn)到點(diǎn)的連接，不同于X.25、framerelay等數(shù)據(jù)鏈路層協(xié)議，具有CHAP、PAP驗(yàn)證協(xié)議，更好的保證了網(wǎng)絡(luò)的安全性。PPP的物理層既支持?jǐn)?shù)據(jù)為8位和無(wú)奇偶校驗(yàn)的異步模式，還支持面向比特位的同步鏈接，如framerelay必須為同步電路。PPP有針對(duì)不同網(wǎng)絡(luò)層的網(wǎng)絡(luò)控制協(xié)議，如IPCP,IPXCP。并且允許雙方協(xié)商是否對(duì)報(bào)文首部進(jìn)行壓縮。83.2PPP協(xié)議

3.2.1PPP協(xié)議的基本原理

PPP協(xié)議分3個(gè)組成部分:

一種將上層數(shù)據(jù)包封裝到串行鏈路的方法一個(gè)用來(lái)建立、配置和測(cè)試數(shù)據(jù)鏈路連接的鏈路控制協(xié)議（LCP）一套網(wǎng)絡(luò)控制協(xié)議（NCP）封裝格式如下圖：標(biāo)志1B1B2B缺省1500B0x7E0xFF0x031B2B1B0x7E1B=1Byte（字節(jié)）固定值93.2PPP協(xié)議3.2.1PPP協(xié)議的基本原理

PPP協(xié)議的狀態(tài)圖如下：鏈路不可用階段鏈路建立階段驗(yàn)證階段網(wǎng)絡(luò)層協(xié)議階段鏈路終止階段失敗LCP報(bào)文可選，由配置決定LCP報(bào)文通過(guò)關(guān)閉103.2PPP協(xié)議3.2.2PPP協(xié)議中的安全機(jī)制

PAP協(xié)議(二次握手)用戶(hù)名/密碼路由器A路由器B被驗(yàn)證方驗(yàn)證方接受/拒絕PPP封裝113.2PPP協(xié)議CHAP協(xié)議回應(yīng)接受/拒絕PPP封裝路由器A路由器B被驗(yàn)證方驗(yàn)證方挑戰(zhàn)123.2PPP協(xié)議

CHAP協(xié)議工作過(guò)程

CHAP對(duì)PAP進(jìn)行了改進(jìn),但依然存在一些風(fēng)險(xiǎn):

在服務(wù)器端,用戶(hù)口令是以明文形式存放的協(xié)議只支持認(rèn)證服務(wù)器對(duì)用戶(hù)的單向認(rèn)證為防止插入信道攻擊,服務(wù)器需要周期性地發(fā)送呼叫信息以重新認(rèn)證.周期過(guò)長(zhǎng),會(huì)為入侵者留下攻擊時(shí)間;周期過(guò)短,增加通信雙方的計(jì)算量133.2PPP協(xié)議

MPPE協(xié)議由微軟設(shè)計(jì).

規(guī)定了如何在數(shù)據(jù)鏈路層對(duì)通信進(jìn)行機(jī)密性保護(hù)的機(jī)制.

通過(guò)PPPCCP協(xié)商,實(shí)現(xiàn)MPPE加密.

協(xié)議沒(méi)有規(guī)定協(xié)商密鑰的方法,而是假定使用MPPE協(xié)議之前,雙方已經(jīng)共享了一個(gè)密鑰.143.3PPTP協(xié)議

3.3.1PPTP協(xié)議綜述

最初是由Microsoft設(shè)計(jì)、PPTP論壇開(kāi)發(fā)的點(diǎn)對(duì)點(diǎn)安全隧道協(xié)議可以建立PC到LAN的VPN連接相關(guān)術(shù)語(yǔ)解釋呼叫（CALL）控制連接（controlconnection)

網(wǎng)絡(luò)接入服務(wù)器（NAS）

PPTP接入控制器（PAC）

PPTP網(wǎng)絡(luò)服務(wù)器（PNS）會(huì)話(huà)（session)

隧道（tunnel)153.3PPTP協(xié)議

3.3.1PPTP協(xié)議綜述

協(xié)議的目標(biāo)只在PAC和PNS之間實(shí)現(xiàn)在IP網(wǎng)絡(luò)上也能給PPP會(huì)話(huà)提供隧道PAC和PNS之間可形成多對(duì)多的關(guān)系

PPTP使用改進(jìn)的通用路由封裝協(xié)議（GREv2）來(lái)傳輸用戶(hù)的PPP數(shù)據(jù)包。

163.3PPTP協(xié)議

3.3.1PPTP協(xié)議綜述

PPTP的應(yīng)用拓?fù)洌腥N模式?jīng)]有安裝PPTP協(xié)議的PPP客戶(hù)，首先連接提供PPTP支持的接入服務(wù)器同時(shí)裝有PPP和PPTP兩種適配器的客戶(hù)，可以通過(guò)撥號(hào)連接到ISP，再使用PPTP客戶(hù)端軟件與遠(yuǎn)端PPTP服務(wù)器實(shí)現(xiàn)通信一臺(tái)直接連入互聯(lián)網(wǎng)的PC機(jī)可以配置成PPTP客戶(hù)機(jī)，直接與服務(wù)器建立VPN隧道。173.3PPTP協(xié)議

183.3PPTP協(xié)議

PPTP協(xié)議兩大組成部分

控制連接在PAC和PNS建立隧道前，必須在它們之間建立一個(gè)控制連接。控制連接負(fù)責(zé)隧道傳輸?shù)臅?huì)話(huà)的建立、管理和釋放隧道隧道操作用來(lái)為用戶(hù)會(huì)話(huà)傳送由GRE封裝的PPP包。一條隧道中同時(shí)可以封裝多條用戶(hù)會(huì)話(huà)。193.3PPTP協(xié)議203.3PPTP協(xié)議PPTP協(xié)議工作流程

PPTP提供PPTP客戶(hù)機(jī)和PPTP服務(wù)器之間的加密通信撥號(hào)用戶(hù)建立PPTP會(huì)話(huà)的過(guò)程：撥號(hào)客戶(hù)端首先按常規(guī)方式撥號(hào)到ISP的接入服務(wù)器NAS，建立PPP連接客戶(hù)端進(jìn)行第二次撥號(hào)建立到PPTP服務(wù)器的連接

PPTP采用了基于RSA公司RC4的數(shù)據(jù)加密方法，保證了虛擬連接隧道的安全性。213.3PPTP協(xié)議3.3.3PPTP分組封裝

PPTP協(xié)議分組封裝的工作方式是在TCP/IP包中封裝原始包

IP分組或其它非IP分組被封裝入PPP分組之中當(dāng)PPP分組發(fā)送至PAC時(shí)，PPTP協(xié)議將其封裝入擴(kuò)展的GRE頭之中。封裝后的數(shù)據(jù)作為IP分組的數(shù)據(jù)部分發(fā)送采用GRE封裝，從層次上將數(shù)據(jù)鏈路層的PPP分組提升到傳輸層協(xié)議數(shù)據(jù)223.3PPTP協(xié)議233.4L2TP協(xié)議

3.4.1L2TP協(xié)議綜述之前有PPTP和L2F協(xié)議

1996年Mirrosoft和Cisco向IETFPPP擴(kuò)展工作組提交了PPTP和L2F的聯(lián)合版本，被命名第二層隧道協(xié)議（L2TP）

L2TP與PPTP很相似，一部分采用PPTP協(xié)議

L2TP實(shí)現(xiàn)了PPP幀在IP、X.25、幀中繼及ATM等多種網(wǎng)絡(luò)上的傳輸

L2TP提供了較為完善的身份認(rèn)證機(jī)制243.4L2TP協(xié)議

3.4.1L2TP協(xié)議綜述術(shù)語(yǔ)解釋呼叫(call)

控制連接(controlconnection)

會(huì)話(huà)(session)

隧道（tunnel)

網(wǎng)絡(luò)接入服務(wù)器（NAS）

L2TP接入控制器（LAC）

L2TP網(wǎng)絡(luò)服務(wù)器（LNS）253.4L2TP協(xié)議

3.4.1L2TP協(xié)議綜述

L2TP的兩種實(shí)現(xiàn)模式強(qiáng)制模式：在這種方式中，提供L2TP服務(wù)的網(wǎng)絡(luò)訪問(wèn)服務(wù)器作為L(zhǎng)AC。遠(yuǎn)程用戶(hù)只需向LAC撥號(hào)，建立PPP連接，然后由LAC建立一條通向目的LNS的隧道自愿模式：自愿模式是由LAC客戶(hù)自己建立、控制和管理VPN。

L2TP能夠支持多種網(wǎng)絡(luò)層協(xié)議如IP、IPX、Appleetalk等，支持任意的廣域網(wǎng)技術(shù)如幀中繼、ATM、X.25、SDH/SONET以及其它的以太網(wǎng)技術(shù)。263.4L2TP協(xié)議

3.4.2L2TP工作流程在強(qiáng)模式下建立L2TP會(huì)話(huà)的過(guò)程主要包括建立控制連接和建立會(huì)話(huà)。遠(yuǎn)程用戶(hù)向ISP發(fā)起PPP請(qǐng)求

ISP判斷對(duì)此用戶(hù)是否提供虛擬的撥號(hào)訪問(wèn)服務(wù)由LAC向LNS發(fā)起建立隧道的請(qǐng)求，并分配TunnelID

為用戶(hù)分配呼叫ID，之后，LAC向LNS發(fā)出入站呼叫請(qǐng)求

LNS為此呼叫產(chǎn)生一個(gè)虛擬接口進(jìn)行L2TP封裝用戶(hù)向LNS發(fā)送終止請(qǐng)求分組，斷開(kāi)鏈路273.4L2TP協(xié)議

3.4.3L2TP協(xié)議消息

L2TP使用兩種消息類(lèi)型；控制消息和數(shù)據(jù)消息控制消息用于建立、維護(hù)和清除隧道與呼叫數(shù)據(jù)消息用于封裝在隧道上傳輸?shù)腜PP幀控制消息使用L2TP的可靠信道傳輸，而數(shù)據(jù)消息使用不可靠信道進(jìn)行傳輸。

L2TP分組的封裝控制消息的類(lèi)型與格式屬性值對(duì)（AVP）283.4L2TP協(xié)議

3.4.4控制連接控制連接建立是一個(gè)三次握手的過(guò)程。LAC和LNS都可以作為控制連接建立的發(fā)起者。與PPTP建立控制連接時(shí)有所不同，在L2TP中，不需要建立TCP連接的過(guò)程。在IP網(wǎng)絡(luò)中，L2TP封裝分組是通過(guò)UDP報(bào)文方式進(jìn)行傳送的在控制連接的建立過(guò)程中，還可選擇性地進(jìn)行身份認(rèn)證。隧道的維護(hù)隧道的關(guān)閉293.4L2TP協(xié)議

3.4.5L2TP呼叫在控制連接建立后，就可進(jìn)行會(huì)話(huà)建立的協(xié)商、維護(hù)和管理了出站呼叫的建立：當(dāng)總部主機(jī)希望同遠(yuǎn)程用戶(hù)進(jìn)行通信時(shí)，LNS就要向用戶(hù)所在的LAC發(fā)起出站呼叫，此呼叫需要進(jìn)行三次握手入站呼叫的建立：遠(yuǎn)程用戶(hù)向總部發(fā)起訪問(wèn)時(shí)，就必須建立入站呼叫。該呼叫也是一個(gè)三次握手過(guò)程。會(huì)話(huà)的維護(hù)會(huì)話(huà)的關(guān)閉303.5PPTP協(xié)議和L2TP協(xié)議分析3.5.1PPTP協(xié)議分析安全風(fēng)險(xiǎn)如下：在PAC和PNS之間，沒(méi)有提供任何認(rèn)證機(jī)制對(duì)隧道上傳輸?shù)臄?shù)據(jù)沒(méi)有提供機(jī)密性的保護(hù)對(duì)隧道上的數(shù)據(jù)不提供完整性的保護(hù)可以通過(guò)PPP協(xié)議來(lái)提供補(bǔ)救措施，但控制消息與數(shù)據(jù)消息的機(jī)密性和完整性仍得不到有效的保護(hù)其安全性需要通過(guò)其它類(lèi)型的安全服務(wù)（如IPsec)來(lái)彌補(bǔ)。

PPTP協(xié)議控制消息采用了固化的消息格式，不利于協(xié)議擴(kuò)展

PPTP只適用于IP網(wǎng)絡(luò)，缺乏可移植性313.5PPTP協(xié)議和L2TP協(xié)議分析3.5.2L2TP協(xié)議分析與PPTP所做的改進(jìn)：在協(xié)議的適用性方面，實(shí)現(xiàn)了在IP或非IP網(wǎng)絡(luò)的公共網(wǎng)絡(luò)上傳輸PPP分組在消息構(gòu)造方面，L2TP協(xié)議利用AVP來(lái)構(gòu)造消息，更加靈活在安全性方面，L2TP協(xié)議可以通過(guò)AVP隱藏，使用戶(hù)可以在隧道中安全地傳輸一些敏感信息，如用戶(hù)的ID、口令等。L2TP還可以在控制連接的建立之時(shí)選擇性地進(jìn)行身份認(rèn)證認(rèn)證機(jī)制有限、不完善很大程度上要依賴(lài)PPP協(xié)議中提供的安全機(jī)制323.5PPTP協(xié)議和L2TP協(xié)議分析3.5.2L2TP協(xié)議分析

將IPSec與L2TP結(jié)合使用,既解決了IPSec只支持IP協(xié)議的問(wèn)題,又保證了多協(xié)議數(shù)據(jù)報(bào)在隧道中傳輸?shù)陌踩?33小結(jié)

什么是PPP