引言
虛擬專用網絡可以實現不同網絡的組件和資源之間的相互連接。虛擬專用網絡能夠利用Internet或其它公共互聯網絡的基礎設施為用戶創建隧道,并提供與專用網絡一樣的安全和功能保障。(圖1)
虛擬專用網絡允許遠程通訊方,銷售人員或企業分支機構使用Internet等公共互聯網絡的路由基礎設施以安全的方式與位于企業局域網端的企業服務器建立連接。虛擬專用網絡對用戶端透明,用戶好象使用一條專用線路在客戶計算機和企業服務器之間建立點對點連接,進行數據的傳輸。
虛擬專用網絡技術同樣支持企業通過Internet等公共互聯網絡與分支機構或其它公司建立連接,進行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網建立的連接。
雖然VPN通訊建立在公共互聯網絡的基礎上,但是用戶在使用VPN時感覺如同在使用專用網絡進行通訊,所以得名虛擬專用網絡。
使用VPN技術可以解決在當今遠程通訊量日益增大,企業全球運作廣泛分布的情況下,員工需要訪問中央資源,企業相互之間必須進行及時和有效的通訊的問題。
如果希望企業員工無論身處何地都能夠與企業計算資源建立連接,企業必須采用一個可靠性高、擴展性強的遠程訪問解決方案。一般的,企業有如下選擇:
1.管理信息系統(MIS)部門驅動方案。
建立一個內部的MIS部門專門負責購買,安裝和維護企業modem池和專用網絡基礎設施。
2.增值網絡(VAN)方案。
企業雇傭一個外部公司負責購買,安裝和維護modem池和遠程通訊網絡基礎設施。
從費用,可靠性,管理和便于連接等幾方面來看,這兩種方案都不能最大程度的滿足企業對網絡安全性或擴展性的要求。因此,選擇一種基于Internet技術的廉價方案取代企業花費在modem池和專用網絡基礎設施上的投資就顯得極為重要。
虛擬專用網絡技術同樣支持企業通過Internet等公共互聯網絡與分支機構或其它公司建立連接,進行安全的通訊。這種跨越Internet建立的VPN連接邏輯上等同于兩地之間使用廣域網建立的連接。
雖然VPN通訊建立在公共互聯網絡的基礎上,但是用戶在使用VPN時感覺如同在使用專用網絡進行通訊,所以得名虛擬專用網絡。
使用VPN技術可以解決在當今遠程通訊量日益增大,企業全球運作廣泛分布的情況下,員工需要訪問中央資源,企業相互之間必須進行及時和有效的通訊的問題。
如果希望企業員工無論身處何地都能夠與企業計算資源建立連接,企業必須采用一個可靠性高、擴展性強的遠程訪問解決方案。一般的,企業有如下選擇:
1.管理信息系統(MIS)部門驅動方案。
建立一個內部的MIS部門專門負責購買,安裝和維護企業modem池和專用網絡基礎設施。
2.增值網絡(VAN)方案。
企業雇傭一個外部公司負責購買,安裝和維護modem池和遠程通訊網絡基礎設施。
從費用,可靠性,管理和便于連接等幾方面來看,這兩種方案都不能最大程度的滿足企業對網絡安全性或擴展性的要求。因此,選擇一種基于Internet技術的廉價方案取代企業花費在modem池和專用網絡基礎設施上的投資就顯得極為重要。
虛擬專用網絡的基本用途
通過Internet實現遠程用戶訪問
虛擬專用網絡支持以安全的方式通過公共互聯網絡遠程訪問企業資源。
與使用專線撥打長途或(1-800)電話連接企業的網絡接入服務器(NAS)不同,虛擬專用網絡用戶首先撥通本地ISP的NAS,然后VPN軟件利用與本地ISP建立的連接在撥號用戶和企業VPN服務器之間創建一個跨越Internet? 它公共互聯網絡的虛擬專用網絡。
通過Internet實現遠程用戶訪問
虛擬專用網絡支持以安全的方式通過公共互聯網絡遠程訪問企業資源。
與使用專線撥打長途或(1-800)電話連接企業的網絡接入服務器(NAS)不同,虛擬專用網絡用戶首先撥通本地ISP的NAS,然后VPN軟件利用與本地ISP建立的連接在撥號用戶和企業VPN服務器之間創建一個跨越Internet? 它公共互聯網絡的虛擬專用網絡。
通過Internet實現網絡互連
可以采用以下兩種方式使用VPN連接遠程局域網絡。
1.使用專線連接分支機構和企業局域網。
不需要使用價格昂貴的長距離專用電路,分支機構和企業端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。VPN軟件使用與當本地ISP建立的連接和Internet網絡在分支機構和企業端路由器之間創建一個虛擬專用網絡。
2.使用撥號線路連接分支機構和企業局域網。
不同于傳統的使用連接分支機構路由器的專線撥打長途或(1-800)電話連接企業NAS的方式,分支機構端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機構和企業端路由器之間創建一個跨越Internet的虛擬專用網絡。
應當注意在以上兩種方式中,是通過使用本地設備在分支機構和企業部門與Internet之間建立連接。無論是在客戶端還是服務器端都是通過撥打本地接入電話建立連接,因此VPN可以大大節省連接的費用。建議作為VPN服務器的企業端路由器使用專線連接本地ISP。VPN服務器必須一天24小時對VPN數據流進行監聽。
可以采用以下兩種方式使用VPN連接遠程局域網絡。
1.使用專線連接分支機構和企業局域網。
不需要使用價格昂貴的長距離專用電路,分支機構和企業端路由器可以使用各自本地的專用線路通過本地的ISP連通Internet。VPN軟件使用與當本地ISP建立的連接和Internet網絡在分支機構和企業端路由器之間創建一個虛擬專用網絡。
2.使用撥號線路連接分支機構和企業局域網。
不同于傳統的使用連接分支機構路由器的專線撥打長途或(1-800)電話連接企業NAS的方式,分支機構端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接在分支機構和企業端路由器之間創建一個跨越Internet的虛擬專用網絡。
應當注意在以上兩種方式中,是通過使用本地設備在分支機構和企業部門與Internet之間建立連接。無論是在客戶端還是服務器端都是通過撥打本地接入電話建立連接,因此VPN可以大大節省連接的費用。建議作為VPN服務器的企業端路由器使用專線連接本地ISP。VPN服務器必須一天24小時對VPN數據流進行監聽。
連接企業內部網絡計算機
在企業的內部網絡中,考慮到一些部門可能存儲有重要數據,為確保數據的安全性,傳統的方式只能是把這些部門同整個企業網絡斷開形成孤立的小網絡。這樣做雖然保護了部門的重要信息,但是由于物理上的中斷,使其他部門的用戶無法,造成通訊上的困難。
采用VPN方案,通過使用一臺VPN服務器既能夠實現與整個企業網絡的連接,又可以保證保密數據的安全性。路由器雖然也能夠實現網絡之間的互聯,但是并不能對流向敏感網絡的數據進行限制。使用VPN服務器,但是企業網絡管理人員通過使用VPN服務器,指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問敏感信息的權利。此外,可以對所有VPN數據進行加密,從而確保數據的安全性。沒有訪問權利的用戶無法看到部門的局域網絡。
在企業的內部網絡中,考慮到一些部門可能存儲有重要數據,為確保數據的安全性,傳統的方式只能是把這些部門同整個企業網絡斷開形成孤立的小網絡。這樣做雖然保護了部門的重要信息,但是由于物理上的中斷,使其他部門的用戶無法,造成通訊上的困難。
采用VPN方案,通過使用一臺VPN服務器既能夠實現與整個企業網絡的連接,又可以保證保密數據的安全性。路由器雖然也能夠實現網絡之間的互聯,但是并不能對流向敏感網絡的數據進行限制。使用VPN服務器,但是企業網絡管理人員通過使用VPN服務器,指定只有符合特定身份要求的用戶才能連接VPN服務器獲得訪問敏感信息的權利。此外,可以對所有VPN數據進行加密,從而確保數據的安全性。沒有訪問權利的用戶無法看到部門的局域網絡。
VPN的基本要求
一般來說,企業在選用一種遠程網絡互聯方案時都希望能夠對訪問企業資源和信息的要求加以控制,所選用的方案應當既能夠實現授權用戶與企業局域網資源的自由連接,不同分支機構之間的資源共享;又能夠確保企業數據在公共互聯網絡或企業內部網絡上傳輸時安全性不受破壞.因此,最低限度,一個成功的VPN方案應當能夠滿足以下所有方面的要求:
1.用戶驗證
VPN方案必須能夠驗證用戶身份并嚴格控制只有授權用戶才能訪問VPN。另外,方案還必須能夠提供審計和記費功能,顯示何人在何時訪問了何種信息。
2.地址管理
VPN方案必須能夠為用戶分配專用網絡上的地址并確保地址的安全性。
3.數據加密
對通過公共互聯網絡傳遞的數據必須經過加密,確保網絡其他未授權的用戶無法讀取該信息。
4.密鑰管理
VPN方案必須能夠生成并更新客戶端和服務器的加密密鑰。
5.多協議支持
VPN方案必須支持公共互聯網絡上普遍使用的基本協議,包括IP,IPX等。以點對點隧道協議(PPTP)或第2層隧道協議(L2TP)為基礎的VPN方案既能夠滿足以上所有的基本要求,又能夠充分利用遍及世界各地的Internet互聯網絡的優勢。其它方案,包括安全IP協議(IPSec),雖然不能滿足上述全部要求,但是仍然適用于在特定的環境。本文以下部分將主要集中討論有關VPN的概念,協議,和部件(component)。
隧道技術基礎
隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據楨(此字不正確)或包。隧道協議將這些其它協議的數據楨或包重新封裝在新的包頭中發送。新的包頭提供了路由信息,從而使封裝的負載數據能夠通過互聯網絡傳遞。
被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點,數據將被解包并轉發到最終目的地。注意隧道技術是指包括數據封裝,傳輸和解包在內的全過程。
隧道所使用的傳輸網絡可以是任何類型的公共互聯網絡,本文主要以目前普遍使用Internet為例進行說明。此外,在企業網絡同樣可以創建隧道。隧道技術在經過一段時間的發展和完善之后,目前較為成熟的技術包括:
1.IP網絡上的SNA隧道技術
當系統網絡結構(SystemNetworkArchitecture)的數據流通過企業IP網絡傳送時,SNA數據楨將被封裝在UDP和IP協議包頭中。
2.IP網絡上的NovellNetWareIPX隧道技術
當一個IPX數據包被發送到NetWare服務器或IPX路由器時,服務器或路由器用UDP和IP包頭封裝IPX數據包后通過IP網絡發送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之后,把數據包轉發到IPX目的地。
近幾年不斷出現了一些新的隧道技術,本文將主要介紹這些新技術。具體包括:
1.點對點隧道協議(PPTP)
PPTP協議允許對IP,IPX或NetBEUI數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送。
2.第2層隧道協議(L2TP)
L2TP協議允許對IP,IPX或NetBEUI數據流進行加密,然后通過支持點對點數據報傳遞的任意網絡發送,如IP,X.25,楨中繼或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。
隧道技術是一種通過使用互聯網絡的基礎設施在網絡之間傳遞數據的方式。使用隧道傳遞的數據(或負載)可以是不同協議的數據楨(此字不正確)或包。隧道協議將這些其它協議的數據楨或包重新封裝在新的包頭中發送。新的包頭提供了路由信息,從而使封裝的負載數據能夠通過互聯網絡傳遞。
被封裝的數據包在隧道的兩個端點之間通過公共互聯網絡進行路由。被封裝的數據包在公共互聯網絡上傳遞時所經過的邏輯路徑稱為隧道。一旦到達網絡終點,數據將被解包并轉發到最終目的地。注意隧道技術是指包括數據封裝,傳輸和解包在內的全過程。
隧道所使用的傳輸網絡可以是任何類型的公共互聯網絡,本文主要以目前普遍使用Internet為例進行說明。此外,在企業網絡同樣可以創建隧道。隧道技術在經過一段時間的發展和完善之后,目前較為成熟的技術包括:
1.IP網絡上的SNA隧道技術
當系統網絡結構(SystemNetworkArchitecture)的數據流通過企業IP網絡傳送時,SNA數據楨將被封裝在UDP和IP協議包頭中。
2.IP網絡上的NovellNetWareIPX隧道技術
當一個IPX數據包被發送到NetWare服務器或IPX路由器時,服務器或路由器用UDP和IP包頭封裝IPX數據包后通過IP網絡發送。另一端的IP-TO-IPX路由器在去除UDP和IP包頭之后,把數據包轉發到IPX目的地。
近幾年不斷出現了一些新的隧道技術,本文將主要介紹這些新技術。具體包括:
1.點對點隧道協議(PPTP)
PPTP協議允許對IP,IPX或NetBEUI數據流進行加密,然后封裝在IP包頭中通過企業IP網絡或公共互聯網絡發送。
2.第2層隧道協議(L2TP)
L2TP協議允許對IP,IPX或NetBEUI數據流進行加密,然后通過支持點對點數據報傳遞的任意網絡發送,如IP,X.25,楨中繼或ATM。
3.安全IP(IPSec)隧道模式
IPSec隧道模式允許對IP負載數據進行加密,然后封裝在IP包頭中通過企業IP網絡或公共IP互聯網絡如Internet發送。
隧道協議
為創建隧道,隧道的客戶機和服務器雙方必須使用相同的隧道協議。
隧道技術可以分別以第2層或第3層隧道協議為基礎。上述分層按照開放系統互聯(OSI)的參考模型劃分。第2層隧道協議對應OSI模型中的數據鏈路層,使用楨作為數據交換單位。PPTP,L2TP和L2F(第2層轉 ┒際粲詰?層隧道協議,都是將數據封裝在點對點協議(PPP)楨中通過互聯網絡發送。第3層隧道協議對應OSI模型中的網絡層,使用包作為數據交換單位。IP overIP以及IPSec隧道模式都屬于第3層隧道協議,都是將IP包封裝在附加的IP包頭中通過IP網絡傳送。
為創建隧道,隧道的客戶機和服務器雙方必須使用相同的隧道協議。
隧道技術可以分別以第2層或第3層隧道協議為基礎。上述分層按照開放系統互聯(OSI)的參考模型劃分。第2層隧道協議對應OSI模型中的數據鏈路層,使用楨作為數據交換單位。PPTP,L2TP和L2F(第2層轉 ┒際粲詰?層隧道協議,都是將數據封裝在點對點協議(PPP)楨中通過互聯網絡發送。第3層隧道協議對應OSI模型中的網絡層,使用包作為數據交換單位。IP overIP以及IPSec隧道模式都屬于第3層隧道協議,都是將IP包封裝在附加的IP包頭中通過IP網絡傳送。
隧道技術如何實現
對于象PPTP和L2TP這樣的第2層隧道協議,創建隧道的過程類似于在雙方之間建立會話;隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量,如地址分配,加密或壓縮等參數。絕大多數情況下,通過隧道傳輸的數據都使用基于數據報的協議發送。隧道維護協議被用來作為管理隧道的機制。
第3層隧道技術通常假定所有配置問題已經通過手工過程完成。這些協議不對隧道進行維護。與第3層隧道協議不同,第2層隧道協議(PPTP和L2TP)必須包括對隧道的創建,維護和終止。
隧道一旦建立,數據就可以通過隧道發送。隧道客戶端和服務器使用隧道數據傳輸協議準備傳輸數據。例如,當隧道客戶端向服務器端發送數據時,客戶端首先給負載數據加上一個隧道數據傳送協議包頭,然后把封裝的數據通過互聯網絡發送,并由互聯網絡將數據路由到隧道的服務器端。隧道服務器端收到數據包之后,去除隧道數據傳輸協議包頭,然后將負載數據轉發到目標網絡。
對于象PPTP和L2TP這樣的第2層隧道協議,創建隧道的過程類似于在雙方之間建立會話;隧道的兩個端點必須同意創建隧道并協商隧道各種配置變量,如地址分配,加密或壓縮等參數。絕大多數情況下,通過隧道傳輸的數據都使用基于數據報的協議發送。隧道維護協議被用來作為管理隧道的機制。
第3層隧道技術通常假定所有配置問題已經通過手工過程完成。這些協議不對隧道進行維護。與第3層隧道協議不同,第2層隧道協議(PPTP和L2TP)必須包括對隧道的創建,維護和終止。
隧道一旦建立,數據就可以通過隧道發送。隧道客戶端和服務器使用隧道數據傳輸協議準備傳輸數據。例如,當隧道客戶端向服務器端發送數據時,客戶端首先給負載數據加上一個隧道數據傳送協議包頭,然后把封裝的數據通過互聯網絡發送,并由互聯網絡將數據路由到隧道的服務器端。隧道服務器端收到數據包之后,去除隧道數據傳輸協議包頭,然后將負載數據轉發到目標網絡。
隧道協議和基本隧道要求
因為第2層隧道協議(PPTP和L2TP)以完善的PPP協議為基礎,因此繼承了一整套的特性。
1.用戶驗證
第2層隧道協議繼承了PPP協議的用戶驗證方式。許多第3層隧道技術都假定在創建隧道之前,隧道的兩個端點相互之間已經了解或已經經過驗證。一個例外情況是IPSec協議的ISAKMP協商提供了隧道端點之間進行的相互驗證。
2.令牌卡(Tokencard)支持
通過使用擴展驗證協議(EAP),第2層隧道協議能夠支持多種驗證方法,包括一次性口令(one-timepassword),加密計算器(cryptographic calculator)和智能卡等。第3層隧道協議也支持使用類似的方法,例如,IPSec協議通過ISAKMP/Oakley協商確定公共密鑰證書驗證。
3.動態地址分配
第2層隧道協議支持在網絡控制協議(NCP)協商機制的基礎上動態分配客戶地址。第3層隧道協議通常假定隧道建立之前已經進行了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發之中。
4.數據壓縮
第2層隧道協議支持基于PPP的數據壓縮方式。例如,微軟的PPTP和L2TP方案使用微軟點對點加密協議(MPPE)。IETP正在開發應用于第3層隧道協議的類似數據壓縮機制。
5.數據加密
第2層隧道協議支持基于PPP的數據加密機制。微軟的PPTP方案支持在RSA/RC4算法的基礎上選擇使用MPPE。第3層隧道協議可以使用類似方法,例如,IPSec通過ISAKMP/Oakley協商確定幾種可選的數據加密方法。微軟的L2TP協議使用IPSec加密保障隧道客戶端和服務器之間數據流的安全。
6.密鑰管理
作為第2層協議的MPPE依靠驗證用戶時生成的密鑰,定期對其更新。IPSec在ISAKMP交換過程中公開協商公用密鑰,同樣對其進行定期更新。
7.多協議支持
第2層隧道協議支持多種負載數據協議,從而使隧道客戶能夠訪問使用IP,IPX,或NetBEUI等多種協議企業網絡。相反,第3層隧道協議,如IPSec隧道模式只能支持使用IP協議的目標網絡。
因為第2層隧道協議(PPTP和L2TP)以完善的PPP協議為基礎,因此繼承了一整套的特性。
1.用戶驗證
第2層隧道協議繼承了PPP協議的用戶驗證方式。許多第3層隧道技術都假定在創建隧道之前,隧道的兩個端點相互之間已經了解或已經經過驗證。一個例外情況是IPSec協議的ISAKMP協商提供了隧道端點之間進行的相互驗證。
2.令牌卡(Tokencard)支持
通過使用擴展驗證協議(EAP),第2層隧道協議能夠支持多種驗證方法,包括一次性口令(one-timepassword),加密計算器(cryptographic calculator)和智能卡等。第3層隧道協議也支持使用類似的方法,例如,IPSec協議通過ISAKMP/Oakley協商確定公共密鑰證書驗證。
3.動態地址分配
第2層隧道協議支持在網絡控制協議(NCP)協商機制的基礎上動態分配客戶地址。第3層隧道協議通常假定隧道建立之前已經進行了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發之中。
4.數據壓縮
第2層隧道協議支持基于PPP的數據壓縮方式。例如,微軟的PPTP和L2TP方案使用微軟點對點加密協議(MPPE)。IETP正在開發應用于第3層隧道協議的類似數據壓縮機制。
5.數據加密
第2層隧道協議支持基于PPP的數據加密機制。微軟的PPTP方案支持在RSA/RC4算法的基礎上選擇使用MPPE。第3層隧道協議可以使用類似方法,例如,IPSec通過ISAKMP/Oakley協商確定幾種可選的數據加密方法。微軟的L2TP協議使用IPSec加密保障隧道客戶端和服務器之間數據流的安全。
6.密鑰管理
作為第2層協議的MPPE依靠驗證用戶時生成的密鑰,定期對其更新。IPSec在ISAKMP交換過程中公開協商公用密鑰,同樣對其進行定期更新。
7.多協議支持
第2層隧道協議支持多種負載數據協議,從而使隧道客戶能夠訪問使用IP,IPX,或NetBEUI等多種協議企業網絡。相反,第3層隧道協議,如IPSec隧道模式只能支持使用IP協議的目標網絡。
點對點協議
因為第2層隧道協議在很大程度上依靠PPP協議的各種特性,因此有必要對PPP協議進行深入的探討。PPP協議主要是設計用來通過撥號或專線方式建立點對點連接發送數據。PPP協議將IP,IPX和NETBEUI包封裝在PP楨內通過點對點的鏈路發送。PPP協議主要應用于連接撥號用戶和NAS。 PPP撥號會話過程可以分成4個不同的階段。分別如下:
階段1:創建PPP鏈路
PPP使用鏈路控制協議(LCP)創建,維護或終止一次物理連接。在LCP階段的初期,將對基本的通訊方式進行選擇。應當注意在鏈路創建階段,只是對驗證協議進行選擇,用戶驗證將在第2階段實現。同樣,在LCP階段還將確定鏈路對等雙方是否要對使用數據壓縮或加密進行協商。實際對數據壓縮/加密算法和其它細節的選擇將在第4階段實現。
階段2:用戶驗證
在第2階段,客戶會PC將用戶的身份明發給遠端的接入服務器。該階段使用一種安全驗證方式避免第三方竊取數據或冒充遠程客戶接管與客戶端的連接。大多數的PPP方案只提供了有限的驗證方式,包括口令驗證協議(PAP),挑戰握手驗證協議(CHAP)和微軟挑戰握手驗證協議(MSCHAP)。
1.口令驗證協議(PAP)
PAP是一種簡單的明文驗證方式。NAS要求用戶提供用戶名和口令,PAP以明文方式返回用戶信息。很明顯,這種驗證方式的安全性較差,第三方可以很容易的獲取被傳送的用戶名和口令,并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP無法提供避免受到第三方攻擊的保障措施。
2.挑戰-握手驗證協議(CHAP)
CHAP是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發送一個挑戰口令(challenge),其中包括會話ID和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用MD5單向哈希算法(one-wayhashingalgorithm)返回用戶名和加密的挑戰口令,會話ID以及用戶口令,其中用戶名以非哈希方式發送。
CHAP對PAP進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希算法對口令進行加密。因為服務器端存有客戶的明文口令,所以服務器可以重復客戶端進行的操作,并將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊(replay attack).在整個連接過程中,CHAP將不定時的向客戶端重復發送挑戰口令,從而避免第3方冒充遠程客戶(remoteclient impersonation)進行攻擊。
3.微軟挑戰-握手驗證協議(MS-CHAP)
與CHAP相類似,MS-CHAP也是一種加密驗證機制。同CHAP一樣,使用MS-CHAP時,NAS會向遠程客戶發送一個含有會話ID和任意生成的挑戰字串的挑戰口令。遠程客戶必須返回用戶名以及經過MD4哈希算法加密的挑戰字串,會話ID和用戶口令的MD4哈希值。采用這種方式服務器端將只存儲經過哈希算法加密的用戶口令而不是明文口令,這樣就能夠提供進一步的安全保障。此外,MS-CHAP同樣支持附加的錯誤編碼,包括口令過期編碼以及允許用戶自己修改口令的加密的客戶-服務器(client-server)附加信息。使用MS-CHAP,客戶端和NAS雙方各自生成一個用于隨后數據加密的起始密鑰。MS-CHAP使用基于MPPE的數據加密,這一點非常重要,可以解釋為什么啟用基于MPPE的數據加密時必須進行MS-CHAP驗證。
在第2階段PPP鏈路配置階段,NAS收集驗證數據然后對照自己的數據庫或中央驗證數據庫服務器(位于NT主域控制器或遠程驗證用戶撥入服務器)驗證數據的有效性。
階段3:PPP回叫控制(callbackcontrol)
微軟設計的PPP包括一個可選的回叫控制階段。該階段在完成驗證之后使用回叫控制協議(CBCP)如果配置使用回叫,那么在驗證之后遠程客戶和NAS之間的連接將會被斷開。然后由NAS使用特定的電話號碼回叫遠程客戶。這樣可以進一步保證撥號網絡的安全性。NAS只支持對位于特定電話號碼處的遠程客戶進行回叫。
階段4:調用網絡層協議
因為第2層隧道協議在很大程度上依靠PPP協議的各種特性,因此有必要對PPP協議進行深入的探討。PPP協議主要是設計用來通過撥號或專線方式建立點對點連接發送數據。PPP協議將IP,IPX和NETBEUI包封裝在PP楨內通過點對點的鏈路發送。PPP協議主要應用于連接撥號用戶和NAS。 PPP撥號會話過程可以分成4個不同的階段。分別如下:
階段1:創建PPP鏈路
PPP使用鏈路控制協議(LCP)創建,維護或終止一次物理連接。在LCP階段的初期,將對基本的通訊方式進行選擇。應當注意在鏈路創建階段,只是對驗證協議進行選擇,用戶驗證將在第2階段實現。同樣,在LCP階段還將確定鏈路對等雙方是否要對使用數據壓縮或加密進行協商。實際對數據壓縮/加密算法和其它細節的選擇將在第4階段實現。
階段2:用戶驗證
在第2階段,客戶會PC將用戶的身份明發給遠端的接入服務器。該階段使用一種安全驗證方式避免第三方竊取數據或冒充遠程客戶接管與客戶端的連接。大多數的PPP方案只提供了有限的驗證方式,包括口令驗證協議(PAP),挑戰握手驗證協議(CHAP)和微軟挑戰握手驗證協議(MSCHAP)。
1.口令驗證協議(PAP)
PAP是一種簡單的明文驗證方式。NAS要求用戶提供用戶名和口令,PAP以明文方式返回用戶信息。很明顯,這種驗證方式的安全性較差,第三方可以很容易的獲取被傳送的用戶名和口令,并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以,一旦用戶密碼被第三方竊取,PAP無法提供避免受到第三方攻擊的保障措施。
2.挑戰-握手驗證協議(CHAP)
CHAP是一種加密的驗證方式,能夠避免建立連接時傳送用戶的真實密碼。NAS向遠程用戶發送一個挑戰口令(challenge),其中包括會話ID和一個任意生成的挑戰字串(arbitrary challengestring)。遠程客戶必須使用MD5單向哈希算法(one-wayhashingalgorithm)返回用戶名和加密的挑戰口令,會話ID以及用戶口令,其中用戶名以非哈希方式發送。
CHAP對PAP進行了改進,不再直接通過鏈路發送明文口令,而是使用挑戰口令以哈希算法對口令進行加密。因為服務器端存有客戶的明文口令,所以服務器可以重復客戶端進行的操作,并將結果與用戶返回的口令進行對照。CHAP為每一次驗證任意生成一個挑戰字串來防止受到再現攻擊(replay attack).在整個連接過程中,CHAP將不定時的向客戶端重復發送挑戰口令,從而避免第3方冒充遠程客戶(remoteclient impersonation)進行攻擊。
3.微軟挑戰-握手驗證協議(MS-CHAP)
與CHAP相類似,MS-CHAP也是一種加密驗證機制。同CHAP一樣,使用MS-CHAP時,NAS會向遠程客戶發送一個含有會話ID和任意生成的挑戰字串的挑戰口令。遠程客戶必須返回用戶名以及經過MD4哈希算法加密的挑戰字串,會話ID和用戶口令的MD4哈希值。采用這種方式服務器端將只存儲經過哈希算法加密的用戶口令而不是明文口令,這樣就能夠提供進一步的安全保障。此外,MS-CHAP同樣支持附加的錯誤編碼,包括口令過期編碼以及允許用戶自己修改口令的加密的客戶-服務器(client-server)附加信息。使用MS-CHAP,客戶端和NAS雙方各自生成一個用于隨后數據加密的起始密鑰。MS-CHAP使用基于MPPE的數據加密,這一點非常重要,可以解釋為什么啟用基于MPPE的數據加密時必須進行MS-CHAP驗證。
在第2階段PPP鏈路配置階段,NAS收集驗證數據然后對照自己的數據庫或中央驗證數據庫服務器(位于NT主域控制器或遠程驗證用戶撥入服務器)驗證數據的有效性。
階段3:PPP回叫控制(callbackcontrol)
微軟設計的PPP包括一個可選的回叫控制階段。該階段在完成驗證之后使用回叫控制協議(CBCP)如果配置使用回叫,那么在驗證之后遠程客戶和NAS之間的連接將會被斷開。然后由NAS使用特定的電話號碼回叫遠程客戶。這樣可以進一步保證撥號網絡的安全性。NAS只支持對位于特定電話號碼處的遠程客戶進行回叫。
階段4:調用網絡層協議
在以上各階段完成之后,PPP將調用在鏈路創建階段(階段1)選定的各種網絡控制協議(NCP).例如,在該階段IP控制協議(IPCP)可以向撥入用戶分配動態地址。在微軟的PPP方案中,考慮到數據壓縮和數據加密實現過程相同,所以共同使用壓縮控制協議協商數據壓縮(使用MPPC)和數據加密(使用MPPE)。
一旦完成上述4階段的協商,PPP就開始在連接對等雙方之間轉發數據。每個被傳送的數據報都被封裝在PPP包頭內,該包頭將會在到達接收方之后被去除。如果在階段1選擇使用數據壓縮并且在階段4完成了協商,數據將會在被傳送之間進行壓縮。類似的,如果如果已經選擇使用數據加密并完成了協商,數據(或被壓縮數據)將會在傳送之前進行加密。
點對點隧道協議(PPTP)
PPTP是一個第2層的協議,將PPP數據楨封裝在IP數據報內通過IP網絡,如Internet傳送。PPTP還可用于專用局域網絡之間的連接。RFC草案“點對點隧道協議”對PPTP協議進行了說明和介紹。該草案由PPTP論壇的成員公司,包括微軟,Ascend,3Com,和ECI等公司在1996年6月提交至IETF。可在如下站點http://www.ietf.org http://www.ietf.org參看草案的在線拷貝.PPTP使用一個TCP連接對隧道進行維護,使用通用路由封裝(GRE)技術把數據封裝成PPP數據楨通過隧道傳送。可以對封裝PPP楨中的負載數據進行加密或壓縮。圖7所示為如何在數據傳遞之前組裝一個PPTP數據包。
第2層轉發(L2F)
L2F是Cisco公司提出隧道技術,作為一種傳輸協議L2F支持撥號接入服務器將撥號數據流封裝在PPP楨內通過廣域網鏈路傳送到L2F服務器(路由器)。L2F服務器把數據包解包之重新注入(inject)網絡。與PPTP和L2TP不同,L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。(自愿和強制隧道的介紹參看“隧道類型”)。
第2層隧道協議(L2TP)
L2TP結合了PPTP和L2F協議。設計者希望L2TP能夠綜合PPTP和L2F的優勢。
L2TP是一種網絡層協議,支持封裝的PPP楨在IP,X.25,楨中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時,可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。草案RFC“第2層隧道協議”對L2TP進行了說明和介紹。該文檔于1998年1月被提交至IETF。可以在以下網站http://www.ietf.org http://www.ietf.org獲得草案拷貝。
IP網上的L2TP使用UDP和一系列的L2TP消息對隧道進行維護。L2TP同樣使用UDP將L2TP協議封裝的PPP楨通過隧道發送。可以對封裝PPP楨中的負載數據進行加密或壓縮。圖8所示為如何在傳輸之前組裝一個L2TP數據包。
PPTP與L2TP
PPTP和L2TP都使用PPP協議對數據進行封裝,然后添加附加包頭用于數據在互聯網絡上的傳輸。
1.PPTP要求互聯網絡為IP網絡。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP(使用UDP),楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網絡上使用。
2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP,用戶可以針對不同的服務質量創建不同的隧道。
3.L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(overhead)占用4個字節,而PPTP協議下要占用6個字節。
4.L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗證,不需要在第2層協議上驗證隧道。
1.只能支持IP數據流
2.工作在IP棧(IPstack)的底層,因此,應用程序和高層協議可以繼承IPSEC的行為。
3.由一個安全策略(一整套過濾機制)進行控制。安全策略按照優先級的先后順序創建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時,雙方機器執行相互驗證,然后協商使用何種加密方式。此后的所有數據流都將使用雙方協商的加密機制進行加密,然后封裝在隧道包頭內。
關于IPSEC的詳細介紹參看本文稍后的“高級安全”部分。
隧道類型
1.自愿隧道(Voluntarytunnel)
用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道。此時,用戶端計算機作為隧道客戶方成為隧道的一個端點。
2.強制隧道(Compulsorytunnel)
由支持VPN的撥號接入服務器配置和創建一條強制隧道。此時,用戶端的計算機不作為隧道端點,而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端,成為隧道的一個端點。
目前,自愿隧道是最普遍使用的隧道類型。以下,將對上述兩種隧道類型進行詳細介紹。
·自愿隧道
當一臺工作站或路由器使用隧道客戶軟件創建到目標隧道服務器的虛擬連接時建立自愿隧道。為實現這一目的,客戶端計算機必須安裝適當的隧道協議。自愿隧道需要有一條IP連接(通過局域網或撥號線路)。使用撥號方式時,客戶端必須在建立隧道之前創建與公共互聯網絡的撥號連接。一個最典型的例子是Internet撥號用戶必須在創建Internet隧道之前撥通本地ISP取得與Internet的連接。
對企業內部網絡來說,客戶機已經具有同企業網絡的連接,由企業網絡為封裝負載數據提供到目標隧道服務器路由。
大多數人誤認為VPN只能使用撥號連接。其實,VPN只要求支持IP的互聯網絡。一些客戶機(如家用PC)可以通過使用撥號方式連接Internet建立IP傳輸。這只是為創建隧道所做的初步準備,并不屬于隧道協議。
·強制隧道
目前,一些商家提供能夠代替撥號客戶創建隧道的撥號接入服務器。這些能夠為客戶端計算機提供隧道的計算機或網絡設備包括支持PPTP協議的前端處理器(FEP),支持L2TP協議的L2TP接入集線器(LAC)或支持IPSec的安全IP網關。本文將主要以FEP為例進行說明。為正常的發揮功能,FEP必須安裝適當的隧道協議,同時必須能夠當客戶計算機建立起連接時創建隧道。
以Internet為例,客戶機向位于本地ISP的能夠提供隧道技術的NAS發出撥號呼叫。例如,企業可以與某個ISP簽定協議,由ISP為企業在全國范圍內設置一套FEP。這些FEP可以通過Internet互聯網絡創建一條到隧道服務器的隧道,隧道服務器與企業的專用網絡相連。這樣,就可以將不同地方合并成企業網絡端的一條單一的Internet連接。
因為客戶只能使用由FEP創建的隧道,所以稱為強制隧道。一旦最初的連接成功,所有客戶端的數據流將自動的通過隧道發送。使用強制隧道,客戶端計算機建立單一的PPP連接,當客戶撥入NAS時,一條隧道將被創建,所有的數據流自動通過該隧道路由。可以配置FEP為所有的撥號客戶創建到指定隧道服務器的隧道,也可以配置FEP基于不同的用戶名或目的地創建不同的隧道。
自愿隧道技術為每個客戶創建獨立的隧道。FEP和隧道服務器之間建立的隧道可以被多個撥號客戶共享,而不必為每個客戶建立一條新的隧道。因此,一條隧道中可能會傳遞多個客戶的數據信息,只有在最后一個隧道用戶斷開連接之后才終止整條隧道。
高級安全功能
雖然Internet為創建VPN提供了極大的方便,但是需要建立強大的安全功能以確保企業內部網絡不受到外來攻擊,確保通過公共網絡傳送的企業數據的安全。
對稱加密與非對稱加密(專用密鑰與公用密鑰)
對稱加密,或專用密鑰(也稱做常規加密)由通信雙方共享一個秘密密鑰。發送方在進行數學運算時使用密鑰將明文加密成密文。接受方使用相同的密鑰將密文還原成明文。RSA RC4算法,數據加密標準(DES),國際數據加密算法(IDEA)以及Skipjack加密技術都屬于對稱加密方式。
點對點隧道協議(PPTP)
PPTP是一個第2層的協議,將PPP數據楨封裝在IP數據報內通過IP網絡,如Internet傳送。PPTP還可用于專用局域網絡之間的連接。RFC草案“點對點隧道協議”對PPTP協議進行了說明和介紹。該草案由PPTP論壇的成員公司,包括微軟,Ascend,3Com,和ECI等公司在1996年6月提交至IETF。可在如下站點http://www.ietf.org http://www.ietf.org參看草案的在線拷貝.PPTP使用一個TCP連接對隧道進行維護,使用通用路由封裝(GRE)技術把數據封裝成PPP數據楨通過隧道傳送。可以對封裝PPP楨中的負載數據進行加密或壓縮。圖7所示為如何在數據傳遞之前組裝一個PPTP數據包。
第2層轉發(L2F)
L2F是Cisco公司提出隧道技術,作為一種傳輸協議L2F支持撥號接入服務器將撥號數據流封裝在PPP楨內通過廣域網鏈路傳送到L2F服務器(路由器)。L2F服務器把數據包解包之重新注入(inject)網絡。與PPTP和L2TP不同,L2F沒有確定的客戶方。應當注意L2F只在強制隧道中有效。(自愿和強制隧道的介紹參看“隧道類型”)。
第2層隧道協議(L2TP)
L2TP結合了PPTP和L2F協議。設計者希望L2TP能夠綜合PPTP和L2F的優勢。
L2TP是一種網絡層協議,支持封裝的PPP楨在IP,X.25,楨中繼或ATM等的網絡上進行傳送。當使用IP作為L2TP的數據報傳輸協議時,可以使用L2TP作為Internet網絡上的隧道協議。L2TP還可以直接在各種WAN媒介上使用而不需要使用IP傳輸層。草案RFC“第2層隧道協議”對L2TP進行了說明和介紹。該文檔于1998年1月被提交至IETF。可以在以下網站http://www.ietf.org http://www.ietf.org獲得草案拷貝。
IP網上的L2TP使用UDP和一系列的L2TP消息對隧道進行維護。L2TP同樣使用UDP將L2TP協議封裝的PPP楨通過隧道發送。可以對封裝PPP楨中的負載數據進行加密或壓縮。圖8所示為如何在傳輸之前組裝一個L2TP數據包。
PPTP與L2TP
PPTP和L2TP都使用PPP協議對數據進行封裝,然后添加附加包頭用于數據在互聯網絡上的傳輸。
1.PPTP要求互聯網絡為IP網絡。L2TP只要求隧道媒介提供面向數據包的點對點的連接。L2TP可以在IP(使用UDP),楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網絡上使用。
2.PPTP只能在兩端點間建立單一隧道。L2TP支持在兩端點間使用多隧道。使用L2TP,用戶可以針對不同的服務質量創建不同的隧道。
3.L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(overhead)占用4個字節,而PPTP協議下要占用6個字節。
4.L2TP可以提供隧道驗證,而PPTP則不支持隧道驗證。但是當L2TP或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗證,不需要在第2層協議上驗證隧道。
IPSec隧道模式
IPSEC是第3層的協議標準,支持IP網絡上數據的安全傳輸。本文將在“高級安全”一部分中對IPSEC進行詳細的總體介紹,此處僅結合隧道協議討論IPSEC協議的一個方面。除了對IP數據流的加密機制進行了規定之外,IPSEC還制定了IPoverIP隧道模式的數據包格式,一般被稱作IPSEC隧道模式。一個IPSEC隧道由一個隧道客戶和隧道服務器組成,兩端都配置使用IPSEC隧道技術,采用協商加密機制。
為實現在專用或公共IP網絡上的安全傳輸,IPSEC隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內通過網絡發送到隧道服務器端。隧道服務器對收到的數據報進行處理,在去除明文IP包頭,對內容進行解密之后,獲的最初的負載IP包。負載IP包在經過正常處理之后被路由到位于目標網絡的目的地。
IPSEC隧道模式具有以下功能和局限:
IPSEC是第3層的協議標準,支持IP網絡上數據的安全傳輸。本文將在“高級安全”一部分中對IPSEC進行詳細的總體介紹,此處僅結合隧道協議討論IPSEC協議的一個方面。除了對IP數據流的加密機制進行了規定之外,IPSEC還制定了IPoverIP隧道模式的數據包格式,一般被稱作IPSEC隧道模式。一個IPSEC隧道由一個隧道客戶和隧道服務器組成,兩端都配置使用IPSEC隧道技術,采用協商加密機制。
為實現在專用或公共IP網絡上的安全傳輸,IPSEC隧道模式使用的安全方式封裝和加密整個IP包。然后對加密的負載再次封裝在明文IP包頭內通過網絡發送到隧道服務器端。隧道服務器對收到的數據報進行處理,在去除明文IP包頭,對內容進行解密之后,獲的最初的負載IP包。負載IP包在經過正常處理之后被路由到位于目標網絡的目的地。
1.只能支持IP數據流
2.工作在IP棧(IPstack)的底層,因此,應用程序和高層協議可以繼承IPSEC的行為。
3.由一個安全策略(一整套過濾機制)進行控制。安全策略按照優先級的先后順序創建可供使用的加密和隧道機制以及驗證方式。當需要建立通訊時,雙方機器執行相互驗證,然后協商使用何種加密方式。此后的所有數據流都將使用雙方協商的加密機制進行加密,然后封裝在隧道包頭內。
關于IPSEC的詳細介紹參看本文稍后的“高級安全”部分。
隧道類型
1.自愿隧道(Voluntarytunnel)
用戶或客戶端計算機可以通過發送VPN請求配置和創建一條自愿隧道。此時,用戶端計算機作為隧道客戶方成為隧道的一個端點。
2.強制隧道(Compulsorytunnel)
由支持VPN的撥號接入服務器配置和創建一條強制隧道。此時,用戶端的計算機不作為隧道端點,而是由位于客戶計算機和隧道服務器之間的遠程接入服務器作為隧道客戶端,成為隧道的一個端點。
目前,自愿隧道是最普遍使用的隧道類型。以下,將對上述兩種隧道類型進行詳細介紹。
·自愿隧道
當一臺工作站或路由器使用隧道客戶軟件創建到目標隧道服務器的虛擬連接時建立自愿隧道。為實現這一目的,客戶端計算機必須安裝適當的隧道協議。自愿隧道需要有一條IP連接(通過局域網或撥號線路)。使用撥號方式時,客戶端必須在建立隧道之前創建與公共互聯網絡的撥號連接。一個最典型的例子是Internet撥號用戶必須在創建Internet隧道之前撥通本地ISP取得與Internet的連接。
對企業內部網絡來說,客戶機已經具有同企業網絡的連接,由企業網絡為封裝負載數據提供到目標隧道服務器路由。
大多數人誤認為VPN只能使用撥號連接。其實,VPN只要求支持IP的互聯網絡。一些客戶機(如家用PC)可以通過使用撥號方式連接Internet建立IP傳輸。這只是為創建隧道所做的初步準備,并不屬于隧道協議。
·強制隧道
目前,一些商家提供能夠代替撥號客戶創建隧道的撥號接入服務器。這些能夠為客戶端計算機提供隧道的計算機或網絡設備包括支持PPTP協議的前端處理器(FEP),支持L2TP協議的L2TP接入集線器(LAC)或支持IPSec的安全IP網關。本文將主要以FEP為例進行說明。為正常的發揮功能,FEP必須安裝適當的隧道協議,同時必須能夠當客戶計算機建立起連接時創建隧道。
以Internet為例,客戶機向位于本地ISP的能夠提供隧道技術的NAS發出撥號呼叫。例如,企業可以與某個ISP簽定協議,由ISP為企業在全國范圍內設置一套FEP。這些FEP可以通過Internet互聯網絡創建一條到隧道服務器的隧道,隧道服務器與企業的專用網絡相連。這樣,就可以將不同地方合并成企業網絡端的一條單一的Internet連接。
因為客戶只能使用由FEP創建的隧道,所以稱為強制隧道。一旦最初的連接成功,所有客戶端的數據流將自動的通過隧道發送。使用強制隧道,客戶端計算機建立單一的PPP連接,當客戶撥入NAS時,一條隧道將被創建,所有的數據流自動通過該隧道路由。可以配置FEP為所有的撥號客戶創建到指定隧道服務器的隧道,也可以配置FEP基于不同的用戶名或目的地創建不同的隧道。
自愿隧道技術為每個客戶創建獨立的隧道。FEP和隧道服務器之間建立的隧道可以被多個撥號客戶共享,而不必為每個客戶建立一條新的隧道。因此,一條隧道中可能會傳遞多個客戶的數據信息,只有在最后一個隧道用戶斷開連接之后才終止整條隧道。
高級安全功能
雖然Internet為創建VPN提供了極大的方便,但是需要建立強大的安全功能以確保企業內部網絡不受到外來攻擊,確保通過公共網絡傳送的企業數據的安全。
對稱加密與非對稱加密(專用密鑰與公用密鑰)
對稱加密,或專用密鑰(也稱做常規加密)由通信雙方共享一個秘密密鑰。發送方在進行數學運算時使用密鑰將明文加密成密文。接受方使用相同的密鑰將密文還原成明文。RSA RC4算法,數據加密標準(DES),國際數據加密算法(IDEA)以及Skipjack加密技術都屬于對稱加密方式。
非對稱加密,或公用密鑰,通訊各方使用兩個不同的密鑰,一個是只有發送方知道的專用密鑰,另一個則是對應的公用密鑰,任何人都可以獲得公用密鑰。專用密鑰和公用密鑰在加密算法上相互關聯,一個用于數據加密,另一個用于數據解密。
公用密鑰加密技術允許對信息進行數字簽名。數字簽名使用發送發送一方的專用密鑰對所發送信息的某一部分進行加密。接受方收到該信息后,使用發送方的公用密鑰解密數字簽名,驗證發送方身份。
證書
使用對稱加密時,發送和接收方都使用共享的加密密鑰。必須在進行加密通訊之前,完成密鑰的分布。使用非對稱加密時,發送方使用一個專用密鑰加密信息或數字簽名,接收方使用公用密鑰解密信息。公用密鑰可以自由分布給任何需要接收加密信息或數字簽名信息的一方,發送方只要保證專用密鑰的安全性即可。
為保證公用密鑰的完整性,公用密鑰隨證書一同發布。證書(或公用密鑰證書)是一種經過證書簽發機構(CA)數字簽名的數據結構。CA使用自己的專用密鑰對證書進行數字簽名。如果接受方知道CA的公用密鑰,就可以證明證書是由CA簽發,因此包含可靠的信息和有效的公用密鑰。
總之,公用密鑰證書為驗證發送方的身份提供了一種方便,可靠的方法。IPSec可以選擇使用該方式進行端到端的驗證。RAS可以使用公用密鑰證書驗證用戶身份。
使用對稱加密時,發送和接收方都使用共享的加密密鑰。必須在進行加密通訊之前,完成密鑰的分布。使用非對稱加密時,發送方使用一個專用密鑰加密信息或數字簽名,接收方使用公用密鑰解密信息。公用密鑰可以自由分布給任何需要接收加密信息或數字簽名信息的一方,發送方只要保證專用密鑰的安全性即可。
為保證公用密鑰的完整性,公用密鑰隨證書一同發布。證書(或公用密鑰證書)是一種經過證書簽發機構(CA)數字簽名的數據結構。CA使用自己的專用密鑰對證書進行數字簽名。如果接受方知道CA的公用密鑰,就可以證明證書是由CA簽發,因此包含可靠的信息和有效的公用密鑰。
總之,公用密鑰證書為驗證發送方的身份提供了一種方便,可靠的方法。IPSec可以選擇使用該方式進行端到端的驗證。RAS可以使用公用密鑰證書驗證用戶身份。
擴展驗證協議(EAP)
如前文所述,PPP只能提供有限的驗證方式。EAP是由IETF提出的PPP協議的擴展,允許連接使用任意方式對一條PPP連接的有效性進行驗證。EAP支持在一條連接的客戶和服務器兩端動態加入驗證插件模塊。
如前文所述,PPP只能提供有限的驗證方式。EAP是由IETF提出的PPP協議的擴展,允許連接使用任意方式對一條PPP連接的有效性進行驗證。EAP支持在一條連接的客戶和服務器兩端動態加入驗證插件模塊。
交易層安全協議(EAP-TLS)
EAP-TLS已經作為提議草案提交給IETF,用于建立基于公用密鑰證書的強大的驗證方式。使用EAP-TLS,客戶向撥入服務器發送一份用戶方證書,同時,服務器把服務器證書發送給客戶。用戶證書向服務器提供了強大的用戶識別信息;服務器證書保證用戶已經連接到預期的服務器。
用戶方證書可以被存放在撥號客戶PC中,或存放在外部智能卡。無論那種方式,如果用戶不能提供沒有一定形式的用戶識別信息(PIN號或用戶名和口令),就無法訪問證書。
EAP-TLS已經作為提議草案提交給IETF,用于建立基于公用密鑰證書的強大的驗證方式。使用EAP-TLS,客戶向撥入服務器發送一份用戶方證書,同時,服務器把服務器證書發送給客戶。用戶證書向服務器提供了強大的用戶識別信息;服務器證書保證用戶已經連接到預期的服務器。
用戶方證書可以被存放在撥號客戶PC中,或存放在外部智能卡。無論那種方式,如果用戶不能提供沒有一定形式的用戶識別信息(PIN號或用戶名和口令),就無法訪問證書。
IPSEC
IPSEC是一種由IETF設計的端到端的確保基于IP通訊的數據安全性的機制。IPSEC支持對數據加密,同時確保數據的完整性。按照IETF的規定,不采用數據加密時,IPSEC使用驗證包頭(AH)提供驗證來源驗證(source authentication),確保數據的完整性;IPSEC使用封裝安全負載(ESP)與加密一道提供來源驗證,確保數據完整性。IPSEC協議下,只有發送方和接受方知道秘密密鑰。如果驗證數據有效,接受方就可以知道數據來自發送方,并且在傳輸過程中沒有受到破壞。
可以把IPSEC想象成是位于TCP/IP協議棧的下層協議。該層由每臺機器上的安全策略和發送、接受方協商的安全關聯(security association)進行控制。安全策略由一套過濾機制和關聯的安全行為組成。如果一個數據包的IP地址,協議,和端口號滿足一個過濾機制,那么這個數據包將要遵守關聯的安全行為。
IPSEC是一種由IETF設計的端到端的確保基于IP通訊的數據安全性的機制。IPSEC支持對數據加密,同時確保數據的完整性。按照IETF的規定,不采用數據加密時,IPSEC使用驗證包頭(AH)提供驗證來源驗證(source authentication),確保數據的完整性;IPSEC使用封裝安全負載(ESP)與加密一道提供來源驗證,確保數據完整性。IPSEC協議下,只有發送方和接受方知道秘密密鑰。如果驗證數據有效,接受方就可以知道數據來自發送方,并且在傳輸過程中沒有受到破壞。
可以把IPSEC想象成是位于TCP/IP協議棧的下層協議。該層由每臺機器上的安全策略和發送、接受方協商的安全關聯(security association)進行控制。安全策略由一套過濾機制和關聯的安全行為組成。如果一個數據包的IP地址,協議,和端口號滿足一個過濾機制,那么這個數據包將要遵守關聯的安全行為。
協商安全關聯(NegotiatedSecurityAssociation)
上述第一個滿足過濾機制的數據包將會引發發送和接收方對安全關聯進行協商。ISAKMP/OAKLEY是這種協商采用的標準協議。在一個ISAKMP/OAKLEY交換過程中,兩臺機器對驗證和數據安全方式達成一致,進行相互驗證,然后生成一個用于隨后的數據加密的個共享密鑰。
上述第一個滿足過濾機制的數據包將會引發發送和接收方對安全關聯進行協商。ISAKMP/OAKLEY是這種協商采用的標準協議。在一個ISAKMP/OAKLEY交換過程中,兩臺機器對驗證和數據安全方式達成一致,進行相互驗證,然后生成一個用于隨后的數據加密的個共享密鑰。
驗證包頭
通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數據的完整性和數據驗證。驗證包頭包括驗證數據和一個序列號,共同用來驗證發送方身份,確保數據在傳輸過程中沒有被改動,防止受到第三方的攻擊。IPSEC驗證包頭不提供數據加密;信息將以明文方式發送。
通過一個位于IP包頭和傳輸包頭之間的驗證包頭可以提供IP負載數據的完整性和數據驗證。驗證包頭包括驗證數據和一個序列號,共同用來驗證發送方身份,確保數據在傳輸過程中沒有被改動,防止受到第三方的攻擊。IPSEC驗證包頭不提供數據加密;信息將以明文方式發送。
封裝安全包頭
為了保證數據的保密性并防止數據被第3方竊取,封裝安全負載(ESP)提供了一種對IP負載進行加密的機制。另外,ESP還可以提供數據驗證和數據完整性服務;因此在IPSEC包中可以用ESP包頭替代AH包頭。
為了保證數據的保密性并防止數據被第3方竊取,封裝安全負載(ESP)提供了一種對IP負載進行加密的機制。另外,ESP還可以提供數據驗證和數據完整性服務;因此在IPSEC包中可以用ESP包頭替代AH包頭。
用戶管理
在選擇VPN技術時,一定要考慮到管理上的要求。一些大型網絡都需要把每個用戶的目錄信息存放在一臺中央數據存儲設備中(目錄服務)便于管理人員和應用程序對信息進行添加,修改和查詢。每一臺接入或隧道服務器都應當能夠維護自己的內部數據庫,存儲每一名用戶的信息,包括用戶名,口令,以及撥號接入的屬性等。但是,這種由多臺服務器維護多個用戶帳號的作法難以實現及時的更新,給管理帶來很大的困難。因此,大多數的管理人員采用在目錄服務器,主域控制器或RADIUS服務器上建立一個主帳號數據庫的方法,進行有效管理。
在選擇VPN技術時,一定要考慮到管理上的要求。一些大型網絡都需要把每個用戶的目錄信息存放在一臺中央數據存儲設備中(目錄服務)便于管理人員和應用程序對信息進行添加,修改和查詢。每一臺接入或隧道服務器都應當能夠維護自己的內部數據庫,存儲每一名用戶的信息,包括用戶名,口令,以及撥號接入的屬性等。但是,這種由多臺服務器維護多個用戶帳號的作法難以實現及時的更新,給管理帶來很大的困難。因此,大多數的管理人員采用在目錄服務器,主域控制器或RADIUS服務器上建立一個主帳號數據庫的方法,進行有效管理。
RAS支持
微軟的遠程接入服務器(RAS)使用域控制器或RADIUS服務器存儲每名用戶的信息。因為管理員可以在單獨的數據庫中管理用戶信息中的撥號許可信息,所以使用一臺域控制器能夠簡化系統管理。
微軟的RAS最初被用作撥號用戶的接入服務器。現在,RAS可以作為PPTP和L2TP協議的隧道服務器(NT5將支持L2TP)。這些第2層的VPN方案繼承了已有的撥號網絡全部的管理基礎。
微軟的遠程接入服務器(RAS)使用域控制器或RADIUS服務器存儲每名用戶的信息。因為管理員可以在單獨的數據庫中管理用戶信息中的撥號許可信息,所以使用一臺域控制器能夠簡化系統管理。
微軟的RAS最初被用作撥號用戶的接入服務器。現在,RAS可以作為PPTP和L2TP協議的隧道服務器(NT5將支持L2TP)。這些第2層的VPN方案繼承了已有的撥號網絡全部的管理基礎。
擴展性
通過使用循環DNS在同屬一個安全地帶(securityperimeter)的VPN隧道服務器之間進行請求分配,可以實現容余和負荷平衡。一個安全地帶只具有一個對外域名,但擁有多個IP地址,負荷可以在所有的IP地址之間進行任意的分配。所有的服務器可以使用一個共享數據庫,如NT域控制器驗證訪問請求。
通過使用循環DNS在同屬一個安全地帶(securityperimeter)的VPN隧道服務器之間進行請求分配,可以實現容余和負荷平衡。一個安全地帶只具有一個對外域名,但擁有多個IP地址,負荷可以在所有的IP地址之間進行任意的分配。所有的服務器可以使用一個共享數據庫,如NT域控制器驗證訪問請求。
RADIUS
遠程驗證用戶撥入服務(RADIUS)協議是管理遠程用戶驗證和授權的常用方法。RADIUS是一種基于UDP協議的超輕便(lightweight)協議。RADIUS服務器可以被放置在Internet網絡的任何地方為客戶NAS提供驗證(包括PPP PAP,CHAP,MSCHAP和EAP)。另外,RADIUS服務器可以提供代理服務將驗證請求轉發到遠端的RADIUS服務器。例如,ISP之間相互合作,通過使用RADIUS代理服務實現漫游用戶在世界各地使用本地ISP提供的撥號服務連接Internet和VPN。如果ISP發現用戶名不是本地注冊用戶,就會使用RADIUS代理將接入請求轉發給用戶的注冊網絡。這樣企業在掌握授權權利的前提下,有效的使用ISP的網絡基礎設施,使企業的網絡費用開支實現最小化。
遠程驗證用戶撥入服務(RADIUS)協議是管理遠程用戶驗證和授權的常用方法。RADIUS是一種基于UDP協議的超輕便(lightweight)協議。RADIUS服務器可以被放置在Internet網絡的任何地方為客戶NAS提供驗證(包括PPP PAP,CHAP,MSCHAP和EAP)。另外,RADIUS服務器可以提供代理服務將驗證請求轉發到遠端的RADIUS服務器。例如,ISP之間相互合作,通過使用RADIUS代理服務實現漫游用戶在世界各地使用本地ISP提供的撥號服務連接Internet和VPN。如果ISP發現用戶名不是本地注冊用戶,就會使用RADIUS代理將接入請求轉發給用戶的注冊網絡。這樣企業在掌握授權權利的前提下,有效的使用ISP的網絡基礎設施,使企業的網絡費用開支實現最小化。
記費,審計和報警
為有效的管理VPN系統,網絡管理人員應當能夠隨時跟蹤和掌握以下情況:系統的使用者,連接數目,異常活動,出錯情況,以及其它可能預示出現設備故障或網絡受到攻擊的現象。日志記錄和實時信息對記費,審計和報警或其它錯誤提示具有很大幫助。例如,網絡管理人員為了編制帳單數據需要知道何人在使用系統以及使用了多長時間。異常活動可能預示著存在對系統的不正確使用或系統資源出現不足。對設備進行實時的監測可以在系統出現問題時及時向管理員發出警告。一臺隧道服務器應當能夠提供以上所有信息以及對數據進行正確處理所需要的事件日志,報告和數據存儲設備。
NT4.0在RAS中提供了對記費,審計和報警的支持。RADIUS協議對呼叫-記費請求(call-accountingrequest)進行了規定。當RAS向RADIUS發送呼叫-記費請求后由后者建立記費記錄分別記錄呼叫開始,結束以及預定中斷的情況。
為有效的管理VPN系統,網絡管理人員應當能夠隨時跟蹤和掌握以下情況:系統的使用者,連接數目,異常活動,出錯情況,以及其它可能預示出現設備故障或網絡受到攻擊的現象。日志記錄和實時信息對記費,審計和報警或其它錯誤提示具有很大幫助。例如,網絡管理人員為了編制帳單數據需要知道何人在使用系統以及使用了多長時間。異常活動可能預示著存在對系統的不正確使用或系統資源出現不足。對設備進行實時的監測可以在系統出現問題時及時向管理員發出警告。一臺隧道服務器應當能夠提供以上所有信息以及對數據進行正確處理所需要的事件日志,報告和數據存儲設備。
NT4.0在RAS中提供了對記費,審計和報警的支持。RADIUS協議對呼叫-記費請求(call-accountingrequest)進行了規定。當RAS向RADIUS發送呼叫-記費請求后由后者建立記費記錄分別記錄呼叫開始,結束以及預定中斷的情況。
結論
如本文所述,Windows系統自帶的VPN服務允許用戶或企業通過公共或專用網絡與遠端服務器,分支機構,或其他公司建立安全和可靠的連接。雖然上述通訊過程發生公共互聯網絡上,但是用戶端如同使用專用網絡進行通訊一樣建立起安全的連接。使用Windows系統的VPN技術可以解決在當今遠程通訊量日益增大,企業全球運作分布廣泛的情況下,員工需要訪問中央資源,企業相互之間必須能夠進行及時和有效的通訊的問題。
如本文所述,Windows系統自帶的VPN服務允許用戶或企業通過公共或專用網絡與遠端服務器,分支機構,或其他公司建立安全和可靠的連接。雖然上述通訊過程發生公共互聯網絡上,但是用戶端如同使用專用網絡進行通訊一樣建立起安全的連接。使用Windows系統的VPN技術可以解決在當今遠程通訊量日益增大,企業全球運作分布廣泛的情況下,員工需要訪問中央資源,企業相互之間必須能夠進行及時和有效的通訊的問題。
更多文章、技術交流、商務合作、聯系博主
微信掃碼或搜索:z360901061
微信掃一掃加我為好友
QQ號聯系: 360901061
您的支持是博主寫作最大的動力,如果您喜歡我的文章,感覺我的文章對您有幫助,請用微信掃描下面二維碼支持博主2元、5元、10元、20元等您想捐的金額吧,狠狠點擊下面給點支持吧,站長非常感激您!手機微信長按不能支付解決辦法:請將微信支付二維碼保存到相冊,切換到微信,然后點擊微信右上角掃一掃功能,選擇支付二維碼完成支付。
【本文對您有幫助就好】元
