第14章虚拟专用网21祥解.pptVIP

南京邮电大学信息安全系 第14章 虚拟专用网 南京邮电大学信息安全系 《网络信息安全》教研组 主要内容 14.1 VPN概述 14.2 VPN的分类 14.3 各种VPN技术分析 14.4 PPTP的安全问题 14.5 VPN的使用现状 14.1 VPN概述 虚拟专用网（Virtual Private Network）： ? 在两台计算机之间建立一条专用连接 ? 通过隧道技术、加密和密钥管理、认证和访问控制等实现与专用网类似的安全性能 ? 从而达到在Internet上安全传输机密数据的目的 任意两个节点之间没有端到端的物理链路，而是架构在Internet上的逻辑网络。 隧道（封装）技术 是构建VPN的核心技术，叠加在IP主干网上运行。 1）通过加密和鉴别以确保安全 2）由VPN封装成IP包的形式 3）通过隧道在Internet上安全传输 4）离开隧道后，进行解封装，数据便不再被保护 VPN的发展 1）通过拨号和专用的租赁线路互连——功能少，成本高昂，开通速度缓慢 2）通过X.25的虚电路构造 3）通过FR/ATM的永久虚电路构造 4）具有Internet和专用网两者优点的IP VPN—— 目前意义上的VPN 14.2 VPN的分类 14.3 各种VPN技术分析 14.3.1 MPLS技术 MPLS VPN网络结构 14.3.2 IPSec技术 确保主机/安全网关之间IP层通信安全的协议集 鉴别头AH：数据源身份认证、数据 安全协议部分 完整性和抗重放 封装安全载荷ESP：还提供机密性 密钥协商部分IKE：安全协议的自动安全参数协商 IPSec的特点 ? 对应用层透明，应用程序无需修改就可利用 ? 最安全的IP协议，已成为新一代Internet安全标准 ? 仅支持TCP/IP协议簇，仅提供包过滤的访问控制 ? 仅实现基于IP地址的认证，比用户认证安全性差 14.3.3 GRE技术 通用（全部）路由封装协议： ? 在IP包中封装任何协议（IP/IPX/NetBEUI）数据 ? 将使用私有地址的网络互联 缺点： 1）没有加密功能，所以经常与IPSec一起使用； 2）同样具有基于隧道的实现方式的缺点； 3）手工配置和维护费用较高。 适用小型点对点的网络互联、实时性要求不高场合 14.3.4 SSL技术 SSL VPN：使用支持SSL的Web浏览器，就可以建立安全通道访问远程应用。 ? SSL VPN与IPSec VPN的最大不同是无客户端。 （客户/服务器模式 浏览器/服务器模式） ? 容易受到键盘记录软件和特洛伊木马的攻击 以IPSec VPN作为远程接入和点对点连接方案，辅以SSL VPN作为远程访问Web服务的方案。 IPSec VPN与SSL VPN的比较 14.3.5 SOCKS技术 ? SOCKS v5纠正了以前版本错误，提供认证、加密、数据完整性。 ? 对认证、加密、密钥管理提供插件式支持，使得SOCKS数据包能安全透明地通过防火墙。 ? 充分屏蔽底层技术差别并实现与应用层防火墙的互操作，最适合构造Extranet VPN。 ? 整体性能较差，管理复杂，且推广使用较晚。 14.3.6 SSH技术 ? 在主机和远程服务器之间设置应用层的“加密隧道” ? 支持rlogin、 FTP 、Telnet、POP3、X11应用程序 ? 提供主机/用户认证、数据压缩、机密性和完整性 ? 相对于其他VPN和专业防火墙，SSH尤其适合中小企业部署VPN应用。 14.3.7 PPTP和L2TP技术 1）自愿隧道：客户端计算机安装隧道客户软件（作为隧道端点），发送VPN请求配置一条自愿隧道 ——为每个客户独立创建一条自愿隧道 2）强制隧道：由支持VPN的拨号接入服务器（作为隧道端点）来配置和创建 ——它和隧道服务器之间建立的隧道可以被多个拨号客户共享 第二层隧道协议的比较 第二/三层隧道协议的比较 14.4 PPTP的安全问题 1）加密密钥由用户口令生成，而最早的口令以LanManager散列值形式存放，它的安全性很低。 2）后来的NTLM散列值比LanManager散列值安全，但仍没有使用填充数据（即“加盐”）。 3）PPTP使用的安全认证协议MS-CHAP依赖于某个可被破解密码函数。 4）产生会话密钥的种子信息根据用户口令产生，而存放NTLM散列值的口令文件易于被攻击。 5）重复使用会话密钥使得R