VPN与IPSec技术分析.ppt

Henric Johnson 第6章 VPN与IPSec 4学时 6.1 VPN 定 义 VPN 虚拟专用网(Virtual Private Networks，VPN) VPN的定义 Intranet VPN Extranet VPN 6.1 VPN 定 义 VPN Virtual 虚拟意味着网络的基础设施对于VPN连接来说是透明的。同样底层的物理网络并非是VPN用户拥有的，而是由很多用户共享的公共网络。而且为了对上层应用透明，VPN采用协议隧道技术。 6.1 VPN 定 义 VPN Private VPN环境下的专用实际上指的是VPN网络中的通信信息是保密的。 对于一条VPN连接来说，必须采用防范措施来实现特定的安全需求。这些安全需求包括： ① 数据加密 ② 数据源认证 ③ 密钥的安全产生和及时更新 ④ 分组重放攻击和欺骗攻击保护 6.1 VPN 定 义 VPN Networks 虽然物理网络并不存在，但是我们还是应当把VPN看作是现有企业内部网的扩展，它对于其它网络或用户来说应当是可用的。这还得借助于常规的路由和寻址技术来实现。 6.2 VPN 优 势 高效安全而低廉 6.3 VPN的安全考虑 一条典型的端对端通信链路可能包含： (1) 不受企业自身控制的设备(例如ISP的接入盒部分，互联网当中的路由器)。 (2) 位于内部网和外部网之间的安全网关(防火墙，路由器)。 (3) 内联网，其中可能有恶意主机。 (4) 外部网，这些网络当中传输着大量其它网络用户信息。 6.3 VPN的安全考虑 1．拨号段： 拨号段的覆盖范围就是从远程用户到ISP提供的接入盒之间的网段。该链路使用的协议和过程由ISP具体提供。大多数ISP支持点对点(PPP)链路协议。 6.3 VPN的安全考虑 2．外部网络段(Internet) 互联网是由大量的实体来共同运行和维护的，它包含了不同的可区分的路由域，各自由不同的网络中心运行。 6.3 VPN的安全考虑 3. 内部网络(Intranet) 此网段位于通信路径的末端，通常由公司自身管理、运行和维护，网络通信流量也是由公司内部员工产生的。使用的协议也可能是专有的，不过如今大都使用流行的IP协议。 但是随着电子商务的发展，有越来越多的应用需要访问其它公司(合作伙伴，供应商)内部服务器的数据，因此，有时候也很难确定内联网当中的哪些通信流是可信的。比如，公司认为自己的内联网是可信的，而它的合作伙伴可能认为他们的内联网是不可信的。在这种环境下，VPN应当在内部网段和互联网段都能够提供一种一致的网络安全服务。 6.3 VPN的安全考虑 在一条端对端通路当中，有四类机器： ① 远程主机(拨号) ② 固定主机(源和目的主机，或客户机和服务器) ③ ISP接入盒 ④ 安全网关(防火墙和/或路由器) 6.3 VPN的安全考虑 在一条端对端通路当中，有四类机器： ① 远程主机(拨号) ② 固定主机(源和目的主机，或客户机和服务器) ③ ISP接入盒 ④ 安全网关(防火墙和/或路由器) 6.3 VPN的安全考虑 通路中潜在的安全问题 拨号客户的安全问题 拨号客户是通信的起点，其保护主要涉及物理安全。 拨号网段的安全问题 拨号网段把用户的数据送往ISP。如果数据是明文的(没有加密)，那么数据很容易被攻击者窃听，同时ISP也能看到这些敏感数据。 在远程用户和ISP之间的链路层加密可以有效对付被动窃听，但还是无法防止一个恶意ISP获得这些数据。 6.3 VPN的安全考虑 通路中潜在的安全问题 互联网的安全问题 在远程接入环境中，ISP需要构造一条隧道来扩展PPP连接，从而使通信连接可以到达远程ISP接入盒和安全网关。如果该隧道协议不具备强大的安全功能，一个恶意的ISP有可能创建一条伪造的假隧道，从而把用户数据发往一个伪造的网关，见图6-4。 6.3 VPN的安全考虑 安全网关的安全问题 安全网关的主要用途就是强制访问控制策略(也就是说，只接受所希望进入的通信流，防止内部通信流离开企业内部网)。虽然防火墙或路由器通常受企业网络控制，但对于内部攻击者来说还是有很多的机会访问那些网关解密后，以明文方式在内联网中传输的数据包的。 非加密认证可以对进出网关的通信流提供某些保护。常见技术有口令、分组过滤、网络地址转换。不过这些技术也分别有其对抗措施，例如地址欺骗，而且新的攻击技术也正在被慢慢开发出来。每次当一种新的分组过滤器被设计出来阻止一种已知攻击的时候，相应的新攻击又会很快出现，如此周而复始。 由于基于加密认证技术相对需要很长的突破时间，而且其实施代价已经变得不再是