VPN技术专题讲座 .pptVIP

§1.2.1 端到端数据通路中存在的安全风险 拨入段数据泄漏风险 因特网上数据泄漏的风险 安全网关中数据泄漏的风险 内部网中数据泄漏的风险 VPN概述 VPN功能 VPN工作原理 VPN具体应用 §1.2.2 拨入段数据泄漏风险 远程访问 ISP接入设备 拨入段 Internet 拨入段用户数据以明文方式直接传递到ISP： 攻击者可以很容易的在拨入链路上实施监听 ISP很容易检查用户的数据 可以通过链路加密来防止被动的监听，但无法防范恶意窃取数据的ISP。 PSTN 搭线监听 攻击者 ISP ISP窃听 密文传输 到了ISP处已解密成明文 明文传输 §1.2.3 因特网上数据泄漏的风险 Internet 内部网 恶意修改通道终点到：假冒网关 外部段 （公共因特网） ISP接入设备 原始终点为：安全网关 数据在到达终点之前要经过许多路由器，明文传输的报文很容易在路由器上被查看和修改 监听者可以在其中任一段链路上监听数据 逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文选择路由信息，然后再重新加密发送 恶意的ISP可以修改通道的终点到一台假冒的网关 远程访问 搭线监听 攻击者 ISP ISP窃听 正确通道 §1.2.4 安全网关中数据泄漏的风险 Internet 内部网 ISP接入设备 远程访问 安全网关 数据在安全网关中是明文的，因而网关管理员可以直接查看机密数据 网关本身可能会受到攻击，一旦被攻破，流经安全网关的数据将面临风险 Internet §1.2.5 内部网中数据泄漏的风险 远程访问 内部网 安全网关 ISP接入设备 内部段 公司的内部网络 内部网中可能存在不信任的主机、路由器等 内部员工可以监听、篡改、重定向企业内部网的数据报文 来自企业网内部员工的其他攻击方式 在端到端的数据通路上随处都有可能发生数据的泄漏，包括： 拨入段链路上 ISP接入设备上 在因特网上 在安全网关上 在企业内部网上。 能否提供一个综合一致的解决方案，它不仅能提供端到端的数据保护，同时也能提供逐段的数据保护呢？ §1.2.6 结论 §1.3 现有的VPN 解决方案 基于 IPSec 的VPN解决方案 基于第二层的VPN解决方案 非 IPSec 的网络层VPN解决方案 非 IPSec 的应用层解决方案 结论 VPN概述 VPN功能 VPN工作原理 VPN具体应用 §1.3.1 基于IPSec 的VPN 解决方案 在通信协议分层中，网络层是可能实现端到端安全通信的最低层，它为所有应用层数据提供透明的安全保护，用户无需修改应用层协议。 该方案能解决的问题： 数据源身份认证：证实数据报文是所声称的发送者发出的。 数据完整性：证实数据报文的内容在传输过程中没被修改过，无论是被故意改动或是由于发生了随机的传输错误。 数据保密：隐藏明文的消息，通常靠加密来实现。 重放攻击保护：保证攻击者不能截获数据报文，且稍后某个时间再发放数据报文，而不会被检测到。 自动的密钥管理和安全关联管理：保证只需少量或根本不需要手工配置，就可以在扩展的网络上方便精确地实现公司的虚拟使用网络方针 VPN概述 VPN功能 VPN工作原理 VPN具体应用 AH协议 ESP协议 ISAKMP/Oakley协议 基于 IPSec 的VPN解决方案需要用到如下的协议： 详细情况将在IPSec 协议体系中讲解 IPSec 框架的构成 VPN概述 VPN功能 VPN工作原理 VPN具体应用 §1.3.2 基于第二层的VPN解决方案 公司内部网 拨号连接 因特网 L2 T P 通道 用于该层的协议主要有： L2TP：Lay 2 Tunneling Protocol PPTP：Point-to-Point Tunneling Protocol L2F：Lay 2 Forwarding L2TP的缺陷： 仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址欺骗攻击。 没有针对每个数据报文的完整性校验，就有可能进行拒绝服务攻击：发送假冒的控制信息，导致L2TP通道或者底层PPP连接的关闭。 虽然PPP报文的数据可以加密，但PPP协议不支持密钥的自动产生和自动刷新，因而监听的攻击者就可能最终破解密钥，从而得到所传输的数据。 L2 T P 通道 §1.3.3 非IPSec 的网络层VPN 解决方案 网络地址转换 由于AH协议需要对整个数据包做认证，因此使用AH协议后不能使用NAT 包过滤 由于使用ESP协议将对数据包的全部或部分信息加密，因此基于报头或者数据区内容进行控制过滤的设备将不能使用 服务质量 由于AH协议将IP协议中的TOS位当作