第八章虛擬專用網絡技術周蘇

教授QQ:81505050第一頁，共五十九頁。第8章虛擬專用網絡技術隨著因特網的服務焦點轉移到電子商務上，對于那些基于傳統(tǒng)信息系統(tǒng)的關鍵性商務應用及數據，公司希望通過因特網來實現方便快捷的訪問。通過安全虛擬專用網絡的實現，把公司的業(yè)務安全、有效地拓展到世界各地。第二頁，共五十九頁。第8章虛擬專用網絡技術虛擬專用網絡(VirtualPrivateNetwork，VPN)被定義為通過一個公用網絡(通常是因特網)建立的一個臨時的安全連接，是一條穿過公用網絡的安全、穩(wěn)定的隧道。第三頁，共五十九頁。第8章虛擬專用網絡技術VPN是企業(yè)網在因特網等公共網絡上的延伸，它通過安全的數據通道，幫助遠程用戶、公司分支機構、商業(yè)伙伴及供應商與公司的內部網建立可信的安全連接，并保證數據的安全傳輸，構成一個擴展的公司企業(yè)網，如圖8.1所示。VPN可用于不斷增長的移動用戶的全球因特網接入，以實現安全連接，可用于實現企業(yè)網站之間安全通信的虛擬專用線路。第四頁，共五十九頁。圖8.1虛擬專用網絡第五頁，共五十九頁。第8章虛擬專用網絡技術說得通俗一點，VPN實際上是“線路中的線路”，類型于城市道路上的“公交專用線”，所不同的是，由VPN組成的“線路”并不是物理存在的，而是通過技術手段模擬出來，即是“虛擬”的。不過，這種虛擬的專用網絡技術卻可以在一條公用線路中為兩臺計算機建立一個邏輯上的專用“通道”，它具有良好的保密和不受干擾性，使雙方能進行自由而安全的點對點連接，因此被網絡管理員們廣泛關注著。第六頁，共五十九頁。第8章虛擬專用網絡技術因特網工程任務小組(IETF)已經開始為VPN技術制訂標準，基于這一標準的產品，將使各種應用場合下的VPN有充分的互操作性和可擴展性。第七頁，共五十九頁。第8章虛擬專用網絡技術VPN可以實現不同網絡組件和資源之間的相互連接，利用因特網或其他公共互連網絡的基礎設施為用戶創(chuàng)建隧道，并提供與專用網絡一樣的安全和功能保障。第八頁，共五十九頁。第8章虛擬專用網絡技術提高VPN效用的關鍵問題在于當用戶的業(yè)務需求發(fā)生變化時，用戶能很方便地調整他的VPN以適應變化，并且能方便地升級到將來新的TCP/IP技術；而那些提供門類齊全的軟、硬件VPN產品的供應商，則能提供一些靈活的選擇以滿足用戶的要求。目前的VPN產品主要運行在IPv4之上，但應當具備升級到IPv6的能力，同時要保持良好的互操作性。第九頁，共五十九頁。第8章虛擬專用網絡技術IPv6：現有的互聯網是在IPv4協(xié)議的基礎上運行的。IPv6是下一版本的互聯網協(xié)議，它的提出最初是因為隨著互聯網的迅速發(fā)展，IPv4定義的有限地址空間將被耗盡，地址空間的不足必將影響互聯網的進一步發(fā)展。為了擴大地址空間，擬通過IPv6重新定義地址空間。第十頁，共五十九頁。第8章虛擬專用網絡技術IPv4采用32位地址長度，只有大約43億個地址，估計在2005～2010年間將被分配完畢，而IPv6采用128位地址長度，幾乎可以不受限制地提供地址。除了一勞永逸地解決地址短缺問題以外，IPv6的主要優(yōu)勢還體現在以下幾方面：提高網絡的整體吞吐量、改善服務質量(QoS)、安全性有更好的保證、支持即插即用和移動性、更好實現多播功能。第十一頁，共五十九頁。8.1VPN的安全性使用虛擬專用網絡涉及到一些傳統(tǒng)企業(yè)內部網絡中不存在的安全問題。在虛擬專用網絡中，一個典型的端到端的數據通路可能包含：1)數臺不在公司控制之下的機器(例如ISP的接入設備和因特網上的路由器)。2)介于內部網(Intranet)和外部網之間的安全網關(可能是防火墻或者是路由器)。第十二頁，共五十九頁。8.1VPN的安全性3)一個包含若干主機和路由器的內部網。其中一些機器可能由惡意攻擊者操作，有的機器同時參與公司內部的通信以及與公司外部的通信。4)一個外部公共網絡(因特網)上面的數據通信來源不僅限于公司網絡。在這樣一個開放的復雜環(huán)境下，很容易被竊聽和篡改數據報文的內容，很容易實施拒絕服務的攻擊或者是修改數據報文的目的地址的攻擊。第十三頁，共五十九頁。8.2因特網的安全協(xié)議IPSec實現VPN通常用到的安全協(xié)議主要是SOCKSv5、IPSec和PPTP/L2TP。其中，PPTP/L2TP用于鏈路層，IPSec主要應用于網絡層，SOCKSv5應用于會話層。為了解決因特網所面臨的不安全因素的威脅，實現在不信任通道上的數據安全傳輸，使安全功能模塊能兼容IPv4和下一代網絡協(xié)議IPv6，IPSec協(xié)議將會是主要的實現VPN的協(xié)議。第十四頁，共五十九頁。8.2因特網的安全協(xié)議IPSecIPSec是IP與Security的簡寫。IPSec結合使用多種安全技術為IP數據包提供保密性、完整性和真實性。IPSec實際上指的是多個相關的協(xié)議，它們在RFC2401-2411和RFC2451中定義，規(guī)約已經變得相當復雜。第十五頁，共五十九頁。8.2因特網的安全協(xié)議IPSecIPSec的主要設計目標是良好的互操作性。如果得到正確的實現，IPSec對那些不支持它的主機和網絡不會產生任何負面影響，IPSec的體系結構獨立于當前的密碼算法，IPSec對于IPv6是必需的，而對IPv4是可選的。第十六頁，共五十九頁。8.2.1IPSec的體系結構IPSec框架主要有兩個協(xié)議：一個是用于認證的認證首部(AuthenticationHeader，AH)協(xié)議和一個用于加密數據的安全封裝(EncapsulatingSecurityPayload，ESP)協(xié)議。這些安全特征都是作為主要的IP報文首部之后的擴展首部來實現的。AH和ESP可以使用兩種模式，即傳輸模式和隧道模式。第十七頁，共五十九頁。8.2.1IPSec的體系結構(1)IPSec文檔IPSec文檔被劃分成7個組，如圖8.2所示。這是由IETF成立的IP安全協(xié)議工作組在做了大量的工作之后劃分的。第十八頁，共五十九頁。圖8.2IPSec文檔第十九頁，共五十九頁。8.2.1IPSec的體系結構體系結構：覆蓋了定義IPSec技術的一般性概念、安全需求、定義和機制。ESP協(xié)議：覆蓋了使用ESP進行分組加密(可選的認證)的格式和一般問題。AH協(xié)議：覆蓋了使用AH進行分組認證的格式和一般問題。加密算法：描述了怎樣將不同的加密算法用于ESP中。第二十頁，共五十九頁。8.2.1IPSec的體系結構認證算法：描述了怎樣將不同的認證算法用于AH和ESP可選的認證選項。解釋域(DOI)：包含了其他文檔需要的為了彼此間相互聯系的一些值。這些值包括經過檢驗的加密和認證算法的標識以及操作參數，例如密鑰的生存期。密鑰管理：描述密鑰管理機制的文檔，其中IKE(因特網密鑰交換協(xié)議)是默認的密鑰自動交換協(xié)議。第二十一頁，共五十九頁。8.2.1IPSec的體系結構(2)IPSec的服務IPSec在IP層提供下列安全服務：訪問控制。無連接的完整性(對IP數據包自身的一種檢測方法)。數據源的認證。拒絕重發(fā)的數據包(部分序列號完整性的一種形式)。保密性(加密)。有限的通信流保密性。表8.1總結了IPSec提供的服務。第二十二頁，共五十九頁。8.2.2安全關聯安全關聯(SecurityAssociation，SA)是在發(fā)送者和接收者之間為進出通信量提供安全服務的一種單向的關系，它是IPSec中的一個基本的概念。每一對使用IPSec的主機必須在它們之間建立一個SA。第二十三頁，共五十九頁。8.2.2安全關聯SA數據庫定義了與每一個SA相關聯的參數，例如，通信使用何種保護類型(是AH還是ESP)、使用的加密算法、密鑰、協(xié)議方式(隧道或傳輸)以及該SA的有效期等。SA在發(fā)送者和接收者之間建立一種單向的關系。如果需要進行雙向通信，則需要第二個SA。第二十四頁，共五十九頁。8.2.2安全關聯AH協(xié)議和ESP協(xié)議可以單獨使用，也可以組合使用，因為每一種協(xié)議都有兩種使用模式，這樣組合使用就有多種可能的組合方式。但是在這么多可能的組合中只有幾個有實際意義的應用。用SA束來實現IPSec的組合，定義了兩種組合SA的方式：傳輸鄰接和循環(huán)隧道。第二十五頁，共五十九頁。8.2.3傳輸模式與隧道模式IPsec有兩種使用模式：傳輸模式(transportmode)和隧道模式(tunnelmode)。在傳輸模式中，IPSec頭被直接插在IP頭的后面。IP頭中的Protocol域也被做了修改，以表明有一個IPSec頭緊跟在普通IP頭的后面(但是在TCP頭的前面)。IPsec頭包含了安全信息，主要有SA標識符、一個新的序列號，可能還包括凈荷數據的完整性檢查信息。第二十六頁，共五十九頁。8.2.3傳輸模式與隧道模式在隧道模式中，整個IP分組，連同頭部和所有的數據一起被封裝到一個新的IP分組中，并且這個新的IP分組有一個全新的IP頭。當隧道的終點并不是最終的目標節(jié)點時，隧道模式將非常有用。第二十七頁，共五十九頁。8.2.3傳輸模式與隧道模式在有些情況下，隧道的終點是一臺安全網關機器，例如，公司的一個防火墻。在這種模式中，當分組通過防火墻的時候，防火墻負責封裝分組，或者解除封裝。由于隧道終止于這臺安全的機器上，所以公司LAN上的機器不必知曉IPSec的存在。只有防火墻必須要知道IPSec。第二十八頁，共五十九頁。8.2.4AH協(xié)議AH協(xié)議為IP數據包提供了數據完整性服務和認證服務，并使用一個帶密鑰的哈希函數以實現認證服務。第二十九頁，共五十九頁。8.2.4AH協(xié)議(1)AH協(xié)議的原理AH協(xié)議可以保證IP分組的可靠性和數據的完整性。它的原理是發(fā)送方將IP分組頭、上層數據、共享密鑰這3部分通過MD5(或SHA-1)算法進行計算，得出AH首部的認證數據，并將AH首部加入IP分組中。第三十頁，共五十九頁。8.2.4AH協(xié)議當數據傳輸到接收方時，接收方將收到的IP分組頭、數據部分和公共密鑰用相同的MD5(或SHA-1)算法運算，并把得到的結果和收到的數據分組的AH首部進行比較和認證。但是，AH頭并不提供對數據的保密性保護，因此，當數據通過網絡時，如果攻擊者使用協(xié)議分析器照樣能竊取敏感數據。第三十一頁，共五十九頁。8.2.4AH協(xié)議(2)傳輸與隧道模式AH協(xié)議服務可以使用兩種模式：傳輸模式和隧道模式。見圖8.3。第三十二頁，共五十九頁。圖8.3AH的傳輸模式和隧道模式第三十三頁，共五十九頁。8.2.4AH協(xié)議在傳輸模式中，AH協(xié)議僅僅應用從主機到主機的連接中，并且除了對選定的IP頭域之外還對上層協(xié)議提供保護。該模式通過傳輸安全關聯(SA)來提供。AH既可以用于主機，也可以用于安全網關。當在一個安全網關中實現AH以保護傳輸的通信時，必須使用隧道模式。第三十四頁，共五十九頁。8.2.4AH協(xié)議“隧道”技術是VPN的核心，它允許VPN的數據流被路由通過IP網絡，而不管生成數據流的是何種類型的網絡或設備。隧道內的數據流可以是IP、IPX、AppleTalk或其他類型的數據包。第三十五頁，共五十九頁。8.2.5ESP協(xié)議ESP協(xié)議為通過不可信網絡傳輸的IP數據提供保密性服務。另外，ESP協(xié)議還可以提供認證服務。根據所使用的加密類型和方式的不同，ESP的格式也會有所不同。在任何情況下，與加密關聯的密鑰都是使用SPI(安全參數索引)來選擇的。第三十六頁，共五十九頁。8.2.5ESP協(xié)議(1)ESP協(xié)議的加密算法ESP協(xié)議兼容多種密碼算法。系統(tǒng)必須有使用密碼分組鏈接(CipherBlockChaining，CBC)模式DES算法：對于要求認證的兼容系統(tǒng)則必須含有NULL算法。同時，也定義了ESP服務使用的其他加密算法：三重DES，RC5，IDEA，CAST，BLOWFISH，3IDEA。第三十七頁，共五十九頁。8.2.5ESP協(xié)議(2)傳輸與隧道模式與AH相同，ESP也可以用于傳輸模式和隧道模式。這些模式的工作方式與它們在AH中的工作方式類似。但是有一個例外：對ESP，在每一個數據之后將附加一個尾部(trailer)的數據(如圖8.4)。ESP傳輸模式只用于實現主機之間的加密(和可選的認證)服務，為上層協(xié)議提供保護而不是IP頭本身。第三十八頁，共五十九頁。圖8.4ESP的傳輸模式和隧道模式第三十九頁，共五十九頁。8.2.5ESP協(xié)議ESP隧道模式既可以用于主機，也可以用于安全網關。當在一個安全網關中實現ESP時(用于保護用戶傳輸通信流)，必須使用隧道模式，如圖8.5所示是一個由4個專用網通過因特網互相連接的隧道模式示例。內部網絡上的主機使用因特網是為了傳輸數據，而不是同其他基于因特網的主機進行交互。在每個內部網絡上的安全網關用于終止隧道。第四十頁，共五十九頁。圖8.5ESP的隧道模式示例第四十一頁，共五十九頁。8.2.6安全管理IPSec包含兩個指定的數據庫：安全策略數據庫(SecurityPolicyDatabase，SPD)和安全關聯數據庫(SecurityAssociationDatabase，SAD)。SPD指定了決定所有輸入或者輸出的IP通信部署的策略；SAD包含有與當前活動的安全關聯相關的參數。第四十二頁，共五十九頁。8.2.7密鑰管理當使用IPSec時，與其他安全協(xié)議一樣，必須提供密鑰管理功能。例如，應提供一種方法，用于與其他人協(xié)商協(xié)議、加密算法以及在數據交換中使用的密鑰。此外，IPSec需要知道實體之間的所有的這樣的協(xié)定。IETF的IPSec工作組已經指定所有兼容的系統(tǒng)必須同時支持手工和自動的SA和密鑰管理。第四十三頁，共五十九頁。8.3VPN應用IPSec提供了在局域網、專用和公用的廣域網(WAN)和因特網上安全通信的能力。第四十四頁，共五十九頁。8.3.1通過因特網實現遠程用戶訪問一個系統(tǒng)中配備了IP安全協(xié)議的最終用戶，可以通過調用本地的因特網服務提供商(ISP)來獲得對一個公司網絡的安全訪問，這為在外出差的雇員和遠程的工作者減少了長途通信費用。第四十五頁，共五十九頁。8.3.1通過因特網實現遠程用戶訪問客戶通過撥號到ISP來連接到因特網，然后和內部網邊界上的安全網關建立一個經認證的、加密的安全通道。通過在遠程和安全網關之間實行IPSec方式的認證，內部網可以免受那些不必要的或惡意的IP包攻擊。通過將遠程主機與安全網關之間的數據流進行加密，可以防止竊聽。第四十六頁，共五十九頁。8.3.1通過因特網實現遠程用戶訪問虛擬專用網絡支持以安全的方式通過公共互連網絡遠程訪問企業(yè)資源。與使用專線撥打長途或電話連接企業(yè)的網絡接入服務器(NAS)不同，虛擬專用網絡用戶首先撥通本地ISP的NAS，然后VPN軟件利用與本地ISP建立的連接，在撥號用戶和企業(yè)VPN服務器之間，創(chuàng)建一個跨越因特網或其他公共互連網絡的虛擬專用網絡，如圖8.6所示。第四十七頁，共五十九頁。圖8.6遠程訪問網絡第四十八頁，共五十九頁。8.3.2通過因特網實現網絡互連一個公司可以在因特網或者公用的廣域網上建立安全的虛擬私有網絡。這可以使企業(yè)主要依賴因特網而減少它構造專用網絡的需求，節(jié)省了費用和網絡管理有負擔。第四十九頁，共五十九頁。8.3.2通過因特網實現網絡互連通過因特網實現兩個相互信任的內部網絡安全連接，在這種情況下，即要防范外部對內部網絡的攻擊，又要保護在因特網上傳輸數據的安全。例如，一個公司的兩個分公司之間通過因特網建立分支機構的VPN，需要滿足公司對通信、安全和成本的需求。第五十頁，共五十九頁。8.3.2通過因特網實現網絡互連可以用以下兩種方式使用VPN來連接遠程局域網絡：1)使用專線連接分支機構和企業(yè)局域網。不需要使用價格昂貴的長距離專用電路，分支機構和企業(yè)端路由器可以使用各自本地的專用線路通過本地的ISP連通因特網。VPN軟件使用與本地ISP建立的連接和因特網，在分支機構和企業(yè)端路由器之間創(chuàng)建一個虛擬專用網絡。第五十一頁，共五十九頁。8.3.2通過因特網實現網絡互連2)使用撥號線路連接分支機構和企業(yè)局域網。不同于傳統(tǒng)的使用連接分支機構路由器的專線撥打長途或電話連接企業(yè)NAS(網絡接入服務器)的方式，分支機構端的路由器可以通過撥號方式連接本地ISP。VPN軟件使用與本地ISP建立起的連接，在分支機構和企業(yè)端路由器之間創(chuàng)建一個跨越因特網的虛擬專用網絡，如圖8.7所示。第五十二頁，共五十九頁。圖8.7使用撥號線路連接分支機構和企業(yè)局域網第五十三頁，共五十九頁。8.3.2通過因特網實現網絡互連在以上兩種方式中，都是通過使用本地設備在分支機構和企業(yè)部門與因特網之間建立連接。無論是在客戶端還是服務器端都是通過拔打本地接入電話建立連接，因此VPN可以大大節(jié)省連接的費用。建議作為VPN服務器的企業(yè)端路由器使用專線連接本地ISP。VPN服務器必須一天24小時對VPN數據流進行監(jiān)聽。第五十四頁，共五十九頁。8