浅谈VPN的安全技术

我们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。

1.隧道技术:

隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为 第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包*第二层协议进行传 输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。

第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依*第三层协议进行传输。第三层隧道协议有VTP、IPSec等。 IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。

2.加解密技术:

加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。

3.密钥管理技术:

密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。 SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。

4.使用者与设备身份认证技术:

使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。

堵住安全漏洞

安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。

但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过 防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率, 并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。

但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙 会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这 些看法都是不对的。

在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入 一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安 全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。

黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条 诸如 DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也 能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全 漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能 进入公司网络。

当然,还有一些提供给远程工作人员的实际解决方法:

* 所有远程工作人员必须被批准使用VPN;

* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;

* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;

* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;

* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;

* 外出工作人员应对敏感文件进行加密;

* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;

* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。

现在最为流行的SSL VPN是怎么样的呢?

IPSEC VPN的安全性建立在隧道技术的基础上。隧道间传送密文,在两端是明文。

SSL VPN 的安全性主要建立在SSL协议的基础上,利用PKI的证书体系完成秘密传输。

SSL具备很强的灵活性,因而广受欢迎,如今几乎所有浏览器都内建有SSL功能。它正成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。

SSL高效实现认证加密

SSL协议层包含两类子协议——SSL握手协议和SSL记录协议。它们共同为应用访问连接(主要是HTTP连接)提供认证、加密和防篡改功能。 SSL能在 TCP/IP和应用层间无缝实现Internet协议栈处理,而不对其他协议层产生任何影响。SSL的这种无缝嵌入功能还可运用类似Internet应 用,如Intranet和Extranet接入、应用程序安全访问、无线应用以及Web服务。

SSL能基于Internet实现安全数据通信:数据在从浏览器发出时进行加密,到达数据中心后解密;同样地,数据在传回客户端时也进行加密,再在 Internet中传输。它工作于高层,SSL会话由两部分组成:连接和应用会话。在连接阶段,客户端与服务器交换证书并协议安全参数,如果客户端接受了 服务器证书,便生成主密钥,并对所有后续通信进行加密。在应用会话阶段,客户端与服务器间安全传输各类信息,如认证卡号、股票交易数据、个人健康状况这类 敏感或机密数据。

SSL安全功能组件包括三部分:认证,在连接两端对服务器或同时对服务器和客户端进行验证;加密,对通信进行加密,只有经过加密的双方才能交换信息 并相互识别;完整性检验,进行信息内容检测,防止被篡改。保证通信进程安全的一个关键步骤是对通信双方进行认证,SSL握手子协议负责这一进程处理:客户 端向服务器提交有效证书,服务器采用公共密钥算法对证书信息进行检验,以确认终端用户的合法性。

在发展初期,很多采纳SSL的传统网络应用,如电子商务并不具备客户端认证功能。这类功能在SSL协议之外,通过一些组合信息,如姓名/认证卡号结 合或其他客户端提供的数据(如口令)来实现的。如今很多企业在数据中心采纳SSL,主要是针对新型应用实现客户端认证功能。SSL VPN即是应终端用户附加认证而设。客户端认证能让服务器在协议功能范围内确认用户身份,同时客户端也可运用同样技术对服务器进行认证。

SSL VPN控制功能强大

相对于传统的IPSec VPN,SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳 SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。

SSL VPN提供增强的远程安全接入功能。IPSec VPN通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。这带来很多 安全风险,尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。

SSL VPN基本上不受接入位置限制,可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其 他公司网络中基于代理的防火墙之后,或是宽带连接中。IPSec VPN在稍复杂的网络结构中难于实现,因为它很难实现防火墙和NAT遍历,无力解决IP地址冲突。另外,SSL VPN能实现从可管理企业设备或非管理设备接入,如家用PC或公共Internet接入场所,而IPSec VPN客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入IPSec VPN在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSL VPN要理想得多。

应用优势

SSL VPN不需要复杂的客户端支撑,这就易于安装和配置,明显降低成本。IPSec VPN需要在远程终端用户一方安装特定设备,以建立安全隧道,而且很多情况下在外部(或非企业控制)设备中建立隧道相当困难。另外,这类复杂的客户端难于 升级,对新用户来说面临的麻烦可能更多,如系统运行支撑问题、时间开销问题、管理问题等。IPSec解决方案初始成本较低,但运行支撑成本高。如今,已有 SSL开发商能提供网络层支持,进行网络应用访问,就如同远程机器处于LAN中一样;同时提供应用层接入,进行Web应用和许多客户端/服务器应用访问。

作者:洪开荣 2005年10月17日 原文地址:http://www.linkwan.com/gb/tech/vpn/05101701.htm

发表评论?

0 条评论。

发表评论