http://qiaodahai.com/
Posts tagged VPN
ICP、ISP、IDC、BGP、VPN、SSH名词解析
Jun 17th
一、ICP
ICP为Internet Content Provider的缩写,即网络内容服务商,是指向公众综合提供互联网信息业务和增值业务的电信运营商。
二、ISP
ISP为Internet Service Provider的缩写,即互联网服务提供商,是指向公众综合提供互联网接入业务、信息业务、和增值业务的电信运营商。
三、IDC
IDC为Internet Data Center的缩写,即互联网数据中心。是指在互联网上提供如申请域名、租用虚拟主机空间、主机托管等各项业务的服务商。
四、BGP
BGP为Border Gateway Protocol的缩写,即边界网关协议,用来连接Internet上独立系统的路由选择协议。它是Internet工程任务组制定的一个加强的、完善的、可伸缩的协议。BGP4 支持CIDR寻址方案,该方案增加了Internet上的可用IP地址数量。BGP是为取代最初的外部网关协议EGP设计的,也被认为是一个路径矢量协议。
五、VPN
VPN为Virtual Private Network的缩写,是利用公共网络来构建的专用网络,称为虚拟专用网,为用户提供了一种通过公用网络安全地对企业内部专用网络进行远程访问的连接方式。VPN 由三个部分组成:客户机、传输介质和服务器。VPN连接使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的。
六、SSH
SSH 为 Secure Shell 的缩写,由 IETF 的网络工作小组(Network Working Group)所制定;SSH 为建立在应用层和传输层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。利用 SSH 协议可以有效防止远程管理过程中的信息泄露问题。
PPTPD一键安装包
May 24th
系统要求:CentOS 5 32bits/64bits。若VPS安装需要Xen虚拟化技术支持。
使用方法:
wget http://www.diahosting.com/dload/pptpd.sh
sh pptpd.sh
安装完成后会提示vpn用户名和密码。
VPN用户管理:
直接编辑/etc/ppp/chap-secrets文件,按照相同格式添加用户名和密码即可。
CentOS 5.3 下 PPTP VPN 服务器安装
May 24th
CentOS 5.3 下 PPTP VPN 服务器安装。若VPS安装需要Xen虚拟化技术支持。
1、安装相关软件
32位版:
yum install -y vim-minimal perl ppp iptables
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.i386.rpm
rpm -ivh pptpd-1.3.4-1.rhel5.1.i386.rpm
64位版:
yum install -y vim-minimal perl ppp iptables
wget http://poptop.sourceforge.net/yum/stable/packages/pptpd-1.3.4-1.rhel5.1.x86_64.rpm
rpm -ivh pptpd-1.3.4-1.rhel5.1.x86_64.rpm
2、配置文件编写
①、配置文件/etc/ppp/options.pptpd
mv /etc/ppp/options.pptpd /etc/ppp/options.pptpd.bak
vi /etc/ppp/options.pptpd
输入以下内容:
name pptpd
refuse-pap
refuse-chap
refuse-mschap
require-mschap-v2
require-mppe-128
proxyarp
lock
nobsdcomp
novj
novjccomp
nologfd
ms-dns 208.67.222.222
ms-dns 208.67.220.220
②、配置文件/etc/ppp/chap-secrets
mv /etc/ppp/chap-secrets /etc/ppp/chap-secrets.bak
vi /etc/ppp/chap-secrets
输入以下内容
# Secrets for authentication using CHAP
# client server secret IP addresses
myusername pptpd mypassword *
注:这里的myusername和mypassword即为PPTP VPN的登录用户名和密码
③、配置文件/etc/pptpd.conf
mv /etc/pptpd.conf /etc/pptpd.conf.bak
vi /etc/pptpd.conf
输入以下内容:
option /etc/ppp/options.pptpd
logwtmp
localip 192.168.9.1
remoteip 192.168.9.11-30
注:为拨入VPN的用户动态分配192.168.9.11~192.168.9.30之间的IP
④、配置文件/etc/sysctl.conf
vi /etc/sysctl.conf
修改以下内容:
net.ipv4.ip_forward = 1
保存、退出后执行:
/sbin/sysctl -p
3、启动PPTP VPN 服务器端:
/sbin/service pptpd start
4、启动iptables:
/sbin/service iptables start
/sbin/iptables -t nat -A POSTROUTING -o eth0 -s 192.168.9.0/24 -j MASQUERADE
BurstNET VPS搭建OpenVPN全程实录
May 20th
前言:
由于BurstNET的VPS使用的OpenVZ的虚拟环境,所以不支持PPTP VPN,但是官方承诺可无缝安装OpenVPN。
虽然国内外提供FreeVPN的企业和个人有很多,但是还不如自己搭建一个来得安全,毕竟用别人的咱们不知道数据流向哪里,或者说不知道数据会经过哪里, 被多少人看到。
好了,闲话不多说了,现在正式开始。
一、准备工作:
1)确认购买的VPS是否开启了Tun/Tap设备的支持,以前看过的文章里都说要联系客服让客服开通,其 实不用这么麻烦,自己在后台就可以开启(不过默认是不开启的)。不信请看下图,这是标准的BurstNET配置的免费的控制面板。
图1:BurstNET的VPS开启Tun/Tap支持,点一下“Enable Tun/Tap”按钮就行了
2)升级系统软件,并下载所需软件。
#yum install gcc gcc-devel openssl openssl-devel iptables
#mkdir /opt/software
#cd /opt/software
#wget http://www.oberhumer.com/opensource/lzo/download/lzo-2.03.tar.gz
#wget http://openvpn.net/release/openvpn-2.0.9.tar.gz
好了,准备工作已经完成了。下面开始安装。
二、安装软件
#cd /opt/software
#tar -zxvf lzo-2.03.tar.gz
#cd lzo-2.0.3
#./configure
#make && make install
#cd ../
#tar -zxvf openvpn-2.0.9.tar.gz
#cd openvpn-2.0.9
#./configure –with-lzo-headers=/usr/local/include –with-lzo-lib=/usr/local/lib –with-ssl-headers=/usr/include/openssl –with-ssl-lib=/usr/lib
#make && make install
自此,软件已安装完成,下面开始最重要的步骤。
三、生成证书Key
1、初始化PKI
#cd /opt/software/openvpn-2.0.9/easy-rsa
#export D=`pwd`
#export KEY_CONFIG=$D/openssl.cnf
#export KEY_DIR=$D/keys
#export KEY_SIZE=1024
#export KEY_COUNTRY=CN
#export KEY_PROVINCE=BJ
#export KEY_CITY=BJ
#export KEY_ORG=”eryinj.com”
#export KEY_EMAIL=”eryin@eryin.com”
2、生成CA证书
#./clean-all
#./build-ca
本步骤除了以下两个地方需要改动之外,其他地方一路回车(红色部分为改动的值):
Organizational Unit Name (eg, section) []:eryin.com
Common Name (eg, your name or your server’s hostname) []:server
3、建立Server Key
#./build-key-server server
本步骤除了以下两个地方需要改动之外,其他地方一路回车(红色部分为改动的值):
Organizational Unit Name (eg, section) []:eryin.com
Common Name (eg, your name or your server’s hostname) []:server
A challenge password []:abcd1234
An optional company name []:eryin.com
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
4、生成Client Key
#./build-key client1
Organizational Unit Name (eg, section) []:eryin.com
Common Name (eg, your name or your server’s hostname) []:client1
A challenge password []:abcd1234
An optional company name []:eryin.com
Sign the certificate? [y/n]:y
1 out of 1 certificate requests certified, commit? [y/n]y
依次类推生成其他客户端证书/key
#./build-key client2
#./build-key client3
5、生成 Diffie Hellman 参数
#./build-dh
四、创建服务器端和客户端配置文件
1、创建服务器端配置文件
#vi /usr/local/etc/server.conf
local VPS的IP地址
port 1194
proto udp
dev tun
ca /opt/software/openvpn-2.0.9/easy-rsa/keys/ca.crt
cert /opt/software/openvpn-2.0.9/easy-rsa/keys/server.crt
key /opt/software/openvpn-2.0.9/easy-rsa/keys/server.key
dh /opt/software/openvpn-2.0.9/easy-rsa/keys/dh1024.pem
server 10.8.0.0 255.255.255.0
client-to-client
keepalive 10 120
comp-lzo
persist-key
persist-tun
status /opt/software//openvpn-2.0.5/easy-rsa/keys/openvpn-status.log
verb 4
push “dhcp-option DNS 10.8.0.1″
push “dhcp-option DNS 4.2.2.1″
push “dhcp-option DNS 4.2.2.2″
2、创建客户端配置文件
#vi /usr/local/etc/client.ovpn
client
dev tun
proto udp
remote VPS的IP地址 1194
persist-key
persist-tun
ca ca.crt
cert client1.crt
key client1.key
ns-cert-type server
comp-lzo
verb 3
redirect-gateway def1
3、把生成的客户端的KEY和客户端配置文件下载到本地计算机
#cp /usr/local/etc/client.ovpn /opt/software/openvpn-2.0.9/easy-rsa/keys/
#tar keys.tar /opt/software/openvpn-2.0.9/easy-rsa/keys/
不管你用什么方法,下载到本地即可。
五、启动OpenVPN服务器并设置成开机自动启动
1、启动OpenVPN服务器
#/usr/local/sbin/openvpn –config /usr/local/etc/server.conf
2、将OpenVPN设置成开机自动启动
#vi /etc/rc.local
然后在最后面加入此行:
/usr/local/sbin/openvpn –config /usr/local/etc/server.conf > /dev/null 2>&1 &
六、OpenVPN 访问外网的设置
1、修改本机域名服务器
#vi /etc/resolv.conf
将文件内容修改为下面两行:
nameserver 4.2.2.1
nameserver 4.2.2.2
2、开启域名服务
如果你需要访问一些已经被伟大的GFW封掉了域名的网站,但你的 OpenVPN 服务器没有被封的话,那么你需要在你的主机上开启 name server, 并将 dns push 给 client。
#service named start
3、修改/etc/sysctl.conf
vi /etc/sysctl.conf
做以下修改:
net.ipv4.ip_forward = 1 (如果不是1的话则改成1)
4、设置iptables
#iptables -t nat -A POSTROUTING -s 10.8.0.0/16 -j SNAT –to VPS的IP地址
#/etc/init.d/iptables save
#/etc/init.d/iptables restart
七、OpenVPN GUI For Windows 客户端安装过程
1、下载和服务器端配套的OpenVPN GUI For Windows:
http://openvpn.se/files/install_packages/openvpn-2.0.9-gui-1.0.3-install.exe
2、安装:一直下一步,大家应该比我都会装吧。
3、将第四段第三步下载的Key文件解压后,放到OpenVPN GUI For Windows安装目录下的config目录,并至少要包含以下6个文件:
ca.crt
ca.key
client1.crt
client1.csr
client1.key
client.ovpn
4、双击client.ovpn即可启动OpenVPN GUI For Windows客户端,并连接至服务器。
5、如果双击client.ovpn 没有反应,则在任务栏点 OpenVPN GUI 的小图标右键,选择 edit config,将内容复制过去再保存,然后再点右键中的 connect即可。
5、如果需要第二台机器上使用OpenVPN,进行同样的配置,只需要将 client1.crt,client1.csr,client1.key 换成对应的 client2.xxx 即可,然后将 client.ovpn 中的对应key文件值改掉。
入门:VPS的选购
Apr 19th
上一文中谈到“什么是VPS”,在介绍完“什 么是VPS”后,VPS的选购技巧也是我所要给大家介绍的。本文所述,是本人选购VPS的一些经验,正因如此,本文所述只是一家之言。接下来我们从以下几个方面,看看选购VPS时应当注意的细节。
机房的选择
机房的选择是极其重要的,机房的位置、带宽等是影响VPS性能的重要因素。在选购VPS时,我们首先要考虑,是选择国内机房还是选择国外机房。 我们先从国内机房开始。
国内VPS
从众多前辈选购VPS所总结出来的经验来看,如果想在国内干一番事业,同时具备各种备案条件以及综合的网站运营能力的话,国内的VPS应当是不 二之选。因为相对于国外的VPS,国内VPS在速度上具有无可比拟的优势。从PING值上我们不难看出,很多使用国内VPS的站长或企业,他们服务器的 PING值都在60MS左右,上100的都很少见。当然,选择国内VPS必须考虑到我国特殊的国情——南北通。更确切的说,应当是国内服务商之间的互通问 题。还记得,曾几何时,世界上最远的距离,是电信和网通之间的距离。因此我们在选择国内VPS的时候,对机房的选择,会更多的倾向于使用BGP(边际网关 协议)的机房。使用BGP,可以很好的解决南北通的问题,使得访问者无论是在南方还是北方,无论使用的是电信还是网通,在速度上都能获得极好体验。
如果您希望在国内购买VPS,推荐您使用 RasHost 。RasHost 是一家在北京注册的互联网企业,它既提供国内BGP线路的VPS,也提供国外线路的VPS(含BGP)。其余其他服务商,我不能说他们不优秀,只是本人没 有试用过,因此不敢妄加推荐。
国外VPS
有时候我们不得不选择国外的VPS,比方说一些外贸企业,他们的访问者不仅限于国内,更多的来自国外,如果VPS放在国内,将会给国外的访问者 带来极其糟糕的体验。同时,为了保证国内与国外访问者在速度上都有良好的体验,在选择国外VPS时,机房的位置则十分重要,跃升为我们的最首要而且最基础 的考虑因素。目前,在速度上,对中国十分友好国外机房有:San Jose(圣何塞) > Fremont(费里蒙特) > Los Angles(洛杉矶) > Las Vegas(拉斯维加斯) > Dallas(达拉斯) > Pennsylvania(宾夕法尼亚)。
- San Jose (圣何塞) – 暂时没有找到价格靠谱的服务商。如果有知道的欢迎联系我。
- Fremont (费里蒙特) – 以 Linode 为代表,其次是 Nerios 。这两家是我找到的,价格比较靠谱且服务比较稳定的服务商。
- Los Angles (洛杉矶) – 主要服务商包括 VPSYou、EcVPS、RasHost、DiaHosting 等,他们的价格要比 Linode 和 Nerios 的要友好,同时客服支 持中文也支持支付宝。比较方便。
- Las Vegas (拉斯维加斯) – 主要服务商包括 VPSYou、EcVPS、RasHost、DiaHosting 等。
- Dallas (达拉斯) – 主要服务商包括 VPSYou、EcVPS、RasHost、DiaHosting 等。
- Pennsylvania (宾夕法尼亚) – 以 Burst 为代表,速度上是最慢的,PING值有时候会高达400+MS。
以上提到的服务商也许并不是最出色最优秀的,但全部都是我使用过或者测试过的,我在推荐它们的之前,也 Google 过,他们的口碑还算可以。如果以后我在使用或者测试的过程当中还发现有不错的服务商,我也会陆续补充进来。
虚拟化技术的选择
市面上有基于多种虚拟化技术的VPS,其中比较主流的是基于 OpenVZ 以及 Xen 虚拟化技术的VPS。我个人认为,在使用上,这两者之间的区别在于,前者容易超卖,并且大多数服务商都在超卖,后者不容易超卖,几乎没有服务商能够超卖。 同时,前者由于不支持 eth0 的虚拟化,因此不支持基于 PPTP 的VPN,而后者支持。
对于基于 OpenVZ 虚拟化技术的VPS,价格较便宜,但稳定的不多,目前发现稳定性比较靠谱的是 EcVPS 。
对于基于 Xen 虚拟化技术的VPS,价格相对较贵,但因其不容易超卖,所以稳定性较高。目前口碑最好的是 Linode ,当然根据我自己的测试,比较靠谱的还有 VPSYou 和 RasHost 。
个人认为,如果纯粹放网站,不考虑提供基于PPTP的 VPN 服务的话,基于 OpenVZ 虚拟化技术的VPS,在价格上会更加亲民,当然要考虑超卖的因素。如果要提供基于 PPTP 的 VPN 服务的话,基于 Xen 虚拟化技术的 VPS 则是不二之选。
价格的考虑
价格方面,说实在的,其实没什么好谈,看菜吃饭,是最靠谱的。不过,在这里我们要注意,尽量选择支持月付的VPS(貌似大多数都支持)。月付 20USD左右,内存如果能在256M以上,算是比较靠谱的了,否则还不如买 Dedicated Server 呢。
支付方式的考虑
对于国内用户来说,支持支付宝那当然是最好了,如果不支持支付宝,那支持 PayPal 或者 Google Checkout 也比较靠谱。支付方式的考虑,主要是从安全性的角度进行的。目前主流的 PayPal 以及 Google Checkout ,当然还有支付宝,都是比较安全的在线支付方式,在支付的时候尽量使用这些支付途径,而不要直接填写信用卡信息——信用卡是不可以“到处留情”的。使用 PayPal 、 Google Checkout 以及支付宝,虽然也要暴露自己的信用卡或者借记卡信息,但毕竟这些是大企业,保障用户个人信息安全是他们的立足之本。
其他因素
实际上,选购VPS时所要考虑的因素还有以下几个:
- 控制面板:我们要对VPS进行配置管理,友好的控制面板十分重要,比方说SolusVM、HyperVM、 VePortal以及Xen-Shell等。有些服务商并没有提供控制面板,导致重装系统需要提交服务单,这都比较不靠谱,如 RasHost 。有些服务商提供 了自主开发的全功能的控制面板,使得管理十分方便,如 Linode 。有些服务商则提供了非自主开发,但功能也比较全面的控 制面板,如:VPSYou、EcVPS、DiaHosting 。
- 技术支持:VPS在售后服务上分为 Managed VPS 和 UnManaged VPS,顾名思义,前者提供全方位的售后服务,而后者则提供基本的售后服务如宿主机器或者网络故障的检测与排除。同时,前者由于具有全方位的售后服务保 障,所以价格要比后者贵出许多。而后者,则全靠站长自力更生。具体的说,就是购买了 Managed VPS 的话,你可以要求客服帮你装一些程序,例如 WordPress 、 Joomla 以及 Discuz 等,适合新手。而 UnManaged VPS 则不提供帮装程序的服务,因此比较适合懂技术或者有点技术功底的人。
- 使用限制:对VPS的使用不是无限制的,它受到了服务商的TOS(用户协议)以及当地法律的约束,在购买 VPS时,必须考虑到具体的使用用途,并且对用途进行预判,看看是否会违反使用限制。在使用过程中,如果违法用户协议或者当地法律,VPS可能会被直接关 闭,甚至数据都无法取回,这样损失就大了。当然凡是皆有例外,比方说国内的服务商以及在荷兰注册的一些互联网企业,他们的使用限制就较少,用起来会比较自 由。
- 退款策略:善用服务商的退款策略,可以有效保障自己的权益,关于退款策略,每个服务商都会有一些差别,这些都是我们需要了解的。关于退款的规定和流程,一般也会在TOS中有叙述。
本文来自:http://vpsbar.com/
如何快速搭建一个VPN(PPTP)
Apr 18th
这是一个简短的教程,目的是为了快速搭建一个可用的VPN,本文并不涉及有关VPN的正常使用内容。本简短教程基于以下硬件条件:一台安装了Debian GNU/Linux 5.0的VPS。当然理论上所有可以安装pptpd包的Linux/Unix系统都可以作为主机,教程中安装方式是基于Debian的apt-get命令,其他发行版请自行对照使用。
注意:只有Xen的VPS可以搭建pptp,OpenVZ的不行。因为openvz下只有venet0,没有eth0,而绝大多数的vps都是openvz的,然后绝大多数的openvz vps都没有masqurade,只能搭建openvpn并且要自签证书什么的,根本不能用pptpd。这里有个如何在openvz下搭建OpenVpn的教程:OpenVZ VPS安装配置OpenVPN
正文
- 推荐windows用户使用PuTTY连接服务器。
- 在Host Name处填写vps的ip地址,连接
- 用root跟你得到的root密码登录。
- 安装PPTPD
apt-get install pptpd
- 安装nano(如果你能够熟练的使用vi,可以省略这一步)
apt-get install nano
- 编辑pptpd.conf文件
nano /etc/pptpd.conf
使得非注释内容如下:
option /etc/ppp/pptpd-options localip 192.168.0.1 remoteip 192.168.0.234-238,192.168.0.245
- 添加登录用户
nano /etc/ppp/chap-secrets
添加一行,内容如下
你想要的用户名 pptpd "你想要的密码" *
密码用半角双引号括起来
上面内容很好理解,最后那个星号是说允许从任何IP地址联接,如果你想单独设定IP地址也可以。
理论上到这里一个vpn就已经搭建完毕了。无论你用的是Windows还是OSX,或者是iPhone OS,都可以通过建立一个pptp链接来联入这个VPN。不过你并不能通过这个来上Internet,因为所有的数据都作用于那台pptpd的服务器上, 而不会传入拨入的计算机设备上。要上Internet还需要这么干:
- 设置DNS解析,编辑pptpd-options
nano /etc/ppp/pptpd-options
找到ms-dns,取消掉注释,并修改DNS地址(推荐OpenDNS或者Google DNS)
- 开启转发
nano /etc/sysctl.conf
取消如下内容行的注释
net.ipv4.ip_forward=1
- 运行下面这条命令
echo 1 > /proc/sys/net/ipv4/ip_forward
- 安装iptables并设置
apt-get install iptables iptables -t nat -I POSTROUTING -j MASQUERADE
- 启动服务
/etc/init.d/pptpd restart
- VPN搭建完毕,可以尝试用客户端登录了。
这两句设置了当外部计算机通过pptp联接到vpn后所能拿到的ip地址范围和服务器的ip地址设置。
本文部分内容来自:http://www.kdolphin.com/node/1099和http://tuoniao.org/setup-vpn-on-vps-howto/
浅谈VPN的安全技术
Apr 17th
我们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
1.隧道技术:
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包*第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依*第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术:
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.使用者与设备身份认证技术:
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
堵住安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。
但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。
但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。
在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。
黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如 DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。
当然,还有一些提供给远程工作人员的实际解决方法:
* 所有远程工作人员必须被批准使用VPN;
* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;
* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;
* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;
* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;
* 外出工作人员应对敏感文件进行加密;
* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;
* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。
现在最为流行的SSL VPN是怎么样的呢?
IPSEC VPN的安全性建立在隧道技术的基础上。隧道间传送密文,在两端是明文。
SSL VPN 的安全性主要建立在SSL协议的基础上,利用PKI的证书体系完成秘密传输。
SSL具备很强的灵活性,因而广受欢迎,如今几乎所有浏览器都内建有SSL功能。它正成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。
SSL高效实现认证加密
SSL协议层包含两类子协议——SSL握手协议和SSL记录协议。它们共同为应用访问连接(主要是HTTP连接)提供认证、加密和防篡改功能。SSL能在 TCP/IP和应用层间无缝实现Internet协议栈处理,而不对其他协议层产生任何影响。SSL的这种无缝嵌入功能还可运用类似Internet应用,如Intranet和Extranet接入、应用程序安全访问、无线应用以及Web服务。
SSL能基于Internet实现安全数据通信:数据在从浏览器发出时进行加密,到达数据中心后解密;同样地,数据在传回客户端时也进行加密,再在 Internet中传输。它工作于高层,SSL会话由两部分组成:连接和应用会话。在连接阶段,客户端与服务器交换证书并协议安全参数,如果客户端接受了服务器证书,便生成主密钥,并对所有后续通信进行加密。在应用会话阶段,客户端与服务器间安全传输各类信息,如认证卡号、股票交易数据、个人健康状况这类敏感或机密数据。
SSL安全功能组件包括三部分:认证,在连接两端对服务器或同时对服务器和客户端进行验证;加密,对通信进行加密,只有经过加密的双方才能交换信息并相互识别;完整性检验,进行信息内容检测,防止被篡改。保证通信进程安全的一个关键步骤是对通信双方进行认证,SSL握手子协议负责这一进程处理:客户端向服务器提交有效证书,服务器采用公共密钥算法对证书信息进行检验,以确认终端用户的合法性。
在发展初期,很多采纳SSL的传统网络应用,如电子商务并不具备客户端认证功能。这类功能在SSL协议之外,通过一些组合信息,如姓名/认证卡号结合或其他客户端提供的数据(如口令)来实现的。如今很多企业在数据中心采纳SSL,主要是针对新型应用实现客户端认证功能。SSL VPN即是应终端用户附加认证而设。客户端认证能让服务器在协议功能范围内确认用户身份,同时客户端也可运用同样技术对服务器进行认证。
SSL VPN控制功能强大
相对于传统的IPSec VPN,SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳 SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。
SSL VPN提供增强的远程安全接入功能。IPSec VPN通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
SSL VPN基本上不受接入位置限制,可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。IPSec VPN在稍复杂的网络结构中难于实现,因为它很难实现防火墙和NAT遍历,无力解决IP地址冲突。另外,SSL VPN能实现从可管理企业设备或非管理设备接入,如家用PC或公共Internet接入场所,而IPSec VPN客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入IPSec VPN在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSL VPN要理想得多。
应用优势
SSL VPN不需要复杂的客户端支撑,这就易于安装和配置,明显降低成本。IPSec VPN需要在远程终端用户一方安装特定设备,以建立安全隧道,而且很多情况下在外部(或非企业控制)设备中建立隧道相当困难。另外,这类复杂的客户端难于升级,对新用户来说面临的麻烦可能更多,如系统运行支撑问题、时间开销问题、管理问题等。IPSec解决方案初始成本较低,但运行支撑成本高。如今,已有 SSL开发商能提供网络层支持,进行网络应用访问,就如同远程机器处于LAN中一样;同时提供应用层接入,进行Web应用和许多客户端/服务器应用访问。
作者:洪开荣 原文地址:http://www.linkwan.com/gb/tech/vpn/05101701.htm
