Thursday, June 20, 2019

淺談VPN的安全技術

我們都知道,由於VPN(虛擬專用網絡)傳輸的是私有信息,VPN用戶對數據的安全性都比較關心。 目前VPN主要採用四項技術來保證安全,這四項技術分別是隧道技術(Tunneling)、加解密技術(Encryption & Decryption)、密鑰管理技術(Key Management)、使用者與設備身份認證技術(Authentication)。

1.隧道技術:

隧道技術是VPN的基本技術類似於點對點連接技術,它在公用網建立一條數據通道(隧道),讓數據包通過這條隧道傳輸。隧道是由隧道協議形成的,分為第二、三層隧道協議。第二層隧道協議是先把各種網絡協議封裝到PPP中,再把整個數據包裝入隧道協議中。這種雙層封裝方法形成的數據包*第二層協議進行傳輸。第二層隧道協議有L2F、PPTP、L2TP等。L2TP協議是目前IETF的標準,由IETF融合PPTP與L2F而形成。

第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。第三層隧道協議有VTP、IPSec等。IPSec(IP Security)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。

2.加解密技術:

加解密技術是數據通信中一項較成熟的技術,VPN可直接利用現有技術。

3.密鑰管理技術:

密鑰管理技術的主要任務是如何在公用數據網上安全地傳遞密鑰而不被竊取。現行密鑰管理技術又分為SKIP與ISAKMP/OAKLEY兩種。SKIP主要是利用Diffie-Hellman的演算法則,在網絡上傳輸密鑰;在ISAKMP中,雙方都有兩把密鑰,分別用於公用、私用。

4.使用者與設備身份認證技術:

使用者與設備身份認證技術最常用的是使用者名稱與密碼或卡片式認證等方式。

堵住安全漏洞

安全問題是VPN的核心問題。目前,VPN的安全保證主要是通過防火牆技術、路由器配以隧道技術、加密協議和安全密鑰來實現的,可以保證企業員工安全地訪問公司網絡。

但是,如果一個企業的VPN需要擴展到遠程訪問時,就要注意,這些對公司網直接或始終在線的連接將會是黑客攻擊的主要目標。因為,遠程工作員工通過防火牆之外的個人計算機可以接觸到公司預算、戰略計劃以及工程項目等核心內容,這就構成了公司安全防禦系統中的弱點。雖然,員工可以雙倍地提高工作效率,並減少在交通上所花費的時間,但同時也為黑客、競爭對手以及商業間諜提供了無數進入公司網絡核心的機會。

但是,企業並沒有對遠距離工作的安全性予以足夠的重視。大多數公司認為,公司網絡處於一道網絡防火牆之後是安全的,員工可以撥號進入系統,而防火牆會將一切非法請求拒之其外;還有一些網絡管理員認為,為網絡建立防火牆並為員工提供VPN,使他們可以通過一個加密的隧道撥號進入公司網絡就是安全的。這些看法都是不對的。

在家辦公是不錯,但從安全的觀點來看,它是一種極大的威脅,因為,公司使用的大多數安全軟件並沒有為家用計算機提供保護。一些員工所做的僅僅是進入一台家用計算機,跟隨它通過一條授權的連接進入公司網絡系統。雖然,公司的防火牆可以將侵入者隔離在外,並保證主要辦公室和家庭辦公室之間VPN的信息安全。但問題在於,侵入者可以通過一個被信任的用戶進入網絡。因此,加密的隧道是安全的,連接也是正確的,但這並不意味着家庭計算機是安全的。

黑客為了侵入員工的家用計算機,需要探測IP地址。有統計表明,使用撥號連接的IP地址幾乎每天都受到黑客的掃描。因此,如果在家辦公人員具有一條諸如 DSL的不間斷連接鏈路(通常這種連接具有一個固定的IP地址),會使黑客的入侵更為容易。因為,撥號連接在每次接入時都被分配不同的IP地址,雖然它也能被侵入,但相對要困難一些。一旦黑客侵入了家庭計算機,他便能夠遠程運行員工的VPN客戶端軟件。因此,必須有相應的解決方案堵住遠程訪問VPN的安全漏洞,使員工與網絡的連接既能充分體現VPN的優點,又不會成為安全的威脅。在個人計算機上安裝個人防火牆是極為有效的解決方法,它可以使非法侵入者不能進入公司網絡。

當然,還有一些提供給遠程工作人員的實際解決方法:

* 所有遠程工作人員必須被批准使用VPN;

* 所有遠程工作人員需要有個人防火牆,它不僅防止計算機被侵入,還能記錄連接被掃描了多少次;

* 所有的遠程工作人員應具有入侵檢測系統,提供對黑客攻擊信息的記錄;

* 監控安裝在遠端系統中的軟件,並將其限制只能在工作中使用;

* IT人員需要對這些系統進行與辦公室系統同樣的定期性預定檢查;

* 外出工作人員應對敏感文件進行加密;

* 安裝要求輸入密碼的訪問控制程序,如果輸入密碼錯誤,則通過Modem向系統管理員發出警報;

* 當選擇DSL供應商時,應選擇能夠提供安全防護功能的供應商。

現在最為流行的SSL VPN是怎麼樣的呢?

IPSEC VPN的安全性建立在隧道技術的基礎上。隧道間傳送密文,在兩端是明文。

SSL VPN 的安全性主要建立在SSL協議的基礎上,利用PKI的證書體系完成秘密傳輸。

SSL具備很強的靈活性,因而廣受歡迎,如今幾乎所有瀏覽器都內建有SSL功能。它正成為企業應用、無線接入設備、Web服務以及安全接入管理的關鍵協議。

SSL高效實現認證加密

SSL協議層包含兩類子協議——SSL握手協議和SSL記錄協議。它們共同為應用訪問連接(主要是HTTP連接)提供認證、加密和防篡改功能。SSL能在TCP/IP和應用層間無縫實現Internet協議棧處理,而不對其他協議層產生任何影響。SSL的這種無縫嵌入功能還可運用類似Internet應用,如Intranet和Extranet接入、應用程序安全訪問、無線應用以及Web服務。

SSL能基於Internet實現安全數據通信:數據在從瀏覽器發出時進行加密,到達數據中心後解密;同樣地,數據在傳回客戶端時也進行加密,再在Internet中傳輸。它工作於高層,SSL會話由兩部分組成:連接和應用會話。在連接階段,客戶端與服務器交換證書並協議安全參數,如果客戶端接受了服務器證書,便生成主密鑰,並對所有後續通信進行加密。在應用會話階段,客戶端與服務器間安全傳輸各類信息,如認證卡號、股票交易數據、個人健康狀況這類敏感或機密數據。

SSL安全功能組件包括三部分:認證,在連接兩端對服務器或同時對服務器和客戶端進行驗證;加密,對通信進行加密,只有經過加密的雙方才能交換信息並相互識別;完整性檢驗,進行信息內容檢測,防止被篡改。保證通信進程安全的一個關鍵步驟是對通信雙方進行認證,SSL握手子協議負責這一進程處理:客戶端向服務器提交有效證書,服務器採用公共密鑰算法對證書信息進行檢驗,以確認終端用戶的合法性。

在發展初期,很多採納SSL的傳統網絡應用,如電子商務並不具備客戶端認證功能。這類功能在SSL協議之外,通過一些組合信息,如姓名/認證卡號結合或其他客戶端提供的數據(如口令)來實現的。如今很多企業在數據中心採納SSL,主要是針對新型應用實現客戶端認證功能。SSL VPN即是應終端用戶附加認證而設。客戶端認證能讓服務器在協議功能範圍內確認用戶身份,同時客戶端也可運用同樣技術對服務器進行認證。

SSL VPN控制功能強大

相對於傳統的IPSec VPN,SSL能讓公司實現更多遠程用戶在不同地點接入,實現更多網絡資源訪問,且對客戶端設備要求低,因而降低了配置和運行支撐成本。很多企業用戶採納SSL VPN作為遠程安全接入技術,主要看重的是其接入控制功能。
SSL VPN提供增強的遠程安全接入功能。IPSec VPN通過在兩站點間創建隧道提供直接(非代理方式)接入,實現對整個網絡的透明訪問;一旦隧道創建,用戶PC就如同物理地處於企業LAN中。這帶來很多安全風險,尤其是在接入用戶權限過大的情況下。SSL VPN提供安全、可代理連接,只有經認證的用戶才能對資源進行訪問,這就安全多了。SSL VPN能對加密隧道進行細分,從而使得終端用戶能夠同時接入Internet和訪問內部企業網資源,也就是說它具備可控功能。另外,SSL VPN還能細化接入控制功能,易於將不同訪問權限賦予不同用戶,實現伸縮性訪問;這種精確的接入控制功能對遠程接入IPSec VPN來說幾乎是不可能實現的。

SSL VPN基本上不受接入位置限制,可以從眾多Internet接入設備、任何遠程位置訪問網絡資源。SSL VPN通信基於標準TCP/UDP協議傳輸,因而能遍歷所有NAT設備、基於代理的防火牆和狀態檢測防火牆。這使得用戶能夠從任何地方接入,無論是處於其他公司網絡中基於代理的防火牆之後,或是寬帶連接中。IPSec VPN在稍複雜的網絡結構中難於實現,因為它很難實現防火牆和NAT遍歷,無力解決IP地址衝突。另外,SSL VPN能實現從可管理企業設備或非管理設備接入,如家用PC或公共Internet接入場所,而IPSec VPN客戶端只能從可管理或固定設備接入。隨着遠程接入需求的不斷增長,遠程接入IPSec VPN在訪問控制方面受到極大挑戰,而且管理和運行支撐成本較高,它是實現點對點連接的最佳解決方案,但要實現任意位置的遠程安全接入,SSL VPN要理想得多。

應用優勢

SSL VPN不需要複雜的客戶端支撐,這就易於安裝和配置,明顯降低成本。IPSec VPN需要在遠程終端用戶一方安裝特定設備,以建立安全隧道,而且很多情況下在外部(或非企業控制)設備中建立隧道相當困難。另外,這類複雜的客戶端難於升級,對新用戶來說面臨的麻煩可能更多,如系統運行支撐問題、時間開銷問題、管理問題等。IPSec解決方案初始成本較低,但運行支撐成本高。如今,已有 SSL/TLS開發商能提供網絡層支持,進行網絡應用訪問,就如同遠程機器處於LAN中一樣;同時提供應用層接入,進行Web應用和許多客戶端/服務器應用訪問。

作者:洪開榮 原文地址:http://www.linkwan.com/gb/tech/vpn/05101701.htm

Related Post

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.