您当前的位置:首页 > 电脑百科 > 网络技术 > 网络技术

虚拟网络VPN的实现技术

时间:2020-07-02 10:34:43  来源:  作者:

VPN的实现技术主要包括:

  1. L2TP协议

L2TP是一种基于PPP的二层隧道协议。在由L2TP构建的VPN中,有两种类型的服务器,一是L2TP访问集中器LAC(L2TP Access Concentrator),附属在网络上的具有PPP端系统和L2TP协议处理能力的设备,为用户提供认证的网络接入服务器;二是L2TP 网络服务器LNS(L2TP Network Server),PPP端系统上用于处理L2TP协议服务器端部分的软件。

LNS和LAC存在两种连接类型,Tunneling连接和会话(Session)连接。

前者定义一个 LNS和LAC对;后者复用在隧道连接之上,表示隧道连接的每个PPP会话过程。

L2TP连接维护和PPP数据传送通过L2TP消息交换完成,L2TP消息分为两种:控制消息和数据消息。

控制消息用于隧道连接、会话连接建立与维护,数据消息用于承载用户PPP的数据包。消息通过UDP的1701端口承载于TCP/IP之上,图5-34所示应用L2PT构建的VPN服务。

网络安全防护-虚拟网络VPN的实现技术

 

在L2TP构建的VPN中,L2TP协议网络组件包括三部分:

①远端系统,是接入VPDN网络的远地用户和分支机构,通常是拨号用户的一台主机或私有网络的路由设备。

②LAC,是附属在交换网络上的具有PPP端系统和L2TP协议处理能力的设备,通常是当地ISP的一个NAS,为PPP类型的用户提供接入服务。

LAC位于LNS和远端系统之间,用于LNS和远端系统之间传递信息包。

LAC从远端系统收到信息包按照L2TP协议封装发送LNS,同时从LNS收到信息包解封装发送远端系统。

LAC与远端系统采用本地连接或PPP链路,VPN应用为PPP链路。

③LNS,既是PPP端系统又是L2TP协议服务器端,通常作为企业内部网的一个边缘设备。

LNS作为L2TP隧道的另一侧端点即LAC的对端设备,LAC进行隧道传输的PPP会话逻辑终止端点。

通过在公网中建立L2TP隧道,将远端系统PPP连接的另一端延伸至企业网内部LNS。

  1. IPSec协议

IPSec(Internet Protocol Security)是一种开放标准的框架结构,使用加密服务确保Internet通讯安全而顺畅。L2TP没有解决隧道加密和数据加密问题,IPSec协议集多种安全技术,可以建立一个安全、可靠的隧道。

安全技术包括:Diffie Hellman密钥交换技术,DES、RC4、IDEA数据加密技术,哈希散列算法Hmac、MD5、SHA,数字签名技术。

IPSec是一个应用于IP层上网络数据安全的用于认证、机密性和完整性的标准协议包,包括认证协议(Authentication Header,AH)、封装安全载荷协议(Encapsulating Security Payload,ESP)、密钥管理协议(Internet Key Exchange,IKE)和用于认证与加密的算法如DES、IDEA等。

IPSec是一个第三层VPN协议,定义了如何在对等层之间选择安全协议、安全算法和密钥交换,向上层提供访问控制、数据源验证、数据加密等安全服务;各协议之间的关系如图5-35所示。

网络安全防护-虚拟网络VPN的实现技术

 

①AH为IP数据包提供无连接的数据完整性和数据源身份认证,具有防重放攻击的能力。数据完整性校验通过消息认证码(如MD5)产生的校验值来保证;数据源身份认证通过在待认证数据中加入一个共享密钥实现;AH报头中可以防止重放攻击。

②ESP为IP数据包提供数据保密性、无连接的数据完整性、数据源身份认证以及防重放攻击保护。与AH相比,数据保密性是ESP的新增功能,数据源身份认证、数据完整性检验以及重放保护都是AH可以实现的。

③AH和ESP可以单独使用,也可以配合使用。通过这些组合模式,可以在两台主机、两台安全网管(防火墙和路由器)或主机与安全网关之间配置多种灵活的安全机制。

④解释域DOI将所有的IPSec协议捆绑在一起,是IPSec安全参数的主要数据库。

⑤密钥管理包括IKE协议和安全联盟(SA)等部分。IKE在通信系统之间建立安全联盟,提供密钥管理和密钥确定机制,是一个产生和交换密钥材料并协调IPSec参数的框架。IKE将密钥协商的结果保留在SA中,供AH和ESP以后通信时使用。

AH和ESP都支持两种模式:传输模式和隧道模式。传输模式IPSec对上层协议提供保护,用于两个主机之间的端到端通信。

隧道模式IPSec对所有IP包保护,用于安全网关之间,可以在Internet上构建VPN。使用隧道模式,在防火墙之后,内部网的一组主机不实现IPSec参加安全通信。

局域网边界的防火墙IPSec软件建立隧道模式SA,主机产生的未保护数据包通过隧道连接外部网络。

IPSec提供了两种安全机制,认证和加密。

认证机制使IP通信的数据接收方能够确认数据发送方的真实身份以及数据在传输过程中是否遭篡改;加密机制通过对数据进行编码来保证数据的机密性,以防数据在传输过程中被窃听。

AH定义了认证的应用方法,提供数据源和完整性认证;ESP定义了加密和可选认证的应用方法,提供可靠性保证。

在实际IP通信时,根据安全需求同时应用两种协议或选择一种。AH和ESP都提供认证服务,AH认证服务强于ESP,IKE用于密钥交换。

 

AH协议为IP通信提供数据源认证、数据完整性和反回放保证,保护通信免受篡改,不能防止窃听,适用于传输非机密数据、不提供机密性保护。

AH有传输、隧道两种工作模式。图5-36显示了两种IPSec鉴别服务的模式。

一种是在服务器和客户机之间直接提供鉴别服务,工作站和服务器共享受保护的密钥,使用传输模式的SA,鉴别处理是安全的。

另一种是工作站向公司防火墙鉴别自己身份,使用隧道模式的SA,访问整个内部网络或服务器不支持鉴别特征。

网络安全防护-虚拟网络VPN的实现技术

 

ESP协议为IP数据包提供数据保密性、无连接的数据完整性、数据源身份认证和防重放攻击保护,数据保密性是基本功能,数据源身份认证、数据完整性检验以及重放保护是可选功能。ESP可以单独使用,也可以和AH结合使用。

一般ESP不加密整个数据包,只加密IP包的有效载荷部分,不包括IP头;在端到端的隧道通信中ESP加密整个数据包。

ESP有传输、隧道两种工作模式,图5-37显示了ESP服务的传输模式,图5-38显示了ESP服务的隧道模式,前者在两个主机之间提供加密和鉴别服务,后者使用隧道模式建立VPN。

网络安全防护-虚拟网络VPN的实现技术

 


网络安全防护-虚拟网络VPN的实现技术

 

图5-39显示了ESP隧道模式的一个例子,一个组织有4个专用网络通过Internet连接起来。

网络安全防护-虚拟网络VPN的实现技术

 

内部网络主机使用Internet传输数据,不是同基于Internet的其它主机交互。在每个内部网络的安全网关上终止隧道,允许主机避免安全能力。

  1. SSL协议

最新研究表明,90%的企业利用VPN访问Web和电子邮件通信,10%的用户用于聊天协议和私有客户端应用。

90%的应用可以利用简单、低成本的VPN技术------SSL VPN提供安全服务。

SSL安全套接层协议层(Secure Sockets Layer)是一种在Web服务协议(HTTP)和TCP/IP之间提供数据连接安全性的协议,为TCP/IP连接提供数据加密、用户与服务器身份验证和消息完整性验证。

SSL被视为因特网上Web浏览器和服务器的安全标准。

SSL安全协议提供三方面的安全服务:

①用户和服务器的合法性认证。

认证用户和服务器的合法性,使得它们确信数据被发送到正确的客户机和服务器;客户机和服务器都有各自的识别号,由公开密钥编号,SSL协议在握手交换数据时进行数字认证,以此确保用户的合法性。

②数据以加密方式被传送。

SSL采用的加密方式既有对称密钥技术、也有公开密钥技术。

客户机与服务器交换数据之前,交换SSL初始握手信息,SSL握手信息采用了各种加密技术,保证其机密性和完整性,并且用数字证书鉴别,防止非法用户破译。

③保护数据的完整性。

SSL采用Hash函数和机密共享的方法提供信息的完整性服务,建立客户机与服务器之间的安全通道,SSL处理的业务在传输过程中完整、准确无误到达目的地。

SSL 安全协议包括两个工作阶段:

①握手阶段,客户端和服务器用公钥加密算法计算出私钥。

②数据传输阶段,客户端和服务器都用私钥加密、解密传输过来的数据。

③在TCP连接建立之后,SSL客户端发出一个Hello消息握手,消息包括自己可实现的算法列表和其它需要的消息。

④SSL服务器回应一个类似Hello消息,确定通信需要的算法,并发送自己的证书。

⑤SSL客户端收到消息后生成一个消息,用SSL服务器公钥加密后传送过去,SSL服务器用自己私钥解密,会话密钥协商成功,双方用私钥算法进行通信。

SSL安全协议认证工作流程:

①服务器认证阶段

客户端向服务器发送一个Hello信息开始一个新的会话连接;

服务器根据客户信息确定是否生成新的主密钥,若需要,服务器在响应客户Hello信息时包含生成主密钥所需信息;

客户根据收到的服务器响应信息,产生一个主密钥,用服务器公开密钥加密后传送给服务器;

服务器恢复主密钥,返回给客户一个用主密钥认证的信息,让客户认证服务器。

②用户认证阶段

在此之前,服务器已经通过了客户认证,这一阶段主要完成对客户的认证;

经认证的服务器发送一个提问给客户,客户则返回数字签名后的提问和其公开密钥,从而向服务器提供认证。

SSL有限支持windows应用或非Web系统,大多数SSL VPN都是基于Web浏览器工作,远程用户不能在Windows,、UNIX、linux、AS400 或大型系统上进行非Web应用。

SSL为访问资源提供有限安全保障,基于SSL的Web浏览器进行VPN通信,对用户来说外部环境并不安全;

因为SSL VPN只对通信双方某个应用通道加密,不对通信双方主机之间的整个通道加密。

图5-40显示应用SSL构建的VPN服务,为HTTP服务通道加密

网络安全防护-虚拟网络VPN的实现技术

 

我是木子雨辰,一位信息安全领域从业者,@木子雨辰将一直带给大家信息安全知识,每天两篇安全知识、由浅至深、采用体系化结构逐步分享,大家有什么建议和问题,可以及留言,多谢大家点击关注、转发、评论,谢谢大家。

大家如果有需要了解安全知识内容需求的可以留言,沟通,愿与大家携手前行。



Tags:VPN   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
实验拓扑 图 1-1注:如无特别说明,描述中的 R1 或 SW1 对应拓扑中设备名称末尾数字为 1 的设备,R2 或 SW2 对应拓扑中设备名称末尾数字为 2 的设备,以此类推;另外,同一网段中,IP 地...【详细内容】
2021-11-24  Tags: VPN  点击:(39)  评论:(0)  加入收藏
在昨天的微信《远程办公危机四伏,到底该pick谁给你保驾护航?》中介绍了远程员工应该具备的四大安全工具,今天继续分享干货:05 双因子令牌在理想的情况下,每个人都会对所有的关键...【详细内容】
2021-10-26  Tags: VPN  点击:(32)  评论:(0)  加入收藏
本报记者 裴昱 北京报道在中国加入WTO 20周年之际,多项领域的对外开放正在持续深入,这其中,普遍被外界认为是敏感领域的电信增值业务,也迎来了更大力度的开放措施,而且,此次开放进...【详细内容】
2021-10-21  Tags: VPN  点击:(47)  评论:(0)  加入收藏
据ExpressVPN 9月16日报道,ExpressVPN 9月16日宣布加入伦敦证券交易所上市公司Kape Technologies的计划,以提升其推进数字版权的能力及加速成为数字隐私领域的全球领导者。两...【详细内容】
2021-09-17  Tags: VPN  点击:(79)  评论:(0)  加入收藏
VPN英文全称是“Virtual Private Network”,也就是“虚拟专用网络”。虚拟专用网络就是一种虚拟出来的企业内部专用线路、这条隧道可以对数据进行几倍加密达到安全使用互联网...【详细内容】
2021-09-14  Tags: VPN  点击:(45)  评论:(0)  加入收藏
养成良好习惯,在安装前先更新一下软件包,多数软件包更新主要是修补漏洞。 更新 CentOS 软件包yum -y update虽然也是可以不进行更新直接安装。安装 OpenVPN 和...【详细内容】
2021-09-02  Tags: VPN  点击:(105)  评论:(0)  加入收藏
VPN详解一、VPN介绍 什么是vpn?# VPN是虚拟专用网络的缩写,它是两个或多个物理网络(或设备)之间沟通互联网/公共网络创建的虚拟网络,可以为企业之间或者个人与企业之间提供安...【详细内容】
2021-09-02  Tags: VPN  点击:(65)  评论:(0)  加入收藏
IPSEC VPN 和SSL VPN是目前远程用户访问内网的两种主要vpn隧道加密技术。那么二者有什么区别,企业如何根据自己的业务场景来选择使用哪种vpn呢?封装位置:IPSEC和SSL是两个不同...【详细内容】
2021-07-29  Tags: VPN  点击:(508)  评论:(0)  加入收藏
Virtual Private Network翻译为虚拟专用网络,简称VPN,多用于企业网络,还用于网络游戏加速。VPN通过在公用网络(因特网或其他专用网络)上建立专用网络,进行加密通讯,常用协议有PPT...【详细内容】
2021-06-09  Tags: VPN  点击:(401)  评论:(0)  加入收藏
如今,大家对于VPN的使用已是家常便饭,各种类型的VPN的技术也是五花八门。但哪种VPN协议适合我?面对层出不穷的新技术,我该如何进行选择?下面要介绍的这个案例或许可以为我们提供...【详细内容】
2021-06-01  Tags: VPN  点击:(170)  评论:(0)  加入收藏
▌简易百科推荐
写一个shell获取本机ip地址、网关地址以及dns信息。经常会遇到取本机ip、网关、dns地址,windows一个命令ipconfig /all全部获取到,但linux系统却并非如此。linux系统都自带ifc...【详细内容】
2021-12-27  K佬食古    Tags:shell   点击:(2)  评论:(0)  加入收藏
步骤1、配置 /etc/sysconfig/network-scripts/ifcfg-eth0 里的文件。it动力的CentOS下的ifcfg-eth0的配置详情:[root@localhost ~]# vim /etc/sysconfig/network-scripts/ifc...【详细内容】
2021-12-24  忆梦如风    Tags:网卡   点击:(10)  评论:(0)  加入收藏
1、查找当前目录下所有以.tar结尾的文件然后移动到指定目录find . -name “*.tar” -execmv {}./backup/ ;注解:find –name 主要用于查找某个文件名字,-exec 、xargs可...【详细内容】
2021-12-17  郭主任    Tags:运维   点击:(20)  评论:(0)  加入收藏
对于经常上网的朋友来说,除了手机购物上网,pc端玩网页游戏还是很多小伙伴首选的,但是有时候明明宽带链接上了,打开浏览器却出现上不了网的现象,下面小编要来跟大家说说电脑有网络...【详细内容】
2021-12-16  小白系统    Tags:网页无法打开   点击:(28)  评论:(0)  加入收藏
在访问像github、gitlab这样的外国网站时,很有可能会出现页面加载不出来或找不到页面的错误。这时候有的朋友就会以为是网络的问题,于是把Wifi断掉连上自己手机的热点,结果却还...【详细内容】
2021-12-15  启施技术IT狼叔    Tags:外网   点击:(16)  评论:(0)  加入收藏
网络地址来源:获取公网IP地址 https://ipip.yy.com/get_ip_info.phphttp://pv.sohu.com/cityjson?ie=utf-8http://www.ip168.com/json.do?view=myipaddress...【详细内容】
2021-12-15  韦廷华12    Tags:外网ip   点击:(15)  评论:(0)  加入收藏
准备好软件IPOP、用ENSP模拟一下华为交换机 启动交换机 <Huawei>sysEnter system view, return user view with Ctrl+Z.[Huawei]sysname FTPClient[FTPClient]interface vla...【详细内容】
2021-12-15  思源Edward    Tags:交换机   点击:(24)  评论:(0)  加入收藏
我们经常用到netstat命令查看主机连接状况,包括连接ip、端口、状态等,今天就练习下shell分析netsat结果。描述假设netstat命令运行的结果我们存储在nowcoder.txt里,格式如下:Pro...【详细内容】
2021-12-14  K佬食古    Tags:netstat   点击:(19)  评论:(0)  加入收藏
什么是滑动窗口?窗口是操作系统开辟的一块缓存空间,发送方在收到接收方ACK应答之前,必须在缓冲区保留已发送的数据,如果按期收到确认应答,数据就可以从缓冲区移除。什么是滑动窗...【详细内容】
2021-12-14  DifferentJava    Tags:TCP   点击:(30)  评论:(0)  加入收藏
概述日常管理华为路由设备过程中,难为会忘记设备登录密码,那么该如何重置设备登录密码吗?本期文章将全面向各位小伙伴总结分享。重置华为设备登录密码思路先行 采用console登录...【详细内容】
2021-12-10  onme0    Tags:   点击:(27)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条