1 / 61

第三章

第三章. VPN 技术. 第三章 VPN 技术. 了解各种隧道协议 了解各种 VPN 技术 掌握 VPN 的功能 熟练掌握 IPSec 和 SSL 的工作原理. 本章要点. 第三章 VPN 技术. 本章内容. §3 .1 VPN 概述. §3.2 实现 VPN 的隧道协议. §3.3 实验—— 建立内部虚拟网. 3.1 VPN 概述. VPN 的功能 :. 加密数据、信息验证和身份识别、支持多种协议、访问控制。. 安全 VPN 技术:. 隧道技术、加密技术、密钥管理技术、认证技术. 3.1 VPN 概述(2).

lloyd
Download Presentation

第三章

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 第三章 VPN技术

  2. 第三章 VPN技术 了解各种隧道协议 了解各种VPN技术 掌握VPN的功能 熟练掌握IPSec和SSL的工作原理 本章要点

  3. 第三章 VPN技术 本章内容 §3.1 VPN概述 §3.2 实现VPN的隧道协议 §3.3 实验——建立内部虚拟网

  4. 3.1 VPN概述 VPN的功能: 加密数据、信息验证和身份识别、支持多种协议、访问控制。 安全VPN技术: 隧道技术、加密技术、密钥管理技术、认证技术

  5. 3.1 VPN概述(2) VPN的分类 • 按应用 范围划分 • 按VPN的接入方式划分 • 按VPN的实现方式划分 • 按隧道协议划分

  6. 按应用范围划分VPN • Intranet VPN • Access VPN • Extranet VPN

  7. 按接入方式划分VPN • 专线VPN • 拨号VPN

  8. 按实现方式划分VPN • 硬件VPN • 软件VPN • 辅助硬件平台VPN

  9. 按隧道协议划分VPN • 第二层隧道协议VPN • 第三层隧道协议VPN • 第2.5层隧道协议VPN • 第四层隧道协议VPN

  10. 3.2 实现VPN的隧道协议 基于第二层隧道协议 基于第三层隧道协议 基于第2.5层隧道协议 基于第四层隧道协议

  11. 基于第二层隧道协议 PPTP:点对点隧道协议。最早由微软开发,它将PPP帧封装在IP数据包内通过IP网络传输。通过用户ID和口令,PPTP能够提供经过认证和加密的通信。 L2TP:PPTP协议与第二层转发协议(Layer2 Forwarding,L2F)相结合,构成了隧道协议——L2TP,它能够支持多路隧道,从而使得用户可以同时访问Internet和企业网。 二者 区别

  12. PPTP数据包的封装 PPTP使用一个TCP连接对隧道进行维护,使用通用路由封装(GRE)技术把数据封装成PPP数据桢通过隧道传送。可以对封装PPP桢中的负载数据进行加密和压缩。

  13. PPTP和L2TP的区别 PPTP与L2TP均使用PPP协议对数据进行封装,然后添加附加包头用于数据在网络中能够传输。虽然它们有很多功能相似,但仍然存在区别: 1)PPTP要求互联网为IP网络;而L2TP能够在IP、X.25、ATM等网络上使用。 2)PPTP只能在两端点间建立单一隧道;L2TP可以在两个端点之间建立多个隧道。用户可根据不同的服务质量创建不同的隧道。 3)PPTP不支持隧道验证;L2TP提供了此项功能。可通过与Ipsec共同使用,由Ipsec提供隧道认证。

  14. 基于第三层隧道协议 IPSec是IETF正在完善的安全标准,它把几种安全技术结合在一起形成一个较为完整的体系,受到了众多厂商的关注和支持。 IPSec位于网络层,对通信双方的IP数据分组进行保护和认证,对高层应用透明。IPSec能够保证IP网络上数据的保密性、完整性,并提供身份认证。 拥有密钥自动管理功能,优于PPTP/L2TP

  15. 基于第三层隧道协议(2) IPSEC安全体系结构 安全关联与策略 AH协议 基于第三层隧道协议 ESP协议 密钥管理 IPSec的应用

  16. IPsec 安全体系

  17. IPsec 安全体系(2) AH协议定义了认证的应用方法 ; ESP协议定义了加密和可选认证的应用方法; DOI:包含了一些参数,如允许的加密和鉴别算法标识,以及运行参数等。 密钥管理:主要由IKE协议负责密钥管理模式; 策略:决定两个实体之间能否进行通信以及如何通信。策略的核心部分由安全关联(SA)、安全关联数据库(SAD)、安全策略数据库(SPD)组成。

  18. 安全关联与策略 安全关联(SA) • 是发送者和接收者两个IPSec系统之间的一个简单的单向逻辑连接,是与给定的一个网络连接或一组网络连接相关联的安全信息参数集合:源/目的地址、应用协议、Spi、所用算法/密钥/长度。 安全关联数据库(SAD) • 用于存放SA,为进入/外出包处理维持一个活动的SA列表。 安全策略数据库(SPD) • 安全策略决定了为一个数据包提供的安全服务,它保存在SPD中 。

  19. AH协议 AH(Authentication Header)本质是为IP协议提供数据完整性校验和身份验证,它还具备可选择的重放攻击保护,但不提供数据机密服务。其头部格式如图所示:

  20. AH协议(2) Next Header: 下一个头的类型 Payload Length:AH的长度(32位字为单位) SPI:用来标识SA Sequence Number:用来避免重放攻击 Authentication Data:可变长度的域,包含针对这个包的ICV或者MAC

  21. AH的I/O处理 IPsec隧道模式I/O处理: 为实现在专用或公共IP网络上的安全传输,IPSEC隧道模式使用的安全方式封装和加密整个IP包。然后对加密的负载再次封装在明文IP包头内通过网络发送到隧道服务器端;隧道服务器对收到的数据报进行处理,在去除明文IP包头,对内容进行解密之后,获得最初的负 载IP包。负载IP包在经过正常处理后被路由到位于目标网络的目的地(举例说明)。

  22. AH的工作模式: 传输模式 隧道模式 AH协议(3)

  23. AH传输模式 不改变数据包IP地址,在IP头和IP数据负载间插入一个AH头:

  24. AH隧道模式 生成一个新的IP头,把AH和原来的整个IP包放到新IP包的负载数据中:

  25. ESP协议 ESP(Encapsulating Security Payload)主要用于提供加密和认证功能。它通过在IP分组层次进行加密从而提供保密性,并为IP分组载荷和ESP报头提供认证。其头部结构如图所示。

  26. ESP协议处理过程 ESP输出过程: 1)根据目的IP地址和端口查找SA:找到对数据包进行IPSec处理相关的SA; 2)分组加密; l封装:对于传输模式,只封装原始上层协议信息; 对于隧道模式,封装整个原始的IP数据包; l增加填充; l加密:使用SA指定的密钥、加密算法、算法模式和加密同步数据进行加密; 3)产生序列号; 4)完整性校验计算; 5)分片。

  27. ESP协议处理过程(2) ESP输入过程:接收到一个ESP的包后,进行如下处理: 1)分片重组; 2)SA查找:根据目的IP地址、安全协议(ESP)和SPI值确定SA,如果不存在,则丢弃该包,处理结束,否则进入下一步; 3)确认序列号:检查序列号是否有效,通过采用滑动窗口拒绝分组重复。 4)完整性校验值确认:利用相应的验证算法对该ESP包验证,如果其结果与“验证数据”字段中包含的数据相符,表明验证成功,进入下一步,否则丢弃该包,处理结束; 分组解密从SA取得密钥和密码算法,完成数据解密工作。

  28. ESP的工作模式: 传输模式 隧道模式 ESP工作模式

  29. ESP传输模式 ESP传输模式与AH传输模式作用相同,并且ESP头也位于IP头部之后和需要保护的上层协议之间。下图为ESP的传输模式。从图中可以看出,与AH传输模式相比较,ESP的传输模式还多了ESP尾和ESP验证数据。

  30. ESP隧道模式 ESP隧道模式与AH隧道模式功能相同。它在隧道模式中,IP报头是认证的一部分。下图是ESP隧道模式,可以对整个原始数据分组进行加密和认证。而传输模式时,仅对IP包有效载荷加密,不对IP头加密。

  31. 密钥管理—IKE协议 IPSec密钥管理中,使用了Internet密钥交换(IKE协议。IKE协议属于应用层的协议,其目的是产生一个通过验证的密钥和提供双方同意的安全服务,即“IPSec安全关联(IPSec SA)”。 IKE是一个混合协议,使用到了三个不同协议的相关部分,这三个协议分别是:Internet安全关联和密钥管理协议(ISAKMP)、Oakley密钥确定协议和SKEME。

  32. 密钥管理(2) ISAKMP 定义了协商、建立、修改和删除SA的过程和包格式,它提供了一个通用的SA属性格式框架和一些可由不同密钥交换协议使用的协商、修改、删除SA的方法。它使得通信双方能够向对方提供自己支持的功能,从而协商共同的安全属性。

  33. 密钥管理(3) ISAKMP的两个协商阶段 • ISAKMP会在通信双方建立一个ISAKMP SA,实际是在双方之间通过协商建立了一个安全通道。 • 用于建立其他安全服务(如AH或ESP)的SA,即利用第一阶段建立的安全通道,为具体的安全协议建立SA。

  34. 密钥管理(4) IKE协议 • IKE是一个混合协议,它使用了三个不同协议的相关部分。IKE是基于两个阶段的ISAKMP来建立SA的。 • 阶段一:建立IKE SA,为其后的交换提供一个安全的通信信道。 • 阶段二:利用IKE SA建立IPSec SA。

  35. 密钥管理(5) IKE在不同阶段的交换模式 • 协商的第一阶段所采用的交换模式 :主模式 和野蛮模式 • 协商第二阶段采用的交换模式 :快速交换模式

  36. IPSec的应用 IPSec的应用 堆栈中的块 (BITS) 与操作系 统集成 硬件实施

  37. 基于2.5层隧道协议 MPLS属于第三代网络架构,是新一代的IP高速骨干网络交换标准,由IETF所提出。它是结合了IP 和ATM的特点,即在Frame Relay及ATM Switch上结合路由功能,使数据包通过虚拟电路来传送,并在OSI第二层(数据链结层)执行硬件式交换,这样取代了第三层(即网络层)软件式路由的交换方式。 MPLS介于第二层和第三层之间,把第二层的链路状态信息集成到第三层的协议数据单元中,将第二层的高速交换能力和第三层的灵活特性结合起来,并且引入了基于标记的机制。

  38. MPLS网络 LER LSR LER LER IP 基于二、三层隧道协议(2) MPLS网络主要由核心部分的标记交换路由器(LSR)、边缘部分的标记边缘路由器(LER)组成。

  39. 基于第四层隧道协议 SSL VPN是基于安全套接字协议(Secure Socket Layer,SSL)的一种VPN解决方案。与传统的IPSec VPN技术相比,SSL VPN具有较高的可用性、较好的可扩展性,并且管理和部署成本较低。 SSL是一种在Internet上提供私密性保证的安全协议,被广泛应用于Web浏览器程序和Web服务器程序,其主要功能有:服务器认证、客户机认证、保证传输信息的保密性和完整性。

  40. 基于第四层隧道协议(2) SSL协议体系结构 应用层 SSL握手 协议 SSL更改 密码协议 SSL警报 协议 HTTP SSL记录协议 TCP IP

  41. 基于第四层隧道协议(3) SSL记录协议

  42. 客户端 服务器端 client _ hello 第一阶段 server _ hello 服务器证书 server _ key _ exchange 第二阶段 certificate _ request server _ hello _ done 客户端证书 第三阶段 client _ key _ exchange certificate _ verify change _ cipher _ spec finished 第四阶段 change _ cipher _ spec Finished 基于第四层隧道协议(4) SSL握手协议

  43. 基于第四层隧道协议(5) SSL VPN工作原理 首先,由SSL VPN生成自己的根证书和服务器证书。接着,客户端浏览器下载并导入SSL VPN的证书。并通过HTTPS协议向SSL VPN发送认证请求,SSL VPN接受请求,客户端实现对SSL VPN服务器的认证。然后,服务器通过口令方式(或数字证书等多重认证方式)认证客户端。这样,就在浏览器和SSL VPN服务器之间建立了一条SSL安全通道。

  44. SSL典型应用 远程用户拨号连入企业内网VPN Web反向代理 LAN 到LAN

  45. SSL典型应用——Web反向代理

  46. SSL典型应用——LAN到LAN

  47. SSL VPN的特点 优点: 易于安装、操作简便:无需安装客户端软件,只需要Web浏览器即可。 安全性高:能够提供认证加密、访问控制等多种功能。 用户可以不受上网方式的限制:SSL VPN工作在传输层之上,使用标准的HTTPS协议传输数据,可以穿越防火墙,避免了抵制转换NAT的问题。而在IPSec VPN中,工作在网络层之上,并不能很好地解决包括NAT转换、防火墙穿越的问题。 缺点: 对于非Web系统支持有限。 只能为访问资源提供有限安全保障:当使用基于SSL协议通过Web浏览器进行VPN通信时,对用户来说外部环境并不是完全安全的。因为SSL VPN只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密。

  48. 3.3 实验:建立内部虚拟网 实验目的 实验内容 实验步骤 实验过程演示 思考题

  49. 实验目的 学习linux下的VPN技术:CIPE 理解CIPE的隧道机制 掌握CIPE VPN的安装 掌握CIPE VPN的配置 掌握CIPE VPN的使用

  50. 实验内容 使用两台Redhat Linux 9.0服务器,在这两台服务器所属局域网之间,通过Internet创建一条CIPE VPN连接。

More Related