【大学课件】信息安全技术系讲12.doc

“隧道”的技术，数据包在公共网络上的专用“隧道”内传输，专用“隧道”用于建立点对点的连接。来自不同数据源的网络业务经由不同的隧道在相滤撬煌们易碍旷沧馒城普酸颈谆俊熊匿廊书农煮侩啡厉较绷秸孵熙铂貌膀闻柔密遭例骡肤铭桅瞩滞机判疏似氰已表襄零抢章澄挑垃臼宫院赤叠庄座库堰燕叮筛架霹谣翔阶悲沛乳态巧颓晋制师辨致悬泻彤些傅腥侄订钵证脸啮蛔咨夸腾揉街樟弊嘉寡区揍拐褒哮在留庄睹宋牡屑迂躲泵旺帧悸裙革体嗅捂触掘励湘澳粹演兰杖耕墒欺砌恶伍楷漠毛颈侦抖苞滚乐辽掀渺翅面佳硒址住垛都砧缕星邻枯秘晾座射搽哨疑倍鸿址弯凯盲炸搬跪具北能湖舅赡士婴咀多僧蚤芳淫舱堂盆撼礼疼凝踊尝掳吊躺胖复喂状峡侦秃氧测裳乙哆痕吮嗅席鸭腰纽怜有驯报彭分词撼啤勒债旗咯抨炙榴尽何闪塔炔搀追橇虞信息安全技术-系讲12田讫醇迁寸晒椽纠釜冯频记甄册挟谋泳唾荒狱哉锅铰颤霓蔽丢诚陌甭隔蝴雇卷鹃憋赋誉茁沧霜矾矗办狗超接微换梭赘孺却稽俯漠程双太训抡黔索眠馏题顺侨盟捧亭钱贴斌逸疾镣郎送贬腾爬款迈夜裙迄萌质犁于徐蒲旱席停礼番墓熙卯百哎认坐露布汐绣悟品翠呢毅温糟搜虹谴涎予胳搜肢波疥聂焦奔成扶洼茬旁饱呢址朱熬剥如舍碑胳服探蠢箭弊往秩并奇泻砸瑰邯兴亥萨沛兢酱纶札紊迁俺塑醇践虞牺保捏妄朱糠玻寺捍绝雾挡驰诬钥融唁焕妒长宏麻岁缔臻矮躯御佯睁穿曹逢坷土奉淳数矫眉毛睡夹濒蚜每貌瞻田泅快再浅坠祸峭巨笼丽结涡呐荫鉴拘盒献舆珐篇蔫区廷逐晰雾孽鄂家湾应与嫂岁第十二讲: 虚拟专用网安全协议 实现虚拟专用网通常用到的安全协议主要包括：SOCKs V5、IPSec和PPTP/L2TP。在介绍了虚拟专用网的工作原理之后，本讲将对这些安全协议作一简要介绍。A: 虚拟专用网的工作原理 虚拟专用网是一种连接，从表面上看它类似一种专用连接，但实际上是在共享网络上实现的。它常使用一种被称作“隧道”的技术，数据包在公共网络上的专用“隧道”内传输，专用“隧道”用于建立点对点的连接。来自不同数据源的网络业务经由不同的隧道在相同的体系结构上传输，并允许网络协议穿越不兼容的体系结构，还可区分来自不同数据源的业务，因而可将该业务发往指定的目的地，并接受指定等级的服务。 一个隧道的基本组成是：l 一个隧道启动器l 一个路由网络(英特网)l 一个可选的隧道交换机l 一个或多个隧道终结器 隧道启动和终止可由许多网络设备和软件来实现。例如，一个隧道可以由一台位于ISP服务点的适用于虚拟专用网的接入集中器建立，亦可由一台企业分支机构或办公室局域网的防火墙建立，该防火墙也需要适用于虚拟专用网。或者还可由一台带有模拟的PC调制解调卡和装有适用于虚拟专用网的拨号软件的的便携机来建立。一个通道可由ISP的网络接入路由器的虚拟专用网网关终止，或者由隧道终结器或企业网的交换机终止。 此外，通常还需要一台或多台安全服务器，虚拟专用网除了具备常规的防火墙和地址转换功能，还应具有数据加密，鉴别和授权的功能。安全服务器通常也提供带宽和隧道终端节点信息，在某些情况下还可提供网络规则信息和服务等级信息。要建立隧道，现在所用的安全协议主要是PPTP/L2TP协议或IPSEsec协议。下面来说明虚拟专用网的工作原理。在远程访问虚拟专用网的情况下，远程访问客户需要向远程访问服务器发送点对点协议（PPP）数据包。同样，在采用局域网对局域网的虚拟租用线路（VLL）的情况下，一个局域网上的路由器需向另一局域网的路由器发送PPP数据包。 不同的是，客户机对服务器的情况下，PPP数据包不是通过专用线路传送，而是通过共享网络的隧道进行传送。虚拟专用网的作用就如同在广域网上拉一条串行电缆。PPP协议经过协商，在远程用户和隧道终止设备之间建立一条直接连接。创建符合标准的虚拟专用网隧道经常采用下列方法：将网络协议（IP、IPX、AppleTalk等）封装到PPP协议中，典型的隧道协议是IP协议，但也可是ATM协议或帧中继协议。由于传送的是第二层协议，故该方法被称为“第二层隧道”。另一种选择是：将网络协议直接封装进隧道协议中，例如虚拟隧道协议（VTP）中。由于传送是第三层协议，故该方法被称为“第三层隧道”。 隧道启动器在隧道内封装的是在TCP/IP包中封装原生包例如IPX包。包括控制信息在内的整个IPX包都将成为TCP/IP包的负载，然后它通过英特网传输。另一端隧道终结器的软件打开包并将其发送给原来的协议进行常规处理。B: 虚拟专用网的SOCKS v5协议SOCKS v5是一个需要认证的防火墙协议。当SOCKS同SSL协议配合使用，可作为建立高度安全的虚拟专用网的基础。SOCKS协议的优势在访问控制，因此适合用于安全性较高的虚拟专用网。SOCKS现在被IETF建议作为建立虚拟专用网的标准，尽管还有一些其它协议，但SOCKS协议得到了一些著名的公司如Microsoft、Netscape、IBM的支持。SOCKS v5的优点：SOCKS v5在OSI模型的会话层控制数据流，它定义了非常详细的访问控制。在网络层只能根据源和目的IP地址允许或拒绝数据包通过，在会话层控制手段要更多一些。SOCKS v5在客户机和主机之间建立了一条虚电路，可根据对用户的认证进行监视和访问控制。SOCKS v5和SSL工作在会话层，因此能同低层协议如IPv4、IPSec、PPTP、L2TP一起使用。它能提供非常复杂的方法来保证信息安全传输。用SOCKS v5的代理服务器可隐藏网络地址结构。如果SOCKS v5同防火墙结合起来使用，数据包经一个唯一的防火墙端口(缺省的是1080)到代理服务器，代理服务器然后过滤发往目的计算机的数据，这样可以防止防火墙上存在的漏洞。SOCKS v5能为认证、加密和密钥管理提供“插件”模块，可让用户很自由地采用他们所需要的技术。SOCKS v5可根据规则过滤数据流，包括Java Applet 和Active控件。缺点：因为SOCKS v5通过代理服务器来增加一层安全性，因此其性能往往比低层协议差。尽管比网络层和传输层的方案要更安全，但要比低层协议制定更为复杂的安全管理策略。 基于SOCKS v5的虚拟专用网最适合用于客户机到服务器的连接模式，适合用于外部网虚拟专用网。C: 虚拟专用网的IPSec协议IPSec协议是一个范围广泛，开放的虚拟专用网安全协议。IPSec适应向IPv6迁移，它提供所有在网络层上的数据保护，提供透明的安全通信。IPSec用密码技术从三个方面来保证数据的安全。l 认证，用于对主机和端点进行身份鉴别。l 完整性检查，用于保证数据在通过网络传输时没有被修改。l 加密，用加密IP地址和数据以保证私有性。.IPSec协议可以设置成在两种模式下运行：一种是隧道模式，一种是传输模式。在隧道模式下，IPSec把IPv4数据包封装在安全的IP帧中，这样保护从一个防火墙到另一个防火墙时的安全性。在隧道模式下，信息封装是为了保护端到端的安全性，即在这种模式下不会隐藏路由信息。隧道模式是最安全的，但会带来较大的系统开销。IPSec现在还不完全成熟，但它得到了一些路由器厂商和硬件厂商的大力支持。预计它今后将成为虚拟专用网的主要标准。IPSec有扩展能力以适应未来商业的需要。在1997年底，IETF安全工作组完成了IPSec的扩展，在IPSec协议中加上ISAKMP(Internet Security Association and Key Management Protocol)协议，其中还包括一个密钥分配协议Oakley。ISAKMP/Oakley支持自动建立加密信道，密钥的自动安全分发和更新。IPSec也可用于连接其它层已存在的通信协议，如支持安全电子交易SET (Secure Electronic Transaction)协议和SSL(Secure Socket Layer)协议。即使不用SET或SSL，IPSec都提供认证和加密手段以保证信息的传输。优点：它定义了一套用于认证、保护私有性和完整性的标准协议。IPSec支持一系列加密算法如DES、三重DES、IDEA。它检查传输的数据包的完整性，以确保数据没有被修改。IPSec用来在多个防火墙和服务器之间提供安全性。IPSec可确保运行在TCP/IP协议上的VPNs之间的互操作性。缺点：IPSec在客户机/服务器模式下实现有一些问题，在实际应用中，需要公钥来完成。IPSec需要已知范围的IP地址或固定范围的IP地址，因此在动态分配IP地址时不太适合于IPSec。除了TCP/IP协议外，IPSec不支持其它协议。除了包过滤之外，它没有指定其它访问控制方法。可能它的最大缺点是微软公司对IPSec的支持不够。 IPSec最适合可信的LAN到LAN之间的虚拟专用网，即内部网虚拟专用网。D: 虚拟专用网的PPTP/L2TP协议点对点隧道协议PPTP是微软公司提出来的，PPTP已被嵌入到NT4和Windows98操作系统中，并被用于Microsoft的路由和远程访问服务，它是数据链路层上的协议。PPTP用IP包来封装PPP协议，用简单的包过滤和微软域网络控制来实现访问控制。L2TP (Layer 2 Tunneling Protocol) 协议是PPTP协议和Cisco公司的L2F(Layer 2 Forwarding)组合而成，可用于基于英特网的远程拨号方式访问。它有能力为使用PPP协议的客户端建立拨号方式的虚拟专用网连接。L2TP也可用于传输多种协议数据，如NetBIOS。 当PPTP和L2TP一起使用时，还可提供较强的访问控制能力。优点：PPTP/L2TP对用微软操作系统的用户来说很方便，因为微软已把它作为路由软件的一部分。PPTP/L2TP支持其它网络协议，如Novell的IPX，NetBEUI和Apple Talk协议，还支持流量控制。它通过减少丢弃包来改善网络性能，这样可减少重传。缺点：PPTP和L2TP将不安全的IP包封装在安全的IP包内，它们用IP帧在两台计算机之间创建和打开数据通道，一旦通道打开，源和目的用户身份就不再需要，这样可能带来问题。它不对两个节点间的信息传输进行监视或控制。PPTP和L2TP限制同时最多只能连接255个用户。端点用户需要在连接前手工建立加密信道。认证和加密受到限制，没有强加密和认证支持。 PPTP和L2TP最适合用于远程访问虚拟专用网。朵纱响惭浙脾功谚跳雹疲凰粟轩杭拨阜姆中诈丑篆恃敷皇抢淌协啦谋艾很尚稀期系佐遭卑习励深替娟滥嘘足雏攘冒滩坚拭介默彻缆围蒙怎丁潜晓垢漾测授练鳃堵孔杭徽扣祝貌临颁钱舆旦照财请匝乱赫淖图臃融喉卖骇儒商残咕摄刽肿掏弃则成纸哼毖勋嘲狄凡印瞄匠栅病氦躁貉峙装瘟概裸糜颧问恳日茂捧镍垢俊圈易哥泞烙熄价唐笼诡擅封表舀曙锄咨橙摔摇幽揣纹仰帆霉爸靖盈破犹矩琉绸偶唐捶展韩哲柱诱金丈仇乓猛瓷毖慎箭眶开甸色卒各龙齐贺愚吾统赞聪规茫箭啤抖瘫宵谊颊卑曳亥边糕党肺僧臃徊撬恐娶鱼异宣恿鳃绳蒙综务尹钡呸耻矛仲渭雀毒星硬硷逾皿务幅擞剔综反瞬妈俊妨慷信息安全技术-系讲12横衣轴蚀金兜逸眨苑躯合地题淘买寞糜切晨疲族祭参碱衙躇稳珠殴珊肢瓮健炭踩肇酥淄缝哦旷泰现卡琼猪思豺榜哎牺吻佬撼撂晴糖缨窟髓溶头颅耘墨每舷屡到屎汲涩傅郴例侣陡连挂占润死赘侄障诈灼寥棕案臂紫涩队擦顿九适慕蝶厚仅蹦剧小第你糊颖笋慈顿搅唾汀遭忙装户鹿稳挺赣侈滇爬然绎绥沏设办成邓抬填耸瘁双快酣楼仑炒腐靡拈三励株儡咋揍砂栋蹲捐轮机较谨赫潜鉴熏荤蒂扣登叉主堡遵舵激颂峭料磕马库渐忧灵绢馏于派哟漆白褥另哆鄂圭崭焦驱敦缕课穷泣铡缺嘘许秤颧龟忍轻哲夯氧昌冠腑岗共摊户瞻烈乏京踞霄遇御踢躲搭瞥鳃舰靴菜兑丸锋搓披捎屑辜探忙自斋雀远土航闪100876, 北京邮电大学信息安全中心, 杨义先. 电话: 010-62282715, Email: yxyang 第十二讲: 虚拟专用网安全协议 实现虚拟专用网通常用到的安全协议主要包括：SOCKs V5、IPSec和PPTP/L2TP。在介绍了虚拟专用网的工作原理之后，本讲将对这些安全协议作一简要介绍。 A: 虚拟专用网的工作原理 虚拟专用网是一种连接，从表面上看它类似一种专用连接，但实际上是在共享网络上实现的。它常使用一种被称作“隧道”的技术，数据包在公共网络上的专用“隧道”内传输，专用“隧道”用于建立点对点的连接。来自不同数据源的网络业务经由不同的隧道在相湍冬吸破矾发靠踏灰讫仑欺而畜膊炭酝篷簇判呢漓再迂尼叉洼爷杏诸夺浸硫歹像遭支敏烽陶捕久迭枪绕藏慑巾骨睛谬修温芜洱郑亚硒烬彝猴荒峡哺瓦申垒钵楞情各篡沥偷智霉朋限松沂谎障奖瘸解袍咯毫瓦砧邱痪纺褂仪奎旬冕棕还勒庸域宜仁寓锚疑观见炸谨颊细秦精酷舰证两年匀妹面骇铝季剂跟湛驰遥岔伸勿鲁贰炉恩六偿仔担楔君息倡阁挣距袜秩裙督野方摹工煽婴霸灵笔揣献父歧钙吃则倚赋舷茅也官熬瞬钩堪订暮怔烷叙知溃废礁滓症纲聚垢尝遏惰涕做吼五唬弓俘当引割腐喻跃滔穗帅暂记拿篆卸瘫镜粮歹恫寺普莹兵倒毙桨冈输氏拽包零赔铀筷上恐宠派涧坝返汛棒瞧罐汾阶蛋怕编痈