安全网管技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
13
隧道技术
第二层隧道
– 把网络数据包封装在PPP协议中,PPP协议的数据包
放到隧道中传输 – L2TP、PPTP(集成在windows中,所以最常用)
第三层隧道
– 把网络数据包指直接在隧道中传输 – IPsec
利用隧道技术,理论上任何协议的数据都可以 透过IP网络传输
14
加密/ 加密/解密技术
18
安全协议
L2TP RFC2661定义 在Cisco公司的L2F和PPTP的基础上开发 使用并不普遍 统计数字
– 80%用PPTP,13%用Ipsec
19
VPN解决方案 VPN解决方案
一个VPN解决方案不仅仅是一个经过加密的隧 道,它包含
– 访问控制、认证、加密、隧道传输、路由选择、过
滤、高可用性、服务质量以及管理
2
参考资料: 参考资料:
参考资料: 安全体系结构的设计、部署与操作,常晓 波等译,清华大学出版社 Cisco Networkers 2003
– SEC-2011: Deploying Site-to-Site IPSec VPNs
3
VPN介绍 VPN介绍
Virtual Private Network 虚拟专用网
7
为什么选择VPN 为什么选择VPN
灵活性高
– 只要有Internet链路,随时可以建立VPN链路 – 对于单个用户,使用VPN可以在任何地方安
全访问内部网
8
VPN的类型 VPN的类型
每种VPN都具有特定的要求和优先权,实 现的目的、解决的问题也不同 用于移动工作者的远程访问
– Client-LAN VPN,也叫 Access VPN – 替代早期的拨号远程访问网络
– 成本的可扩展性,如使用令牌卡成本高 – 性能,是否考虑采用硬件加速加解密速度
10
VPN的特性考虑 VPN的特性考虑
可用性
– 系统对应用尽量透明 – 对终端用户来说使用方便
互操作性
– 尽量采用标准协议,与其他供应商的设备能互通
服务质量 QoS
– 通过Internet连接的VPN服务质量很大程度取决于
27
Access VPN
28
Access VPN在无线网下的应 VPN在无线网下的应 用
由于无线网提供的加密/解密手段不多, 很容易被窃听 无线网用户通过在无线网上使用PPTP VPN来增强安全性 无线网用户通过普通的网络连接到VPN Server,然后在无线网节点和VPN server 间建立VPN VPN可以保证从无线网节点到VPN Server 之间的通信都是安全的
23
Access VPN
Access VPN对用户的吸引力在于:
– 减少用于相关的调制解调器和终端服务设备 – – – –
的资金及费用,简化网络; 实现本地拨号接入的功能来取代远距离接入, 显著降低远距离通信的费用; 极大的可扩展性,简便地对加入网络的新用 户进行调度; 远端验证拨入用户服务(RADIUS)基于标 准,基于策略功能的安全服务; 宽带网环境下提供高速的远程接入。
VPN系统大体分为4类
– – – –
专用的VPN硬件 支持VPN的硬件或软件防火墙 VPN软件 VPN服务提供商
前面提到的VPN是独立于网络服务提供商的,但是服务器 提供商也会提供某种“VPN”接入
20
Access VPN
这种类型的VPN与传统的远程访问网络相对应。 如果企业的内部人员移动或有远程办公需要, 可以考虑使用AccessVPN。 AccessVPN AccessVPN通过一个拥有与专用网络相同策略 的共享基础设施,提供对企业内部网或外部网 的远程访问。AccessVPN能使用户随时、随地 以其所需的方式访问企业资源。AccessVPN包 括模拟、拨号、ISDN、数字用户线路(xDSL)、 移动IP和电缆技术,能够安全地连接移动用户、 远程工作者或分支机构。
4
VPN介绍 VPN介绍
– IETF草案理解基于IP的VPN为:“使用IP机制仿真
出一个私有的广域网”。通过私有的隧道技术在公 共数据网络上仿真一条点到点的专线技术。 – 所谓虚拟,是指用户不再需要拥有实际的长途数据 线路,而是使用Internet公众数据网络的长途数据线 Internet 路。 – 所谓专用网络,是指用户可以为自己制定一个最符 合自己需求的网络。 – 本章讨论的虚拟专用网一般指的是建筑在Internet上 能够自我管理的专用网络,而不是Frame Relay或 ATM等提供虚拟固定线路(PVC)服务的网络。以 IP为主要通讯协议的VPN,也可称之为IP-VPN。
– 3层协议,直接传输网络协议数据包 – 基于TCP/IP的标准协议,集成到IPv6中,仅
仅传输IP协议数据包 – 提供了强大的安全、加密、认证和密钥管理 功能 – 适合大规模VPN使用
17
安全协议
PPTP
– Point-to-Point Tunnel Protocol, 2层协议,需要把网络 –
6
为什么选择VPN 为什么选择VPN
成本低是最大的优势
– 传统方式是租用专线建设自己的网络系统 – Internet能以很低的代价提供高带宽的链路,缺点是
安全性不高 – 由于VPN是在Internet上临时建立的安全专用虚拟网 络,用户就节省了租用专线的费用,在运行的资金 支出上,除了购买VPN设备,企业所付出的仅仅是 向企业所在地的ISP支付一定的上网费用,也节省了 长途电话费。这就是VPN价格低廉的原因。 – 如2M的专线,国内长途6000/月,对应的10M Internet链路一般2000/月
21
Access VPN
22
Access VPN
Access VPN工作时,远程客户通过拨号线路连 接到ISຫໍສະໝຸດ Baidu的NAS服务器上,经过身份认证后,通 过公网跟公司内部的VPN网关之间建立一个隧 道,利用这个隧道对数据进行加密传输。 Access VPN最适用于公司内部经常有流动人员 远程办公的情况。出差员工利用当地ISP提供的 VPN服务,就可以和公司的VPN网关建立私有 的隧道连接。RADIUS服务器可对员工进行验 证和授权,保证连接的安全,同时负担的电话 费用大大降低。 一般使用PPTP或L2TP技术
– 虚拟专用网不是真的专用网络,但却能够实现专用
网络的功能。虚拟专用网指的是依靠ISP(Internet服 务提供商)和其它NSP(网络服务提供商),在公 用网络中建立专用的数据通信网络的技术。 – 利用像Internet这样的公共的或不安全的媒体,通过 应用多种技术提供用户认证、数据完整性和访问控 制,从而提供网络应用程序之间的安全通信。 – 在虚拟专用网中,任意两个节点之间的连接并没有 传统专网所需的端到端的物理链路,而是利用某种 公众网的资源动态组成的。 – VPN不是一种单一的技术,而是具有若干特性的系 统
24
Access VPN的实现方式 VPN的实现方式
客户驱动方式
– 客户端首先建立与本地ISP的PPP连接,这时客户端 – – – – –
可访问Internet,也可访问企业网设置的VPN网关。 下一步就是建立到VPN网关的PPTP连接,连接建立 后,远程用户就好像在企业网内部一样。 隧道起始于远程用户的计算机,终结于企业网内的 VPN网关。 远程用户经由Internet访问企业的网络和应用,而不 再需要直接拨号至企业的网络。 利用这种体系结构,用户并不需要 ISP提供与VPN相 关的附加服务。ISP也感知不到用户在使用VPN服务。 这种方式一般使用PPTP协议。
29
案例
需求:
– 中国科学技术大学为外部移动用户提供VPN接入服
务,接入VPN后的用户拥有校内用户完全相同的访 问权限,以便访问各种校内外电子资源
设计:
– 建设一个Access VPN系统 – 校内设置一台VPN服务器,运行Windows 2000
用于局域网间连接的PN
– LAN-LAN型 – IntranetVPN和ExtranetVPN
9
VPN的特性考虑 VPN的特性考虑
安全性
– 隧道、加密、密钥管理、数据包认证、用户认证、
访问控制
可靠性
– 硬件、软件、基础网络的可靠性
可管理性
– 记帐、审核、日志的管理 – 是否支持集中的安全控制策略
可扩展性
Access VPN的实现方式 VPN的实现方式
网络接入服务器(NAS)驱动的连接
– L2TP协议通过“虚拟拨号”业务将初始拨号服务器 – –
– –
的地点和拨号协议所连接的终点分离开来。 当“虚拟拨号”客户开始接入时,远程用户和它们 的ISP的NAS之间就建立了一个PPP链路。 ISP接着对端系统或用户进行部分鉴别以判断此用户 是否需要“虚拟拨号”业务,一旦确定需要,那么 此用户名就会和VPN网络中心服务器联系起来。并 在NAS和VPN中心服务器之间就建立了一条L2TP隧 道。 目前中国电信推出的VPDN服务就是采用这种方式。 需要NAS、认证系统、计费系统、企业网VPN接入 设备的支持就可以工作了。
25
Access VPN的实现方式 VPN的实现方式
网络接入服务器(NAS)驱动的连接
– 远端用户首先拨号到ISP的拨号服务器NAS。NAS在
对用户进行身份验证时得知用户是一个VPN用户, 然后NAS建立一条安全的、加密的隧道连接到企业 网络的VPN网关。这条隧道起始于NAS,终结于企 业网内的VPN网关。 – 利用由NAS驱动的体系结构,服务供应商对用户的 身份进行验证;企业仍保留有控制他们自己的安全 策略、对用户进行身份验证、授与用户访问权限并 在网络上跟踪用户活动的权力。 – 使用这种体系结构需要服务供应商支持,而且存在 一个问题——远端用户接入服务供应商的营业点之 前的数据是未经加密的。 26 – 这种方式一般使用L2TP协议。
–
– –
协议包封装到PPP包,PPP数据依靠PPTP协议传输 PPTP通信时,客户机和服务器间有2个通道,一个 通道是tcp 1723端口的控制连接,另一个通道是传输 GRE PPP数据包的IP隧道 PPTP没有加密、认证等安全措施,安全的加强通过 PPP协议的MPPE(Microsoft Point-to-Point Encryption) 实现 windows中集成了PPTP Server和Client,适合中小企 业支持少量移动工作者 如果有防火墙的存在或使用了地址转换,PPTP可能 无法工作
Internet的状况
多协议支持
– IPX?
11
VPN涉及的技术 VPN涉及的技术
隧道技术
– Tunnel
12
IP Tunnel
DST NDST NSRC DST SRC SRC DATA DATA
NSRC、NDST是隧道端点设备的IP地址 公网上路由时仅仅考虑NSRC、NDST 原始数据包的DST、SRC对公网透明
5
VPN的安全性 VPN的安全性
VPN的主要目的是保护传输数据 必须具备4个关键功能
– 认证:数据传输的来源确如其声明所言,目的地确
实是数据期望到达的位置 – 访问控制:限制对网络未经授权的访问 – 机密性:防止数据在通过网络时被察看 – 数据完整性:防止传输中对数据的任何篡改
VPN的目的是保护从信道的一个端点到另一端 点传输的信息流 信道的端点之前和之后,VPN不提供任何的数 据包保护
对称加密技术
– 速度快,常用的DES、3DES、IDEA等 – 缺点是密钥传递不方便 – 经常被用来对数据进行加/解密处理,提高保密性
公钥加密技术
– 速度慢,常用的RSA、Diffie-Hellman – 用于签名和会话的密钥交换
哈希函数
– 速度快 – 产生的消息摘要用于信息的完整性检查
15
认证系统
安全网管技术
张焕杰 中国科学技术大学网络信息中心 james@ustc.edu.cn http://202.38.64.40/~james/nms Tel: 3601897(O)
1
第7章 VPN技术及应用 VPN技术及应用
本章主要内容
– VPN介绍 – Access VPN – LAN-LAN VPN – MPLS VPN – L2VPN
VPN设备间的认证
– 通过密码、密钥、证书等认证 – 如果使用证书,可以考虑使用自己的CA或第
三方的CA
对于Access VPN,对个人进行认证
– 简单密码、一次性密码S/KEY、 – 基于硬件的令牌(令牌卡、智能卡、PC卡、
USB卡) – 生理ID(指纹、声音、视网膜扫描)
16
安全协议
IPSec
隧道技术
第二层隧道
– 把网络数据包封装在PPP协议中,PPP协议的数据包
放到隧道中传输 – L2TP、PPTP(集成在windows中,所以最常用)
第三层隧道
– 把网络数据包指直接在隧道中传输 – IPsec
利用隧道技术,理论上任何协议的数据都可以 透过IP网络传输
14
加密/ 加密/解密技术
18
安全协议
L2TP RFC2661定义 在Cisco公司的L2F和PPTP的基础上开发 使用并不普遍 统计数字
– 80%用PPTP,13%用Ipsec
19
VPN解决方案 VPN解决方案
一个VPN解决方案不仅仅是一个经过加密的隧 道,它包含
– 访问控制、认证、加密、隧道传输、路由选择、过
滤、高可用性、服务质量以及管理
2
参考资料: 参考资料:
参考资料: 安全体系结构的设计、部署与操作,常晓 波等译,清华大学出版社 Cisco Networkers 2003
– SEC-2011: Deploying Site-to-Site IPSec VPNs
3
VPN介绍 VPN介绍
Virtual Private Network 虚拟专用网
7
为什么选择VPN 为什么选择VPN
灵活性高
– 只要有Internet链路,随时可以建立VPN链路 – 对于单个用户,使用VPN可以在任何地方安
全访问内部网
8
VPN的类型 VPN的类型
每种VPN都具有特定的要求和优先权,实 现的目的、解决的问题也不同 用于移动工作者的远程访问
– Client-LAN VPN,也叫 Access VPN – 替代早期的拨号远程访问网络
– 成本的可扩展性,如使用令牌卡成本高 – 性能,是否考虑采用硬件加速加解密速度
10
VPN的特性考虑 VPN的特性考虑
可用性
– 系统对应用尽量透明 – 对终端用户来说使用方便
互操作性
– 尽量采用标准协议,与其他供应商的设备能互通
服务质量 QoS
– 通过Internet连接的VPN服务质量很大程度取决于
27
Access VPN
28
Access VPN在无线网下的应 VPN在无线网下的应 用
由于无线网提供的加密/解密手段不多, 很容易被窃听 无线网用户通过在无线网上使用PPTP VPN来增强安全性 无线网用户通过普通的网络连接到VPN Server,然后在无线网节点和VPN server 间建立VPN VPN可以保证从无线网节点到VPN Server 之间的通信都是安全的
23
Access VPN
Access VPN对用户的吸引力在于:
– 减少用于相关的调制解调器和终端服务设备 – – – –
的资金及费用,简化网络; 实现本地拨号接入的功能来取代远距离接入, 显著降低远距离通信的费用; 极大的可扩展性,简便地对加入网络的新用 户进行调度; 远端验证拨入用户服务(RADIUS)基于标 准,基于策略功能的安全服务; 宽带网环境下提供高速的远程接入。
VPN系统大体分为4类
– – – –
专用的VPN硬件 支持VPN的硬件或软件防火墙 VPN软件 VPN服务提供商
前面提到的VPN是独立于网络服务提供商的,但是服务器 提供商也会提供某种“VPN”接入
20
Access VPN
这种类型的VPN与传统的远程访问网络相对应。 如果企业的内部人员移动或有远程办公需要, 可以考虑使用AccessVPN。 AccessVPN AccessVPN通过一个拥有与专用网络相同策略 的共享基础设施,提供对企业内部网或外部网 的远程访问。AccessVPN能使用户随时、随地 以其所需的方式访问企业资源。AccessVPN包 括模拟、拨号、ISDN、数字用户线路(xDSL)、 移动IP和电缆技术,能够安全地连接移动用户、 远程工作者或分支机构。
4
VPN介绍 VPN介绍
– IETF草案理解基于IP的VPN为:“使用IP机制仿真
出一个私有的广域网”。通过私有的隧道技术在公 共数据网络上仿真一条点到点的专线技术。 – 所谓虚拟,是指用户不再需要拥有实际的长途数据 线路,而是使用Internet公众数据网络的长途数据线 Internet 路。 – 所谓专用网络,是指用户可以为自己制定一个最符 合自己需求的网络。 – 本章讨论的虚拟专用网一般指的是建筑在Internet上 能够自我管理的专用网络,而不是Frame Relay或 ATM等提供虚拟固定线路(PVC)服务的网络。以 IP为主要通讯协议的VPN,也可称之为IP-VPN。
– 3层协议,直接传输网络协议数据包 – 基于TCP/IP的标准协议,集成到IPv6中,仅
仅传输IP协议数据包 – 提供了强大的安全、加密、认证和密钥管理 功能 – 适合大规模VPN使用
17
安全协议
PPTP
– Point-to-Point Tunnel Protocol, 2层协议,需要把网络 –
6
为什么选择VPN 为什么选择VPN
成本低是最大的优势
– 传统方式是租用专线建设自己的网络系统 – Internet能以很低的代价提供高带宽的链路,缺点是
安全性不高 – 由于VPN是在Internet上临时建立的安全专用虚拟网 络,用户就节省了租用专线的费用,在运行的资金 支出上,除了购买VPN设备,企业所付出的仅仅是 向企业所在地的ISP支付一定的上网费用,也节省了 长途电话费。这就是VPN价格低廉的原因。 – 如2M的专线,国内长途6000/月,对应的10M Internet链路一般2000/月
21
Access VPN
22
Access VPN
Access VPN工作时,远程客户通过拨号线路连 接到ISຫໍສະໝຸດ Baidu的NAS服务器上,经过身份认证后,通 过公网跟公司内部的VPN网关之间建立一个隧 道,利用这个隧道对数据进行加密传输。 Access VPN最适用于公司内部经常有流动人员 远程办公的情况。出差员工利用当地ISP提供的 VPN服务,就可以和公司的VPN网关建立私有 的隧道连接。RADIUS服务器可对员工进行验 证和授权,保证连接的安全,同时负担的电话 费用大大降低。 一般使用PPTP或L2TP技术
– 虚拟专用网不是真的专用网络,但却能够实现专用
网络的功能。虚拟专用网指的是依靠ISP(Internet服 务提供商)和其它NSP(网络服务提供商),在公 用网络中建立专用的数据通信网络的技术。 – 利用像Internet这样的公共的或不安全的媒体,通过 应用多种技术提供用户认证、数据完整性和访问控 制,从而提供网络应用程序之间的安全通信。 – 在虚拟专用网中,任意两个节点之间的连接并没有 传统专网所需的端到端的物理链路,而是利用某种 公众网的资源动态组成的。 – VPN不是一种单一的技术,而是具有若干特性的系 统
24
Access VPN的实现方式 VPN的实现方式
客户驱动方式
– 客户端首先建立与本地ISP的PPP连接,这时客户端 – – – – –
可访问Internet,也可访问企业网设置的VPN网关。 下一步就是建立到VPN网关的PPTP连接,连接建立 后,远程用户就好像在企业网内部一样。 隧道起始于远程用户的计算机,终结于企业网内的 VPN网关。 远程用户经由Internet访问企业的网络和应用,而不 再需要直接拨号至企业的网络。 利用这种体系结构,用户并不需要 ISP提供与VPN相 关的附加服务。ISP也感知不到用户在使用VPN服务。 这种方式一般使用PPTP协议。
29
案例
需求:
– 中国科学技术大学为外部移动用户提供VPN接入服
务,接入VPN后的用户拥有校内用户完全相同的访 问权限,以便访问各种校内外电子资源
设计:
– 建设一个Access VPN系统 – 校内设置一台VPN服务器,运行Windows 2000
用于局域网间连接的PN
– LAN-LAN型 – IntranetVPN和ExtranetVPN
9
VPN的特性考虑 VPN的特性考虑
安全性
– 隧道、加密、密钥管理、数据包认证、用户认证、
访问控制
可靠性
– 硬件、软件、基础网络的可靠性
可管理性
– 记帐、审核、日志的管理 – 是否支持集中的安全控制策略
可扩展性
Access VPN的实现方式 VPN的实现方式
网络接入服务器(NAS)驱动的连接
– L2TP协议通过“虚拟拨号”业务将初始拨号服务器 – –
– –
的地点和拨号协议所连接的终点分离开来。 当“虚拟拨号”客户开始接入时,远程用户和它们 的ISP的NAS之间就建立了一个PPP链路。 ISP接着对端系统或用户进行部分鉴别以判断此用户 是否需要“虚拟拨号”业务,一旦确定需要,那么 此用户名就会和VPN网络中心服务器联系起来。并 在NAS和VPN中心服务器之间就建立了一条L2TP隧 道。 目前中国电信推出的VPDN服务就是采用这种方式。 需要NAS、认证系统、计费系统、企业网VPN接入 设备的支持就可以工作了。
25
Access VPN的实现方式 VPN的实现方式
网络接入服务器(NAS)驱动的连接
– 远端用户首先拨号到ISP的拨号服务器NAS。NAS在
对用户进行身份验证时得知用户是一个VPN用户, 然后NAS建立一条安全的、加密的隧道连接到企业 网络的VPN网关。这条隧道起始于NAS,终结于企 业网内的VPN网关。 – 利用由NAS驱动的体系结构,服务供应商对用户的 身份进行验证;企业仍保留有控制他们自己的安全 策略、对用户进行身份验证、授与用户访问权限并 在网络上跟踪用户活动的权力。 – 使用这种体系结构需要服务供应商支持,而且存在 一个问题——远端用户接入服务供应商的营业点之 前的数据是未经加密的。 26 – 这种方式一般使用L2TP协议。
–
– –
协议包封装到PPP包,PPP数据依靠PPTP协议传输 PPTP通信时,客户机和服务器间有2个通道,一个 通道是tcp 1723端口的控制连接,另一个通道是传输 GRE PPP数据包的IP隧道 PPTP没有加密、认证等安全措施,安全的加强通过 PPP协议的MPPE(Microsoft Point-to-Point Encryption) 实现 windows中集成了PPTP Server和Client,适合中小企 业支持少量移动工作者 如果有防火墙的存在或使用了地址转换,PPTP可能 无法工作
Internet的状况
多协议支持
– IPX?
11
VPN涉及的技术 VPN涉及的技术
隧道技术
– Tunnel
12
IP Tunnel
DST NDST NSRC DST SRC SRC DATA DATA
NSRC、NDST是隧道端点设备的IP地址 公网上路由时仅仅考虑NSRC、NDST 原始数据包的DST、SRC对公网透明
5
VPN的安全性 VPN的安全性
VPN的主要目的是保护传输数据 必须具备4个关键功能
– 认证:数据传输的来源确如其声明所言,目的地确
实是数据期望到达的位置 – 访问控制:限制对网络未经授权的访问 – 机密性:防止数据在通过网络时被察看 – 数据完整性:防止传输中对数据的任何篡改
VPN的目的是保护从信道的一个端点到另一端 点传输的信息流 信道的端点之前和之后,VPN不提供任何的数 据包保护
对称加密技术
– 速度快,常用的DES、3DES、IDEA等 – 缺点是密钥传递不方便 – 经常被用来对数据进行加/解密处理,提高保密性
公钥加密技术
– 速度慢,常用的RSA、Diffie-Hellman – 用于签名和会话的密钥交换
哈希函数
– 速度快 – 产生的消息摘要用于信息的完整性检查
15
认证系统
安全网管技术
张焕杰 中国科学技术大学网络信息中心 james@ustc.edu.cn http://202.38.64.40/~james/nms Tel: 3601897(O)
1
第7章 VPN技术及应用 VPN技术及应用
本章主要内容
– VPN介绍 – Access VPN – LAN-LAN VPN – MPLS VPN – L2VPN
VPN设备间的认证
– 通过密码、密钥、证书等认证 – 如果使用证书,可以考虑使用自己的CA或第
三方的CA
对于Access VPN,对个人进行认证
– 简单密码、一次性密码S/KEY、 – 基于硬件的令牌(令牌卡、智能卡、PC卡、
USB卡) – 生理ID(指纹、声音、视网膜扫描)
16
安全协议
IPSec