四、虚拟专用网络VPN的安全基础 （一）.虚拟专用网(Virtual private network) 随着企业网应用的不断扩大，企业网的范围也不断扩大，从一个本地到一个跨地区跨城市甚至是跨国家的网络。但采用传统的广域网建立企业专网，往往需要租用昂贵的跨地区数字专线。同时公众信息网(Internet与视聆通)的发展，已经遍布各地，在物理上，各地的公众信息网都是连通的，但公众信息网是对社会开放的，如果企业的信息要通过公众信息网进行传输，在安全性上存在着很多问题。如何能够利用现有的公众信息网，来安全地建立企业的专有网络呢？ 虚拟专网(VPN)技术是指在公共网络中建立专用网络，数据通过安全的"加密管道"在公共网络中传播。企业只需要租用本地的数据专线，连接上本地的公众信息网，各地的机构就可以互相传递信息；同时，企业还可以利用公众信息网的拨号接入设备，让自己的用户拨号到公众信息网上，就可以连接进入企业网中。使用VPN有节省成本、提供远程访问、扩展性强、便于管理和实现全面控制等好处，是目前和今后企业网络发展的趋势。 因此必须充分认识虚拟专网的技术特点，建立完善的服务体系。 在分布式的计算机网络环境下，虚拟专用网络的出现为网络管理员提供了一种很好的解决方案。在企业的每个站点内，工作站、服务器和数据库等都由一个或多个局域网（LAN）连接起来。这些局域网在网络管理器的控制之下，并可以被设置及调配。Internet及其他公用网可以将这些站点相互连接起来，这样做比使用专用网更经济，同时，管理任务由ISP负责。远距离工作者和移动办公的雇员可以从远程站点登录到所在机构的网络中。 然而，网络管理员所面临的一个最基本的问题就是网络的安全。使用公用网络会使机构的信息容易被窃取，就相当于给那些未经授权的使用者设置一个“入口”。为了解决这一问题，网络管理员就会选择各种形式的加密和认证。如果采取的是特殊的加密和认证方式，它所提供的安全保障级别则相对较低。而且，没有哪个网络管理者愿意为了与安全兼容而限制工作站、服务器、路由器、防火墙的选择。 从应用上虚拟专网可以分为虚拟企业网和虚拟专用拨号网络（有厂家称之为VPDN，属于VPN的一种特例）。虚拟企业网主要是使用专线上网的企业分部、合作伙伴间的虚拟专网；虚拟专用拨号网络是指使用电话拨号（PPP拨号）上网的远程用户与企业网间的虚拟专网。虚拟专网的重点在于建立安全的数据通道，构造这条安全通道的协议必须具备以下条件： 保证数据的真实性，通信主机必须是经过授权的，要有抵抗地址冒认（IP Spoofing）的能力。 保证数据的完整性，接收到的数据必须与发送时的一致，要有抵抗不法分子纂改数据的能力。 保证通道的机密性，提供强有力的加密手段，必须使偷听者不能破解拦截到的通道数据。 提供动态密匙交换功能，提供密匙中心管理服务器，必须具备防止数据重演（Replay）的功能，保证通道不能被重演。 提供安全防护措施和访问控制，要有抵抗黑客通过VPN通道攻击企业网络的能力，并且可以对VPN通道进行访问控制（Access Control）。 虚拟专用网VPN可以使在Internet中的信息交换有安全保障，大多数的VPN产品支持IPSec。最初VPN技术被设想为Intenet节点的连接方式，后来它很快被公认为是一种远端的接入技术，例如在一个远程的PC或笔记本电脑用户与他的公司本部之间建立的加密通道。随着Windows 2000的公布，IPSec也将会应用在操作系统中。目前，VPN技术正在迅速走向成熟，而且它正处于兴盛期。 VPN的主要优点 　　 1. VPN致力于为网络提供整体的安全性，是性能价格比比较高的安全方式。 2. VPN与防火墙和代理服务器不同，大多数的VPN产品可以在网络连接中透明地配置，而不需要修改网络或客户端的配置。 3. VPN的管理性能提高得很快，就单一厂商的环境，管理工作站可以直接提供多单元的支持。 4. 因为IPSec致力于公网的高可靠性的安全，所以IPSec VPN是最安全和流行的选择。 随着新的IPSec标准逐渐被大家接受，各机构在组建安全的虚拟专用网络（VPN）方面将会有更加一致的举措。 有待提高的方面 但目前的VPN还存在不足，总结起来有下面主要几个方面：　　 1. 尽管VPN的设备供应商们可以为远程办公室或Extranet服务的专线或帧中继提供有效方式，可是VPN的服务提供商们只保证数据在其管辖范围内的性能，一旦出了其“辖区”则安全没有保证。　　 2. 作为一种典型技术，VPN的应用时间还不长，VPN的管理流程和平台相对于其他远程接入服务器或其他网络结构的设备来说，有时并不太好用。　　 3. 不同厂商的IPSec VPN的管理和配置掌握起来是最难的，这需要同时熟悉IPSec和不同厂商的执行方式，包括不同的术语。 （二）. 虚拟专网标准 目前建造虚拟专网的国际标准有IPSEC（RFC 1825-1829）和L2TP（草案draft-ietf-pppext-l2tp-10）。其中L2TP是虚拟专用拨号网络协议，是IETF根据各厂家协议（包括微软公司的PPTP、Cisco的L2F）进行起草的，目前尚处于草案阶段。IPSEC是由IETF正式定制的开放性IP安全标准，是虚拟专网的基础，已经相当成熟可靠。L2TP协议草案中规定它（L2TP标准）必须以IPSEC为安全基础。同时IPSEC的厂家支持广泛，Microsoft 的NT5、Cisco PIX防火墙、Ascent Secure Access Control防火墙都支持IPSEC标准。因此我们在构造VPN基础设施时最好采用IPSEC标准，至少也必须采取以IPSEC为加密基础的L2TP协议。否则将发生难以预测的后果（如Microsoft 的PPTP协议出现重大安全漏洞）。 但是目前各国外厂家提出的方案中都尽量避开IPSEC的描述，主要是由于IPSEC标准中采用了多种先进的加密技术，有很高的保密性能，受到美国法律管制出口，因此3Com、Cisco、Ascend尽管本身拥有相当成熟的IPSEC产品或以IPSEC作加密标准的L2TP产品，也不可能进入美国以外的市场。而且美国政府正在起草进一步加强加密技术出口管制的法律，所以依靠美国产品构造真正的VPN是不可行的。国内研制的高保密性产品已经达到了国际先进的水平，对IPSEC的有很好的支持，并且可以支持大量的并发VPN连接。因此从安全和性能方面考虑我们只有选用国内的安全产品作为虚拟专网设备。 五、IPSEC协议分析 IP网络安全问题 IP网络安全一直是一个倍受关注的领域，如果缺乏一定的安全保障，无论是公共网络还是企业专用网络都难以抵挡网络攻击和非法入侵。对于某个特定的企业内部网Intranet来说，网络攻击既可能来自网络内部，也可能来自外部的Internet或Extranet，其结果均可能导致企业内部网络毫无安全性可言。单靠口令访问控制不足以保证数据在网络传输过程中的安全性。 几中常见的网络攻击 如果没有适当的安全措施和安全的访问控制方法，在网络上传输的数据很容易受到各式各样的攻击。网络攻击既有被动型的，也有主动型的。被动攻击通常指信息受到非法侦听，而主动攻击则往往意味着对数据甚至网络本身恶意的篡改和破坏。以下列举几种常见的网络攻击类型： 1）！！ 一般情况下，绝大多数网络通信都以一种不安全的"明文"形式进行，这就给攻击者很大的机会，只要获取数据通信路径，就可轻易"侦听"或者"解读"明文数据流。"侦听"型攻击者，虽然不破坏数据，却可能造成通信信息外泄，甚至危及敏感数据安全。对于多数普通企业来说，这类网络！！行为已经构成了网管员所面临的最大的网络安全问题。 2）数据篡改 网络攻击者在非法读取数据后，下一步通常就会想去篡改它，而且这种篡改一般可以做得让数据包的发送方和接收方无知无觉。但作为网络通信用户，即使并非所有的通信数据都是高度机密的，也不想看到数据在传输过程中遭至任何差错。比如在网上购物，一旦我们提交了购物定单，谁也不会希望定单中任何内容被人肆意篡改。 3）身份欺骗（IP地址欺骗） 大多数网络操作系统使用IP地址来标识网络主机。然而，在一些情况下，貌似合法的IP地址很有可能是经过伪装的，这就是所谓IP地址欺骗，也就是身份欺骗。另外网络攻击者还可以使用一些特殊的程序，对某个从合法地址传来的数据包做些手脚，借此合法地址来非法侵入某个目标网络。 4）盗用口令攻击（Password-Based Attacks） 基于口令的访问控制是一种最常见的安全措施。这意味着我们对某台主机或网络资源的访问权限决定于我们是谁，也就是说，这种访问权是基于我们的用户名和帐号密码的。 攻击者可以通过多种途径获取用户合法帐号，一旦他们拥有了合法帐号，也就拥有了与合法用户同等的网络访问权限。因此，假设帐号被盗的用户具有网管权限的话，攻击者甚至可以借机给自己再创建一个合法帐号以备后用。在有了合法帐号进入目标网络后，攻击者也就可以随心所欲地盗取合法用户信息以及网络信息；修改服务器和网络配置，包括访问控制方式和路由表；篡改、重定向、删除数据等等。 5）拒绝服务攻击（Denial-of-Service Attack） 与盗用口令攻击不同，拒绝服务攻击的目的不在于窃取信息，而是要使某个设备或网络无法正常运作。在非法侵入目标网络后，这类攻击者惯用的攻击手法有： a. 首先设法转移网管员注意力，使之无法立刻察觉有人入侵，从而给攻击者自己争取时间 b. 向某个应用系统或网络服务系统发送非法指令，至使系统出现异常行为或异常终止 c. 向某台主机或整个网络发送大量数据洪流，导致网络因不堪过载而瘫痪 d. 拦截数据流，使授权用户无法取得网络资源 6）中间人攻击（Man-in-the-Middle Attack） 顾名思义，中间人攻击发生在我们与通信对象之间，即通信过程以及通信数据遭到第三方的监视、截取和控制，例如攻击者可以对数据交换进行重定向等等。如果通信中使用网络低层协议，通信两端的主机是很难区分出不同的对象的，因此也不大容易察觉这类攻击。中间人攻击有点类似于身份欺骗。 7）盗取密钥攻击（Compromised-Key Attack） 虽然一般说来，盗取密钥是很困难的，但并非不可能。通常我们把被攻击者盗取的密钥称为"已泄密的密钥"。攻击者可以利用这个已泄密的密钥对数据进行解密和修改，甚至还能试图利用该密钥计算其他密钥，以获取更多加密信息。 8）Sniffer 攻击（Sniffer Attack） Sniffer指能解读、监视、拦截网络数据交换以及可以阅读数据包的程序或设备。如果数据包没有经过加密，Sniffer可以将该数据包中的所有数据信息一览无余。即使经过封装的隧道数据包，Sniffer也可以在对其进行解封装后再进行读取，除非该隧道数据经过加密而攻击者没有得到解密所需要的密钥。利用Sniffer，攻击者除了可以读取通信数据外，还可以对目标网络进行分析，进一步获取所需资源，甚至可以导致目标网络的崩溃或瘫痪。 9）应用层攻击（Application-Layer Attack） 应用层攻击直接将目标对准应用系统服务器，应用层攻击的攻击者往往就是设计该应用系统的程序员。所谓应用层攻击是指攻击者故意在服务器操作系统或应用系统中制造一个后门，以便可以绕过正常的访问控制。特洛依木马就是一个非常典型的应用层攻击程序，攻击者利用这个后门，可以控制整个用户应用系统，还可以： a. 阅读、添加、删除、修改用户数据或操作系统 b. 在用户应用系统中引入病毒程序 c. 引入Sniffer，对用户网络进行分析，以获取所需信息，并导致用户网络的崩溃或瘫痪 d. 引起用户应用系统的异常终止 e. 解除用户系统中的其他安全控制，为其新一轮攻击打开方便之门 IPSec概述 IPSec (Internet 协议安全)是一个工业标准网络安全协议，为 IP 网络通信提供透明的安全服务，保护 TCP/IP 通信免遭！！和篡改，可以有效抵御网络攻击，同时保持易用性。IPSec有两个基本目标：1）保护IP数据包安全；2）为抵御网络攻击提供防护措施。 IPSec结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标，不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护，而且还能用来筛选特定数据流。 IPSec基于一种端-对-端的安全模式。这种模式有一个基本前提假设，就是假定数据通信的传输媒介是不安全的，因此通信数据必须经过加密，而掌握加解密方法的只有数据流的发送端和接收端，两者各自负责相应的数据加解密处理，而网络中其他只负责转发数据的路由器或主机无须支持IPSec。该特性有助于企业用户在下列方案中成功地配置IPSec： ·局域网：C/S模式，对等模式 ·广域网：路由器-对-路由器模式，网关-对-网关模式 ·远程访问：拨号客户机，专网对Internet的访问 一、纵深防御 众所周知，网络攻击常常可能导致系统崩溃以及敏感数据的外泄，因此数据资源必须受到足够的保护，以防被侦听，篡改，或非法访问。 常规网络保护策略有使用防火墙、安全路由器（安全网关）以及对拨号用户进行身份认证等。这些措施通常被称为"边界保护"，往往只着重于抵御来自网络外部的攻击，但不能阻止网络内部的攻击行为。 智能卡或Kerberos 用户认证等的访问控制法，单纯依赖用户名和口令，也不足以抵御大多数网络攻击。例如，一台主机由多个用户共享，往往会发生人不在了，而机器却仍处于登录状态的情况，从而导致系统出现不安全因素。访问控制法最大的缺陷是一旦用户帐号被窃，根本无法阻止攻击者盗取网络资源。 还有一种比较少见的保护策略是物理级保护，就是保护实际的网络线路和网络访问节点，禁止任何未经授权的使用。但这种保护方式，当数据需要从数据源通过网络传输到目的地时，无法做到保证数据的全程安全。 IPSec采用端-对-端加密模式，其基本工作原理是：发送方在数据传输前（即到达网线之前）对数据实施加密，在整个传输过程中，报文都是以密文方式传输，直到数据到达目的节点，才由接收端对其进行解密。IPSec对数据的加密以数据包而不是整个数据流为单位，这不仅更灵活，也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护，IPSec可以有效防范网络攻击，保证专用数据在公共网络环境下的安全性。 一个完善的企业安全计划，应该是多种安全策略的有机组合，将IPSec与用户访问控制、边界保护以及物理层保护相结合，可以为企业数据通信提供更高层次的纵深防护。 二、用IPSec抵御网络攻击 网络攻击者要破译经过IPSec加密的数据，即使不是完全不可能，也是非常困难的。根据不同类别数据对于保密需求的不同，IPSec策略中有多种等级的安全强度可供选择。使用IPSec可以显著地减少或防范前面谈到过的几种网络攻击。 ·Sniffer：Sniffer可以读取数据包中的任何信息，因此对抗Sniffer，最有效的方法就是对数据进行加密。 IPSec的封装安全载荷ESP协议通过对IP包进行加密来保证数据的私密性 ·数据篡改：IPSec用密钥为每个IP包生成一个数字检查和，该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改，都会改变检查和，从而可以让接收方得知包在传输过程中遭到了修改。 ·身份欺骗，盗用口令，应用层攻击：IPSec的身份交换和认证机制不会暴露任何信息，不给攻击者有可趁之机，双向认证在通信系统之间建立信任关系，只有可信赖的系统才能彼此通信。 ·中间人攻击：IPSec结合双向认证和共享密钥，足以抵御中间人攻击。 ·拒绝服务攻击：IPSec使用IP包过滤法，依据IP地址范围、协议、甚至特定的协议端口号来决定哪些数据流需要受到保护，哪些数据流可以被允许通过，哪些需要拦截。