网站Logo 记录生活
首页
速查
精选
朋友圈
月报
信息安全工程师
百个渗透靶场
关于

信息安全工程师-第九章 VPN技术原理与应用

123456
6
2025-09-13

image-20250912154416220

9.1 VPN概述

9.1.1 VPN概述

VPN (Virtual Private Network,虚拟专用网)是把需要经过公共网传递的报文(packet)加密处理后,再由公共网络发送到目的地。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道,经过VPN传输的数据在公共网上具有保密性

VPN安全功能:保密性服务、完整性服务、认证服务。

image-20250912144954970

9.1.2 VPN分类

按照VPN在TCP/IP协议栈的工作层次,可以分为

网络层次

VPN技术

链路层VPN

PPTP、L2TP (基于PPP) ATM、Frame Relay、多协议标签交换MPLS

网络层VPN

IPSec、GRE

传输层VPN

SSL/TLS

9.1.3 VPN实现技术

密码算法:VPN的核心技术是密码算法,实现对需要传递的信息进行加密变换。包括国外的DES,AES、IDEA,RSA以及国内的SM1、SM4,SM3等。

密钥管理:密钥的分发有两种方法。

①通过手工配置的方式,可靠但是密钥更新速度慢,只适合简单网络。

②采用密钥交换协议动态分发,是通过软件自动协商动态生成密钥,更新速度快,提高VPN安全性。密钥交换与管理标准:SKIP(互联网密钥管理协议)和ISAKMP/Oakley(互联网安全联盟和密钥管理协议)。

认证访问控制:VPN中包括两种认证:

(1)用户身份认证。在VPN连接建立之前,核查其是否为合法的授权用户。如果使用双向认证,VPN客户机和VPN服务器都需要验证彼此的身份。

(2)数据完整性和合法性认证。检查传输的信息是否来自可信源,并且确认在传输过程中是否被篡改。

9.2 IPSec与SSl

9.2.1 IPSec技术

IPSec (IP Security) 是IETF定义的一组协议,用于增强IP网络的安全性。

IPSec协议集提供如下安全服务:

  • 数据完整性(Data Integrity)

  • 认证 (Autentication)

  • ·保密性 (Confidentiality)

  • ·应用透明安全性(Application-transparent Security)

9.2.2 IPSec组成架构

IPSec功能分为三类:认证头 (AH)、封装安全负荷 (ESP)、Internet密钥交换协议 (IKE)

·①认证头 (Authentication Header, AH) : 用于数据完整性认证和数据源认证,不提供加密服务。

·②封装安全负荷 (Encapsulating Security Payload, ESP) : 提供数据保密性,能防止重放攻击。

·③Internet密钥交换协议 (Internet Key Exchange, IKE) : 用于生成和分发密钥

image-20250912151215797

9.2.3 IPSec两种封装模式

image-20250912151905630

9.2.4 SSL协议

SSL是传输层安全协议,用于构建客户端和服务端之间的安全通道,包含两层协议:

SSL协议分两层,下层是SSL记录协议,上层是SSL握手协议、SSL密码规格变更协议和SSL报警协议。

·下层为SSL记录协议:为高层协议提供基本的安全服务,比如分块、压缩、计算添加HMAC、加密等。

·上层为SSL握手协议、SSL密码变化协议和SSL报警协议。

·SSL握手协议 (Handshake Protocol) : 认证、协商加密算法和密钥。

·SSL密码规格变更协议(Change Cipher Spec):保客户端和服务器双方应该每隔一段时间改变加密规范。

·SSL报警协议(Alert protocol):通信过程中某一方发现任何异常,就需要给对方发送一条警示消息通告。

image-20250912152226016

9.2.5 SSL协议功能

SSL协议提供三种安全通信服务:

(1)保密性通信。握手协议产生秘密密钥后才开始加、解密数据。使用对称密码算法。

(2)点对点之间的身份认证。采用非对称密码算法。

(3)可靠性通信。信息传送包含信息完整性检查,使用有密钥保护的消息认证码MAC.

SSL记录协议的数据处理过程:

(1)SSL将数据分割成可管理的区块长度。

(2)选择是否要将已分割的数据压缩。

(3)加上消息认证码MAC.

(4)将数据加密,生成即将发送的消息。

(5)接收端收到的消息解密、验证、解压缩,再重组后传送至高层,即完成接收。

9.2.6 PPTP和L2TP

PPTP:点到点的安全隧道协议,基于UDP 1723,主要是给电话上网的用户提供VPN安全服务。

L2TP:基于UDP 1701端口,用于在客户端和服务器直接建立VPN隧道,不提供加密服务。

PPTP和L2TP都是二层VPN,都采用PPP封装,但存在以下区别:

·①PPTP要求互联网络为IP网络,L2TP可以用于ATM、帧中继等其他网络。

·②PPTP只能在两端点间建立单一隧道,L2TP支持在两端点间使用多隧道。

·③L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)是4个字节,而PPTP是6个字节。

·④L2TP可以提供隧道验证,而PPTP则不支持隧道验证。

9.3 VPN产品与应用

9.3.1 VPN主要产品与性能指标

VPN技术应用于网络通信安全和网络接入控制。

·商业产品有IPSec、VPN网关、SSL VPN网关,或者集成IPSec, SSL安全功能的防火墙和路由器。

·开源产品有StrongSwan、OpenSwan, OpenSSL.

VPN产品性能指标

产品类型

性能指标

IPSEC VPN

(1)加解密吞吐率 (2)加解密时延 (3)加解密丢包率 (4)每秒新建连接数 (5)最大隧道数

SSL VPN

(1)最大并发用户数 (2)最大并发连接数 (3)每秒新建连接数 (4)吞吐率

9.3.2 Aaccess VPN远程用户访问

image-20250912154303528

9.3.3 VPN技术应用-总分机构互联


image-20250912154416220


动物装饰