《VPN技术》PPT课件.ppt

《《VPN技术》PPT课件.ppt》由会员分享，可在线阅读，更多相关《《VPN技术》PPT课件.ppt（57页珍藏版）》请在得力文库 - 分享文档赚钱的网站上搜索。

1、主讲老师主讲老师:钱朝阳钱朝阳第第3讲讲技术技术3.1讲技术讲技术概述的工作原理的遂道技术的密钥管理怎样组建VPN网络Windows环境下配置VPN3.1讲技术讲技术概述概述3.1讲讲概述概述简介、是企业网在互联网和各种公共网上的延伸、通过一个私有的通道建立一个私有的链接，将移动、远程用户，公司和公司的分支机构，公司的合作伙伴等与企业网连接起来，形成一个扩展的公司企业网、提供高性能，低成本的企业网。其本质就是共享网络环境下建立的安全“隧道”连接，数据包在“隧道”中传输。3.1讲讲VPN的定义的定义VPN的定义：是指依靠ISP在公用网络基础设施之上构建的专用的数据通信网络，这里所指的公用网络有多

2、种，包括IP网络、帧中继网络和ATM网络。虚拟、专用、安全是其三大特点。3.1讲讲 VPN的构成的构成IP网络ISP二层隧道三层隧道VPN网关VPN网关局域网局域网远程用户的安全性的安全性3.1讲讲3.1讲端到端数据通路中存在的风险讲端到端数据通路中存在的风险拨入端数据泄露的风险在因特网上数据泄露的风险安全网关中数据泄露的风险内部网络中数据泄露的风险3.1讲拨入端的数据风险讲拨入端的数据风险拨入段数据以明文方式传送给直接3.1讲拨入端的数据风险讲拨入端的数据风险攻击者可以很容易的在拨入链路上实施窃听。很容易检查用户数据。可以使用链路加密来防止被动窃听，但无法防止恶意窃取数据的。3.1讲因特网上

3、数据传输的风险讲因特网上数据传输的风险数据在到达终点时要经过多个路由器，明文传送的报文在路由器上很容易被查看和修改监听者可以在其中任何一段路上进行监听逐段加密不能防范在路由器上查看报文，因为路由器需要解密报文查看路由信息，然后再重新加密发送。恶意的可以修改通道的终点到一个假冒的网关.3.1讲安全网关中数据传输的风险讲安全网关中数据传输的风险数据在安全网关中是明文的，因而网关的管理员可以直接查看机密报文。网管本身可能会受到攻击，一旦被攻破，经过安全网关的数据将面临危险。3.1讲内网中数据传输的风险讲内网中数据传输的风险内网中可能存在着不信任的主机或路由器。内部网络可以窃听、篡改、重定向企业内部网

4、数据报文。来自企业内部员工的其它攻击方式。3.1讲随处可能发生的数据泄露讲随处可能发生的数据泄露拨号段链路上ISP的接入设备上在因特网上在安全网关上在企业网内部3.1讲的功能讲的功能数据机密性保护数据完整性保护数据源身份认证重放攻击保护3.1讲讲VPN核心技术核心技术隧道技术（IPSEC、PPTP、L2TP）加密/解密技术（对称和非对称）钥匙管理技术（IKE）用户认证技术（PAP、CHAP、RADIUS、TACAS）3.2讲技术讲技术 的工作原理的工作原理3.2讲数据机密性保护原理讲数据机密性保护原理以密文传送来保障数据不被窃取VPNVPN3.2讲数据机密性保护原理讲数据机密性保护原理PSTN

5、拨号路由器InternetDDN/FR/X.25VPNVPN明文传送密文传送内部网络隧道3.2讲数据完整性保护讲数据完整性保护使用VPN可以保证数据的完整性数据在途中被修改接收到修改后的数据VPNVPN发起接受3.2讲数据完整性保护讲数据完整性保护对原始数据包进行Hash对原始数据包进行加密摘要Hash加密后的数据包解密加密数据包摘要原始数据加密数据包摘要原始数据报Hash加密数据包摘要加密VPNVPNDDN/FR/X.25内部网络3.2讲数据源身份认证讲数据源身份认证VPNVPNBenAmyVPNI am Ben.I am Ben.Ben?3.2讲数据源身份认证讲数据源身份认证对原始数据包进

6、行Hash私钥加密摘要Hash取出DSS原始数据包 原始数据包摘要原始数据报Hash加密DSS将数字签名附加在原始数据包后面供对方验证原始数据包 原始数据包 DSS 摘要解密比较两摘要相同？通过验证得到数字签名VPNVPNDDN/FR/X.25内部网络3.2讲重放攻击保护讲重放攻击保护建立之初，序列号初始化为，使用该传递的第一个数据包序列号为，序列号不允许重复，当序列号达到最大时，就需要建立一个新的，使用新的密钥。这使得AH具有抵抗重放攻击能力。协议头协议头3.3讲技术讲技术 的遂道技术的遂道技术3.3讲隧道的相关知识讲隧道的相关知识隧道的定义：实质上是一种封装，将一种协议（协议X）封装在另一

7、种协议（协议Y）中传输，从而实现协议X对公用传输网络(采用协议Y)的透明性 隧道协议内包括以下三种协议乘客协议（Passenger Protocol）封装协议（Encapsulating Protocol）运载协议（Carrier Protocol）隧道协议例子3.3讲隧道协议类型讲隧道协议类型分类依据：被封装的数据在OSI的层次第二层隧道：PPTP(Microsoft,3COM,Ascend.)Point to Point Tunneling Protocol，点对点隧道协议L2F(Cisco,北电)Layer 2 Forwarding，二层转发协议L2TP(Microsoft,Ascend

8、,Cisco,3COM)Layer 2 Tunneling Protocol，二层隧道协议第三层隧道：IPSec协议概述协议概述和公司在协议基础上开发的协议就是支持型隧道实现的一种隧道传送方案。对协议本身并没有做任何修改，只是将用户的帧(对应于协议体系结构中的七层协议，协议为第二层即数据链路层规范)基于封装成报文，在中经隧道传送。传统上，执行以下的功能：是或的本地接口，控制着外部；是链路控制协议会话的逻辑终点；是鉴别协议的执行者；协议将上述功能分解成由两部分即(接入集中器)和(网络服务器)来分别执行。这样一来，拨号链路的终点就延伸至。协议正是利用了“功能的分解”这样的机制支持在上的实现。的将执

9、行协议中指定的的功能。而企业中心服务器将执行的功能，通过，远程用户首先拨号到本地的，访问企业的网络和应用，而不再需要直接拨号至企业的网络，这样，由将报文封装成报文就可在之间经由传递，即在和之间为用户的会话建立了一条隧道。建立连接建立连接首先需要建立客户端与本地的连接。一旦成功地接入，下一步就是建立连接。从最顶端客户端、和服务器之间开始，由已经安装好的建立并管理任务。如果客户端将添加到它的协议中，所有列出来的通信都会在支持的客户端上开始与终止。由于所有的通信都将在包内通过隧道，因此只起着通过连接进的入口点作用。从技术上讲，包从隧道的一端传输到另一端，这种隧道对用户是完全透明的 3.3讲第二层隧道

10、：讲第二层隧道：PPTP3.3讲讲PPTP的数据封装的数据封装3.3讲第二层隧道：讲第二层隧道：L2TP数据封装格式：特点：它综合了第二层转发协议（L2F）和PPTP两种协议各自的优点协议的额外开销较少 3.3讲讲L2TP 网络协议网络协议在一个 LNS 和 LAC 对之间存在着两种类型的连接，一种是隧道（tunnel）连接，它定义了一个 LNS 和 LAC 对；另一种是会话（session）连接，它复用在隧道连接之上，用于表示承载在隧道连接中的每个 PPP 会话过程。3.3讲的缺陷讲的缺陷仅对通道的终端实体进行身份认证，而不认证通道中流过的每一个数据报文，无法抵抗插入攻击、地址欺骗攻击。没有

11、针对每个数据报文的完整性校验，就有可能进行拒绝服务攻击：发送假冒的控制信息，导致通道或者底层连接的关闭。虽然报文的数据可以加密，但协议不支持密钥的自动产生和自动刷新，因而监听的攻击者就可能最终破解密钥，从而得到所传输的数据。3.3讲讲IPSec安全体系结构安全体系结构IP层的安全包括了3个功能域：鉴别、机密性和密钥管理IPSec的重要概念身份认证报头(AH),封装安全有效负载(ESP),传输模式,隧道模式,安全关连(SA),安全关连组(SA Bundle),ISAKMP.IPSec，IPv6将使互联网(尤其是网络安全)发生巨大变化3.3讲讲IPSec重要概念重要概念3.3讲安全关联讲安全关联S

12、A(Security Association)SA是IP认证和保密机制中最关键的概念。一个关联就是发送与接收者之间的一个单向关系。如果需要一个对等关系，即双向安全交换，则需要两个SA。一个SA由一个Internet目的地址和一个安全变量SA索引SPI唯一标识。因此，任何IP包中，SA是由IPv4中的目的地址或IPv6头和内部扩展头（AH或ESP）中的SPI所唯一标识的。3.3讲安全关联讲安全关联SA(Security Association)SA由三个参数唯一确定：Security Parameters Index(SPI)：安全变量索引，是分配给这个SA的一个位串并且只有本地有效。SPI在A

13、H和ESP报头中出现，以使得接收系统选择SA并在其指示下处理一个收到的报文。IP目的地址：目前，只允许单点传送地址；这是该SA的目标终点的地址，它可以是一个最终用户系统或一个网络系统如防火墙或路由器。安全协议标识符：表明是AH还是ESP的SA3.3讲讲AH协议协议3.3讲讲AH的特性的特性数据完整性；数据源身份验证；抗重放攻击3.3讲讲ESP协议协议3.3讲讲ESP的特性的特性机密性；数据完整性；数据源身份验证；抗重放攻击。3.3讲讲IPSec的安全作用的安全作用AH ESP(仅加密）ESP(加密+认证)访问控制连接完整性数据源认证拒绝重放包保密性有限保密性3.3讲讲IPSec工作模式分析工作

14、模式分析传输模式；只对IP的数据部分加以保护。可分为：AH传输模式ESP传输模式隧道模式；对整个IP报文进行保护，并在原IP报文的前面增加一个新的IP报头，新IP报头的源/目的地址分别是隧道两个端点的IP地址。可分为：AH隧道模式ESP隧道模式3.3讲讲IPSec传输模式传输模式3.3讲讲IPSec隧道模式隧道模式3.3讲讲协议栈和对应的协议栈和对应的协议协议3.4讲技术讲技术 的密钥管理的密钥管理3.4讲对称密钥算法讲对称密钥算法分组密码算法：操作单位是固定长度的明文比特串DES:Data Encapsulating Standard（老算法），密钥=56位CDMA:Commercial D

15、ata Masking Facility，密钥=40位3DES:Triple Data Encryption StandardIDEA:International Data Encryption Algorithm（新算法），密钥=128位 流密码算法：每次只操作一个比特加密密钥解密密钥相等相等加密密钥解密密钥可以推导可以推导非对称密钥算法非对称密钥算法常用的公钥算法：1、RSA公钥算法：用于加密、签名、身份验证。2、DiffieHellman算法：用于在非安全通道上安全地建立共享秘密，但无法进行身份验证。公钥算法的缺点：1、速度慢 2、难以用硬件实现 因此他很少用于大量数据加密，主要用于密钥

16、交换和身份认证。公钥私钥不相等不相等公钥私钥不可以推导不可以推导3.4讲密钥管理讲密钥管理手工自动模块密钥管理协议MKMP简单Internet密钥管理协议SKIPInternet安全关联密钥管理协议ISAKMPOAKLEY密钥判定协议3.5讲怎样组建讲怎样组建VPN网络网络Internet路由器交换机PCPCPCPC路由器交换机地市1地市2采用10M宽带使用路由器方式连接的VPN网络路由器VPN隧道VPN隧道内部网络10M带宽3.5讲怎样组建讲怎样组建VPN网络网络Internet交换机PCPCPCPC防火墙交换机地市1地市2防火墙VPN隧道VPN隧道内部网络通过防火墙组建的VPN防火墙10M

17、带宽3.5讲怎样组建讲怎样组建VPN网络网络InternetPCPC路由器交换机地市2路由器VPN隧道内部网络通过ADSL 组建的VPN网络ADSL Modem宽带路由器10M带宽几个术语几个术语、密码学：一门以保障数据和通信安全为目的的科学，它使用加密、解密、身份认证来实现目的。、加密：将明文信息变换成不可读的密文形式已隐藏其中的含义。、解密：将密文信息还原成明文的过程。用来加密和解密的函数作密码算法。、身份认证：一种用来验证通信参与者是否真的是他所声称的身份的手段，通过身份认证可以发现那些假冒的顶替的入侵者。几个术语几个术语、数据完整性：一种用来检查数据在通信过程中是否被修改过的手段，通过它可以检查被篡改过或者通信错误的消息。、不可否认性：证明发送这的确发送过某个消息，如果使用了“不可否认性”算法，一旦因消息发生纠纷，发送者就无法否认他曾经发送过该消息。