网络安全理论与实践教案第5讲VPN教案.docx
《网络安全理论与实践教案第5讲VPN教案.docx》由会员分享,可在线阅读,更多相关《网络安全理论与实践教案第5讲VPN教案.docx(24页珍藏版)》请在冰豆网上搜索。
网络安全理论与实践教案第5讲VPN教案
金陵科技学院教案【教学单元首页】
第1次课授课学时4教案完成时间:
2018.2
章、节
第5讲VPN技术
主要内容
VPN的基本概念和分类
PPTP、IPSec、TLS等隧道协议
IPSecVPN的原理及应用
TLSVPN的原理及应用
PPTPVPN的原理及应用
MPLSVPN的原理及应用
目的与要求
重点与难点
教学方法与手段
课堂教学,多媒体课件与板书相结合
授课内容
内容
备注
1VPN的基本概念和分类
1.1VPN的概念
虚拟专网:
VPN(VirtualPrivateNetwork)
VPN定义:
指将物理上分布在不同地点的网络通过公用网络连接而构成逻辑上的虚拟子网。
✓实现了内部网信息在公用信息网中的传输。
✓公用网起到“虚拟”的效果。
✓对每个使用者来说是“专用”的。
1.2VPN的特点
✓费用低:
比专线便宜
✓安全保障:
隧道、加密
✓服务质量保证(QoS):
不同等级的QOS覆盖性、稳定性、时延、误码率,etc.
✓可扩充性和灵活性:
增加新节点、多种类型传输媒介、多媒体文件、带宽
✓可管理性:
安全管理、设备管理、配置管理、访问控制列表管理、QOS管理,etc.
1.3VPN的分类
1.网关-网关VPN
2.远程访问VPN
1.4VPN的关键技术
•隧道技术:
第2层的隧道协议:
网络协议先封闭到PPP,再封闭到隧道协议。
包括L2F、PPTP、L2TP等;
第3层的隧道协议:
直接封闭到隧道协议。
包括IPSec、GRE、VTP等。
•加/解密技术
•密钥管理技术
SKIP:
利用diffie-hellman
ISAKMP/OAKLEY:
利用公钥体制
•身份认证技术
•访问控制:
谁能够访问系统
能访问系统的何种资源
如何使用这些资源
2PPTP、IPSec、TLS等隧道协议
2.1隧道协议与VPN:
•定义:
指通过一个公用网络(通常是Internet)建立的一条穿过公用网络的安全的、逻辑上的隧道。
在隧道中,数据包被重新封装发送。
•VPN的主要封装协议:
第2层的隧道协议:
--包括PPTP、L2TP、L2F等;
--主要用于构建远程访问VPN
第3层的隧道协议:
--包括IPSec、GRE、VTP等
--主要用于LAN-to-LANVPN
•数据包在隧道中的封装及发送过程
封装:
IP封装化:
在原IP分组上添加新的报头。
✓发端VPN在对IP数据包前加新报头封装后,将封装后的数据包通过Internet发送给收端VPN。
✓收端VPN在接收到封装数据包后,将隧道标头删除,再发给目标主机。
发送:
2.2第二层隧道协议:
远程访问VPN
PPTP:
✓让远程用户拨号连接到本地ISP、通过Internet安全远程访问公司网络资源。
✓Client-to-Lan型隧道协议
✓本身对PPP没有修改,安全性比PPP还弱
✓PPTP具有两种不同的工作模式:
被动模式:
ISP的前端处理器发起,client不需要安装与PPTP有关的软件。
降低了对client的要求。
主动模式:
不需要ISP参与,client拥有对PPTP的绝对控制。
对client要求高。
L2F:
✓可以在多种介质(如AMT、帧中继、IP网)上建立多协议的安全虚拟专用网。
✓它将链路层的协议(如HDLC,PPP,ASYNC等)封装起来传送
✓按常规方式拨号到ISP的接入服务器NAS,建立PPP连接;然后NAS根据用户名等信息发起第二重连接,呼叫用户网络的服务器。
✓缺陷:
没有加密,安全性定,被淘汰。
L2TP:
✓PPTP+L2F,在上述两种协议的基础上产生。
✓IETF的2层隧道标准
✓适合组建远程接入方式的VPN。
✓远程拨号用户通过本地PSTN、ISDN、PLMN拨号,接入ISP在当地的接入服务器NAS,NAS对用户身份进行谁,并获得用户对应的企业安全网关的隧道属性。
NAS采用隧道协议封装上层协议,建立一个NAS和本地网络服务器LNS之间的VPN。
二层VPN协议的优缺点:
优点:
简单易行
缺点:
(1)可扩展性都不好,
(2)不提供内在的安全机制,不能保证企业和企业的外部客户及供应商之间会话的保密性。
2.3第三层隧道协议:
网关--网关VPN
IPSEC:
✓专为IP设计提供安全服务的一种协议。
✓有效保护IP数据报的安全
✓AH\ESP\IKE
GRE(GenericRoutingEncapsulation):
✓规定了如何用一种网络协议去封装另一种网络协议的方法。
✓只提供数据包的封装,并没有采用加密功能来防止窃听和攻击,实际环境中结合IPSec一起使用。
MPLS(MultiprotocolLabelSwitching):
✓引入了基于标记的机制。
✓它把选路和转发分开,用标签来规定一个分组通过网络的路径。
3IPSecVPN的原理及应用
3.1IPSec协议概述
在IPv6的制定过程中产生,提供IP层的安全性。
IPSec标准最初由IETF于1995年制定。
从1997年开始IETF又开展了新一轮的IPSec标准的制定工作。
1998年11月,主要协议已经基本制定完成。
•IPSec主要由AH、ESP和IKE三个协议来实现认证、加密和密钥管理。
RFC标准文档:
1)RFC2401:
IPSec系统结构
2)RFC2402:
认证首部协议AH
3)RFC2406:
封装净荷安全协议ESP
4)RFC2409:
Internet密钥交换协议IKE
5)RFC2631:
Diffie-Hellman密钥协商方案
6)
•IPSec协议使用认证头标AH和封装安全净载ESP两种安全协议来提供安全通信。
两种安全协议都分为隧道模式和传输模式。
•
•传输模式:
在两个主机之间以端对端的方式提供安全通道。
在整个通信路径的建立和数据传递过程中采用身份认证、数据保密性和数据完整性等安全保护措施。
加密数据净荷。
保护高层数据。
•隧道模式:
在两个IP子网之间建立安全通道
允许每个子网所有主机用户访问对方子网中的所有服务和主机。
加密整个IP分组
保护网络层数据
传输模式:
加密数据净荷
隧道模式:
加密整个IP分组。
AH、ESP或AH+ESP既可以在隧道模式中使用,又可以在传输模式中使用。
IPSec的功能和模式
3.2IPSec的工作原理
✓IPSec的工作原理类似于包过滤防火墙,可以把它看作是包过滤防火墙的一种扩展。
✓IPSec网关通过查询安全策略数据库(SPD)决定对接收到的IP数据包进行转发、丢弃或IPSec处理。
✓IPSec网关可以对IP数据包只进行加密或认证,也可以对数据包同时实施加密和认证。
无论是进行加密还是进行认证,IPSec都有两种工作模式:
传输模式和隧道模式。
•传输模式
✓采用传输模式时,IPSec只对IP数据包的净荷进行加密或认证。
✓封装数据包继续使用原IP头部,只对部分域进行修改。
✓而IPSec协议头部插入到原IP头部和传送层头部之间。
传输模式的ESP封装示意图
传输模式的AH封装示意图
•隧道模式
✓采用隧道模式时,IPSec对整个IP数据包进行加密或认证。
✓产生一个新的IP头,IPSec头被放在新IP头和原IP数据包之间,组成一新IP头。
IPSec隧道模式的ESP封装示意图
IPSec隧道模式的AH封装示意图
3.3IPSec中的主要协议
IPSec主要由AH、ESP和IKE三个协议来实现认证、加密和密钥管理功能。
•AH(AuthenticationHeader)
RFC2401将AH服务定义如下:
非连接的数据完整性校验;
数据源点认证;
可选的抗重放攻击服务。
AH有两种实现方式:
传输方式和隧道方式。
AH只涉及认证,不涉及加密。
认证头(AH)的结构及其在IP数据包中的位置
•ESP(EncapsulatingSecurityPayload)
ESP协议主要用于对IP数据包进行加密,此外也对认证提供某种程度的支持。
支持各种加密算法:
DES,3-DES,RC5,etc.
ESP协议也有两种工作模式:
传输模式和隧道模式。
•IKE(InternetKeyExchange)
✓IKE用于动态建立安全关联(SA,SecurityAssociation)
✓SA指安全服务与它服务的载体之间的一个“连接”
✓AH和ESP的实现都需要支持SA
✓IKE的主要功能是建立和维护SA。
✓IKE协议分两个阶段:
第一阶段:
建立IKE安全关联,即在通信双方之间协商密钥;
第二阶段:
利用这个既定的安全关联为IPSec建立安全通道。
IPSec中的主要协议
✓ISAKMP通过IKE对以下密钥机制提供支持:
预共享密钥(PSK)
公钥基础设施(PKI)
IPSec实体身份的第三方证书
✓IKE既是IPSec协议实现的核心,又可能成为系统的瓶颈
✓优化IKE程序和密码算法是实现IPSec的核心问题之一。
3.4安全关联(SA,SecurityAssociation)
IPsec的中心概念之一是“安全关联”。
从本质上讲,IPsec可被视为AH+ESP。
当两个网络节点在IPsec保护下通信时,它们必须协商一个SA(用于认证)或两个SA(分别用于认证和加密)。
SA有两种模式,即传输模式和隧道模式。
每个SA的标识由三部分组成:
安全性参数索引,即SPI
IP目的地址
安全协议标识,即AH或ESP
3.5IPSecVPN的构成
3.6IPSec的实现
FreeS/WAN是Linux操作系统中包含的IPsecVPN实现方案。
在网上可以找到其开放的源代码下载网址:
www.freeswan.org
4TLSVPN的原理及应用
4.1TLS概述
SSLVPN也称做传输层安全协议(TLS)VPN。
TLS协议主要用于HTTPS协议中。
TLS也可以作为构造VPN的技术。
TLSVPN的最大优点是用户不需要安装和配置客户端软件。
只需要在客户端安装一个IE浏览器即可。
(IPSec配置多,管理成本高)
由于TLS协议允许使用数字签名和证书,故它能提供强大的认证功能。
与许多C/S方式一样:
✓客户端向服务器发送“Clienthello”信息打开连接;
✓服务器用“Serverhello”回答;
✓要求客户端提供它的数字证书;
✓完成证书验证,执行密钥交换协议
密钥交换协议的任务:
✓产生一个密钥;
✓由主密钥产生两个会话密钥:
A→B的密钥和B→A的密钥;
✓由主密钥产生两个消息认证码密钥
TLS协议的连接建立过程
完整的TLS协议体系结构
TLS记录协议属于第三层协议;
TLS握手协议、TLS密钥交换协议和TLS报警协议均与HTTP和FTP一样属于应用层协议。
TLSVPN的原理
TLSVPN的实现方式:
在企业的防火墙后面放置一个TLS代理服务器。
用户欲安全地连接到公司网络
首先要在浏览器上输入一个URL(UniversalResourceLocator);
该连接请求将被TLS代理服务器取得;
用户通过身份验证;
TLS代理服务器提供用户与各种不同应用服务器之间的连接。
TLSVPN的实现主要依靠下面三种协议的支持
1、握手协议
具体协议流程如下:
ØTLS客户机连接至TLS服务器,并要求服务器验证客户机的身份。
ØTLS服务器通过发送它的数字证书证明其身份。
Ø服务器发出一个请求,对客户端的证书进行验证。
Ø协商用于消息加密的加密算法和用于完整性检验的杂凑函数。
Ø客户机生成一个随机数,用服务器的公钥对其加密后发送给TLS服务器。
ØTLS服务器通过发送另一随机数据做出响应。
Ø对以上两个随机数进行杂凑函数运算,从而生成会话密钥。
2、TLS记录协议
Ø协议建立在TCP/IP协议之上,用在实际数据传输开始前通信双方进行身份认证、协商加密算法和交换加密密钥等。
3、警告协议
•警告协议用于提示何时TLS协议发生了错误,或者两个主机之间的会话何时终止。
•只有在TLS协议失效时告警协议才会被激活。
•
TLSVPN的优缺点
优点:
✓无须安装客户端软件
✓适用于大多数设备
✓适用于大多数操作系统
✓支持网络驱动器访问
✓不需要对网络做改变
✓较强的资源控制能力
✓费用低且有良好安全性
✓可绕过防火墙进行访问
✓已内嵌在浏览器中
缺点:
✓认证方式单一
✓应用的局限性很大
✓只对应用通道加密
✓不能对消息进行签名
✓LAN连接缺少解决方案
✓加密级别通常不高
✓不能保护UDP通道安全
✓是应用层加密,性能差
✓不能访问控制
✓需CA支持
TLSVPN的应用
在客户与TLSVPN的通信中,人们通常采用TLSProxy技术来提高VPN服务器的通信性能和安全身份验证能力。
主要用于访问内部网中的一些基于Web的应用:
电子邮件、内部网页浏览、其他基于Web的查询工作。
TLSVPN与IPSecVPN比较
•TLSVPN有很多优点,但并不能取代IPSecVPN。
•IPSecVPN主要提供LAN-to-LAN的隧道安全连接。
•在为企业高级用户提供远程访问及为企业提供LAN-to-LAN隧道连接方面,IPSec具有无可比拟的优势。
•目前,IPSecVPN的厂商也开始研究如何让IPSecVPN兼容TLSVPN,以增强可用性。
如果成功,IPSecVPN的扩展性将大大加强,生命力也将更长久。
PPTPVPN的原理及应用
PPTPVPN概述
✓PPTPVPN最早是WindowsNT4.0支持的隧道协议标准,是PPP的扩展。
✓增强了PPP的认证和加密功能。
✓PPTP的主要功能是开通VPN隧道,它还是采用原来的PPP拨号建立网络连接。
✓PPTP的两个主要任务是“封装”和“加密”。
PPTP本身不提供加密服务,只是对先前已加密的PPP帧进行封装。
所谓的“加密”实际上是PPP通过MS-CHAP和EAP-TLS协议建立会话密钥。
然后再对净荷部分采用MPPE机制进行加密。
✓PPTP基于C/S结构,它将认证和连接设置功能分离开来,在其他类型的VPN中,这两个功能是统一的。
✓PPTP正是利用了“NAS功能分解”机制的支持,才能在Internet上实现VPN。
✓PPTP定义了三个功能实体:
PPTP访问集中器(PAC,PPTPAccessServer)
网络访问服务器(NAS,NetworkAccessServer,有时称RAS)
PPTP网络服务器(PNS,PPTPNetworkServer)
建立PPTP连接
✓首先需要建立客户端与本地ISP的PPP连接。
✓成功接入Internet,再就是建立PPTP连接。
✓从最顶端的PPP客户端、PAC和PNS服务器之间开始,由已经安装好PPTP的PAC建立并管理PPTP任务。
PPTPVPN的优缺点
✓远程Windows用户通过拨号网络中的远程访问服务(RAS)与本地ISP进行PPP拨号连接。
✓当PPP连接建立后,VPN客户再使用VPN连接选项进行二次拨号。
优点:
它不依赖于TCP/IP协议族,可以与Novell的IPX或Microsoft的NetBEUI协议一起使用。
缺点:
由于PPTP中没有定义加密功能,使PPTPVPN的安全性在所有类型的IPVPN中最低。
MPLSVPN的原理及应用
MPLSVPN的原理
MPLSVPN中,每个VPN子网分配一个独一无二的标示符,它与用户的地址连接形成转发表中独一无二的地址(VPN-IP地址)。
VPN转发表中包括与VPN-IP地址对应的标签,通过它将数据送到相应地址。
这种方案的优势:
✓通过相同的网络结构支持多种VPN,不必为每一个用户建立单独的VPN网络连接。
✓服务提供商可以为租用者配置一个网络以提供专用的IP网服务,而无须管理隧道。
✓QoS服务可与MPLSVPN无缝结合,为每个VPN网络提供特有的业务策略。
✓MPLSVPN用户能够使用他们专有的IP地址上网,无须网络地址转换(NAT)帮助。
MPLSVPN的优缺点
金陵科技学院教案【末页】
本
单
元
知
识
点
归
纳
思考题或
作业题
作业题:
Q1.IPSec有哪两种工作模式?
如何通过数据包格式区分两种模式?
Q2.简述TSLVPN的工作原理,并指出其优缺点。
Q3.什么是虚拟专用网VPN?
如何理解其中的“虚拟”和“专用”?
Q4.IPSec中,AH\ESP\IKE分别有什么作用?
小论文:
Q1你认为IPSecVPN和SSLVPN可以互相替代么?
本单元教学情况小结
备注
完成章节课后题,预习下一章
等于
False
小于
升级会员 