抛弃IPSec ××× 选择SSL ×××的理由 http://network.51cto.com 2006-08-23 11:24 IT168 我要评论(0) 现在实现×××联网方案的主要技术是IPSEC ×××与SSL ×××,同样是×××远程联网,为何抛弃IPSec ××× 选择SSL ×××。 在企业上网如火如荼地普及开后,下一波企业网络建设的投资热潮将是企业总分部之间的跨INTERNET联网。现在的企业家已经认识到网络给企业生产力提高带来的巨大收益,纷纷要上OA、ERP、CRM等应用系统,甚至跨互联网部署。企业联网方案由于×××技术的成熟和几乎“无处不在”的已经部署好的广域网——INTERNET,让这个目标的实现变的非常容易。投资的设备和通信费用更是比传统的帧中继、DDN等联网方案低很多。甚至在DDNS、目录服务等技术支持下,联网的双方都可以使用动态公网IP进行×××部署,而不必申请奇缺昂贵的静态公网IP。 现在实现×××联网方案的主要技术是IPSEC ×××与SSL ×××,IPSEC ×××出现得较早,商用化程度较高,技术较成熟,安全性较优越。但缺憾是设备成本支出较多,分部和移动人员需要硬件IPSec ×××客户端设备和软件IPSec ×××客户端,设置工作较复杂,维护工作较多,需要专业网管支持。SSL ×××是一项近两年才发展起来新的虚拟专网技术,由于无须安装×××客户端(不管是硬件客户端还是软件客户端)的便捷性和因此大幅降低的实施管理成本,在国内外得到了迅速的应用和发展。 同样是×××远程联网,SSL ×××适合于在客户、合作伙伴用户、远程用户、供应商、本单位总分机构及移动员工之间建立×××,而IPSec ×××更适用于网段间的链接。 随时随地接入 与IPSEC ×××相比,SSL ×××更加适用于单机接入总部网络的应用需求,如移动办公,而IPSEC ×××则适用于两个固定的局域网之间构建安全通道。SSL ×××使用标准的浏览器,无需安装客户端程序,即可通过SSL ×××隧道接入总部网络访问应用。SSL ×××打破了构建×××通道要安装专用客户端的传统,倡导的是不需客户端的“随时随地移动接入”的新概念,甚至在公共上网场合(如网吧)都能够利用SSL ×××访问内网的应用资源这点是SSL ×××最具价值的特性。但是,SSL ×××并不局限于单机移动用户,也可用于分支单位的固定用户,之所以有上述叙述,是因为与IPSec ×××作比较,其实只要能上互联网,任何被授权用户都可以访问SSL ×××。现在的总分部×××方案也越来越多采用SSL ×××实现,原因在于它对用户的应用支持范围越来越广,功能越来越接近于传统的IPSec ×××,而且SSL ×××不受上网方式限制,SSL ×××隧道可以穿透防火墙。 安全有保障 SSL ×××容易提供更细的访问控制,可以对用户、用户组的权限、资源、服务、文件进行更加细致的控制,并可以与第三方认证系统、认证中心(CA)结合。SSL ×××安全主要包括:数据通信安全、身份认证安全两个大层次。 在数据通信安全方面,SSL ×××采用标准的安全套接层(SSL)协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度为128位,对一般商用来说、完全能够满足数据传输层的安全需求。 在身份认证安全方面,SSL ×××也已经走向完善。SSL ×××可以做到基于用户个体的精细控制,基于用户和组授予不同的应用访问权限,并对相关访问操作进行审计,保证只有“正确”的用户才能访问总部发布的“正确”的应用。现在大部分的SSL ×××产品一般会采用了多重身份认证手段来实现接入者的身份认证,设备的本身内置有认证服务器,而且还可与第三方的认证系统或认证中心集成。多重认证包括:用户名及密码校验;数字证书;第三方的PKI体系;CA中心;USB KEY的认证;动态密钥等等。这些认证方式可以有效的保障接入用户身份认证的安全。对于普通企业的×××应用可以直接采用设备本身的认证,对于要求较高的企业用户可以加入企业内部的认证系统或第三方CA认证。 另外,对于内网安全, SSL ×××更优于IPSec ×××,因为IPSec ×××打开了从分支局域网到总部局域网之间的虚拟通路,它只认证两端设备的身份,不是认证每一个访问的人而对于里面传什么数据是没有有效保障的,因此有可能造成了病毒跨网传播,而一旦可上×××的电脑被未授权的人控制,总部网络就会存在危险。SSL ×××保障到具体的应用,只有开放了具体应用,并且只有权限的用户才允许访问、并没有给接入的用户不受限地访问内网其它资源的权限,并且没有开放到局域网,因此对总部内网更安全。 因此,基于以上分析,SSL ×××完全能够满足远程用户的接入安全需求。 应用支持多 新的SSL ×××能够实现各种基于B/S,C/S结构设计的应用程序,能够实现所有IPSec ×××所支持的所有应用,因此对于用户各种网络应用的支持越来越好、越来越多,可以说已经今非昔比。 在以前,SSL ×××只支持WEB方式的应用,为用户开发的应用必须围绕着WEB来展开,但现在已经不仅局限于WEB方式。在这一点上,现在可能仍有网友认为“SSL ×××只支持WEB应用”,这是错误的。SSL ×××之所以不需要安装任何×××客户端,就是因为用户端的电脑中只要有浏览器、就一定会有SSL协议。SSL ×××就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL ×××只支持WEB应用。 SSL ×××除了支持WEB应用之外,还能支持基于TCP/UDP传输协议的应用(如C/S应用软件)、支持Windows网上邻居、FTP等。SSL ×××支持C/S结构的应用程序的原理是将非WEB的应用进行重定向、在用户端将所有数据转入SSL协议通道传输,在中心端进行恢复和还原。目前各路厂家们正在不断努力研发,以使自家SSL ×××产品对用户各类特殊应用的支持越来越透明。 成本维护低 SSL ×××只需维护中心节点的SSL ×××设备,客户端免维护,降低了部署和支持费用,相比较IPSec ×××,SSL ×××的设备和维护成本是最低的。对于IPSec ×××布网来说,它是局域网与局域网之间通过互联网构建虚拟连接,需要在总部、分部分别部署一台IPSEC ×××设备,而对单个移动用户需要安装专门的客户端,因此它的设备支出多出了分部的设备部分。而SSL ×××只需在单位总部部署一台SSL ×××设备就可以,其它远程用户不管它是移动在外的员工,还是分部的员工、合作伙伴用户要做访问总部,只需打开浏览器就可以了。
IPSec ××× 和SSL ××× 对比 随着网络,尤其是网络经济的发展,企业规模日益扩大,客户分布日益广泛,合作伙伴日益增多,传统企业网基于固定地点的专线连接方式,已难以适应现代企业的需求。于是企业在自身网络的灵活性、安全性、经济性、扩展性等方面提出了更高的要求。虚拟专用网(×××)以其独具特色的优势,赢得了越来越多的企业的青睐,令企业可以较少地关注网络的运行与维护,更多地致力于企业商业目标的实现。 IPSec是现在企业网络通讯应用中被广泛使用的加密及隧道技术,同时也是在不牺牲安全性前提下,被选用来在网络第三层建立IP-×××的方法,特別是对于无法负担Frame Relay或ATM高額费用的中小企业而言,IPSec的应用是一项福音。而目前SSL ×××以其设置简单无需安装客户端的优势,越来越受到企业的欢迎,可望成为未来企业确保信息安全的新宠。下面我们详细分析、对比IP Sec和SSL ×××之间的特点。 一、适用范围 IPSEC ×××是设计来保护私有的数据流从各种不被信任的网络传送到信任的网络。IPSec ×××,由于工作在第三层,对上层的应用是透明的,几乎可以为所有的应用提供服务,包括客户端/服务器模式和某些传统的应用及网络共享等。以IPSec ×××作为点对点连结方案,可以提供网与网之间的连接。 SSL ××× 工作在网络层和应用层之间,大多数SSL的×××都是基Web浏览器工作的,基于Web访问的开放体系和一些特定的系统如邮件,ftp等,主要用于单机对服务器的访问。 二、部署、管理成本 在设计上,IPSec ×××是一种基础设施性质的安全技术。这类×××的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的×××远程访问提供服务。 IPSec ×××最大的难点在于客户端需要安装复杂的软件,而且当用户的×××策略稍微有所改变时,×××的管理难度将呈几何级数增长。SSL ×××则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。 SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL ×××公认的三大好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec ×××对客户端采用的作系统版本具有很高的要求,不同的终端作系统需要不同的客户端软件,而SSL ×××则完全没有这样的麻烦。 三、安全性 1.安全通道(Secure Tunnel)-IPSec和SSL这两种安全协议,都有采用对称式(Symmetric)和非对称式(Asymmetric)的加密算法来执行加密作业。在安全的通道比较上,并没有谁好谁坏之差,仅在于应用上的不同。Catholic Health系统公司提供四所医院相关医疗单位的网络系统和技术服务。最近他们采用了SSL ×××系统给500位医生和诊所,可以从远程来执行医疗作系统,查询和更新病人的所有数据,但是他们仍然采用IPSec ×××来连结医院之间点对点的网络。 2.认证和权限控管-IPSec采取Internet Key Exchange(IKE)方式,使用数字凭证(Digital Certificate) 或是一组Secret Key来做认证,而SSL仅能使用数字凭证,如果都是采取数字凭证来认证,两者在认证的安全等级上就没有太大的差别。SSL的认证,大多数的厂商都会建置硬件的token,来提升认证的安全性。对于使用权限的控管,IPSec可以支持「Selectors」,让网络封包过滤喊阻隔某些特定的主机货应用系统。但是实际作业上,大多数人都是开发整个网段(Subset),以避免太多的设定所造成的麻烦。SSL可以设定不同的使用者,执行不同的应用系统,它在管理和设定上比IPSec简单方便许多。 3.安全测试-IPSec ×××已经有多年的发展,有许多的学术和非营利实验室,提供各种的测试准则和服务,其中以ICSA Labs是最常见的认证实验室,大多数的防火墙,×××厂商,都会以通过它的测试及认证为重要的基准。但SSL ×××在这方面,则尚未有一个公正的测试准则,但是ICSA Labs实验室也开始着手SSL/TLC的认证计划,预计在今年底可以完成第一阶段的Crypto运算建置及基础功能测试程序。 4.应用系统的攻击-远程用户以IPSec ×××的方式与公司内部网络建立联机之后,内部网络所连接的应用系统,都是可以侦测得到,这就提供了黑客攻击的机会。若是采取SSL-×××来联机,因为是直接开启应用系统,并没在网络层上连接,黑客不易侦测出应用系统内部网络物制,所受到的威胁也仅是所联机的这个应用系统,攻击机会相对就减少。 5.病毒入侵-一般企业在Internet联机入口,都是采取适当的防毒侦测措施。不论是IPSec ×××或SSL ×××联机,对于入口的病毒侦测效果是相同的,但是比较从远程客户端入侵的可能性,就会有所差别。采用IPSec联机,若是客户端电脑遭到病毒感染,这个病毒就有机会感染到内部网络所连接的每台电脑。相对于SSL ×××的联机,所感染的可能性,会局限于这台主机,而且这个病毒必须是针对应用系统的类型,不同类型的病毒是不会感染到这台主机的。 6. 防火墙上的通讯端口-在TCP/IP的网络架构上,各式各样的应用系统会采取不同的通讯协议,并且通过不同的通讯端口来作为服务器和客户端之间的数据传输通道。以Internet Email系统来说,发信和收信一般都是采取SMTP和POP3通讯协议,而且两种通讯端口是分别 采用port 25和port 110,若是从远程电脑来联机Email服务器,就必须在防火墙上开放port 25和110,否则远程电脑是无法与SMTP和POP3主机沟通的。IPSec ×××联机就会有这个困扰和安全顾虑。在防火墙上,每开启一个通讯端口,就多一个黑客攻击机会。反观之,SSL ×××就没有这方面的困扰。因为在远程主机与SSL ××× Gateway之间,采用SSL通讯端口(port 443)来作为传输通道,这个通讯端口,一般是作为Web Server对外的数据传输通道,因此,不需在防火墙上做任何修改,也不会因为不同应用系统的需求,而来修改防火墙上的设定,减少IT管理者的困扰。 四、可扩展性安全性 IPSec ×××在部署时,要考虑网络的拓扑结构,如果增添新的设备,往往要改变网络结构,那么IPSec ×××就要重新部署,因此造成IPSec ×××的可扩展性比较差。而SSL ×××就有所不同,可以随时根据需要,添加需要×××保护的服务器。 五、访问控制 为什么最终用户要部署×××,究其根本原因,还是要保护网络中重要数据的安全,比如财务部门的财务数据,人事部门的人事数据,销售部门的项目信息,生产部门的产品配方等等。 由于IPSec ×××部署在网络层,因此,内部网络对于通过×××的使用者来说是透明的,只要是通过了IPSec ×××网关,他可以在内部为所欲为。因此,IPSec ×××的目标是建立起来一个虚拟的IP网,而无法保护内部数据的安全。所以IPSec ×××又被称为网络安全设备。 与IPSec ×××只搭建虚拟传输网络不同的是,SSL ×××重点在于保护具体的敏感数据,比如SSL ×××可以根据用户的不同身份,给予不同的访问权限。就是说,虽然都可以进入内部网络,但是不同人员可以访问的数据是不同的而且在配合一定的身份认证方式的基础上,不仅可以控制访问人员的权限,还可以对访问人员的每个访问,做的每笔交易、每个作进行数字签名,保证每笔数据的不可抵赖性和不可否认性,为事后追踪提供了依据。 六、经济型 对于IPSec ×××来说,每增加一个需要访问的分支,就需要添加一个硬件设备。所以,尤其是对于一个成长型的公司来说,随着IT建设的扩大,要不断购买新的设备来满足需要。 另外,就使用成本而言,SSL ×××具有更大的优势,由于这是一个即插即用设备,在部署实施以后,一个具有一定IT知识的普通工作人员就可以完成日常的管理工作。 通过以上分析,IPSec ××× 和SSL ×××这两种×××架构,从整体上看具有各自不同的适用范围。SSL ×××在其易于使用性及安全层级,都比IPSec ×××高。由于Internet的迅速扩展,针对远程安全登入的需求也日益提升。对于使用者而言,方便安全的解决方案,才能真正符合需求。 因此以IPSec ×××作为点对点连结方案,而以SSL ×××作为远程访问方案,将是一种不错的选择。
SSL ×××与IPSec ×××之间的比较 http://network.51cto.com 2006-02-07 15:59 我要评论(1) 要了解SSL ×××与IPSec ×××到底有哪些联系与区别,首先还是先来回顾一下传统的IPSec ×××方案 要了解SSL ×××与IPSec ×××到底有哪些联系与区别,首先还是先来回顾一下传统的IPSec ×××方案。 IPSec的英文全名为“Internet Protocol Security”,中文名为“因特网安全协议”,这个安全协议是×××的基本加密协议,它为数据在通过公用网络(如因特网)在网络层进行传输时提供安全保障。通信双方要建立IPSec通道,首先要采用一定的方式建立通信连接。因为IPSec协议支持几种操作模式,所以通信双方先要确定所要采用的安全策略和使用模式,这包括如加密运算法则和身份验证方法类型等。在IPSec协议中,一旦IPSec通道建立,所有在网络层之上的协议在通信双方都经过加密,如TCP、UDP 、SNMP、HTTP、POP、AIM、KaZaa等,而不管这些通道构建时所采用的安全和加密方法如何。
- IPSec的主要不足 (1)安全性能高,但通信性能较低 因为IPSec安全协议是工作在网络层的,不仅所有网络通道都是加密的,而且在用户访问所有公司资源时,就像采用专线方式与公司网络直接物理连接一样。你可以或者不想让你的合作伙伴或者远程员工成为您的网络一部分,IPSec不仅使你正在通信的那一很小的部分通道加密,而是对所有通道进行加密。所以在在安全性方面比SSL ×××好,但整体通信性能却因安全性受到了影响,不过安全性方面始终高于性能的,这也是目前IPSec ×××仍为主流的原因之一。 (2)需要客户端软件 在IPSec ×××中需要在每一客户端安装特殊用途的客户端软件,用这些软件来替换或者增加客户系统的TCP/IP堆栈。在许多系统中,这就可能带来了与其他系统软件之间兼容性问题的风险,例如木马程序所带来的安全性风险,特别是在这些客户端软件是从网站上下载,而且不是经过专门的IT人员安装的情况下。解决IPSec协议的这一兼容性问题目前还缺乏一致的标准,几乎所有的IPSec客户端软件都是专有的,不能与其它兼容。 在一些情形中,IPSec安全协议是在运行在网络硬件应用中,在这种解决方案中大多数要求通信双方所采用的硬件是相同的,IPSec协议在硬件应用中同样存在着兼容性方面的问题。 并且,IPSec客户端软件在膝上电脑或者桌面系统中的应用受到限制。这种限制限制了用户使用的灵活性,在没有装载IPSec客户端系统的远程用户中用户不能与网络进行×××连接。 (3)安装和维护困难 IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSecI安全协议进行的×××远程访问提供服务。 (4)实际全面支持的系统比较少 虽然已有许多开发的操作系统提出对IPSec协议的支持,但是在实际应用是,IPSec安全协议客户的计算机通常只运行基于Windows系统,很少有运行其它PC系统平台的,如Mac、Linux、Solaris 等。
- 为什么要用SSL,而不用IPSec ×××? 虽然目前并不是所有,也不大多数用户采用SSL代理方式进行×××通信,但是使用SSL ×××的用户数却在不断增加,有些是原来一直采用IPSec ×××的,原因主要有以下几个方面: (1)不需要客户端软件和硬件需求 在SSL代理中的一个关键优势就是不需要在客户端安装另外的软件,而只需要在服务器端安装相应的软件和硬件,然后通过服务器向客户端发布。SSL代理可以使用于支持SSL技术的标准Web浏览器和email客户中。 (2)容易使用,容易支持Web界面 在今天的工厂中,有许多Web浏览器和支持SSL的email客户端,包括Windows、Macintosh、Linux/UNIX、PDAs,甚至到蜂窝电话都可以通过SSL协议进行通信。因为这些都是人们已非常熟悉的,这样就可以大大节省培训费用。 (3)端到端 vs. 端到边缘安全 IPSec安全协议的一个主要优势就是只需要在客户和网络资源边缘处建立通道。仅保护从客户到公司网络边缘连接的安全,不管怎样,所有运行在内部网络的数据是透明的,包括任何密码和在传输中的敏感数据。SLL安全通道是在客户到所访问的资源之间建立的,确保端到端的真正安全。无论在内部网络还是在因特网上数据都不是透明的。客户对资源的每一次操作都需要经过安全的身份验证和加密。 这两种×××方式的通道安全示意图如图1所示。
图1 (4)90%以上的通信是基于Web和Email的 近呼90%的企业利用×××进行的内部网和外部网的联接都只是用来进行因特网访问和电子邮件通信,另外10%的用户是利用诸如x11、聊天协议和其它私有客户端应用,属非因特网应用。 选项 SSL ××× IPSec ××× 身份验证 ·单向身份验证 ·双向身份验证 ·数字证书 ·双向身份验证 ·数字证书 加密 ·强加密 ·基于Web浏览器 ·强加密 ·依靠执行 全程安全性 ·端到端安全 ·从客户到资源端全程加密 ·网络边缘到客户端 ·仅对从客户到×××网关之间通道加密 可访问性 选用于任何时间、任何地点访问 限制适用于已经定义好受控用户的访问 费用 ·低(无需任何附加客户端软件) ·高(需要管理客户端软件) 安装 ·即插即用安装 ·无需任何附加的客户端软、硬件安装 ·通常需要长时间的配置 ·需要客户端软件或者硬件 用户的易使用性 ·对用户非常友好,使用非常熟悉的Web浏览器 ·无需终端用户的培训 ·对没有相应技术的用户比较困难 ·需要培训 支持的应用 ·基于Web的应用 ·文件共享 ·E-mail ·所有基于IP协议的服务 用户 客户、合作伙伴用户、远程用户、供应商等 更适用于企业内部使用 可伸缩性 容易配置和扩展 在服务器端容易实现自由伸缩,在客户端比较困难
一 ×××概述
为了使得远程的企业员工可以与总部实时的交换数据信息。企业得向ISP租用网络提供服务。但公用网容易遭受各种安全攻击(比如拒绝服务攻击来堵塞正常的网络服务,或窃取重要的企业内部信息)
×××这个概念的引进就是用来解决这个问题。它是利用公用网络来连接到企业私有网络。但在×××中,用安全机制来保障机密型,真实可靠行,完整性严格的访问控制。这样就建立了一个逻辑上虚拟的私有网络。虚拟局域网提供了一个经济有效的手段来解决通过公用网络安全的交换私有信息。
二 ×××特性
一般×××所具备的优点有以下几点:
a) 最小成本:无须购买网络设备和专用线路覆盖所有远程用户
b) 责任共享:通过购买公用网的资源,部分维护责任迁移至provider(更专业,有经验,是操作,维护成本降低)。
c) 安全性:
d) 保障Qos
e) 可靠性:如果一个×××节点坏了,可以一个替换×××建立起来绕过他,这种恢复工作是得×××操作可以尽可能的延续
f) 可扩展性:可以通过从公用网申请更多得资源达到非常容易的扩展×××,或者协商重构×××
其中安全性是vpn最重要的一个特性,也是各类vpn产品所必须具备和支持的要素.
三 ×××的安全技术
目前×××主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
加解密技术是数据通信中一项较成熟的技术,×××可直接利用现有技术。
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
隧道指的是利用一种网络协议来传输另一种网络协议,它主要利用网络隧道协议来实现这种功能。网络隧道技术涉及了三种网络协议,即网络隧道协议、隧道协议下面的承载协议和隧道协议所承载的被承载协议。网络隧道技术是个关键技术,这项vpn的基本技术也是本文要详细和阐述的.
四 网络隧道协议
网络隧道是指在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。现有两种类型的网络隧道协议,一种是二层隧道协议,用于传输二层网络协议,它主要应用于构建远程访问虚拟专网(Access×××);另一种是三层隧道协议,用于传输三层网络协议,它主要应用于构建企业内部虚拟专网(Intranet×××)和扩展的企业内部虚拟专网(Extranet ×××)。
二层隧道协议
第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议主要有以下三种:第一种是由微软、Ascend、3COM 等公司支持的 PPTP(Point to Point Tunneling Protocol,点对点隧道协议),在WindowsNT4.0以上版本中即有支持。
第二种是Cisco、北方电信等公司支持的L2F(Layer2Forwarding,二层转发协议),在 Cisco 路由器中有支持。
第三种由 IETF 起草,微软 Ascend 、Cisco、 3COM 等公司参与的 L2TP(Layer 2TunnelingProtocol,二层隧道协议)结合了上述两个协议的优点,L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。这里就主要介绍一下 L2TP 网络协议。
其中,LAC 表示 L2TP 访问集中器(L2TPAccessConcentrator),是附属在交换网络上的具有 PPP 端系统和 L2TP 协议处理能力的设备,LAC 一般就是一个网络接入服务器 NAS(Network Access Server)它用于为用户通过 PSTN/ISDN 提供网络接入服务;LNS 表示 L2TP 网络服务器(L2TP Network Server),是 PPP 端系统上用于处理 L2TP 协议服务器端部分的软件。
在一个LNS和LAC对之间存在着两种类型的连接,一种是隧道(tunnel)连接,它定义了一个LNS和LAC对;另一种是会话(session)连接,它复用在隧道连接之上,用于表示承载在隧道连接中的每个 PPP 会话过程。
L2TP连接的维护以及PPP数据的传送都是通过L2TP消息的交换来完成的,这些消息再通过 UDP的1701端口承载于TCP/IP之上。L2TP消息可以分为两种类型,一种是控制消息,另一种是数据消息。控制消息用于隧道连接和会话连接的建立与维护。数据消息用于承载用户的 PPP 会话数据包。 L2TP 连接的维护以及 PPP 数据的传送都是通过 L2TP 消息的交换来完成的,这些消息再通过UDP的1701端口承载于 TCP/IP 之上。
控制消息中的参数用AVP值对(AttributeValuePair)来表示,使得协议具有很好的扩展性;在控制消息的传输过程中还应用了消息丢失重传和定时检测通道连通性等机制来保证了 L2TP 层传输的可靠性。数据消息用于承载用户的 PPP 会话数据包。L2TP 数据消息的传输不采用重传机制,所以它无法保证传输的可靠性,但这一点可以通过上层协议如TCP等得到保证;数据消息的传输可以根据应用的需要灵活地采用流控或不流控机制,甚至可以在传输过程中动态地使用消息序列号从而动态地激活消息顺序检测和流量控制功能;在采用流量控制的过程中,对于失序消息的处理采用了缓存重排序的方法来提高数据传输的有效性。
L2TP 还具有适用于××× 服务的以下几个特性:
· 灵活的身份验证机制以及高度的安全性
L2TP 可以选择多种身份验证机制(CHAP、PAP等),继承了PPP的所有安全特性,L2TP 还可以对隧道端点进行验证,这使得通过L2TP所传输的数据更加难以被攻击。而且根据特定的网络安全要求还可以方便地在L2TP之上采用隧道加密、端对端数据加密或应用层数据加密等方案来提高数据的安全性。
· 内部地址分配支持
LNS可以放置于企业网的防火墙之后,它可以对于远端用户的地址进行动态的分配和管理,可以支持DHCP和私有地址应用(RFC1918)等方案。远端用户所分配的地址不是Internet地址而是企业内部的私有地址,这样方便了地址的管理并可以增加安全性。
· 网络计费的灵活性
可以在LAC和LNS两处同时计费,即ISP处(用于产生帐单)及企业处(用于付费及审记)。L2TP能够提供数据传输的出入包数,字节数及连接的起始、结束时间等计费数据,可以根据这些数据方便地进行网络计费。
· 可靠性
L2TP 协议可以支持备份 LNS,当一个主 LNS 不可达之后,LAC(接入服务器)可以重新与备份 LNS 建立连接,这样增加了 ××× 服务的可靠性和容错性。
· 统一的网络管理
L2TP协议将很快地成为标准的RFC协议,有关L2TP的标准MIB也将很快地得到制定,这样可以统一地采用 SNMP 网络管理方案进行方便的网络维护与管理。
三层隧道协议
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。三层隧道协议并非是一种很新的技术,早已出现的 RFC 1701 Generic Routing Encapsulation(GRE)协议就是个三层隧道协议。新出来的 IETF 的 IP 层加密标准协议 IPSec 协议也是个三层隧道协议。
IPSec(IPSecurity)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。 它不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,它包括网络安全协议 Authentication Header(AH)协议和 Encapsulating Security Payload(ESP)协议、密钥管理协议Internet Key Exchange (IKE)协议和用于网络验证及加密的一些算法等。下面就IPSec的认证与加密机制和协议分别做一些详细说明。
1. IPSec认证包头(AH):
它是一个用于提供IP数据报完整性和认证的机制。其完整性是保证数据报不被无意的或恶意的方式改变,而认证则验证数据的来源(识别主机、用户、网络等)。AH本身其实并不支持任何形式的加密,它不能保证通过Internet发送的数据的可信程度。AH只是在加密的出口、进口或使用受到当地政府限制的情况下可以提高全球Intenret的安全性。当全部功能实现后,它将通过认证IP包并且减少基于IP欺骗的攻击机率来提供更好的安全服务。AH使用的包头放在标准的IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、ICMP等)之间。
AH协议通过在整个IP数据报中实施一个消息文摘计算来提供完整性和认证服务。一个消息文摘就是一个特定的单向数据函数,它能够创建数据报的唯一的数字指纹。消息文摘算法的输出结果放到AH包头的认证数据(Authentication_Data)区。消息文摘5算法(MD5)是一个单向数学函数。当应用到分组数据中时,它将整个数据分割成若干个128比特的信息分组。每个128比特为一组的信息是大分组数据的压缩或摘要的表示。当以这种方式使用时,MD5只提供数字的完整性服务。一个消息文摘在被发送之前和数据被接收到以后都可以根据一组数据计算出来。如果两次计算出来的文摘值是一样的,那么分组数据在传输过程中就没有被改变。这样就防止了无意或恶意的窜改。在使用HMAC-MD5认证过的数据交换中,发送者使用以前交换过的密钥来首次计算数据报的64比特分组的MD5文摘。从一系列的16比特中计算出来的文摘值被累加成一个值,然后放到AH包头的认证数据区,随后数据报被发送给接收者。接收者也必须知道密钥值,以便计算出正确的消息文摘并且将其与接收到的认证消息文摘进行适配。如果计算出的和接收到的文摘值相等,那么数据报在发送过程中就没有被改变,而且可以相信是由只知道秘密密钥的另一方发送的。
2. 封包安全协议(ESP)包头:
它提供IP数据报的完整性和可信性服务ESP协议是设计以两种模式工作的:隧道(Tunneling)模式和传输(Transport)模式。两者的区别在于IP数据报的ESP负载部分的内容不同。在隧道模式中,整个IP数据报都在ESP负载中进行封装和加密。当这完成以后,真正的IP源地址和目的地址都可以被隐藏为Internet发送的普通数据。这种模式的一种典型用法就是在防火墙-防火墙之间通过虚拟专用网的连接时进行的主机或拓扑隐藏。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等)被放到加密后的IP数据报的ESP负载部分。在这种模式中,源和目的IP地址以及所有的IP包头域都是不加密发送的。
IPSec要求在所有的ESP实现中使用一个通用的缺省算法即DES-CBC算法。美国数据加密标准(DES)是一个现在使用得非常普遍的加密算法。它最早是在由美国政府公布的,最初是用于商业应用。到现在所有DES专利的保护期都已经到期了,因此全球都有它的免费实现。IPSecESP标准要求所有的ESP实现支持密码分组链方式(CBC)的DES作为缺省的算法。DES-CBC通过对组成一个完整的IP数据包(隧道模式)或下一个更高的层协议帧(传输模式)的8比特数据分组中加入一个数据函数来工作。DES-CBC用8比特一组的加密数据(密文)来代替8比特一组的未加密数据(明文)。一个随机的、8比特的初始化向量(IV)被用来加密第一个明文分组,以保证即使在明文信息开头相同时也能保证加密信息的随机性。DES-CBC主要是使用一个由通信各方共享的相同的密钥。正因为如此,它被认为是一个对称的密码算法。接收方只有使用由发送者用来加密数据的密钥才能对加密数据进行解密。因此,DES-CBC算法的有效性依赖于秘密密钥的安全,ESP使用的DES-CBC的密钥长度是56比特。
3. Internet 密钥交换协议(IKE):
用于在两个通信实体协商和建立安全相关,交换密钥。安全相关(SecurityAssociation)是IPSec中的一个重要概念。一个安全相关表示两个或多个通信实体之间经过了身份认证,且这些通信实体都能支持相同的加密算法,成功地交换了会话密钥,可以开始利用 IPSec 进行安全通信。IPSec协议本身没有提供在通信实体间建立安全相关的方法,利用 IKE建立安全相关。IKE定义了通信实体间进行身份认证、协商加密算法以及生成共享的会话密钥的方法。IKE中身份认证采用共享密钥和数字签名两种方式,密钥交换采用 Diffie Hellman 协议。安全相关也可以通过手工方式建立,但是当 ××× 中结点增多时,手工配置将非常困难。
由此,IPSec 提供了以下几种网络安全服务:
· 私有性 - IPsec 在传输数据包之前将其加密,以保证数据的私有性
· 完整性 - IPsec在目的地要验证数据包,以保证该数据包在传输过程中没有被替换
· 真实性 - IPsec 端要验证所有受 IPsec 保护的数据包
· 反重复 -IPsec防止了数据包被扑捉并重新投放到网上,即目的地会拒绝老的或重复的数据包;它通过与 AH 或 ESP 一起工作的序列号实现
五 小结
×××综合了专用和公用网络的优点,允许有多个站点的公司拥有一个假想的完全专有的网络,而使用公用网络作为其站点之间交流的线路,它通过可靠的加密技术方法保证其安全性。I P s e c是×××隧道协议中一个相当新的标准,是实现I n t e r n e t的I P协议级安全可靠的一种方法,必将成为各个×××产品所支持的业界标准。