最新消息:VPN推荐网致力打造最全最靠谱的VPN推广站.

VPN的安全技术浅谈

关于VPN vpntuijian 1252浏览 0评论

1咱们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。 当前VPN首要选用四项技能来确保安全,这四项技能别离是地道技能(Tunneling)、加解密技能(Encryption & Decryption)、密钥办理技能(Key Management)、运用者与设备身份认证技能(Authentication)。

1.地道技能:

地道技能是VPN的根本技能类似于点对点衔接技能,它在共用网树立一条数据通道(地道),让数据包经过这条地道传输。地道是由地道协议构成的,分为第二、三层地道协议。第二层地道协议是先把各种网络协议封装到PPP中,再把全部数据包装入地道协议中。这种双层封装办法构成的数据包*第二层协议进行传输。第二层地道协议有L2F、PPTP、L2TP等。L2TP协议是当前IETF的规范,由IETF融合PPTP与L2F而构成。

第三层地道协议是把各种网络协议直接装入地道协议中,构成的数据包依*第三层协议进行传输。第三层地道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档构成,界说了一个体系来供给安全协议挑选、安全算法,断定效劳所运用密钥等效劳,然后在IP层供给安全确保。

2.加解密技能:

加解密技能是数据通讯中一项较老练的技能,VPN可直接运用现有技能。

3.密钥办理技能:

密钥办理技能的首要任务是如安在共用数据网上安全地传递密钥而不被盗取。现行密钥办理技能又分为SKIP与ISAKMP/OAKLEY两种。SKIP首要是运用Diffie-Hellman的演算规律,在网络上传输密钥;在ISAKMP中,两边都有两把密钥,别离用于共用、私用。

4.运用者与设备身份认证技能:

运用者与设备身份认证技能最常用的是运用者称号与暗码或卡片式认证等方法。

堵住安全漏洞

安全疑问是VPN的中心疑问。当前,VPN的安全确保首要是经过防火墙技能、路由器配以地道技能、加密协议和安全密钥来完成的,能够确保公司职工安全地拜访公司网络。

可是,假如一个公司的VPN需要扩展到长途拜访时,就要留意,这些对公司网直接或一直在线的衔接将会是黑客进犯的首要方针。由于,长途作业职工经过防火墙以外的自己计算机能够接触到公司核算、战略方案以及工程项目等中心内容,这就构成了公司安全防护体系中的缺点。尽管,职工能够双倍地提高作业效率,并削减在交通上所花费的时刻,但一起也为黑客、竞争对手以及商业间谍供给了很多进入公司网络中心的时机。

可是,公司并没有对远距离作业的安全性予以满足的重视。大多数公司以为,公司网络处于一道网络防火墙以后是安全的,职工能够拨号进入体系,而防火墙会将全部不合法恳求拒之其外;还有一些网络办理员以为,为网络树立防火墙并为职工供给VPN,使他们能够经过一个加密的地道拨号进入公司网络便是安全的。这些观念都是不对的。

在家作业是不错,但从安全的观念来看,它是一种极大的要挟,由于,公司运用的大多数安全软件并没有为家用计算机供给维护。一些职工所做的仅仅是进入一台家用计算机,跟从它经过一条授权的衔接进入公司网络体系。尽管,公司的防火墙能够将侵入者隔离在外,并确保首要单位和家庭单位之间VPN的信息安全。但疑问在于,侵入者能够经过一个被信赖的用户进入网络。因此,加密的地道是安全的,衔接也是准确的,但这并不意味着家庭计算机是安全的。

黑客为了侵入职工的家用计算机,需要勘探IP地址。有计算标明,运用拨号衔接的IP地址简直每天都遭到黑客的扫描。因此,假如在家作业人员具有一条比如DSL的不间断衔接链路(一般这种衔接具有一个固定的IP地址),会使黑客的侵略更为简单。由于,拨号衔接在每次接入时都被分配不一样的IP地址,尽管它也能被侵入,但相对要艰难一些。一旦黑客侵入了家庭计算机,他便能够长途运转职工的VPN客户端软件。因此,必须有相应的解决方案堵住长途拜访VPN的安全漏洞,使职工与网络的衔接既能充分体现VPN的长处,又不会变成安全的要挟。在自己计算机上装置自己防火墙是极为有用的解决办法,它能够使不合法侵入者不能进入公司网络。

当然,还有一些供给给长途作业人员的实践解决办法:

* 一切长途作业人员必须被同意运用VPN

* 一切长途作业人员需要有自己防火墙,它不只避免计算机被侵入,还能记载衔接被扫描了多少次;

* 一切的长途作业人员应具有侵略检查体系,供给对黑客进犯信息的记载;

* 监控装置在远端体系中的软件,并将其约束只能在作业中运用;

* IT人员需要对这些体系进行与单位体系相同的定时性预订检查;

* 外出作业人员应对灵敏文件进行加密;

* 装置需要输入暗码的拜访操控程序,假如输入暗码过错,则经过Modem向体系办理员宣布警报;

* 当挑选DSL供货商时,应挑选能够供给安全防护功用的供货商。

现在最为流行的SSL VPN是怎么样的呢?

IPSEC VPN的安全性树立在地道技能的基础上。地道间传送密文,在两头是明文。

SSL VPN 的安全性首要树立在SSL协议的基础上,运用PKI的证书体系完结隐秘传输。

SSL具有很强的灵活性,因此广受欢迎,现在简直一切浏览器都内建有SSL功用。它正变成公司使用、无线接入设备、Web效劳以及安全接入办理的要害协议。

SSL高效完成认证加密

SSL协议层包含两类子协议——SSL握手协议和SSL记载协议。它们共同为使用拜访衔接(首要是HTTP衔接)供给认证、加密和防篡改功用。SSL能在TCP/IP和使用层间无缝完成Internet协议栈处理,而不对别的协议层产生任何影响。SSL的这种无缝嵌入功用还可运用类似Internet使用,如Intranet和Extranet接入、使用程序安全拜访、无线使用以及Web效劳。

SSL能根据Internet完成安全数据通讯:数据在从浏览器宣布时进行加密,抵达数据中心后解密;相同地,数据在传回客户端时也进行加密,再在Internet中传输。它作业于高层,SSL会话由两有些构成:衔接和使用会话。在衔接期间,客户端与效劳器交流证书并协议安全参数,假如客户端接受了效劳器证书,便生成主密钥,并对一切后续通讯进行加密。在使用会话期间,客户端与效劳器间安全传输各类信息,如认证卡号、股票交易数据、自己健康状况这类灵敏或秘要数据。

SSL安全功用组件包含三有些:认证,在衔接两头对效劳器或一起对效劳器和客户端进行验证;加密,对通讯进行加密,只要经过加密的两边才能交流信息并相互辨认;完整性查验,进行信息内容检查,避免被篡改。确保通讯进程安全的一个要害步骤是对通讯两边进行认证,SSL握手子协议担任这一进程处理:客户端向效劳器提交有用证书,效劳器选用公共密钥算法对证书信息进行查验,以承认终端用户的合法性。

在开展前期,很多采用SSL的传统网络使用,如电子商务并不具有客户端认证功用。这类功用在SSL协议以外,经过一些组合信息,如名字/认证卡号联系或别的客户端供给的数据(如口令)来完成的。现在很多公司在数据中心采用SSL,首要是对于新型使用完成客户端认证功用。SSL VPN便是应终端用户附加认证而设。客户端认证能让效劳器在协议功用范围内承认用户身份,一起客户端也可运用相同技能对效劳器进行认证。

SSL VPN操控功用强大

相对于传统的IPSec VPN,SSL能让公司完成更多长途用户在不一样地址接入,完成更多网络资本拜访,且对客户端设备需要低,因此降低了装备和运转支撑本钱。很多公司用户采用SSL VPN作为长途安全接入技能,首要垂青的是其接入操控功用。

SSL VPN供给增强的长途安全接入功用。IPSec VPN经过在两站点间创立地道供给直接(非署理方法)接入,完成对全部网络的透明拜访;一旦地道创立,用户PC就好像物理地处于公司LAN中。这带来很多安全危险,尤其是在接入用户权限过大的状况下。SSL VPN供给安全、可署理衔接,只要经认证的用户才能对资本进行拜访,这就安全多了。SSL VPN能对加密地道进行细分,然后使得终端用户能够一起接入Internet和拜访内部公司网资本,也便是说它具有可控功用。别的,SSL VPN还能细化接入操控功用,易于将不一样拜访权限赋予不一样用户,完成伸缩性拜访;这种准确的接入操控功用对长途接入IPSec VPN来说简直是不可能完成的。

SSL VPN根本上不受接入方位约束,能够从很多Internet接入设备、任何长途方位拜访网络资本。SSL VPN通讯根据规范TCP/UDP协议传输,因此能遍历一切NAT设备、根据署理的防火墙和状况检查防火墙。这使得用户能够从任何地方接入,无论是处于别的公司网络中根据署理的防火墙以后,或是宽带衔接中。IPSec VPN在稍杂乱的网络结构中难于完成,由于它很难完成防火墙和NAT遍历,无力解决IP地址冲突。别的,SSL VPN能完成从可办理公司设备或非办理设备接入,如家用PC或公共Internet接入场所,而IPSec VPN客户端只能从可办理或固定设备接入。跟着长途接入需要的不断增加,长途接入IPSec VPN在拜访操控方面遭到极大应战,并且办理和运转支撑本钱较高,它是完成点对点衔接的最好解决方案,但要完成恣意方位的长途安全接入,SSL VPN要抱负得多。

使用优势

SSL VPN不需要杂乱的客户端支撑,这就易于装置和装备,显着降低本钱。IPSec VPN需要在长途终端用户一方装置特定设备,以树立安全地道,并且很多状况下在外部(或非公司操控)设备中树立地道适当艰难。别的,这类杂乱的客户端难于晋级,对新用户来说面对的麻烦可能更多,如体系运转支撑疑问、时刻开支疑问、办理疑问等。IPSec解决方案初始本钱较低,但运转支撑本钱高。现在,已有SSL开发商能供给网络层支撑,进行网络使用拜访,就好像长途机器处于LAN中一样;一起供给使用层接入,进行Web使用和很多客户端/效劳器使用拜访。

转载请注明:VPN推荐网 » VPN的安全技术浅谈

发表我的评论
取消评论

表情

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址