四 虚构公用网VPN系列讲座

gongkongedit

宣布于：2002-01-2414:01:00楼主虚构公用网VPN系列讲座(四)谢杨02-1-11下午01:18:52--------------------------------------------------------------------------------安保是VPN至关关键的组成局部。上方区分就PPTP协定和基于IPSec的L2TP协定探讨VPN衔接中的安保战略。一、PPTP衔接PPTP协定提供的安保战略有用户认证和加密。1）基于PPP的用户认证PPTP衔接驳回基于PPP的用户认证协定，如EAP，MS-CHAP，CHAP，SPAP，和PAP。关于PPTP衔接，智能卡支持的买卖层安保协定EAP-TLS和MS-CHAPv2版，因为提供双向认证，被以为是两种最安保的信赖状替换的验证方法，因此获取鼎力推行，经常使用最为宽泛。2）基于MPPE的加密措施PPTP继承MPPE加密技术，MPPE驳回RSA/RC4加密算法，这是一种流式加密器（streamcipher）。这里须要指出的是，仅当驳回EAP-TLS或MS-CHAP认证协定时能力经常使用MPPE启动加密。MPPE驳回40位、56位、128位三种不同长度的密钥。40位密钥提供与非Windows2000客户机的向后兼容性。缺省状况下，在衔接建设环节中，VPN客户机和主机智能协商驳回最高位数的密钥。假设VPN主机要求的密钥位数比VPN客户机所能支持的最大密钥位数还要高，则衔接恳求被拒绝。最早MPPE是为点-点的衔接加密设计的，在点-点衔接中，数据包收发顺序相反，极少出现包失落现象。因此针对这种环境而设计的MPPE加密法，每个数据包的解密有赖于前一数据包的解密结果。但是，对VPN而言，IP数据包经过Internet传输，不可确保收发同序，且数据包失落比例较高。因此，VPN衔接中所经常使用的MPPE，其报头中蕴含了一个序列号，假设出现数据包失落或抵达时失序，MPPE则依据序列号对数据包密钥做修正，从而使得每个数据包的解密环节可以独立于前一数据包。3）PPTP包过滤一个典型的基于PPTP的VPN主机有两个物理接口：其中一个接口在诸如Internet这样的公共或共享网络上，另一个接口在企业公用Intranet上。同时它还有一个面向一切VPN客户机衔接的虚构接口。当VPN主机须要在VPN客户机之间启动数据流转发时，必定在一切接口之间准许IP转发。但是，准许两个物理接口之间的转发会造成VPN主机将一切来自共享或公共网络上的IP数据包经过路由所有传送至外部Intranet。为了防止Intranet接纳来自非特定VPN客户机以外的其余数据流，必定性能PPTP包过滤，使得VPN主机仅在VPN客户机和企业公用Intranet之间启动路由转发，拒绝公共网络和Intranet之间一切其余用户，从而根绝或者出现的的潜在恶意行为。PPTP包过滤可以性能在VPN主机上，也可以性能在中介防火墙上。无关包过滤和防火墙的具体内容，将在"VPN与防火墙"中做进一步引见。二、基于IPSec的L2TP衔接基于IPSec的L2TP提供的安保战略有用户认证、双向计算机认证、加密、数据验证和数据完整性。1）基于IPSec的L2TP用户认证VPN客户机认证分为两级：计算机认证和用户认证。a．IPSec计算机认证经常使用基于IPSec的L2TP协定，须要在VPN客户机和主机之间建设IPSecESP安保咨询SA（securityassociation），这时要用到双向计算机认证。所谓IPSecSA，是经过IPSec第一和第二阶段的协商，两端的VPN客户机和VPN主机在加密算法、hash运算规定、加密密钥等方面取得分歧后，建设起来的客户机和主机之间的IPSec安保咨询。双向计算机认证，要求VPN客户机和主机两端均装置有计算机认证书。有两种路径可以取得证书，一是性能Windows2000组战略打算的智能注册，二是以手工模式经常使用证书插件（Certificatessnap-in）。具体内容，可参考Windows2000主机协助信息。b．L2TP用户级认证恳求建设L2TP衔接的用户由基于PPP的用户认证协定启动认证，此类认证协定关键有：EAP，MS-CHAP，CHAP，SPAP，和PAP。因为在L2TP衔接建设环节中驳回的是IPSec加密技术，因此可选用恣意一种PPP认证协定启动用户认证，其中MS-CHAPv2版和EAP-TLS要求成功双向用户认证。c．L2TP隧道认证L2TP还提供在隧道建设环节中对L2TP隧道端点的认证。但在缺省状况下，Windows2000并不要求对L2TP隧道启动认证。无关L2TP隧道认证的具体信息，可参阅微软网站关系资料。2）基于IPSec的L2TP加密L2TP加密取决于IPSecSA的建设。加密算法包括：·基于56位密钥的数据加密规范DES·3DES，经常使用3个56位密钥，实用于对安保要求更高的环境中。因为在IP网络环境中，或者出现数据包失落或数据包抵达时失序等现象，因此在IP网络中，每个IPSec数据包都经过独自加密，加解密环节独立于其余IPSec数据包。初始密钥在IPSec认证环节中取得。尔后密钥的发生在不同类型的衔接中有所不同，在DES加密衔接中，每隔5分钟或每传输250兆字节发生一个新密钥；在3DES加密衔接中，每隔1小时或每传输2千兆字节发生一个新密钥；在AH包全衔接中，每隔1小时或每传输2千兆字节发生一个新hash密钥。3）基于IPSec的L2TP数据验证和数据完整性数据验证和数据完整性可由下述之一提供：·Hash信息验证码HMAC的信息摘要MD5，该hash算法从须要验证的有效载荷中发生一个128位的信息摘要。·HMAC安保Hash算法SHA，该hash算法从须要验证的有效载荷中发生一个160位的hash散列。4）基于IPSec的L2TP包过滤正如在基于PPTP的VPN衔接中一样，准许VPN主机的两个物理接口即在公共网络上的接口和在Intranet上的接口之间启动转发，会造成VPN主机将一切来自诸如Internet等公共网络上的IP数据包经过路由所有传送至外部Intranet。为了防止Intranet接纳来自非特定VPN客户机以外的其余数据流，必定性能基于IPSec的L2TP包过滤，使得VPN主机仅在VPN客户机和Intranet之间启动路由转发，拒绝公共网络和Intranet之间一切其余用户，从而根绝或者出现的的潜在恶意行为。雷同，基于IPSec的L2TP包过滤既可以性能在VPN主机上，也可以性能在中介防火墙上。具体内容，将在"VPN与防火墙"中做进一步引见。 收藏 约请回答 回复楼主 投诉