扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
在VPN应用方便与安全两不误(一) 中,笔者谈论了如何通过用户名与密码等手段来保障VPN通讯的安全。上述讲的方法,是比较表面上的安全处理机制。今天,笔者将讨论一些比较专业的VPN安全解决方案,如如何通过隧道技术来保障VPN通信的安全。文章中的观点,基于个人技术的限制,可能有不全面的地方,请大家多多包涵。
隧道技术,是对VPN通信安全的一个影响比喻。其就好象在公路上,专门设置一个隧道,这个隧道的话,不允许其他车辆录内,全程也没有摄像头,拒绝一切外来因素的侵入等等,从而保障车辆运行的安全。VPN的隧道安全技术,也采用类似的原理。隧道技术是VPN(虚拟专用网)的基本技术,类似于点对点的连接技术。他的作用就是在公共网络上,人为的建立一条数据通信的隧道,让数据包通过这条隧道来进行数据的传递。从而保障数据在VPN虚拟专用网中传输的时候,不被窃听、不被非法的访问与修改、不丢失数据包等等。
隧道技术主要是通过隧道协议实现的。隧道协议根据其实现方法不同,主要有第二层隧道协议与第三层隧道协议。今天笔者将重点讨论第二层隧道协议。再谈论隧道协议之前,笔者将强调一个观点。隧道技术解决的是数据包在虚拟专用网中传输过程之中的安全问题,而对于用户登陆的安全方面没有防范。
一、 第二层隧道协议
现在最流行的第二层隧道协议是L2TP协议。这个隧道协议是在点对点隧道协议与二层转发协议的基础之上发展起来的。现在已经普遍得到了各个通信厂商与硬件厂商的支持,L2TP协议现在是IETF的标准,由IETF融合PPTP(点对点隧道协议)与L2F(二层转发协议)而形成。
在一个利用二层隧道协议的VPN通信过程,可以说,整个通信过程就是两个连接。一个是隧道连接,他定义了一个隧道,其基本作用,就是在通信双方之间,建立起一个安全的、全封闭的隧道,他主要解决数据在VPN通信中被非法的访问、非法的修改的问题;第二个是会话连接,他是在隧道连接的基础之上起作用的,他主要用来承载隧道建立之后具体的会话过程。若利用一个形象的比喻的话,隧道连接就是在公路上开辟一条专用的、全封闭的道路;而会话连接就是建立一套交通法则,使得隧道内的车流可以按规定行使。
再具体的来说,二层隧道协议主要是通过两个消息来完成的。一个是控制消息,另一个是数据消息。控制消息用于隧道连接与会话连接的建立与维护。在利用隧道技术,在VPN通信双方建立安全通道的时候,通信双方会彼此进行协商,如何建立一个通信隧道,这就是通过控制消息来管理的。在控制消息的传输过程中,还应用了消息丢失重传协议与定时检测通道连通性等机制来保证L2TP传输的可靠性。从而保障了当隧道被意外中断时,能够迅速的恢复通道的畅通;同时检测是否在中断的过程中,有非法入侵者的侵入。
数据消息则用来管理隧道建立之后,数据包的传送规则。如如何对数据包进行传输,数据包传输的大小,数据包遗失之后如何处理,等等。数据信息的话,没有重传机制。为什么呢?这主要有两个方面的原因。一是控制消息已经保障了通信隧道的连通性,在传输过程之中保障隧道的通常;另外一个原因是也可以借助上层的TCP协议实现数据的重传等等。
二、 L2TP对于VPN安全的具体应用
上面笔者从一些基础理论上,评论了二层隧道协议在VPN安全上的应用。但是,光凭这些空泛的理论,我们还很难看出二层隧道协议的价值所在。下面,笔者结合几个应用场景,谈谈二层隧道协议在VPN虚拟专用网通信安全方面的具体应用场景,让大家对这个技术有一个直观的印象。
1、 利用内部地址进行访问
在通信的过程之中,能否让通过VPN访问企业内部网络的用户采用自己公司的内部地址呢?如此的话,对于VPN服务器管理人员来说,更加的方便,可以向管理内部用户一样,管理通过VPN技术连接到企业内部网络的人员。同时,还可以通过这个IP地址追踪到到底是什么人在进行访问,是否有授权等等。
L2TP(二层隧道协议)中的LNS技术,他可以对于远端的VPN用户的地址进行动态的分派与管理。具体的来说,可以支持DHCP方案、私有地址应用等多种解决方案。也就是说,VPN另外一端的用户,在连接上企业的VPN服务器的话,所用的不是公网的地址,而是VPN服务器分配给他的企业内部的私有地址。如此处理的话,就方便了VPN管理员,对于地址进行同一的管理,通过对地址的统一分配与监测,提高了通讯的安全性。
在实际应用中,要给VPN访问设置一个专门的IP地址段,一方面可以防止跟其他地址之间的冲突,另外一个方面,也可以根据地址来限制对用户的访问。在地址的分配上,可以按一个地址范围自动分配IP地址。也就是说,当VPN远端用户连上VPN服务器后,DHCP服务器从可用的IP地址范围内,挑选一个可用的IP地址分配给远端用户,让其利用这个地址进行访问。也可以采用跟静态的分配。当用户连上VPN服务器后,VPN管理人员核对身份之后,再把手工的把地址分配给用户。这个静态的分配方法,维护起来比较麻烦,但是,安全性会高许多。
2、 灵活的身份验证机制
L2TP协议可以选择多种身份验证机制,他继承了端对端传输的所有安全特性,保障了远端用户访问的安全性与合法性。
CHAP(质询握手协议)身份验证方法,是安全性级别比较高的身份验证方法。质询握手协议身份验证方法,不在通信线路上发送明文密码,而是发送经过摘要算法加工过的随机序列,有的好事者把他称呼为“挑战字符串”,从这个字面意思上,就可以看出其安全性高人一筹。同时,质询握手协议身份验证方法,他让身份验证可以随时进行,包括双方在正常的通信过程之中。因此,非法用户就算截获了一断密码,等到其破结出来后,这个密码可能已经失效了。他做的将是竹篮子打水,一场空。
不过,天上是不会掉馅饼的。质询握手协议对于系统要求比较高,因为在利用质询握手协议进行身份验证的过程之中,需要多次进行身份核对、响应。这会耗费比较多的CPU资源。所以,这个一般用在安全要求比较高的场合。
当企业认为质询握手协议这个安全级别太高,或者硬件无法支持的话,可以采用PAP(口令验证协议)。口令验证协议是点对点传输协议集中的一种链路控制协议,主要上通过使用二次握手提供一种对等结点的建立认证的简单方法。完成链路建立后,对等结点持续重复发送用户ID与密码给验证者,直到身份认证得到响应或者连接被终止。不过,口令验证协议不是一种很强的身份验证方法。因为其用户ID与密码都是以文本格式,也就是我们常说的明文格式,在通道上进行传输,对与非法用户窃听、重放或者重复尝试和错误攻击没有任何的防护措施。很明显,这种验证方式,非法的第三方可以很容易的获取被传送的用户名与密码,并利用这些信息连接到企业的内部网络并获取想要的文件。
可见,口令验证协议虽然硬件上的要求没有质询握手协议那么高,但是,在安全性上面,其跟质询握手协议还是有一段距离。具体要采用哪一种身份验证协议,用户要根据自己的安全级别进行判断。
作为VPN的安全解决方案之一的二层通道协议,这些身份验证方案都可以很好的支持。从而提高了L2TP协议的兼容性与灵活性。
3、 在二层隧道协议上采用加密技术
二层隧道协议不仅可以支持多种身份验证方法,而且,还可以支持多种加密技术手段。如现在比较流行的隧道加密、端对端数据加密、应用层数据加密、IP安全策略等等加密手段,来进异步提高数据的安全性。
一般来说,只要通信的隧道建立之后,在隧道中传输的数据一般就不容易被人窃听了。但是不怕一万就怕万一。我们还可以对密封环境中传输的数据进行加密处理,为数据的安全再加上一道保障。如此的话,即使非法用户像孙悟空,可以变成苍蝇飞入到蜜蜂的隧道中,其最后获取的数据因为做了加密处理,其得到的信息也将没有任何用处。加密技术,可以说是身份验证协议的一个补充。
从上的评论中,我们可以看出,二层隧道协议已经是一个比较成熟的VPN(虚拟专用网)的一个安全解决方案。现在再一些对于VPN安全要求比较高的网络环境中,被普遍采用。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。