远程访问与VP技术.docx
- 文档编号:17273199
- 上传时间:2023-07-23
- 格式:DOCX
- 页数:17
- 大小:144.44KB
远程访问与VP技术.docx
《远程访问与VP技术.docx》由会员分享,可在线阅读,更多相关《远程访问与VP技术.docx(17页珍藏版)》请在冰点文库上搜索。
远程访问与VP技术
第十三章远程访问与VPN技术
学习目标:
1.了解远程访问的方法和原理
2.了解VPN的搭建原理和应用场合
3.实践组建局域网中的VPN
13.1远程访问概述
远程接入和远程访问指的是使用外部网络的用户连接到内部网络并拥有像内部网络用户一样的权限,能够像内部网络用户一样访问内部网络的资源。
外部网络的含义是用户使用的机器与内部网络没有直接的物理连接,只能通过一些特定的方式如拨号、Internet接入或无线接入,连接到内部网络并建立连接。
远程接入一般分成两个阶段,第一阶段是建立临时的网络连接,第二阶段是接入客户端和服务端协商权限和接受命令。
建立临时的网络连接阶段,用户可以通过拨号或其他网络连接方法尝试连接内部网络。
一旦临时网络连接建立,则可以藉由这条网络连接通道传输用户的身份相关数据,结合协议和主机的服务进行用户身份验证并对通过验证的用户分配访问权限。
一般说来,远程访问过程必须要满足三个方面的要求:
身份鉴别(Authentication)、授权(Authorization)和审计(Accounting)。
身份鉴别要求将用户提供的身份证明信息与预先存储在服务器上的用户身份信息相比对,从而决定用户是合法用户还是非法用户。
最常见的方式是采用用户名和密码。
身份鉴别已经在第三章中详细说明过。
授权是根据已经被证明是合法的用户帐户内所拥有的权限设置,对用户授以特定的操作许可。
例如用户允许使用何种网络资源;用户允许接入哪些主机、用户能否使用某些特定的应用服务如电子邮件或FTP服务。
通常授权的操作与网络的安全策略整合在一起。
审计是远程访问的最后一个步骤。
它主要是日志和一系列详细记录。
远程的网络访问和网络连接通常会产生一系列对用户、主机资源、带宽、用户存储空间以及其它资源的访问记录。
只有通过审计的手段,才能对正在执行的任务和正在连接的用户进行必要的管理。
审计也是应对攻击的一个重要工具。
13.2远程访问的接入方式
在规划设计网络的远程访问时,应考虑各种接入方式的应用和条件。
通过使用因特网作为访问介质而非专用线路可以减少花费,使得雇员能将工作场所扩展到家里或路上。
通过因特网连接,远程访问能方便地访问资源和信息,通过让合作者、供应商和客户拥有紧密控制的联系提供有竞争力的优点。
用的最多的远程连接方法有拨号连接、ISDN、DSL连接、光纤调制解调器、VPN和无线技术。
VPN和无线技术是目前的热点问题,我们在下一节具体介绍VPN技术,无线技术将在下一章中详细讨论。
13.2.1拨号和RAS技术
在家中或因出差在酒店中,在任何一个有电话的地方,都可以通过电话线利用现有的电话网络上拨号访问本单位的内部网络完成各项工作,以提高工作效率和节约费用。
拨号访问是现在最便利的入网方式。
远程访问通常是通过连接到一个网络访问服务器(NAS)来获得的,NAS是网关和到PPP会话的终点。
用户若拨号进入远程访问服务器(RAS),服务器通过将用户提供的证书和它维护的一个证书数据库进行比较来进行认证。
一类在远程访问中使用的访问服务器是RADIUS,在第5章已经提到过。
管理员可以设定不同的配置来规定当远程用户试图连接到网络服务器(NAS)时采取什么行动。
通常会要求提供用户名和密码,由NAS将呼叫挂起,目的是通过该用户名和密码按照预先分配给用户的电话号码,反过来呼叫用户。
这是一种安全的做法,它保证了只有经过认证的用户才能访问网络,并且上网的费用能直接算在公司的账上。
这种拨号上网的方法相对安全,但是如果有人实现了拨号转接,那么这种安全手段就大打折扣了。
因为拨号的安全是建立在预定的号码之上的。
轰炸拨号(Wardialing)是许多攻击者用于确认远程访问调制解调器的手段,调制解调器是是许多公司用来提供他们的网路远程访问的设备。
轰炸攻击输入大堆的号码对调制解调器进行拨号,并记录下可用的数据连接(用于传输数据的调制解调器),并试图确定在电话线另一端的系统。
Wardialing同时具有字典攻击等工具,尝试各种用户名密码组合,让攻击者发现所有提供进入网络的远程访问的调制解调器,一旦发现就会尝试通过这个入口点访问网络,得到网络访问授权。
13.2.2综合业务数字网ISDN
当采用拨号访问速率不能满足需要时,则可以考虑采用利用综合数字业务网(ISDN)访问的方式。
ISDN是一种数字化的电路交换网络,通过普通的铜缆传输全部数字化的信号以达到超过拨号连接的传输速率和传输质量。
同时它也能够同时传输数字和语音。
因为ISDN是全数字化的线路,因此它在使用中不会像普通拨号连接那样干扰语音模拟信号的电话通话。
ISDN的基本速率接口(BRI)服务提供2个B信道和1个D信道(2B+D)。
B信道速率为4Kbps,用于传输用户数据。
D信道的速率为16Kbps,主要传输控制信令。
ISDN可以使用拨号建立与ISP的连接。
ISDN也可以做为DDN或帧中继线路的备用电路。
ISDN采用计时收费,在主线路发生故障时启用ISDN,按时收取通信费用。
当主线路恢复时,ISDN自动断开不再发生通信费。
采用ISDN作为DDN或帧中继的备份,是十分经济的一种方式。
与使用拨号连接相比,由于采用与电话网络不同的交换设备,ISDN的信道建立时间很短。
因为ISDN使用户与电信局间的连接采用数字信号,因此ISDN线路通讯质量较好,数据传输有更少误码和重传率。
ISDN设备包括交换机和终端设备。
网络终端(NT)是用户传输线路的终端装置,使数字信号在普通电话线上转送和接受。
该设备安装于用户处,网络终端分为NT1和NT2两种。
ISDN用户终端设备种类很多,有ISDN小交换机、ISDN适配器、ISDN路由器等。
数字电话机是常用ISDN硬件,一般占用一个B信道。
ISDN终端适配器的功能就是使现有的非ISDN标准终端(例如模拟话机、G3传真机、PC机)为用户在提供ISDN业务。
ISDN可以使用Muliti-PPP绑定两个B信道以达到128Kbps。
13.2.3数字用户线路DSL
ISDN尽管比普通调制解调器和拨号连接更快,但是由于性能和价格等因素,在家用和小型企业领域已经被DSL技术所淘汰。
数字用户线路(DigitalSubsciberLine,DSL)指的是通过铜缆线或电话网提供Internet连接的一种技术。
由于电话系统在设计之初仅仅考虑传输语音的问题,因此电话系统实际所使用的传输频率远远小于铜质缆线所能提供的传输频率。
DSL就是借助于铜缆线的闲置频段解决传送大量数据的问题。
从这方面来讲,DSL可以利用原有电话线路,因此实际成本并不高。
通常用户使用一个DSL调制解调器与电话交换机之间建立连接。
而交换机通过一些其他的协议与ISP进行通信并将用户连接至Internet。
用户实际所得连接并不像普通拨号或者电话连接那样是一个端到端的连接,用户与交换机如果距离过长,将会对服务质量产生严重的干扰,通常这个范围在数百米至5公里。
同时,由于交换机可能需要连接多个用户的接入,因此交换机连接用户数过多时将会成为瓶颈并影响服务质量。
DSL因其具体实现技术和频段分配不同,可以细分为ADSL、ADSL2、HDSL、VDSL等,通常统称为xDSL。
xDSL提供的服务可以是对称的——意思是说数据流以相同的速度上行和下行(通常理解为上传和下载),或者是非对称的——下行速度比上传速度要高得多。
在大多数场合,非对称连接适用于居民用户,因为他们更多地从Web上下载而非上传数据。
ADSL是目前使用最广泛的DSL技术。
通常ADSL在不影响正常电话通信的情况下可以提供最高3.5Mbps的上行速度和最高24Mbps的下行速度。
13.2.4电缆调制解调器(CableModem)
有线电视公司传送电视服务到家庭已有多年,最近他们开始为拥有电缆调制解调器并且想高速连接到因特网的用户提供数据传输服务。
在有线电视较为普及的地区,使用这种方式可以利用原有的有线电视网络提供互联网接入服务,能够节省布线和组网成本,通过同轴电缆或者光纤访问因特网,电缆调制解调器提供最高50Mb/s的高速访问。
电缆调制解调器提供上行和下行之间的转换。
并非所有的电缆公司都能提供因特网访问服务,主要原因是他们还没有将基础设施从单向网络升级为双向网络。
一旦升级完成,数据就可以从中心点传到居民家中,并可以再传回中心点即因特网。
同轴电缆和光线用于给用户提供上百个电视频道,这些线路的一个或更多的通道专门用于传送数据。
带宽在本地用户之间共享,因此,传输速率不是恒定不变的。
例如,在下午6点半从网上下载一个程序,可能比在上午10点下载要慢得多。
因为许多人下班回家,同时占用带宽,因而网络性能下降。
13.3虚拟专用网(VPN)
13.3.1VPN概述
虚拟专用网(VirtualPrivateNetwork,VPN)是公共网络或其他不安全环境中的安全专用连接,是远程访问连接的一种重要方式,如图13-1所示。
在传输中为了保证数据的保密性和完整性,VPN通过提供专用链路,采用加密和隧道协议。
图13-1VPN跨过公共网络在两个实体之间提供虚拟专用链路
VPN的发送和接收端必须有必要的硬件和软件,以建立加密的通道,提供专用链路。
因为在不可信的公共网络(通常指因特网)中传输数据时,隧道协议对数据进行了加密和保护。
远程用户在外通过VPN连接到公司的内网来查看邮件,网络资源和共享文件。
为了使用VPN,远程用户必须在他的计算机上安装相应的软件。
用户会建立一个PPP(点对点)连接到ISP,然后ISP为用户建立到目标网络的完全连接。
一旦这个连接建立起来,用户的软件就会初始化一个到目标网络的VPN连接。
因为两者之间的数据交换将被加密,两者必须经过一个握手的阶段,在加密的方式以及密钥等问题上取得一致。
因此ISP负责用户到目标网络PPP的建立,所以它是VPN的连接基础。
一旦PPP连接建立起来,ISP就退出,由用户和目标网络协商和确定VPN参数。
这些操作完成后,用户和网络就可以在新建立的虚拟连接上进行安全的通信。
这些用户需要安装的“神秘软件”所采用的技术在下面“VPN技术”一节将详细介绍。
VPN连接可以用于让用户访问网络,也可以用于提供两台路由器之间的连接。
它具有很强的灵活性,并且只需要每一方都有连接、VPN软件、必要的协议以及相同的加密机制,一旦VPN连接建立起来,用户就可以像拨号那样连接访问目标网络的资源。
13.3.2VPN的实现类型
根据VPN的应用环境,通常可以把VPN分成三种类型:
●AccessVPN——远程访问型虚拟私用网。
●IntranetVPN——企业内部型虚拟私用网。
●ExtranetVPN——企业扩展型虚拟私用网。
1)AccessVPN
这种类型的VPN主要用来处理可移动用户、远程交换和小部门远程访问企业本部的连通性。
当出差人员需要和企业或相关部门联系时,便可以利用本地相应的软件拨入Internet,通过Internet和企业网络中相关的VPN网关建立一条安全通道,基于这条可以提供不同级别的加密和完整性保护的通道,用户可以传输需要不同级别保护的信息,但这就需要用户本地必须具备可以提供相应VPN功能的软件。
如果用户本地没有这些软件,同时ISP(服务提供商)的接入设备又提供VPN服务的话,用户也可以拨入ISP,由ISP提供的VPN设备和企业本部的VPN网关进行安全通道的连接,并提供相似的安全数据传输服务,用户就免去了维护本地软件的费用了。
2)IntranetVPN
主要是利用Internet来连接企业的远程部门。
在传统的企业内部网络的实现中,通常是采用专线方式来连接企业和各个远程部门的,这样需要为每一个远程部门申请一条专线,其运行、维护和管理费用之高是不言而喻的,同时,在这样一条“高价”的线路上传输的数据量相比之下却很少,很多时候带宽都浪费了。
而VPN恰好解决了这一问题,它只需企业的远程部门通过公用网络(如Internet)和企业本部互联,并且由远程部门网络的VPN网关和企业本部网络的VPN网关负责建立安全通道,保证了数据的机密性、完整性。
同时也大大的降低了整个企业网互联的运行、管理费用。
3)ExtranetVPN
主要是用来连接相关企业和客户的网络,和IntranetVPN类似,传统的实现方案中,主要也是用专线来连接的,不仅费用较高,而且由于所连接用户的多样性,需要进行复杂的配置,或许还需要在对方安装相应的设备或软件,这一切都带来了许多不便,往往导致互联的最终失败。
而VPN可以在一定程度上解决这些问题,通过Internet的互联,即降低了整个网络的运行费用,同时在其他软件的辅助下可以较好地进行用户访问控制与管理。
13.3.3VPN技术
我们已经知道了VPN的基本概念和应用,下面让我们深入了解一下VPN的实际技术。
VPN技术按照实现上的区别可分为以下几种类型:
●隧道技术
●PPP协议
●链路层的VPN实现
●网络层的VPN实现
●应用层的SSH实现
1)隧道技术
VPN所有现有的实现都依赖于隧道,隧道技术又称为tunneling,主要是利用协议的封装来实现。
所谓封装,是指给协议添加一个额外的报头或报尾。
隧道协议添加这些报头和报尾,以便包能够在某种网络上传输。
因此,如果你需要获取使用因特网上的IPX/SPX网络和传输协议的包,一个网关将添加必要的TCP/IP包头和包尾,他们需要能够在因特网上路由。
一旦这些包到达他们的目的地,这些包头和包尾将被删除,包则被传送给指定的主机。
也就是说,利用封装的机制,隧道技术用一种网络协议来传输另外一种网络协议,在本地网关把第二种协议报文包含在第一种协议报文中,然后按照第一种协议来传输,等报文到达对端网关时,由该网关从第一种协议报文中解析出第二种协议报文,这样是一个基本的隧道技术的实现过程。
对于两个网关之外的用户,可以忽视使用隧道技术的影响,对他们来说是透明传输的。
隧道技术的应用为VPN的实现提供了许多优良的特性,不仅扩大了VPN的应用面,而且为利用VPN组网提供了极大的灵活性。
隧道技术可分为两种:
一种是运行于链路层的隧道,以此来构建的VPN主要是AccessVPN;另外一种运行于网络层的隧道,用它可以构建IntranetVPN和ExtranetVPN。
2)PPP协议
在介绍这具体VPN实现之前,我们先了解一下PPP协议。
PPP协议并不是真正的隧道协议,而是一种封装协议。
它并不需要使用特殊的包头和包尾“包装”当前的数据。
相反,它可在一种为电话语音数据开发的介质上传输TCP/IP流量。
PPP用于封装消息,并且通过串行线在网络上传输。
因此,PPP被用于允许TCP/IP及其他协议在拨号线路上传输。
PPP用于路由器之间、用户到路由器和用户之间建立拨号连接。
PPP还用于在计算机和因特网接入点(PoP)之间建立因特网连接。
PoP通常是ISP站点的一组调制解调器和接入服务器。
用户通过拨号线路拨入PoP,用PPP协议通信。
PPP把来自网络和计算机的数据封装成一个能在电话线上传输的格式。
PPP使用起始和结束比特处理我们的数据,以便另一端知道如何处理数据。
PPP允许我们配置和创建因特网连接。
通过连接后,用户需要在ISP的网络认证服务器进行身份认证。
PPP可以使用密码认证协议(PAP)、质询握手协议(CHAP),或可扩展认证协议(EAP)来进行身份认证。
如果用户想用拨号方式访问公司的网络,还必须通过一个协议将这个PPP会话传送到企业网络。
现在在PPP中封装的数据必须经过因特网,它并不知道PPP,而是通过IP传输。
因此,必须使用另一个协议封装IP包中的PPP数据,再通过因特网将其传输到公司网络如图13-2所示。
PPP封装通过专用网络传输数据,隧道协议则封装通过公共网络的数据。
目前用来建立VPN的三个主要的隧道协议是PPTP,L2TP和IPSec。
他们可以降低远程联网的成本,因为用户只需要拨号到本地的ISP,而不是直接拨号到公司的网络(可能是长途话费)。
3)链路层的VPN实现
在这一层的VPN实现中,主要采用两种方法:
PPTP(PointtoPointTunnelingProtocol,点到点隧道协议)、L2TP(Layer2TunnelingProtocol,链路层隧道协议)。
●PPTP协议
PPTP是点到点协议(PPP)的扩充,即PPTP协议是基于PPP之上并且应用了tunneling技术的协议。
它用“PPP质询握手验证协议(CHAP)”来实现对用户的认证。
在PPTP的体系结构中,主要有三部分组成:
1.PPP连接和通信,按照PPP协议和对方建立链路层的连接。
2.PPTP控制连接,它建立到Internet的PPTP服务器上的连接,并建立一个虚拟隧道。
3.PPTP数据隧道,在隧道中PPTP协议建立包含加密的PPP包的IP数据报,这些数据报通过PPTP隧道进行发送。
第二和三个过程都取决于它们前一个过程的成功。
如果有一个失败了,则整个过程必须重来。
图13-2一个VPN连接可以用于安全扩展PPP连接
对于数据加密,PPTP使用RAS共享秘密的加密过程,该过程从存储在客户机和服务器中的散列口令中得到一个加密密钥。
RSARC4标准建立基于客户机口令的40个二进制位的会话。
记住,CHAP验证取决于一个共享秘密的存在,该秘密只有验证器和其同位体知道,CHAP用该口令作为共享秘密,并且以完整的加密算法作为基础。
●L2TP协议
L2TP提供了PPTP的功能,但是它可以工作在IP以外的网络上,而且结合IPSec提供了更高的安全性。
L2TP不提供任何的加密和认证服务。
因此在需要这些服务的时候必须和IPSec结合使用。
L2TP的封装过程与PPTP类似,PPP帧用L2TP封装。
当目标网络受到一个L2TP帧时,它首先处理头信息,一旦遇到IPSec的尾部,它首先验证数据的完整性和真实性,然后用ESP的头信息解密剩下的头信息和载荷数据。
PPTP和L2TP都能够实现远程连接中构建隧道的功能,但是在具体实现上稍微存在一些区别,如表13-1所示。
表13-1PPTP和L2TP的比较
PPTP
L2TP
加密支持
PPP的CHAP加密
不兼容于IPSec
本身没有加密功能,必须使用IPSec
身份验证方式
标准的PPP身份验证方式
即使用PAP,CHAP或MS-CHAP
RADIUS和TACACS+
支持证书的使用
支持用户选用PPP的CHAP
支持的网络层协议
只支持IP协议
支持IP,IPX,NetBEUI等
通讯端口
TCP1723
UDP1701
在链路层上实现VPN,有一定的优点。
假定两个主机或路由器之间存在一条专用通信链路,而且为避免有人“窥视”,所有通信都需加密,便可用硬件设备来进行数据加密。
这样做最大的好处在于速度。
然而,在链路层上实现VPN也会有一定的缺点,该方案不易扩展,而且仅在专用链路上才能很好地工作。
另外,进行通信的两个实体必须在物理上连接到一起。
这也给在链路层上实现VPN带来了一定的难度。
PPTP和L2TP这两种协议都是运行在链路层中的,通常是基于PPP协议的,并且主要面向的是拨号用户,由此导致了这三种协议应用的局限性。
而当前在Internet及其他网络中,绝大部分的数据都是通过IP协议来传输的,逐渐形成了一种“everythingonIP”的观点,而基于IP的VPN技术则是近来在网络安全领域迅速发展的IPSec。
4)网络层的VPN实现
在网络层的实现中,主要采用IPSec技术。
IPSec协议本身就是以保护IP协议安全通信,对IP协议分组进行加密和认证为目标而设计出来的。
因此,IPSec本身就是一个标准的隧道协议。
IPSec采用PKI作为密钥交换协议,而本身所具有的两种数据分组封装方式AH和EPS分别实现认证和加密两个隧道协议所必需的最重要功能。
IPSec提供了下列网络安全性服务,而这些服务是可选的。
通常,本地安全策略将规定使用下列这些服务的一种或多种:
1.数据机密性
IPSec发送方在通过网络传输IP包前对包进行加密,用来确保在数据的传输过程中不被第三方偷窥。
2.数据完整性
IPSec接收方对发送方发送来的包进行认证,以确保数据在传输过程中没有被篡改。
3.数据来源认证
IPSec接收方对IPSec包的来源进行认证,即对连接用户的身份进行认证。
4.反重播
一种安全性服务,使得接收者可以拒绝接受过时包或包拷贝,以保护自己不被攻击。
IPSec用一个序列号来提供这一可选服务,以配合数据认证的使用。
有了IPSec,数据在通过公共网络传输时,就不用担心被监视、篡改和伪造。
这使得虚拟专用网络(VPN),包括内部网、外部网以及远端用户的访问得以实现。
IPSec可配置为提供传输邻接(TransportAdjacency),即对包应用不只一种安全协议。
也可配置为提供隧道迭代(IteratedTunneling),即一个IPSec隧道穿过另一个IPSec隧道,如图13-3所示。
如果流量在路径的不同结合处需要不同级别的保护,可以使用隧道迭代。
例如,如果IPSce隧道从内部主机开始,到内部边界路由结束,这是并不需要加密,因此只需要使用AH头。
但是如果数据从边界路由经因特网传送至另一个网络,数据就需要更多保护。
因此,包首先经过一个中等安全的隧道,如果要进入因特网,再迭代更安全的隧道。
图13-3IPSec隧道迭代
5)应用层的VPN实现
SSH是SecureShell的缩写,是由IETF制定的一个用于在应用层和传输层基础上建立的安全协议。
传统的网络服务程序,如FTP、POP和Telnet其本质上都是不安全的。
因为它们在网络上用明文传送数据、用户账号和用户口令,很容易受到中间人(man-in-the-middle)方式的攻击,而原本需要保密的数据也很容易被截获或者窃听。
而SSH是目前较可靠,专为远程登录会话和其他网络服务提供安全性的隧道协议。
利用SSH协议可以有效防止远程管理过程中的信息泄露问题。
SSH可以对所有传输的数据进行加密,也能够防止DNS欺骗和IP欺骗等攻击行为。
SSH还有一项优点就是其所传输的数据是经过压缩的,所以可以加快传输的速度。
在具体功能上,SSH主要实现两类功能,一类是用于代替Telnet等远程登录协议,用于远程登录服务器。
另一类是为FTP、POP、甚至PPP提供一个安全的通信隧道。
SSH协议框架中最主要的部分是三个协议:
●传输层协议(TheTransportLayerProtocol):
传输层协议提供服务器认证,数据机密性,信息完整性等的支持。
●用户认证协议(TheUserAuthenticationProtocol):
用户认证协议为服务器提供客户端的身份鉴别。
●连接协议(TheConnectionProtocol):
连接协议将加密的信息隧道复用成若干个逻辑通道,提供给更高层的应用协议使用。
同时还有为许多高层的网络安全应用协议提供扩展的支持。
它们可以相对地独立于SSH基本体系之外,并依靠这个基本框架,通过连接协议使用SSH的安全机制。
SSH是一类客户端/服务器协议,客户端软件和服务器端软件通常都有多种实现。
而OpenSSH是一类开放源代码的SSH软件。
大多数Unix和Linux服务器上都默认安装有使用OpenSSH建立的SSH服务和SSH客户端。
SSH协议中,使用TCP协议传输数据,端口则使用TCP的22端口。
特别值得注意的是,无论作为隧道功能还是远程登录的功能,SSH只使用唯一的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 远程 访问 VP 技术