目录
常见的VPN技术
IPsec VPN: 多机房互联(即一般在GW与GW之间建立隧道)L2TP/IPsec VPN: 支持多隧道,配置IPsec使用PPTP VPN: 只能两端点间建立单一隧道,可选配合IPsec使用SSL VPN: 数据私密性、端点验证、信息完整性,自协议:握手协议、记录协议SSL VPN
SSL VPN是无需安装客户端软件,通过远程建立的SSL隧道访问内部服务器的代理技术,并对服务器内容提供基于用户认证、远程站点检查的资源访问控制。
SSL VPN现已成为远程访问VPN的新宠。除了具备与IPsec VPN相当的安全性外,认证功能更强,还增加了基于内容的访问控制机制。客户端只需要拥有支持SSL的浏览器即可
SSL VPN由于处在TCP层,所以可以进行丰富的业务控制,如行为审计,可以记录每名用户的所有操作,为更好地管理VPN提供了有效统计数据。
当使用者退出SSL VPN登陆页面时,所有会话会全部释放。
SSLVPN的技术分为以下四种
Web代理(proxying)应用转换(application translation)端口转发(port forwarding)网络扩展(network extension)每种技术支持的应用与控制粒度会有所不同。
Web代理(proxying)
来自客户端的发往SSL VPN Server得页面请求在VPN Server内部替换,发往VPN后面的真正Web服务器,然后再将Web服务器的响应回传给终端用户.
WEB代理是最为简单的应用,也是控制粒度最细的SSL VPN应用,可以精确地控制每个链接。
应用转换(application translation)
有些通过HTML、Java程序,有些通过HTTPS页面中的客户端下载实现
对于非Web页面的文件访问,要借助于应用转换。在浏览器中用HTML或JAVA来实现模拟客户端程序。通过SSL VPN的协议连接器,访问指定资源。应用:文件共享、telnet、ssh、远程桌面、ftp。端口转发(port forwarding)
端口映射是粒度仅次于WEB代理的应用,它通过TCP端口映射的方式(原理上类似于NAT内部服务器应用),为使用者提供远程接入TCP的服务,它需要专门的、与服务器配套的SSL VPN客户端程序帮忙(在页面中一般提供下载方式)或是通过HTML代码实现。
端口转发用于端口定义明确的应用(如FTP,SSH等)。终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入 这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。使用端口转发器,需要终端用户指向他希望运行的本地应用程序(127.0.0.1),而不必指向真正的应用服务器。网络扩展(network extension)
网络扩展是SSL VPN中粒度最粗的服务,但也是使用最广泛的,它实现了类似于L2TP的特性,所有客户端都可以从服务器获得一个VPN地址,然后直接访问内部服务器,它也需要专门的SSL VPN客户端程序帮忙.
远程端点可以具有完全的网络连接,并动态获取内部地址。在用法上和IPsec等同。需要插件和网络驱动的支持。优点:适应性好,所有的IP应用都可以。缺点:控制的粒度太粗,跟IPsec非常相似。L2TP/IPsec VPN
实际上是,终端与接入服务器之间先建立IPsec隧道,然后再进行L2TP协商(UDP端口1701)。依靠Internet协议安全性(IPsec)技术提供加密服务,在建立的IPsec加密通道上承载L2TP的控制和数据协商并传输通过L2TP封装的用户报文。 L2TP与IPsec的结合产物称为L2TP/IPsec。VPN客户端与VPN服务器都必须支持L2TP和IPsec。L2TP将随同路由与远程访问服务一道自动进行安装。
在IPsec数据包基础上所进行的L2TP封装由两个层次组成:
L2TP封装:PPP帧(IP或IPX数据包)将通过L2TP报头和UDP报头进行封装。IPsec封装:上述封装后所得到的L2TP报文将通过IPsec封装安全性有效载荷(ESP)报头、用以提供消息完整性与身份验证的IPsec身份验证报尾以及IP报头再次进行封装。IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。IPsec加密机制将通过由IPsec身份验证过程所生成的加密密钥对L2TP报文进行加密。L2TP控制报文封装格式:(UDP 1701)
# L2TP Control Message
若经过IPsec NAT穿越,则在外层IP与ESP Header之间再增加一个UDP头(端口为4500)
L2TP数据报文封装(UDP 1701):
# L2TP Data encapsulation
若经过IPsec NAT穿越,则在外层IP与ESP Header之间再增加一个UDP头(端口为4500)
L2TP/IPsec Tunnel的不足之处:
使用Windows终端(Win10/Win8等),进行L2TP/IPsec第一次拨号时,必须先添加如下注册表项,否则无法顺利接入Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent]"AssumeUDPEncapsulationContextOnSendRule"=dword:000000022. L2TP/IPsec接入时,无法自动下发路由信息,终端用户必须手动添加路由才能访问Server提供的子网访问路劲
3. L2TP/IPsec配置复杂,且性能很低下,大多不会采用这个隧道方式
PPTP VPN
PPTP(Point to Point Tunneling Protocol),即点对点隧道协议。该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网,可以通过密码验证协议,可扩展认证协议等方法增强安全性。远程用户可以通过ISP、直接连接Internet或者其他网络安全地访问企业网;
PPTP实现需要完成2个动作:协商PPTP/GRE隧道和协商建立PPTP虚拟链路,PPTP和FTP类似,是一种多通道协议,具体而言,即PPTP存在控制通道和数据通道。控制通道建立在PPTP客户端和服务器之间,PPTP客户机使用动态分配的TCP端口号,而PPTP则使用保留TCP端口号1723。控制通道用于PPTP隧道的协商和维护。PPTP控制通道协商数据包包括一个IP包头,一个TCP报头和PPTP控制消息:
PPTP控制报文格式:
# PPTP Control message
PPTP数据报文封装:
# PPTP data encapsulation
由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密
PPTP控制连接的建立流程分析
PPTP控制连接建立过程可以分为以下几步:
建立TCP连接PPTP控制连接和GRE隧道建立3. PPP协议的LCP协商
4. PPP协议的身份验证
5. PPP协议的NCP协商
NCP协议是PPP协议的网络控制协议,主要用来协商双方网络层接口参数,配置虚拟端口,分配IP,DNS等信息。图中的IPCP是NCP基于TCP/IP的接口协商协议。Server和Client都要把自己的Miniport信息发送给对方
6. PPP协议的CCP协商
CCP协议协商PPP通讯中数据加密的协议
L2TP和PPTP区别:
L2TP:公有协议、UDP1701、支持隧道验证,支持多个协议,多个隧道,压缩字节PPTP:私有协议、TCP1723、不支持隧道验证,只支持IP、只支持点到点PPTP只能在两端间建立单一隧道,L2TP支持在两端点间使用多隧道,这样可以针对不同的用户创建不同的服务质量
L2TP可以提供隧道验证机制,而PPTP不能提供这样的机制,但当L2TP或PPTP与IPsec共同使用时,可以由IPsec提供隧道验证,不需要在第二层协议上提供隧道验证机制
PPTP要求互联网络为IP网络,而L2TP只要求隧道媒介提供面向数据包的点对点连接,L2TP可以在IP(使用UDP),FR,ATM,x.25网络上使用
L2TP可以提供包头压缩。当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节
IPsec VPN
IPsec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
IPsec VPN:是基于IPsec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。