2021信息安全工程师学习笔记(九)

VPN技术原理与应用

1、VPN概述

VPN概念:VPN即虚拟专用网。

  • 原理:把需要经过公共网传递的报文加密处理后,再由公共网络发送到目的地。
  • 作用:能够在 不可信任的公共网络上构建一条专用的安全通道,经过VPN传输的数据在公共网上具有保密性。

虚拟:指网络连接特性是逻辑的而不是物理的。VPN在公共的物理网络上通过逻辑方式构造安全网络。

VPN安全功能:保密性服务、完整性服务、认证服务。

VPN发展:未来VPN产品的技术动向具有以下特点:

  • VPN客户端尽量简化,将出现“零客户端”安装模式;
  • VPN网关一体化,综合集成多种接入模式,融合多种安全机制和安全功能;
  • VPN产品可能演变成可信网络产品;
  • VPN提供标准安全管理数据接口,能够纳入SOC中心进行管理控制。

VPN技术风险:VPN产品代码实现的安全缺陷;VPN密码算法安全缺陷;VPN管理不当引发的安全缺陷。

2、VPN类型和实现技术

VPN类型:VPN有多种实现技术,可分为:链路层VPN、网络层VPN、传输层VPN。

  • 链路层VPN的实现方式有:ATM、Frame Relay、多协议标签交换MPLS;
  • 网络层VPN的实现方式:受控路由过滤、隧道技术;
  • 传输层VPN则通过SSL来实现。

密码算法:VPN的核心技术是密码算法,VPN利用密码算法,对需要传递的信息进行加密交换。

密码分发的两种方法

  • 一种通过手工配置 的方式,可靠但是密钥更新速度慢,只适合简单网络;
  • 另一种采用密钥交换协议动态分发,是通过软件自动协商动态生产密钥,更新速度快。

VPN连接一般都包括两种形式的认证

  • 用户身份认证
  • 数据完整性和合法性认证

IPSEC协议

  • 认证头(AH):用于数据完整性认证和数据源认证;
  • 封装安全负荷(ESP):提供数据保密性,ESP也包括了防止重放攻击的顺序号;
  • Internet密钥交换协议(IKE):用于生成盒分发在ESP和AH中使用的密钥,IKE也对远程系统进行初始认证。

IPsec VPN两种模式

  • 传输模式(透明模式):不改变原有的IP包头,通常用于主机和主机之间,只保护数据域。
    2021信息安全工程师学习笔记(九)_第1张图片

  • 隧道模式:增加新的IP头,通常用于私网与私网之间通过公网进行通信。
    2021信息安全工程师学习笔记(九)_第2张图片
    SSL协议:是一种应用于传输层的安全协议,用于构建客户端和服务端之间的安全通道,SSL有两层协议,包括:
    2021信息安全工程师学习笔记(九)_第3张图片

  • SSL协议是介于应用层和TCP层之间的安全通信协议;

  • 主要目的:两个应用层之间相互通信时,使被传送的信息具有保密性及可靠性;

  • 工作原理:将应用层的信息加密或签证处理后经TCP/IP网络送至对方,收方经验证无误后解密还原信息。

SSL协议提供三种安全通信服务

  • 保密性通信:使用对称密码算法。握手协议产生秘密密钥后才开始 加、解密数据;
  • 点对点之间的身份验证。采用非对称密码算法;
  • 可靠性通信。信息传送时包含信息完整性检查,使用有密钥保护的消息认证码MAC,采用杂凑函数计算得来。

SSL记录协议的数据处理过程

  • SSL将数据分割成可管理的区块长度;
  • 选择是否要将已分割的数据压缩;
  • 加上消息认证码MAC;
  • 将数据加密,生成即将发送的消息;
  • 接收端收到的消息解密、验证、解压缩,在重组后传送至高层,即完成接收。

PPTP:是一个点到点的安全隧道协议。目标是给电话上网的用户提供VPN安全服务。PPTP提供了在IP网上构建安全通道机制,远程用户通过PPTP可以在客户机和PPTP服务器之间形成一条安全隧道。

L2TP:用户保护设置L2TP-enabled的客户端和服务器的通信。客户端要求安装L2TP软件,采用专用的隧道协议,该协议运行在UDP的1701端口。

PPTP和L2TP的不同

  • PPTP要求互联网网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点连接;
  • PPTP只能在两端点间建立单一隧道。L2TP支持在两端点间使用多隧道;
  • L2TP可以提供包头压缩。当压缩包头时,系统开销占用4个字节,而PPTP协议下要占用6个字节;
  • L2TP可以提供隧道验证,而PPTP则不支持隧道验证。

3、VPN主要产品与技术指标

VPN技术的主要产品特征

  • IPSec VPN:支持隧道模式和传输模式。隧道模式适用于主机和网关实现。传输模式仅适用于主机实现;
  • SSL VPN:工作模式分为客户端-服务端模式、网关-网关模式两种。

IPSec VPN主要性能指标

  • 加解密吞吐率
  • 加解密时延
  • 加解密丢包率
  • 每秒新建连接数

SSL VPN主要性能指标

  • 最大并发用户数
  • 最大并发连接数
  • 每秒新建连接数
  • 吞吐率

4、VPN技术应用

远程安全访问
2021信息安全工程师学习笔记(九)_第4张图片
构建内部安全专网:通过公用网络,把分散在不同地理区域的企业办公点的局域网安全互连起来,实现企业内部信息的安全共享和企业办公自动化。

外部网络安全互联:利用VPN技术,把合作伙伴的网络或主机安全接到企业内部网。

你可能感兴趣的:(信息安全工程师认证,http,tcp/ip,信息安全)