SSL VPN 安全防御详解
目录
SSL VPN 技术
IP SEC缺陷
SSL握手协议的第一阶段
SSL握手协议的第二阶段
SSL握手协议的第三阶段
SSL握手协议的第四阶段
编辑
SSL VPN的实现
WEB代理
文件共享
端口转发
网络扩展
访问模式
SSL VPN要求的终端安全
SSL VPN 功能总结
SSL VPN 技术
SSL和 IP SEC 安全防护做对比
IP SEC缺陷
由于IPSEc是基于网络层的协议,很难穿越NAT 和防火墙,特别是在接入一些防护措施较为严格的个人网络和公共计算机时,往往会导致访问受阻。移动用户使用IPSec VPN需要安装专用的客户端软件,为日益增长的用户群发放、安装、配置、维护客户端软件已经使管理员不堪重负。因此,IPSec VPN在Point- to-Site远程移动通信方面并不适用。
SSL握手协议的第一阶段
客户端首先发送client hello 消息到服务端,服务端收到client hello信息后,再发送server hello 到客户端
随机数: 32位时间戳 +28 字节随机序列,用于计算机摘要信息和预主密钥或者主密钥的参数
会话ID: 一次性会话ID,防止重放攻击
SSL握手协议的第二阶段
服务器的证书:包含服务器公钥的证书,用于客户端给服务器发送信息时加密
server key exchange服务端密钥交换:决定密钥交换的方式,比如DH,RSA,会包含密钥交换所需的一 系列参数。
SSL握手协议的第三阶段
client key exchange客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收 到后根据pre-master密钥生成一个main-matser。
预主密钥和主密钥的关系
初始化向量的用途
SSL握手协议的第四阶段
SSL VPN的实现
虚拟网关
SSL VPN每个虚拟网关可以独立管理,可以配置各自的资源,用户、认证方式,访问控制以及管理员。 并且相互隔离。
WEB代理
实现方式
web-link:使用active X控件方式,对页面进行请求
web改写: 将所请求页面上链接进行改写,其他内容不变
实现结果
实现对内网web资源的安全访问
1. 内网web资源只有私网地址,在不做NAT的情况下,可以通过SSL VPN实现对其的代理安全访问
2. 内网web资源只有私网地址,在做NAT的情况下,公网用户可以实现对其访问,但是web资源没有使用安全传输协议,SSL VPN可以实现对其http安全访问
文件共享
实现过程
实现原理
协议转化技术:无需客户端,直接通过浏览器安全访问转换为内网文件共享的相应协议格式,使用activeX控件
支持协议
SMB windows
NFS linux
端口转发
实现过程
实现原理: 安装activeX控件 ,本质就是NAT过程
提供内网TCP资源的访问,C/S资源
提供丰富的静态端口的TCP应用
单端口单服务:telent、SSH、MS RDP VNC
单端口多服务:notes
多端口多服务:outlook
动态端口TCP应用
动态端口:FTP
提供端口级访问控制
自动安装运行一个 ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件 将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则 截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听 端口。对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。 USG收到报文进行解密,发往真实的目的服务器端口。USG收到服务器的响应后,再加密封装回传给用 户终端的侦听端口。
特点
网络扩展
实现过程
访问模式
三种流量:去对方内网流量,去互联网流量,去本地局域网络流量
1. 全路由模式: 三种流量都走隧道,意味着本地不能访问互联网,也可以通过隧道访问,也能补访问本地局域网
2. 分离模式: 对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着,能访 问对方内网,能访问本地局域网,不能访问互联网。
3. 手动模式:对方内网流量走隧道,本地局域网络流量和互联网流量走物理网卡。意味着,都能访 问,并且互联网走本地。
SSL VPN要求的终端安全
终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查,缓存清 除。
主机检查:
杀毒软件检查
防火墙设置检查
注册表检查
端口检查
进程检查
操作系统检查
缓存清除:
internet临时文件
浏览器自动保存密码
cookie记录
浏览器访问历史记录
收回站和最近打开的文件
指定文件或者文件夹
认证授权
db认证授权
第三方服务认证授权
数字证书的认证
短信辅助认证
SSL VPN 功能总结
配置
