| 操作系统 办公 实用知识 设计 开发 WEB开发 移动开发 数据库 软件工程 网管 安全 管理 信息化 答疑 渠道 |
隧道中的秘密——主流VPN技术探索与分析一直以来,VPN技术在企业网的发展过程中异常活跃。特别是近些年,随着企业安全意识的不断提高,各种VPN技术层出不穷,在企业信息安全建设中扮演者不可或缺的角色。 技术篇——细数VPN脉络 VPN技术发展很快,其中各种协议与加密算法种类繁多,对于企业来讲,理清技术脉络判明自身需求则凸现重要。 按照微软公司的定义,虚拟专用网络(VPN)作为专用网络的延伸,它包含了类似 Internet 的共享性或公共网络的连接性。VPN通过模拟点对点专用链接的方式,利用共享或公共网络在两台计算机之间发送数据。 不难看出,VPN的特性就是通过公用网络建立一个临时的、安全的连接,换句话说,是一条穿过混乱的公用网络的安全隧道。 从企业的角度看,VPN是对企业内部网络的扩展。VPN可以帮助企业的远程用户、公司分支机构、商业伙伴及供应商,同公司的内网建立可信的安全连接,并保证数据的安全传输。特别是近几年随着移动商业环境的发展,VPN可用于不断增长的移动用户的安全网络接入。 事实上,本报上期还专门分析了利用VPN实现ERP远程安全接入的业务,而这也恰恰体现了VPN技术安全且经济的一面。 毕竟VPN可以将大量数据流转移到低成本的企业网络上,从而大幅度地减少企业用户花费在城域网和专线网络连接上的费用。同时,VPN可以在一定程度上简化网络的设计和管理,加速新业务的开展。 事实上,VPN的发展已经不再单单是一个网络安全问题,更多的情况下,它还牵扯到企业的业务问题。正如新华人寿IT经理杜大军所说的,随着企业业务的不断发展,VPN可以使企业将精力集中到自己的业务拓展上,而不是网络上。因为对于金融机构来说,VPN可用于不断增长的移动展业需求,同时也可以满足企业网站之间安全结算的开展。 作用范围划分 截止到2005年,一些国内外主流研究机构仍习惯于根据VPN作用业务的不同,将其区分为三大类:即VPDN、内网VPN和外网VPN。 一般远程用户和企业内网之间的VPN连接,称为VPDN。通常情况下,用户拨号NSP(网络服务提供商)的网络访问服务器NAS,发出PPP连接请求,NAS收到呼叫后,在用户和NAS之间建立PPP链路,然后NAS对用户进行身份验证,随后启动VPDN功能。 在企业远程分支机构的局域网和企业总部内网之间的VPN,称为内网VPN。这种方式主要通过互联网,将企业在各地分支机构的局域网连到企业总部的内网,以便企业内部的资源共享,从而节省大量的专线费用。 在供应商、合作伙伴的局域网和企业内网之间的VPN连接,称为外网VPN。由于不同企业网络环境的差异性,在同一供应链上的外网VPN连接必须能够相互兼容。另外,由于用户的多样性,企业的网络管理员还必须设置特定的访问控制表(ACL),以便配置权限,选择性地开放资源给外部用户。 但无论选择哪种类型,一个标准的VPN技术都必须提供:数据加密功能,确保公网信息传送的安全性;信息认证和身份认证功能,保证信息的完整、合法,并能鉴别使用者身份;访问控制功能,确保实现不同用户不同的访问权限。 协议类型划分 另外要强调的是,VPN技术主要基于隧道原理,目前在各种隧道加密协议上,出现了大量的分支。业内著名的VPN厂商侠诺科技的张建清博士指出,众多新型协议的“分庭抗礼”,恰恰成为了近几年VPN发展的亮点,这对于用户是件大好事。 之所以会这样说,是因为VPN的安全机制就在于先建立隧道,然后进行数据包加密,最后按照隧道协议进行封装、传送,以保安全性。而随着各种隧道协议技术的发展,已经实现了很多的安全选择。在数据链路层实现的VPN协议有PPTP、L2TP;在网络层实现的VPN协议有IPSec;在TCP层实现的VPN协议有SOCKS v5;在会话层实现的VPN协议有SSL。 PPTP/L2TP协议是微软公司(后者有Cisco的参与)提出来的,PPTP/L2TP已被嵌入到微软的操作系统中,用于微软的路由和远程访问服务。PPTP是在PPP协议基础上开发的,采用点对点加密算法。而L2TP继承了PPTP的流量控制,支持多重连接协议特性。 PPTP/L2TP目前已经不是主流,企业用的也较少。因为它们没有提供内在的安全机制,端点用户需要在连接前手工建立加密信道,没有加密和认证支持,稳定性也很差,而且也无法穿越NAT,因此仅仅少部分微软用户还有少量使用。 IPSec是IETF支持的标准之一,它在网络层对数据进行加密。IPSec协议可以设置成在两种模式下运行:一种是隧道模式,一种是传输模式。相对而言,隧道模式更加安全。因为IPSec可以对终端站点间所有的传输数据进行保护,而不管是哪类网络应用。同时,IPSec能够在不同局域网之间,以及远程客户端与中心节点之间,建立安全的传输通道,因此应用较广。 需要强调的是:由于VPN环境中用户数据在被加密后仍然在公网上传输,因此加密技术非常重要,它直接影响到用户数据的安全。而IPSec是在这方面是做的比较好的一种技术。IPSec VPN的主要缺点在于配置复杂,并且客户端需要安装复杂的软件,而且当用户数量增加时,IPSec VPN的管理难度将呈几何级数增长。因此,IPSec最适合可信的LAN到LAN之间的内部VPN使用。 SOCKs v5是建立在TCP层上的安全协议,其本身工作在OSI模型的会话层上,是一个需要认证的防火墙协议,可协同IPSec、L2TP、PPTP等一起使用。尽管SOCKs v5较为安全,但其要制定比低层协议更为复杂的安全管理策略。而随着SSL技术的兴起,目前SOCKs v5基本上趋于淘汰。 SSL VPN是目前较新的技术,而且随着电子商务与BS结构的流行,其发展大有赶超前者的意味。SSL对应OSI模型的会话层协议,这也注定了其与电子商务的关系最为密切。相对而言,SSL更加关注应用,其优势主要集中在VPN客户端的部署和管理上。因为它无需安装客户端,由于浏览器内嵌了SSL协议,在处理基于BS结构的业务时,可以直接使用浏览器完成SSL VPN的建立。但对于非Web页面的文件访问,往往要借助于应用转换。 目前,有些SSL VPN产品所能支持的应用转换器和代理的数量非常少,而有些能很好地支持FTP、网络文件系统和微软文件服务器的应用转换。但SSL VPN并不能真正形成LAN对LAN的应用,其重心在于帮助企业进行应用层面的安全防护。 结构篇——IPSec对比SSL 作为目前最主流的两种VPN协议,IPSec与SSL的争论久已,各自优劣与企业的需求相关联,用户不得不注意。 IPSec VPN占据主流 从目前的发展情况来看,IPSec VPN和SSL VPN势头较好,而且都得到了IETF的大量关注。事实上,企业在采购和使用过程中,基于上述两种隧道协议的产品也是应用较多的。 从体系结构上分析,IPSec VPN通过选择特定的安全协议,在IP层提供安全服务,同时协议会确定服务所用的算法,为提供所需的业务增加加密密钥。IPSec能够在一对主机、一对安全网关或主机和安全网关之间保护一条或多条隧道。 本质上,IPSec是为提供两个设备间的安全IP 通路而指定的一系列协议。因此IPSec VPN是基于设备的,而不是基于网络的,因此企业用户无需对路由器进行额外的配置。IPSec VPN可以在主机或站点之间通过安全网关实现。 IPSec使用两个协议来保障IP上的安全传输。AH(认证头)协议为IP数据报提供无连接的数据完整性和数据源身份认证,同时具有防重放攻击的能力。ESP(封装安全载荷)协议为IP数据包提供加密机制,为数据流提供有限的机密性保护。 IPSec提供了两种不同的模式来传输加密数据:传输模式和隧道模式。通常情况下,传输模式只用于两台主机之间的安全通信,传输模式能够为两台主机间的每一次协议会话提供分离的通道,它插在IP头和有效载荷之间,保护的是IP包的有效载荷或者说是上层协议。隧道模式必须用在网关到网关的会话或主机到网关的会话。隧道模式为会话提供唯一的加密通道,为整个IP包提供保护,先为原始IP包增加AH或ESP字段,然后在外部增加一个新的IP头,指向目的IPSec网关。 IPSec在IP层上实现了加密、认证、访问控制等多种安全技术,极大地提高了TCP/IP的安全性。由于整个协议在IP层上实现,上层应用可不必进行任何修改,并且由于IPSec在实现安全策略上的灵活性,使得对安全网络系统的管理变得简便灵活。然而,如果要一个大的点对点的企业网远程接入VPN,则其中的主机都必须被单独配置,这对企业应用VPN带来了巨大的压力,并且VPN的配置是相当复杂的,一发而动全身,小的失误也可能带来严重的后果。 企业用户需要注意的是,IPSec的安全性更多体现在原理本身。换句话说,相对于加密技术,攻击者可能更热衷于在用户和用户之间的VPN两端建立站点。另外,如何杜绝病毒在IPSec VPN内部跨网传播始终是一个挥之不去的问题。对此侠诺科技公司的技术总监张桢岩表示,IPSec接通的局域网就像是不同局域网一样,因此病毒的确有可能通过广播传送到跨网上。因此若要杜绝此类问题,只能有赖于防毒机制的设计了。不过他觉得未来操作系统也都将内建防毒功能,将在很大程度上解决这种问题。 SSL VPN正值壮年 相对而言,SSL是对计算机之间整个会话进行加密的协议。SSL VPN采用当前广泛使用的工业级安全套接层协议SSL,无需安装客户端软件,授权用户能够从任何标准的Web浏览器和互联网连接安全地接入网络资源,包括PC、笔记本电脑和移动设备,从而安全可靠地获取信息。由于历史的原因,SSL在Internet上广泛用于处理ERP等较为敏感的信息。 在SSL中,采用了公开密钥和专有密钥两种加密模式。在建立连接过程中采用公开密钥,在会话过程中使用专有密钥。加密的类型和强度则在两端之间建立连接的过程中判断决定。通常服务器来完成对客户机的身份验证。 在每个SSL会话中,会要求服务器完成一次使用服务器专用密钥的操作和一次使用客户机公开密钥的操作。由于大部分系统都使用RSA加密法,每次操作都需要完成模数算法下的指数运算。通常选择的公开指数为小数,以减少要做的工作。因此,一次SSL会话只要一次加密运算即可。 对企业来说,将SSL技术与标准的VPN结合起来,可以让企业员工或者外部合作伙伴使用浏览器访问支持Web的数据。企业将SSL VPN作为一种服务对外提供,既不需要在服务器上安装SSL安全装置,也不用买SSL软件。 因此,企业可以利用SSL VPN降低成本,特别是其大规模部署很便宜。一般来说,使用者基本上不需要IT部门过多地支持,只要从其PC机上的浏览器向公司内网注册即可。而SSL连接本身也较IPSec更加稳定,不容易中断。 另外,张桢岩也认为,SSL VPN可依不同软件应用,帮助企业用户进行权限控管,因此只要配置得宜,企业内网的资源是可以得到更高程度的保护的。特别是目前的SSL VPN大多支持多重身份认证技术。对于用户而言,一种方式是只要单一身份签入,即可存取内部不同资源,VPN服务器可以负责解决权限的问题;另一种方式是不同资源必须要有不同身份认证,企业网管有很大的空间可以调适。这两种情况都会发生,以适应不同的用户需要。对于企业而言,SSL VPN先天具有的弹性,的确安全方便。 因此,从2005年开始,IDC以及Gartner的专家都曾陆续做出过预测,他们认为SSL技术是未来VPN的发展趋势,SSL技术具备在Web应用方面的巨大优势,而未来主流IT应用逐步在朝Web、分布式移用方向发展。 随着3G的大面积推广,未来移动办公将更加流行,所以SSL VPN今后的普及率会有很大的成长空间。特别是相对于IPSec,SSL VPN的市场开发程度较低,因此市场成长幅度会持续增加。 另外,除了传统意义的远程连接访问以外,政府机构和大型企业在享受建立内部资源共享基础上高效率的协同工作的成果或Web上传下载的同时,也面临着保护内部网络及其数据安全性的挑战,包括网络反病毒、防入侵、防黑客、数据丢失等。此间,基于SSL VPN的应用将会越来越多。 解惑篇——破解SSL VPN迷雾 SSL VPN作为一项近两年发展起来的新技术,具备无须安装客户端的便捷性和低管理成本的经济性,理应获得迅速发展。不过国内的现实是,SSL VPN仍然被三大误区所困扰。 迷雾一:安全性 令记者惊讶的是,目前企业用户对于SSL VPN不仅存在疑问,而且首当其冲就体现在SSL VPN的安全性上。 IPSec VPN的每个客户端都必须安装IPSec客户端软件,并有多种身份认证和数据加密方式,其自身技术成熟且安全性得到了实际应用的证明。而SSL VPN首先就打破了安装专用客户端的传统,倡导的是“随时随地移动接入”的新概念,甚至在公共场合(如网吧)、都能够利用SSL VPN访问内网资源。这些现象给国内用户带来了一定的困扰:SSL VPN足够安全吗? 深信服科技的技术经理叶宜斌向记者透露,传统上VPN系统的安全性主要包括三个层面:数据传输的安全、身份认证的安全、内网应用的安全。 如前所述,SSL VPN采用标准的安全套接层协议对传输中的数据包进行加密。SSL协议则是浏览器自带的,加密强度一般为128位,从应用的实际情况看,完全能够满足数据传输层的安全需求。 在身份认证的安全上,SSL VPN也日趋成熟。“目前采用多重身份认证机制已经成为主流,像用户名密码的校验、支持第三方PKI体系且能与CA中心集成的数字证书、USB KEY认证、动态短信发送密钥,都已经开始了产品化应用。”叶宜斌如是说。 而对于内网应用的安全,其实SSL VPN更胜于IPSec VPN。对标准的IPSec VPN而言,并没有在内网安全上做进一步的要求,它只是打开了从分支到总部的通路、对于里面传什么数据是没有有效保证的。因此也造成了病毒在IPSec VPN内部跨网传播等一系列安全隐患。而SSL VPN则不同,它本来就是基于应用层的VPN。只有开放了的应用才允许使用、并没有给接入的用户不受限制的访问权限。因此,从安全性角度来分析,SSL VPN完全能够满足移动用户的接入安全需求。 张桢岩也指出,目前的SSL VPN均拥有相当的保密设计,对于一般的应用绝对没有问题了。SSL在应用上要注重的反而是软件应用的支持,由于SSL限制在TCP/IP的通讯上,而且需要针对应用作开发,所以对于产品开发是较大的挑战。 迷雾二:应用支持与设备部署 在这一点上,很多企业用户受到了误导。在网络上、甚至是一些专业媒体上有关SSL VPN的介绍文章中,到处充斥着“SSL VPN只支持Web应用”的字眼。这其实是混淆了SSL协议和SSL VPN的概念。 SSL VPN之所以不需要安装任何客户端,就是因为用户终端中只要有浏览器、就一定会有SSL协议。SSL VPN就是用到了系统已有的SSL协议来构建安全的通道,但并不等于SSL VPN只支持Web应用。 SSL VPN除了支持Web应用之外,还能支持任何基于TCP的应用(如CS应用)、支持Windows网上邻居、FTP等多种应用。因为从技术上说,只要将所有其他非Web的应用进行重定向,在客户端将所有数据转入SSL协议通道传输,在中心端进行恢复和还原就可以实现。 因此,虽然SSL主要在TCP/IP通讯上运作,但其支持的应用也是多样性的。不过张桢岩也承认,虽然厂商可以针对不同应用加以开发,但是此类产品的价格较高。另外,他认为相关支持的操作系统也是一个问题,最常支持的是Windows平台,其次为MAC及Linux,其它的就较少了。因此除了Web以下的应用,企业在部署SSL VPN时要同时考虑到操作系统及厂商开发时是否有针对性。 另外,像上海冰峰网络、深信服科技等本土厂商,都开发了独特的隧道SSL VPN技术或IPTUNEL协议,以便在SSL VPN设备上运行一些类似IPSec VPN的功能。以IPTUNEL协议为例,该协议支持UDP应用,支持PING通,从而实现对视频等更复杂应用的透明支持。对客户端来说,仍然不需安装任何客户端软件,只需在SSL用户登录时自动下载部分插件,从而保证了SSL VPN天然的易用性。 而张桢岩也表示,由于SSL VPN与IPsec VPN均有不可取代的应用情况,因此很多新产品都包括了不同的协议,让用户依自行应用决定如何配置。这在许多厂商的产品规划上,事实上已成为主流了。 在设备部署上,SSL VPN最大的便利在于不需安装任何客户端,这也使得它在一些特殊终端(如支持浏览器的PDA)、特殊场合(如不是使用自己电脑时、临时需要接入总部)具有不可比拟的优势。 叶宜斌同时表示,利用DKEY的即插即用技术可以将SSL VPN做到零配置。同时,对于用户来说,往往不仅需要移动用户接入,而且还需要站点间的互联互通。因此,如果用户必须部署两套设备(IPSec和SSL各一套),则无疑增加了成本和管理的复杂性。因此,现在流行的“IPSec/SSL二合一”的技术,可以在同一台设备中同时支持两种协议,以便用户规划全网的VPN。并且,IPSec和SSL客户端授权可由用户自行分配。例如用户购买了100个客户端授权,可自己定义多少个用于IPSec、多少个用于SSL,让用户在实际应用中选择最适合自己的VPN接入方式。 迷雾三:价格与接受程度 SSL VPN和大多数IT新技术一样,是从国外流传到中国的新技术。目前SSL VPN的产品仍然以国外厂商为主,国内自主研发的SSL VPN产品屈指可数、并且在技术上还没有形成普遍的突破。这是导致SSL VPN价格高昂的主要原因。而IPSEC VPN由于技术成熟、普及时间长,国内厂商的进步等等,由市场将价格拉到了合适的水平。 不过可喜的是,很多本土厂商已经奋起直追,除了在技术上赶超国外品牌,同时加入更多的技术优势确保性价比,如本土厂商中的多线路自动选路、短信认证等专利,以及客户化定制页面、单点登录等功能,都出现了挑战国外SSL VPN产品的局面。 据悉,北京朝阳区政府、石景山区政府、上海嘉定区政府已经明确表示支持SSL VPN的建设,而华南师范大学、浙江林学院等高校用户已经开始了相关产品的技术测试。另外,重庆力帆集团、上海交运集团、中石化国际公司等大型企业也都部署了相关的SSL VPN产品。可以说,国内目前对于SSL VPN的接受程度在不断提高。 为了进一步推动SSL VPN应用普及,一些本土厂商已经在VPN产品中缺省配置SSL VPN模块,届时用户只需以购买IPSec VPN相同的价格,就可以同时拥有支持两种协议的VPN产品。有分析人士表示,在未来国内市场中,SSL VPN有望成为企业用户买得起、用得好的安全基础设施。 编看编想:另类与前瞻 也许读者会问,目前主流VPN协议是否还少了一个,不错,说到VPN中的另类,MPLS VPN确实有必要分析一下。 MPLS VPN的特点是其在性能、可用性以及服务等级上提供了SLA(服务等级协议)。但要注意的是,MPLS VPN不提供加密、认证等安全服务。因为MPLS VPN主要是用于建设全网状结构的数据专线,保证局域网互联的QoS保证。企业在布署MPLS VPN后,可以保证一些对时延敏感的应用稳定运行,如实时交易系统、视频会议、IP电话等等。另外,MPLS VPN的可扩展性也更好。 一般来说,企业采用IPSec技术建设基于Internet的安全内网或外网VPN,当企业对网络带宽、QoS有更高要求时,可以进一步布署MPLS VPN,以提升应用的稳定性。但是MPLS VPN需要企业能够配置BGP,以便在VPN中传递路由信息,这对企业的技术力量要求较高。 另外Cisco的专家预测,下一代VPN可能会配置目录服务器,主要用于存放用户的信息和网络配置数据,在提供更好的控制能力基础上,也会进一步模糊内网与虚拟专网之间的界限。同时,专家认为在VPN中更好地实现QoS也会是其主要的发展方向。特别是在IPv6的条件下,需要对其信息包与信息流进行更好地服务控制。此外,利用CA认证的方式进一步确保VPN的安全性也在研究之中。 除了技术上的发展,VPN的整合也在逐渐浮出水面。特别是随着UTM的出现,将VPN更好地与UTM融合,甚至实现多功能和全功能的VPN网关都有可能。有人认为这种趋势体现了后网关时代的来临,即要求硬件网关多功能一体化。目前能看到的趋势是,反病毒、SSL VPN、反垃圾邮件、Proxy代理、IDS等等,已经开始与网关联系在一起,彼此都是一个个的模块,集成在一个all-in-one设备中。 不过张桢岩表示,利用UTM整合VPN技术难度较高,若要每个功能都作好,是有相当难度的。另外,他也觉得随着VPN越来越普及,产品要能支持的用户也在增加,这对于核心处理器的负担也越来越大,所以这类产品的核心处理器面临很大的挑战,尤其是要以UTM的方式发展产品。而对于SSL VPN,必须针对不同的平台及应用开发,对于厂商而言是很重大的负担,除非能得到资金有效回收,否则一般的产品支持的应用有限,这是开发SSL VPN厂商的困境。最后是加解密技术的效能,随着加解密技术的进度,需要更大的运算能力,这部份单靠软件是解决不了的。
今日推荐
|
重点推荐
领军企业技术文库
+更多领军技术文库
最新专题
电子杂志订阅
| ||||||||