信安工程师学习笔记（10）VPN技术原理

1、VPN概述

VPN是英文Virtual Private Network的缩写，中文翻译为“虚拟专用网”,其基本技术原理是把需要经过公共网传递的报文(packet)加密处理后，再由公共网络发送到目的地。利用VPN技术能够在不可信任的公共网络上构建一条专用的安全通道，经过VPN传输的数据在公共网上具有保密性。所谓“虚拟”指网络连接特性是逻辑的而不是物理的。VPN是通过密码算法、标识鉴别、安全协议等相关的技术，在公共的物理网络上通过逻辑方式构造出来的安全网络。

2、IPSec

IPSec（Internet Protocol Security）是一套协议套件，而非单一协议，用于保护在IP网络（如互联网）上传输的数据通信安全。它的核心目标是为IP层及以上的数据提供加密、身份验证和完整性校验，从而确保数据传输的机密性、可靠性和防篡改。

IPSec的实现主要依赖于三个核心组件：

（1）安全协议

IPSec使用两种主要协议来封装和保护数据：

AH

功能：提供数据完整性和身份验证，但不提供加密（无机密性）。

特点：它会认证整个IP数据包（包括IP头），这意味着在传输过程中IP地址等信息不能被修改（如NAT），这限制了它在许多常见网络环境中的使用。因此，AH现在已较少使用。

ESP

功能：提供加密、数据完整性、身份验证和防重放攻击。它是目前最常用的IPSec协议。

特点：它只认证和加密数据包的载荷（数据部分），而不认证外部的IP头，这使得它可以顺利地通过NAT设备。

(2）工作模式

上述协议（AH和ESP）有两种工作模式：

传输模式

特点：只保护数据包的载荷，原始的IP头部保持不变。

应用场景：主要用于端到端的保护，即通信的双方主机直接自己实现IPSec。例如，两台服务器之间的安全通信。

隧道模式

特点：保护整个原始IP数据包（包括头部和载荷）。它会将原始数据包作为一个新的、更大的数据包的载荷，并为其添加一个新的IP头。

应用场景：主要用于站点到站点的VPN或远程访问VPN。网络设备（如路由器、防火墙）之间建立IPSec隧道，保护所有穿过隧道的流量。

（3）安全关联与密钥管理

安全关联：SA是IPSec的基础，它是两个设备之间为安全通信而建立的一个“合同”，规定了使用的协议、加密算法、密钥、生命周期等参数。IPSec通信需要至少一对SA（入站和出站）。

IKE：用于自动建立和管理SA的协议。它负责验证对方身份、协商加密算法，并安全地交换生成会话密钥。IKE分为两个阶段：

阶段1：建立一条安全的管理通道（ISAKMP SA），用于保护后续的协商通信。

阶段2：在阶段1建立的安全通道内，协商用于保护实际用户数据的IPSec SA。

3、SSL

SSL是Secure Sockets Layer的缩写，是一种应用于传输层的安全协议，用于构建客户端和服务端之间的安全通道。该协议由Netscape开发，包含握手协议、密码规格变更协议、报警协议和记录层协议。

SSL协议是介于应用层和TCP层之间的安全通信协议。其主要目的在于两个应用层之间相互通信时，使被传送的信息具有保密性及可靠性。

SSL的工作原理是将应用层的信息加密或签证处理后经TCP/IP网络送至对方，收方经验证无误后解密还原信息。

SSL协议提供三种安全通信服务。

(1)保密性通信。握手协议产生秘密密钥(secret key)后才开始加、解密数据。数据的加、解密使用对称式密码算法，例如DES、AES等。

(2)点对点之间的身份认证。采用非对称式密码算法，例如RSA、DSS等。

(3)可靠性通信。信息传送时包含信息完整性检查，使用有密钥保护的消息认证码(MessageAuthentication Code,简称MAC)。MAC的计算采用安全杂凑函数，例如SHA、MD5。

4、PPTP

PPTP是Point—to—Point Tunneling Protocol的缩写，它是一个点到点安全隧道协议。该协议的目标是给电话上网的用户提供VPN安全服务。PPTP是PPP协议的一种扩展，它提供了在全隧道，从而能够保证远程用户安全访问企业的内部网。

5、L2TP

L2TP是Layer 2 Tunneling Protocol的缩写，用于保护设置L2TP-enabled的客户端和服务器的通信。客户端要求安装L2TP软件，L2TP采用专用的隧道协议，该协议运行在UDP的1701端口。

6、VPN主要产品

VPN技术普遍应用于网络通信安全和网络接入控制。商业产品有IPSec VPN网关、SSLVPN网关，或者集成IPSec、SSL安全功能的防火墙和路由器。

（1）IPSec VPN

IPSec VPN产品的工作模式应支持隧道模式和传输模式，其中隧道模式适用于主机和网关实现，传输模式是可选功能，仅适用于主机实现。

（2）SSL VPN

SSL VPN产品的工作模式分为客户端-服务端模式、网关-网关模式两种。

7、 VPN应用场景

根据VPN的用途，VPN可分为三种应用类型：远程访问虚拟网(Access VPN)、企业内部虚拟网(Intranet VPN)和企业扩展虚拟网(Extranet VPN)。

（1）远程安全访问

Access VPN主要解决远程用户安全办公问题，远程办公用户既要能远程获取到企业内部网信息，又要能够保证用户和企业内网的安全。远程用户利用VPN技术，通过拨号、ISDN等方式接入公司内部网。Access VPN一般包含两部分，远程用户VPN客户端软件和VPN接入设备。

（2）构建内部安全专网

随着业务的发展变化，企业办公不再集中在一个地点，而是分布在各个不同的地理区域，甚至是跨越不同的国家。因而，企业的信息环境也随之变化。针对企业的这种情况，Intranet VPN的用途就是通过公用网络，如因特网，把分散在不同地理区域的企业办公点的局域网安全互联起来，实现企业内部信息的安全共享和企业办公自动化。

（3）外部网络安全互联

由于企业合作伙伴的主机和网络分布在不同的地理位置，传统上一般通过专线互连实现信息交换，但是网络建设与管理维护都非常困难，造成企业间的商业交易程序复杂化。ExtranetVPN则是利用VPN技术，在公共通信基础设施(如因特网)上把合作伙伴的网络或主机安全接到企业内部网，以方便企业与合作伙伴共享信息和服务。Extranet VPN解决了企业外部机构接入安全和通信安全的问题，同时也降低了网络建设成本。

亲爱的朋友，若你觉得文章不错，请点击关注。你的关注是笔者创作的最大动力，感谢有你！