信息安全工程师软考（软考-信息安全工程师学习笔记31）

VPN即虚拟专用网

• 是依靠ISP（Internet服务提供商）和其他NSP（网络服务提供商），在公用网络中建立专用的数据通信网络的技术。
• 虚拟：是指用户不再需要拥有实际的长途数据线路，而是使用Internet公众数据网络线路。
• 专用网：是指用户可以为自己制定一个最符合自己需求的网络。

• 保密性服务（Confidentiality）：防止传输的信息被监听；
• 完整性服务（Integrity）：防止传输的信息被修改；
• 认证服务（Authentication）：提供用户和设备的访问认证，防止非法接入。

VPN产品的技术动向具有以下特点：

• VPN客户端尽量简化，将出现“零客户端”安装模式；
• VPN网关一体化，综合集成多种接入模式，融合多种安全机制和安全功能；
• VPN产品可能演变成可信网络产品；
• VPN提供标准安全管理数据接口，能够纳入SOC中心（安全运行中心）进行管理控制。

• VPN 产品代码实现的安全缺陷。VPN产品的实现涉及多种协议、密码算法等，编程处理不当，极易导致代码安全缺陷，从而使得VPN产品出现安全问题。例如，Open SSL的Heartbleed漏洞（心脏滴血）可以让远程攻击者暴露敏感数据。
• VPN密码算法安全缺陷。VPN产品如果选择非安全的密码算法或者选择不好的密码参数，都有可能导致VPN系统出现安全问题，不能起到安全保护的作用。例如，密钥长度不够。
• VPN管理不当引发的安全缺陷。VPN的管理不当导致密码泄露、非授权访问等问题。

VPN的类型包括

• 链路层VPN
• 网络层VPN
• 传输层VPN

VPN的实现技术

• 隧道技术:PPTP,L2TP,IPSec,SSL VPN ,TLS VPN
• 加解密技术:密码算法 （核心）
• 密钥管理技术
• 身份认证技术:认证访问控制

VPN的组成：客户机、传输介质（隧道）、服务器

VPN采用的多种安全机制：

• 隧道技术
• 加密技术
• 身份认证技术
• 密钥管理技术
• 访问控制

隧道：实质就是一种封装，将一种协议（协议A）封装在另一个协议（协议B）中传输，从而实现协议A对公用网络的透明性。协议A称为被封装协议，协议B称为封装协议，封装时一般还要加上特定的隧道控制信息，因此，隧道协议的一般形式为（协议B（隧道头(协议A)））

• 封装原始数据（包头不封装）
• 实现隧道两端的点到点连通
• 定时检测VPN隧道的连通性（如果隧道不同，则会报警，提醒隧道不存在）
• VPN隧道的安全性（进行了封装和加密）
• VPN隧道的QoS特性

第二层隧道协议

• PPTP:微软、3Com等公司支持，点对点隧道协议 ，第一个VPN协议
• L2F：Cisco等公司支持第2层转发协议。 1、用户拨号到ISP接入服务器（NAS），建立PPP链接 2、NAS根据用户名等信息，发起第二重连接，呼叫用户网络的服务器
• L2TP：国际互联网工程任务组（IETF）起草，微软、Cisco、3Com等公司共同制定的第2层隧道协议，结合了PPTP和L2F的优点

第三层隧道协议

• GRE：普通路由封装
• IPSec：IP安全协议

IPSec协议在隧道外面再封装,保证了隧道在传输过程中的安全.该协议是第3层隧道协议

Internet 协议安全性(Internet Protocol Security ,IPSec)是通过对IP协议的分组进行加密和认证保护IP协议的网络传输协议簇,其工作在TCP/IP协议栈的网络层

IPSec在IP层对数据包进行安全处理，提供数据源验证（Authentication）、无连接数据完整性（Integrity）和数据机密性、抗重播等安全服务。

IPSec是一个协议体系,有建立安全分组流的密钥交换协议(IKE协议)和保护分组流的协议(AH和ESP协议)两部分构成

IKE协议:Internet密钥交换协议(Internet Key Exchange Protocol,IKE)属于一种混合协议

• ISAKMP协议:Internet安全关联和密钥管理协议(internet security association and key management protocol)
• OAKLEY协议:奥克利协议（Oakley Key Determination Protocol）是一个密钥交换协议，它允许认证过的双方通过不安全的网络交换秘钥的一部分元素，这一过程是通过迪菲－赫尔曼密钥交换来实现的。
• SKEME:提供了IKE交换密钥的算法，方式；即，通过DH进行密钥交换和管理的方式

即IKE由ISAKMP框架,OAKLEM密钥交换协议及SKEME的共享和密钥更新技术组成.

AH（Authencation Header）协议：认证头

• --提供数据源认证，可以保证信息源的可靠性和数据的完整性，以及确保数据到达次序的完整性,并防止重放攻击
• --摘要算法采用Hash算法(单向Hash函数MD5和SHA1实现摘要和认证确保数据完整性)

ESP（Encapsulating Security Payload）协议： 封装安全有效负载

• --支持数据的保密性，使用DES,3DES,AES等加密算法
• --提供数据的完整性和可靠性，使用非对称密钥技术(使用MD5和SHA1实现摘要和认证确保数据完整性)

• 传输模式
• 隧道模式

AH与ESP均支持两种模式：传输模式和隧道模式

传输模式通常用于主机和主机之间，不改变原有的IP包头，主要是为上层协议提供保护,同时增加IP包载荷的保护

传输模式下AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头.

隧道模式：通常用于私网与私网之间通过公网进行通信。

• 传输模式下AH和ESP处理后的IP头部不变
• 隧道模式下的AH和ESP处理后需要新封装一个新的IP头
• AH只做摘要,只能验证数据完整性和合法性
• ESP做摘要和加密,验证数据完整性和合法性,还能进行数据加密

IPSec VPN应用场景

站点到站点(site-to-site):又称为网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来

端到端(End-to-End):又称为PC到PC,即两个PC之间的通信由IPSec完成

端到站点(End-to-Site):两个PC之间的通信由网关和异地PC之间的IPSec会话完成

PPTP是一种用于让远程用户拨号连接到本地的ISP,是通过因特网安全访问内网资源的技术,它能将PPP帧封装成IP数据包，以便能够在基于IP的互联网上进行传输。PPTP 使用TCP连接创建、维护、终止隧道，并使用GRE (通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密、压缩或同时被加密与压缩。该协议是第2层隧道协议。

• PPTP协议是PPP协议的扩展
• 增强了PPP协议的认证、压缩和加密功能
• 增加了一个新的安全等级，并且可以通过因特网进行多协议通信。
• 可用于移动办公或个人用户与VPN服务器进行连接

PPTP协议将控制包和数据包分开，控制包采用TCP控制。

封装服务：使用一般路由封装（GRE）头文件和IP报头数据封装PPP帧加密服务：PPTP继承了PPP的认证和加密机制，采用Chap、EAP、PAP等认证，以及MPPE（微软点对点加密）机制。

L2TP也是PPP协议的发展，是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议

L2TP是PPTP与L2F (第二层转发)的一一种综合，是由思科公司推出的一种技术。 该协议是第2层隧道协议。L2TP的封装格式为PPP帧封装L2TP报头，再封装UDP报头，再封IP头。具体如下:

学习参考资料：

信息安全工程师教程（第二版）

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼