欢迎来到天天文库
浏览记录
ID:34539479
大小:2.35 MB
页数:107页
时间:2019-03-07
《《网络安全》_第07章 vpn》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库。
1、网络安全北京邮电大学信息安全中心郑康锋zhengkfbupt@163.com课程进度书签本次课程内容(VPN)VPN链路层安全网络层安全传输层安全2网络通信安全TCP/IP不同层次的安全机制链路层:PPTP、L2F、L2TP网络层:IPSec传输层:SSL应用层:SHTTP、S/MIME、SET上述协议能够提供以下安全服务身份认证通信数据的保密性保护通信数据的完整性保护本次课程内容(VPN)VPN链路层安全网络层安全传输层安全4VPN方案的提出----端到端数据安全性分支机构安全网关内部网InternetISP接入设备安全网关远程访问内部段外部段拨入段公司的内部
2、网络(公共因特网)一般端到端数据通路的典型构成5端到端数据通路安全风险(1)拨入段用户数据以明文方式直接传递到ISP:搭线监听PSTN明文传输攻击者ISP接入设备Internet远程访问拨入段ISP窃听ISP到了ISP处已1.攻击者可以很容易的在拨入链路上实施监听解密成明文2.ISP很容易检查用户的数据3.可以通过链路加密来防止被动的监听,但无法防范恶意窃取数据的ISP。6端到端数据安全性(2)ISPISP窃听搭线监听内部网攻击者ISP接入设备Internet正确通道原始终点为:安全网关远程访问外部段恶意修改通道终点到:假冒网关(公共因特网)1.数据在到达终点之前要经过许多路由器
3、,明文传输的报文很容易在路由器上被查看和修改2.监听者可以在其中任一段链路上监听数据3.逐段加密不能防范在路由器上查看报文,因为路由器需要解密报文选择路由信息,然后再重新加密发送4.恶意的ISP可以修改通道的终点到一台假冒的网关7端到端数据安全性(3)内部网ISP接入设备Internet安全网关远程访问1.数据在安全网关中是明文的,因而网关管理员可以直接查看机密数据2.网关本身可能会受到攻击,一旦被攻破,流经安全网关的数据将面临风险8端到端数据安全性(4)内部网ISP接入设备Internet安全网关远程访问内部段公司的内部网络1.内部网中可能存在不信任的主机、路由器等2.内部员工
4、可以监听、篡改、重定向企业内部网的数据报文3.来自企业网内部员工的其他攻击方式9VPN要解决的问题在端到端的数据通路上随处都有可能发生数据的泄漏,包括拨入段链路上ISP接入设备上在因特网上在安全网关上在企业内部网上。能否提供一个综合一致的解决方案,它不仅能提供端到端的数据保护,同时也能提供逐段的数据保护呢?10VPNVPN:virtualprivatenetwork,虚拟专用网VPN的定义:是指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的数据通信网络,这里所指的公用网络有多种,包括IP网络、帧中继网络和ATM网络。虚拟专用网:封闭的用户群、安全性高
5、、服务质量保证IETF对基于IP的VPN定义:使用IP机制仿真出一个私有的广域网VPN的构成VPN服务器VPN连接公共网络VPN客户机隧道VPN应用简例合作伙伴远程访问内部网虚拟私有网Internet分支机构VPN是企业网在因特网上的延伸13VPN的特点专用网的特点:封闭的用户群安全性高服务质量保证VPN的实现要求支持数据分组的透明传输支持安全功能提供服务质量保证VPN技术隧道技术隧道是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。隧道使用隧道协议来封装数据。一种协议X的数据报被封装在协议Y中,可以实现协议X在公共网络的透明传输
6、。这里协议X称作被封装协议,协议Y称为封装协议。隧道的一般封装格式为(协议Y(隧道头(协议X)))。隧道协议第二层隧道:以PPTP,L2TP为代表第三层隧道:IPSec隧道的相关知识隧道的定义:实质上是一种封装,将一种协议(协议X)封装在另一种协议(协议Y)中传输,从而实现协议X对公用传输网络(采用协议Y)的透明性隧道协议内包括以下三种协议乘客协议(PassengerProtocol)封装协议(EncapsulatingProtocol)运载协议(CarrierProtocol)隧道协议例子16VPN技术密钥管理VPN技术的开放性预示着必须采用各种公开密码算
7、法,这样算法的安全强度不能仅依赖于算法本身,只能依靠密钥的机密性。大规模部署VPN,也离不开自动密钥管理协议的支持。VPN系统中常用的几种密钥管理协议包括:IKE协议、SKIP协议、Kerberos协议。VPN分类按VPN业务类型划分:IntranetVPN(内部公文流转)AccessVPN(远程拨号VPN)ExtranetVPN(各分支机构互联)按VPN发起主体划分:客户发起,也称基于客户的VPN服务器发起,也称客户透明方式或基于网络的VPNVPN分类按隧道协
此文档下载收益归作者所有