Vpn原理与配置

1.1  背景

广域网存在各种安全隐患

网上传输的数据有被窃听的风险

网上传输的数据有被篡改的危险

通信双方有被冒充的风险

1.2  VPN概述

1.2.1  Vpn定义

  • virtual private network虚拟专用网
  • 在两个网络实体之间建立的一种受保护的链接

通过使用加密技术防止数据被窃取

通过数据完整性验证防止数据被破坏、篡改

通过认证机制实现通信方身份确认,来防止通信数据被截获和回放

                             

1.2.2  Vpn的模式

  • 传输模式Transport mode

传输速率快。

源端到目的端数据使用原有的ip地址。

传输的实际数据被封装在vpn报文中

虽然无法破解数据内容,但却可以知道通信双方的地址信息

  • 隧道模式tunnel mode

整个三层数据报文封装在vpn数据内

最后封装后的数据报文添加新的IP包头

无法破解内容,也无法知道双方的通信地址

1.2.3  VPN的类型

  • 站点到站点vpn

通常指局域网之间(L2L)的通信流量

  • 远程访问vpn

Vpn连接的一端为移动pc(IP地址经常变换),另一端为站点。

1.3  Vpn技术

  • Vpn采用四项技术来保证安全

隧道技术tunneling

加解密技术

密钥管理技术 key manage-ment

使用者与设备身份认证技术authentication

1.3.1  隧道技术

  • 隧道技术定义

是一种利用公共网络的基础设施在网络之间传递数据的方式

被封装的数据包在公共互联网络上传递时所经过的逻辑路径称为隧道

使用隧道传递的数据可以是使用不同协议封装的数据包

隧道技术是vpn的基本技术

  • 通过隧道的建立,可实现: 

将 数据流强制送到特定的地址 
隐藏私有的 网络地址 
在IP网上传递非IP 数据包 
提供 数据安全支持

  • 二层隧道协议

第二层隧道协议是先把各种网络协议封装到ppp中,再把整个数据包装入隧道协议中。

这种双层封装方法形成的数据包靠第二层协议进行传输。

第2层隧道协议对应于OSI模型的 数据链路层,使用帧作为数据交换单位

L2TPlayer 2 tunnel protocol 第二层隧道协议

L2TP结合了PPTP和L2F协议

允许用户从 客户端或访问服务器端建立VPN连接。L2TP是把 链路层的PPP帧装入公用网络设施,如IP、ATM、 帧中继中进行隧道传输的 封装协议。

PPTPpoint to point tunnel protocol 点到点隧道协议

PPTP是PPP协议的一种扩展

提供PPTP客户机和PPTP服务器之间的加密通信

PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做既增加了用户的工作量,又会给网络带来隐患。另外,PPTP只支持IP作为传输协议

L2Flayer 2 forwarding 第二层转发协议

Cisco公司提出的可以在多种介质,如ATM、帧中继、IP网上建立多协议的安全虚拟专用网的通信

  • 三层隧道协议

第3层隧道协议对应于OSI模型的 网络层,使用包作为数据交换单位

GRE:Generic Routing Encapsulation 通用路由封装协议

它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。

GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议,如RIP、OSPF、IGRP、EIGRP。

GRE只提供了数据包的 封装,它没有防止网络侦听和攻击的加密功能。

IPSec:ip security IP安全协议

  实际上是一套协议包而不是一个独立的协议

当以隧道模式使用 IPSec 时,其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN隧道技术的路由器、网关或终端系统之间的相互操作。

1.3.2  加密技术

1.3.2.1       对称加密

  • 使用同一种密钥对信息提供安全的保护
  • 适用于简单大规模数据加密传输
  • 加密算法

DES算法:IBM的研发产品

密钥长度为64位

其中8位用于奇偶校验

实际有效长度为56位

3DES算法:是DES算法的增强版

使用了三个阶段的DES

有效密钥长度是168位

AES算法:支持128、192和256位密钥长度

更安全

1.3.2.2       非对称加密

  • 使用两个不同的密钥—公钥和私钥—进行加密和解密

双方互相传输公钥,私钥不会在公网上传输

  • 复杂的算法,一般用于密钥加密传输。不适合大规模数据。
  • 不能从一个密钥推导出另一个密钥、安全性高
  • 过程:

通信双方交换公钥----发送方的VPN网关通过公钥将明文数据加密-----接收方通过自己的私钥将受到的密文解开

  • DH算法(diffie-hellman 迪非-赫尔曼):

一般被用来实现IPsec中的Internet密钥交换(IKE)协议

会用自己的密钥和对方的公钥通过DH算法计算一个共享密钥,通过这个密钥来加密传输数据。

  • DH组:思科路由器支持1、2和5

1的密钥长度768

2的密钥长度1024

5的密钥长度1536

防火墙支持2、5和7

1.3.3  密钥交换

  • 带外共享:通过一张磁盘、一张纸或打一个电话等方式共享密钥

缺陷:实施过程话费时间较长

  • 带内共享:通过telnet、ssh等连接方式通过网络传输密钥

提高共享密钥的效率

在带内共享传输密钥时,有个前提是必须保证传输密钥的通道绝对安全,那这个通道有是如何保证的呢?

那如何解决这个问题呢?

可以通过非对称加密算法加密对称加密算法的密钥,在用对称加密算法加密实际要传输的数据。

1.3.4  数据报文验证

包括两方面内容:数据来源验证(身份验证)和报文完整性验证

  • HMAC功能(散列消息验证码)

专门处理数据及数据包相关的验证问题和实现身份验证

使用一个共享的对称密钥来产生固定的输出结果—数字签名(不可逆,加密后数据不可还原)

HMAC属于单向散列算法(Hash算法)的一个子集

  • MD5、SHA

是HMAC的两种常用的算法

MD5(信息-摘要算法):128位的签名、速度快、安全性相对于SHA稍差一点

SHA(安全散列算法):NST公司开发   168位的签名

SHA-1、SHA-256和SHA-512

时间: 2024-10-12 15:59:10

Vpn原理与配置的相关文章

IPsec VPN原理与配置 【Route&ASA】

IPsec VPN原理与配置 简单的了解一些VPN的理论知识: 1.VPN的连接模式 VPN技术有两种传输模式:隧道模式和传输模式.这两种模式定义了两台实体设备之间传输数据时所采用的不同封装过程. (1)传输模式 传输模式一个最显著的特点就是:在传输过程中,包头并没有被封装进去,意思是从源端到目的端始终使用原有的IP地址进行通信.而传输的实际数据被封装在VPN报文中. (2)隧道模式 与传输模式的区别显而易见,VPN设备将整个三层数据报文封装在VPN数据内,再为封装过后的数据报文添加新的IP包头

MPLS VPN原理及配置思路

VPN中的角色: CE/PE/P overlay vpn:隧道建立在CE上 在ce和ce之间建立隧道,并直接传递路由信息.典型代表是GRE.IPSEC overlay vpn:隧道建立在pe上 在pe上为每一个vpn用户建立相应的GRE隧道,路由信息在pe和pe之间传递. 不同的vpn用户不能共享相同的地址空间,并且需要大量的ACL和策略路由,在实际中不具备可行性 overlay vpn的本质是一种静态vpn 1,所有的配置与部署都需要手工完成 2,由于是静态vpn,则无法反应网络的实时变化 p

IPSec VPN原理与配置

需求:IPSec在VPN对等体设备实现的安全特性,如数据的机密性,完整性,验证等. 效果:对公网上传输的数据进行加密,即使黑客通过某种窃听工具截获到数据,也无法了解数据信息的含义:也可以实现数据传输双方的身份验证,避免黑客伪装成网络中的合法用户攻击网络资源. 理论:    VPN概述 VPN起源是为了解决明文数据在网络上传输带来的安全隐患而兴起的.TCP/IP协议簇中的很多协议都采用明文传输,如telnet,ftp,ftfp等. VPN可以对公网上传输的数据进行加密,即使黑客通过某种窃听工具截获

kubuntu14.04下面vpn(vpnc)连接配置

前几天在公司内部一直配置不了kubuntu14.04下面的vpn,从而无法实现在外网访问公司内网的一些功能:是不方便在回家后继续coding(当然还有其它的事情,如邮件收发等,可以不用在linux下面气虚一个windows系统了,大多数人还得wine一个rtx,方法见附录)功夫不负有心人,今天在计算所配置成功了!(所有命令为手动敲打,如有问题请给我留言) 1)安装网络挂件vpnc,也可以通过新立得终端搜索network-manager找到vpnc组件进行安装 sudo apt-get insta

DNS服务的原理与配置

DNS服务的原理与配置    DNS是一组协议和服务,基本功能是在主机名与对应的IP地址之间建立映射管理. *主机名便于记忆 *数字形式的IP地址可能会由于各种原因而改变,而主机名可以保持不变. DNS的组成           根域:就是"."(点号),由Internet名称注册授权机构管理,该机构把域名空间各部分的管理责任分配给了连接到Internet的各个组织. 顶级域:根域的下级域,由Internet名称授权机构管理,有两种常见类型. *组织域:采用三个字符的代号,标识DNS域

Mysql中主从复制的原理、配置过程以及实际案例

Mysql中主从复制的原理.配置过程以及实际案例1.什么是主从复制?原理:主从分离,什么意思呢?我们不妨画个图看看.如图1所示: 2.准备工作:预备两台服务器,我这里使用虚拟机安装了两个Centos6.7_64位操作系统,并分别在两台服务器上安装mysql.我的IP地址分别为:192.168.1.15/192.168.1.16,这里我定义15为主服务器,16为从服务器.首先,我们编辑主服务器中mysql配置文件.(因我的mysql使用非root用户安装,因此配置文件放在/home/formal/

MySQL的复制原理及配置

MySQL 的数据库的高可用性的架构大概有以下几种:集群,读写分离,主备.而后面两种都是通过复制来实现的.下面将简单介绍复制的原理及配置,以及一些常见的问题. 一.复制的原理 MySQL 复制基于主服务器在二进制日志中跟踪所有对数据库的更改(更新.删除等等).每个从服务器从主服务器接收主服务器已经记录到其二进制日志的保存的更新,以便从服务器可以对其数据拷贝执行相同的更新. 将主服务器的数据拷贝到从服务器的一个途径是使用LOAD DATA FROM MASTER语句.请注意LOAD DATA FR

相克军_Oracle体系_随堂笔记015-网络原理及配置

oracle网络没有负载, 没有负载的就不容易出问题.相对很简单的. 1.监听的动态注册: PMON 注册监听,或者 alter system register; 强制PMON抓紧注册. 都属于动态注册~ 对应的listener.ora文件配置信息: LISTENER = (DESCRIPTION_LIST = (DESCRIPTION = (ADDRESS = (PROTOCOL = TCP)(HOST = 192.168.10.159)(PORT = 1521))) (DESCRIPTION

Eclipse使用jre的原理与配置

最近要配置Eclipse环境,Mark其中的一些方法. 下载Eclipse SDK之后我们就要关联JRE,因为Eclipse启动需要JRE. Eclipse启动时寻找JRE的顺序: 1.如果eclipse.ini中配置了-vm参数,那么则使用这个参数指定的JRE: 我们可以通过在eclipse.ini里面添加完成关联,例如: -vm D:\jre\bin\javaw.exe 注意:一定要在-vmargs这一行的上面分两行添加(路径有无空格,正斜杠反斜杠均可,且不区分大小写) 2.否则就去查看ec