國家保密局網站>>保密科技

虛擬專用網絡安全性分析

2018年04月16日    來源:國家保密科技測評中心【字體: 打印

一、引言

在虛擬專用網絡(VirtualPrivateNetwork,VPN)是在公共通信基礎設備上構建的虛擬專用網或私有網,被認為是一種從公共網絡中隔離出來的網絡。它可以通過特殊的加密通信協議,使聯接互聯網但位于不同地方的兩個或多個網絡之間,建立起一條專有通信線路。VPN的核心是利用公共網絡建立虛擬私有網,通過提供跨公網的私有網絡通信能力,保證通信的私密性。因此對于保密要求較高的重要部門,VPN的安全性不言而喻。信息時代,越來越多的日常工作需要通過計算機網絡進行處理。

二、VPN協議介紹

常用的VPN實現技術主要包括:L2TP協議、PPTP協議和IPSec協議。

(一)L2TP協議

L2TP(Layer2TunnelingProtocol)協議即第二層隧道協議,是典型的被動式隧道協議,可使用戶從客戶端或訪問服務器端發起VPN聯接。

L2TP協議是把鏈路層PPP幀封裝在公共網絡設施中進行隧道傳輸的封裝協議,主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)構成。L2TP協議包括由遠程撥號用戶發起和直接由LAC客戶發起這2種隧道模式。

(二)PPTP協議

PPTP(PointtoPointTunnelingProtocol)協議即點對點隧道協議,是在PPP協議基礎上開發的一種增強型安全協議。為保證安全,可使用密碼身份驗證協議(PAP)、可擴展身份驗證協議(EAP)、質詢握手協議(CHAP)對終端進行身份驗證。PPTP協議分為2部分:控制層鏈接和隧道。PPTP鏈接的建立過程可分為:TCP三次握手、PPTP控制連接建立、PPP協議LCP協商、PPP協議身份驗證、PPP協議NCP協商和PPP協議CCP協商。

(三)IPSec協議

IPSec(IPSecurity)協議是互聯網工程任務組(IETF)制定的一系列協議,可保證IP數據包安全。特定通信方在IP層,通過加密與數據源驗證等方式,保證數據包在網絡傳輸時的私有性、完整性、真實性和防重放。IPSec協議包括AH、ESP和IKE等3個基本協議及傳輸模式和隧道模式2種模式。

三、VPN協議的安全性

(一)L2TPVPN的安全性

L2TP協議支持多種傳輸介質,可穿越IP和非IP公共網絡,因此L2TP控制報文和數據報文很容易受到攻擊。例如,通過監聽數據報文可以很容易發現用戶身份標識符,可對L2TP數據報文和控制報文進行修改,可對L2TP協議和協議中的PPP聯接進行攻擊,也可通過對PPP的LCP認證協商過程進行監聽和控制,減弱或取消PPP的認證過程,甚至獲得用戶口令。為防止攻擊的發生,L2TP協議必須能為控制報文和數據報文提供認證、完整性、重發攻擊和秘密性保護,以及對密鑰進行有效管理的方法。L2TP協議、PPP協議提供的認證和加密機制無法滿足L2TP協議的安全性要求。

(二)PPTPVPN的安全性

PPTPVPN在PPP協議階段無法避免黑客攻擊,在LCP認證階段,攻擊者可截獲該過程的數據包,分別冒充客戶端和服務器,通過偽造報文,使客戶端和服務器發生重協商行為,最終使客戶端與服務器由CHAP認證協議翻轉為PAP協議。由于在PAP認證過程中的用戶名和密碼以明文形式傳輸,因此攻擊者可獲取用戶名和密碼,從而進一步獲取通信雙方信息。

(三)IPSecVPN的安全性

互聯網交換密鑰協議(IKE)在協商建立安全聯盟(IKESA)時,通信雙方通過互聯網將公鑰傳遞給對方,然后將自己的私鑰與對方的公鑰進行運算,從而得到雙方共同擁有的密鑰,監聽者僅根據雙方的公鑰無法得到這個密鑰。

此外,網關通過認證中心(CA)獲取對方公鑰時,將采用靜態方法,通過公鑰實現與CA的認證。由于雙方在建立IKESA時,采用了身份認證和加密技術,因此能防范“中間人”攻擊。在IKESA建立后,所有通信都是在IKESA的密鑰保護下進行,可有效防止“監聽”和“中間人”攻擊。當攻擊者對IKE進行重傳攻擊時,由于IKE的ISAKMP中使用的Cookie都是獨一無二的,且對定義它的特殊交換來說也是獨一無二的,因此可防止新的數據流進入過期的數據包。如果對方要對整個IKE協商過程進行重傳,由于每次使用的Cookie不同,攻擊則無效。此外,攻擊者截獲被保護的IP包,只能獲得IP頭、ESP頭中的部分信息,但由于ESP和AH中都有序列號字段,當包使用同樣的SA發送時,每發一次序列號字段都將加1,它標示了每一個包及有多少個包使用同樣的參數被發送。這樣就可以通過檢查包的序列號,把包含重復序列號的包丟棄,從而達到防范“報文重傳”攻擊的目的。

四、結語

通過以上分析可知,L2TP協議和PPTP協議在數據傳輸過程中都存在一定安全隱患,基于IPSec協議的VPN技術可有效防止黑客入侵,保護用戶的通信信息。因此,對于保密性要求較高的重要部門,建議選擇使用基于IPSec協議實現的VPN,保證通信安全。

 

(原載于《保密科學技術》雜志2017年7月刊)


主站蜘蛛池模板: 国产色综合一二三四| 乱色熟女综合一区二区三区| 亚洲精品二区国产综合野狼| 综合国产精品第一页| 色之综合天天综合色天天棕色| 天天做天天爱天天综合网| 狠色狠色狠狠色综合久久| 狠狠色综合一区二区| 国产亚洲综合视频| 国产成人综合久久| 亚洲综合一区二区精品导航| 狠狠色狠狠色综合曰曰| 无码综合天天久久综合网| 国产婷婷综合在线视频中| 亚洲 欧洲 日韩 综合在线| 亚洲国产天堂久久综合| 伊人色综合久久天天人守人婷| 香蕉综合在线视频91| 久久婷婷香蕉热狠狠综合| 久久综合丁香激情久久| 色偷偷91久久综合噜噜噜噜| 亚洲人成伊人成综合网久久| 伊人久久综合无码成人网| 亚洲综合综合在线| 国产成人亚洲综合无码精品| 久久综合久久自在自线精品自| 伊人婷婷色香五月综合缴激情| 亚洲综合在线观看视频| 狠狠色丁香久久综合五月| 久久综合亚洲色hezyo| 亚洲AV综合色区无码一区| 一本一道久久a久久精品综合| 成人伊人亚洲人综合网站222| 久久久久久久综合日本| 一本色道久久综合一区| 国产在线视频色综合| 国产精品亚洲综合一区| 狠狠激情五月综合婷婷俺| 亚洲精品第一国产综合野| 一本大道无香蕉综合在线| 亚洲国产精品综合久久网络|