《neteye_firewall_5200_vpn剖析》由会员分享,可在线阅读,更多相关《neteye_firewall_5200_vpn剖析(141页珍藏版)》请在金锄头文库上搜索。
1、,VPN,Copyright 2008 By Neusoft Group. All rights reserved,网络安全产品营销中心 东软集团股份有限公司,课程目标,VPN概述和IPSec 证书管理 远程用户和地址池 客户端到网关的VPN 网关到网关VPN,基于策略的VPN 基于路由的VPN NAT穿越 L2TP over IPSec,VPN,虚拟专用网提供了一种在公共网络上实现网络安全保密通信的方法。 通过基于共享的IP网络,VPN为用户远程访问、外部网和内部网之间的通信提供了安全而稳定的VPN隧道,和传统专用网相比具有安全,成本低,可利用现有网络资源,扩展性好等优点。,VPN(续),虚
2、拟专用网分为两种: 连接网关和网关的虚拟专用网; 连接网关和远程访问用户的虚拟专用网。 VPN隧道可以提供以下安全服务: 抗重放攻击(可选) 私密性 (通过加密),VPN(续),内容完整性 (通过数据认证) 可靠性 (通过数据初始认证) VPN隧道实现以上服务的技术方案是互联网安全协议IPSec,该体系结构中包含了一系列协议用于实现隧道安全通信。,IPSec,IPSec协议是一种IP通信环境下实现的基于加密技术的安全机制,它的目的是实现网络间的安全通信。 IPSec协议主要包含两个安全协议和一个密钥管理协议,分别是AH协议,ESP协议和IKE协议,IPSec实现IP分组的安全传输基本上是由这三
3、个协议完成。 IPSec还定义了两种模式来实现AH或者ESP协议,它们是传输模式和隧道模式。,IPSec(续),IPSec的三个主要协议和两种隧道模式构成了IPSec体系结构。,IPSec工作模式,IPSec工作在两种模式下,它们分别是:传输模式和隧道模式。两种模式的区别是: 传输模式用于在主机或者安全网关上实施IPSec,能对IP分组的有效负载进行保护; 隧道模式只能用于在安全网关上实施IPSec,能对整个IP分组进行保护。,传输模式,在传输模式下,认证报头协议(AH)和封装安全载荷协议(ESP)只处理IP有效载荷,并不修改原来的IP协议报头。传输模式的优点是每个数据包只增加了少量的字节。,
4、隧道模式,在隧道模式下,原来的整个IP包都受到保护,并被当作一个新的IP包的有效载荷。隧道模式的优点是不用修改现有网络结构中的主机、服务器、PC上的操作系统或者任何应用程序就可以实现IPSec。,Internet安全关联和密钥管理协议(ISAKMP)也是IPSec体系结构中的一个协议,它定义了程序和信息包格式来自动协商建立IPSec SA。 ISAKMP提供一个通用的SA属性格式和支持不同密钥交换协议的框架,它与具体的密钥交换协议无关,并不受限于任何密钥交换协议、密钥生成技术、加密和认证算法。,ISAKMP框架协议,IPSec SA,安全联盟(SA)是一个单向“连接”,他使用安全协议 (RFC
5、2401 Security Architecture for the Internet Protocol)来为该连接上传输的数据包提供安全服务 (RFC2401)。如果要实现主机或者安全网关之间的双向安全通信,则需要两个SA。,IPSec SA(续),一个SA用一个三元组(SPI,IP目的地址,安全协议)来唯一标识。,IKE协议,互联网密钥交换协议(IKE)是IPSec的默认密钥交换协议,它基于ISAKMP框架协议并采用了ISAKMP协议的两阶段协商过程,来完成双方保密信息的交换。 VPN隧道由一对相对方向的SA构成,因此要建立一条隧道,必须在隧道的两端协定这两个SA。执行一次IKE协商即可建
6、立两个IPSec SA。,IKE协议(续),IKE协商的过程分为两个阶段: 阶段一:第一阶段协商要为通信双方建立一个安全关联,称之为IKE SA。该安全关联用于保护下一阶段协商IPSec SA。IKE定义的主模式和野蛮模式可以用于这一阶段信息交换,信息是通过ISAKMP通用负载携带传送的。阶段一交换如下信息:IKE SA参数:加密算法(DES、3DES、AES)、Hash算法(MD5、SHA-1)、DH组、认证方式(证书认证方式或者预共享密钥方式);DH组公开值和Nonce值;身份信息。,IKE协议(续),阶段二:IKE双方在阶段二协商IPSec SA。NetEye FW5200防火墙只支持快
7、速模式完成阶段二。阶段二的信息交换过程受IKE SA保护,所有交换信息均被加密。阶段二交换如下信息:IPSec SA,包括安全协议(AH或者ESP)、DH组(如果执行完美向前保护),加密算法,Hash算法;DH公开值,发起者和响应者身份信息(ID)(如果执行完美向前保护);认证码。,完美向前保护,完美向前保护通过在第二阶段执行一次DH交换,使双方产生新的DH共享值,双方使用这个DH共享值作为部分密钥材料来衍生IPSec SA的密钥。 完美向前保护增加IPSec SA隧道的安全性,但需要占用CPU资源来执行一次DH组算法的模运算。 NetEye FW5200支持完美向前保护功能,用户还可以在IK
8、E第二阶段自定义提议集来配置。,完美向前保护(续),NetEye FW5200规定在设置第二阶段提议集(最多可以设置4个)的时候,如果用户选择了完美向前保护的功能,那么必须为每个提议集设置相同的DH组值。 在设置第二阶段的提议集的时候,如果用户第一个提议集不执行完美向前保护,那么其他的提议集(如果选择了)也不可以设置完美向前保护功能。,抗重放攻击,在IKE协商过程中,攻击者有可能将截获的ISAKMP报文重复发送,攻击IKE的一方,使其忙于接受重复的报文而拒绝新报文。IKE协议通过检测每个ISAKMP报文是否重复来抵御这种攻击,保护IKE协商过程。,密钥管理,VPN的密钥管理可分为: 手动密钥。
9、 自动密钥。,密钥管理(续),NetEye FW5200 支持手动密钥方式,并且提供多种自动密钥方式管理VPN隧道.NetEye FW5200支持以下种自动密钥隧道端点类型: 静态IP地址; 动态IP地址; 拨号用户; 拨号用户组。,认证方式,在IKE协商建立IPSec隧道时,需要预先设置身份认证方式,包括如何证明自己的身份给对方和如何验证对方的身份。VPN支持的认证方式有两种: 预共享密钥; 证书认证。,NetEye FW5200支持的VPN网络拓扑,NetEye FW5200支持以下5种网络拓扑结构: 透明模式VPN:支持混合模式,可以通过将系统中所有二层接口划分到一个VLAN中来实现透明
10、模式,此时可以将该VLAN的IP地址作为VPN隧道的端点来实施IPSec VPN; 星型VPN:在VPN系统中,存在一个中心节点的VPN网关,其他VPN节点,包括VPN网关和远程访问用户都只和中心节点的VPN网关建立IPSec VPN隧道;,NetEye FW5200支持的VPN网络拓扑(续),链式VPN:在VPN系统中,各个VPN节点首尾相接形成一个VPN隧道链,除了VPN隧道链的两头外,链中的每个VPN节点和链的前后节点分别建立VPN隧道; 嵌套VPN:将VPN隧道嵌套在另一个VPN隧道中,相邻层次嵌套的VPN隧道的终点可以重叠; VPN全网访问:在一个VPN系统中,各个VPN节点的本地网
11、络之间都可以通过VPN隧道实现相互之间的访问。,NetEye FW5200的VPN高可用性,NetEye FW5200的VPN高可用性是指在主防火墙和备份防火墙之间保持VPN配置和SA的同步。 NetEye FW5200的SA同步的内容包括以下内容:协议、算法、密钥、抗重放攻击滑动窗口大小、SA生存时间。对于SA,只有主防火墙向备份防火墙同步。 当两台防火墙发生主备切换时,VPN隧道会随之断开并进行重新协商IKE SA,如果用户设置了L2tp或XAUTH认证,那么此时需要重新输入用户名和密码。,NetEye FW5200的VPN高可用性(续),VPN配置同步是双向的,即一方面主防火墙的VPN配
12、置会向备份防火墙同步,另一方面备份防火墙的VPN配置也会向主防火墙同步。 VPN配置同步的内容包括:证书,隧道配置,VPN策略配置,远程访问用户配置,远程访问用户组配置,地址池配置,隧道接口配置。,NetEye FW5200的加密方式,NetEye FW5200可以通过使用硬件加密卡来提升VPN的性能。通过以下方式可以启用加密卡:以管理员的身份登录防火墙,选择 “系统”“配置”“VPNS”“全局设置”,进入全局设置配置页面。如下图所示:,VPN调试,NetEye FW5200提供以下VPN调试功能: VPN Debug功能; VPN Monitor功能; VPN日志功能。,VPN Debug,
13、用户可以通过CLI查看自动密钥IKE协商过程和协商数据报文的内容。NetEye FW5200只在CLI上提供VPN自动密钥IKE的调试功能。 对于输出的调试信息,至少包含以下数据:隧道两端信息,预共享密钥或证书信息,协商第一阶段(主模式或野蛮模式)各个消息的具体信息,要解析出每个字段;协商第二阶段(快速模式)各个消息的具体信息,要解析出每个字段;第一阶段和第二阶段使用的提议集和协商的结果等。,VPN Debug,以CLI方式登录防火墙,进入普通配置模式,执行以下命令:debug vpn isakmp detail,可以查看所有以自动密钥方式创建的隧道的详细信息。输出如下图所示:,查看隧道状态,
14、可以通过命令show tunnels auto/manual来查看所有VPN隧道(包括手动隧道和自动隧道)的状态信息。如下图所示:,VPN日志,当VPN系统发生重要事件时, NetEye FW5200会发送日志到日志系统,用户可以通过查看日志来对VPN进行调试。,证书管理,数字证书(Digital Certificate)是由权威机构(CA)发行的一种特殊电子文档,该文档用于在网络中标识安全主体的身份,证书的合法性受权威机构保护。 数字证书可以用于IKE协商过程中的身份认证, NetEye FW5200 支持这种认证方式,但不支持证书颁发功能。,证书管理(续),NetEye FW5200支持的
15、证书格式:X509证书(V3)。对于X509证书认证,支持上载和使用多个本地证书,支持不同CA颁发的证书之间互通。 NetEye FW5200支持以下CA颁发的证书(对于X509证书认证):Baltimore,Entrust,Microsoft,Netscape,RSA Keon,Verisign。,证书管理(续),NetEye FW5200的证书可分为: 证书请求文件:用于向CA机构申请证书,公钥使用RSA或DSA非对称密钥,私钥文件格式使用PEM格式。 证书:设备自身证书,用于支持证书认证IKE隧道协商,它用来验证设备身份信息的签名。 CA证书:设备CA的证书,用于检验设备证书的CA身份。
16、 证书吊销列表(CRL):用于验证证书是否当前有效。如果在CRL中,则说明该证书无效。,证书管理(续),NetEye FW5200 实现证书认证,需要第三方证书机构协助,其工作过程如下: NetEye FW5200 首先使用公开密钥算法生成公钥/私钥对,将私钥进行保密管理,然后用公钥和设备的身份信息生成证书请求文件。 NetEye FW5200 提交证书请求文件到证书机构服务器,服务器审核通过后签发证书给 VPN 设备,同时将证书机构的证书(CA证书)也发送给 VPN 设备,CA证书用于验证VPN证书的真实性。,证书管理(续),IKE的发起者和响应者通过交换双方的本地证书,向对方证实自己的IKE身份。 只要IKE一方有另一方的证书,CA证书,证书吊销列表这三个对象,就可以对对方的身份信息和签名做完整性验证。,证书管理(续),CA证书上载:用户可以上载CA证书,并且可以根据需要上载多个CA证书。 本地证书上载:用户可以上载本地证书,并且可以上载多个本地证书。 本地PKCS12证书上载:支持上载PKCS12格式的本地证书,当使用PKCS12格式的本地证书时,不需要生成证书请求文
