國家保密局網(wǎng)站>>保密科技

虛擬專用網(wǎng)絡安全性分析

2018年04月16日    來源:國家保密科技測評中心【字體: 打印

一、引言

在虛擬專用網(wǎng)絡(VirtualPrivateNetwork,VPN)是在公共通信基礎設備上構建的虛擬專用網(wǎng)或私有網(wǎng),被認為是一種從公共網(wǎng)絡中隔離出來的網(wǎng)絡。它可以通過特殊的加密通信協(xié)議,使聯(lián)接互聯(lián)網(wǎng)但位于不同地方的兩個或多個網(wǎng)絡之間,建立起一條專有通信線路。VPN的核心是利用公共網(wǎng)絡建立虛擬私有網(wǎng),通過提供跨公網(wǎng)的私有網(wǎng)絡通信能力,保證通信的私密性。因此對于保密要求較高的重要部門,VPN的安全性不言而喻。信息時代,越來越多的日常工作需要通過計算機網(wǎng)絡進行處理。

二、VPN協(xié)議介紹

常用的VPN實現(xiàn)技術主要包括:L2TP協(xié)議、PPTP協(xié)議和IPSec協(xié)議。

(一)L2TP協(xié)議

L2TP(Layer2TunnelingProtocol)協(xié)議即第二層隧道協(xié)議,是典型的被動式隧道協(xié)議,可使用戶從客戶端或訪問服務器端發(fā)起VPN聯(lián)接。

L2TP協(xié)議是把鏈路層PPP幀封裝在公共網(wǎng)絡設施中進行隧道傳輸?shù)姆庋b協(xié)議,主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)構成。L2TP協(xié)議包括由遠程撥號用戶發(fā)起和直接由LAC客戶發(fā)起這2種隧道模式。

(二)PPTP協(xié)議

PPTP(PointtoPointTunnelingProtocol)協(xié)議即點對點隧道協(xié)議,是在PPP協(xié)議基礎上開發(fā)的一種增強型安全協(xié)議。為保證安全,可使用密碼身份驗證協(xié)議(PAP)、可擴展身份驗證協(xié)議(EAP)、質(zhì)詢握手協(xié)議(CHAP)對終端進行身份驗證。PPTP協(xié)議分為2部分:控制層鏈接和隧道。PPTP鏈接的建立過程可分為:TCP三次握手、PPTP控制連接建立、PPP協(xié)議LCP協(xié)商、PPP協(xié)議身份驗證、PPP協(xié)議NCP協(xié)商和PPP協(xié)議CCP協(xié)商。

(三)IPSec協(xié)議

IPSec(IPSecurity)協(xié)議是互聯(lián)網(wǎng)工程任務組(IETF)制定的一系列協(xié)議,可保證IP數(shù)據(jù)包安全。特定通信方在IP層,通過加密與數(shù)據(jù)源驗證等方式,保證數(shù)據(jù)包在網(wǎng)絡傳輸時的私有性、完整性、真實性和防重放。IPSec協(xié)議包括AH、ESP和IKE等3個基本協(xié)議及傳輸模式和隧道模式2種模式。

三、VPN協(xié)議的安全性

(一)L2TPVPN的安全性

L2TP協(xié)議支持多種傳輸介質(zhì),可穿越IP和非IP公共網(wǎng)絡,因此L2TP控制報文和數(shù)據(jù)報文很容易受到攻擊。例如,通過監(jiān)聽數(shù)據(jù)報文可以很容易發(fā)現(xiàn)用戶身份標識符,可對L2TP數(shù)據(jù)報文和控制報文進行修改,可對L2TP協(xié)議和協(xié)議中的PPP聯(lián)接進行攻擊,也可通過對PPP的LCP認證協(xié)商過程進行監(jiān)聽和控制,減弱或取消PPP的認證過程,甚至獲得用戶口令。為防止攻擊的發(fā)生,L2TP協(xié)議必須能為控制報文和數(shù)據(jù)報文提供認證、完整性、重發(fā)攻擊和秘密性保護,以及對密鑰進行有效管理的方法。L2TP協(xié)議、PPP協(xié)議提供的認證和加密機制無法滿足L2TP協(xié)議的安全性要求。

(二)PPTPVPN的安全性

PPTPVPN在PPP協(xié)議階段無法避免黑客攻擊,在LCP認證階段,攻擊者可截獲該過程的數(shù)據(jù)包,分別冒充客戶端和服務器,通過偽造報文,使客戶端和服務器發(fā)生重協(xié)商行為,最終使客戶端與服務器由CHAP認證協(xié)議翻轉(zhuǎn)為PAP協(xié)議。由于在PAP認證過程中的用戶名和密碼以明文形式傳輸,因此攻擊者可獲取用戶名和密碼,從而進一步獲取通信雙方信息。

(三)IPSecVPN的安全性

互聯(lián)網(wǎng)交換密鑰協(xié)議(IKE)在協(xié)商建立安全聯(lián)盟(IKESA)時,通信雙方通過互聯(lián)網(wǎng)將公鑰傳遞給對方,然后將自己的私鑰與對方的公鑰進行運算,從而得到雙方共同擁有的密鑰,監(jiān)聽者僅根據(jù)雙方的公鑰無法得到這個密鑰。

此外,網(wǎng)關通過認證中心(CA)獲取對方公鑰時,將采用靜態(tài)方法,通過公鑰實現(xiàn)與CA的認證。由于雙方在建立IKESA時,采用了身份認證和加密技術,因此能防范“中間人”攻擊。在IKESA建立后,所有通信都是在IKESA的密鑰保護下進行,可有效防止“監(jiān)聽”和“中間人”攻擊。當攻擊者對IKE進行重傳攻擊時,由于IKE的ISAKMP中使用的Cookie都是獨一無二的,且對定義它的特殊交換來說也是獨一無二的,因此可防止新的數(shù)據(jù)流進入過期的數(shù)據(jù)包。如果對方要對整個IKE協(xié)商過程進行重傳,由于每次使用的Cookie不同,攻擊則無效。此外,攻擊者截獲被保護的IP包,只能獲得IP頭、ESP頭中的部分信息,但由于ESP和AH中都有序列號字段,當包使用同樣的SA發(fā)送時,每發(fā)一次序列號字段都將加1,它標示了每一個包及有多少個包使用同樣的參數(shù)被發(fā)送。這樣就可以通過檢查包的序列號,把包含重復序列號的包丟棄,從而達到防范“報文重傳”攻擊的目的。

四、結(jié)語

通過以上分析可知,L2TP協(xié)議和PPTP協(xié)議在數(shù)據(jù)傳輸過程中都存在一定安全隱患,基于IPSec協(xié)議的VPN技術可有效防止黑客入侵,保護用戶的通信信息。因此,對于保密性要求較高的重要部門,建議選擇使用基于IPSec協(xié)議實現(xiàn)的VPN,保證通信安全。

 

(原載于《保密科學技術》雜志2017年7月刊)