國家保密局網(wǎng)站>>保密科技

虛擬專用網(wǎng)絡(luò)安全性分析

2018年04月16日    來源:國家保密科技測評中心【字體: 打印

一、引言

在虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork,VPN)是在公共通信基礎(chǔ)設(shè)備上構(gòu)建的虛擬專用網(wǎng)或私有網(wǎng),被認(rèn)為是一種從公共網(wǎng)絡(luò)中隔離出來的網(wǎng)絡(luò)。它可以通過特殊的加密通信協(xié)議,使聯(lián)接互聯(lián)網(wǎng)但位于不同地方的兩個(gè)或多個(gè)網(wǎng)絡(luò)之間,建立起一條專有通信線路。VPN的核心是利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng),通過提供跨公網(wǎng)的私有網(wǎng)絡(luò)通信能力,保證通信的私密性。因此對于保密要求較高的重要部門,VPN的安全性不言而喻。信息時(shí)代,越來越多的日常工作需要通過計(jì)算機(jī)網(wǎng)絡(luò)進(jìn)行處理。

二、VPN協(xié)議介紹

常用的VPN實(shí)現(xiàn)技術(shù)主要包括:L2TP協(xié)議、PPTP協(xié)議和IPSec協(xié)議。

(一)L2TP協(xié)議

L2TP(Layer2TunnelingProtocol)協(xié)議即第二層隧道協(xié)議,是典型的被動式隧道協(xié)議,可使用戶從客戶端或訪問服務(wù)器端發(fā)起VPN聯(lián)接。

L2TP協(xié)議是把鏈路層PPP幀封裝在公共網(wǎng)絡(luò)設(shè)施中進(jìn)行隧道傳輸?shù)姆庋b協(xié)議,主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)構(gòu)成。L2TP協(xié)議包括由遠(yuǎn)程撥號用戶發(fā)起和直接由LAC客戶發(fā)起這2種隧道模式。

(二)PPTP協(xié)議

PPTP(PointtoPointTunnelingProtocol)協(xié)議即點(diǎn)對點(diǎn)隧道協(xié)議,是在PPP協(xié)議基礎(chǔ)上開發(fā)的一種增強(qiáng)型安全協(xié)議。為保證安全,可使用密碼身份驗(yàn)證協(xié)議(PAP)、可擴(kuò)展身份驗(yàn)證協(xié)議(EAP)、質(zhì)詢握手協(xié)議(CHAP)對終端進(jìn)行身份驗(yàn)證。PPTP協(xié)議分為2部分:控制層鏈接和隧道。PPTP鏈接的建立過程可分為:TCP三次握手、PPTP控制連接建立、PPP協(xié)議LCP協(xié)商、PPP協(xié)議身份驗(yàn)證、PPP協(xié)議NCP協(xié)商和PPP協(xié)議CCP協(xié)商。

(三)IPSec協(xié)議

IPSec(IPSecurity)協(xié)議是互聯(lián)網(wǎng)工程任務(wù)組(IETF)制定的一系列協(xié)議,可保證IP數(shù)據(jù)包安全。特定通信方在IP層,通過加密與數(shù)據(jù)源驗(yàn)證等方式,保證數(shù)據(jù)包在網(wǎng)絡(luò)傳輸時(shí)的私有性、完整性、真實(shí)性和防重放。IPSec協(xié)議包括AH、ESP和IKE等3個(gè)基本協(xié)議及傳輸模式和隧道模式2種模式。

三、VPN協(xié)議的安全性

(一)L2TPVPN的安全性

L2TP協(xié)議支持多種傳輸介質(zhì),可穿越IP和非IP公共網(wǎng)絡(luò),因此L2TP控制報(bào)文和數(shù)據(jù)報(bào)文很容易受到攻擊。例如,通過監(jiān)聽數(shù)據(jù)報(bào)文可以很容易發(fā)現(xiàn)用戶身份標(biāo)識符,可對L2TP數(shù)據(jù)報(bào)文和控制報(bào)文進(jìn)行修改,可對L2TP協(xié)議和協(xié)議中的PPP聯(lián)接進(jìn)行攻擊,也可通過對PPP的LCP認(rèn)證協(xié)商過程進(jìn)行監(jiān)聽和控制,減弱或取消PPP的認(rèn)證過程,甚至獲得用戶口令。為防止攻擊的發(fā)生,L2TP協(xié)議必須能為控制報(bào)文和數(shù)據(jù)報(bào)文提供認(rèn)證、完整性、重發(fā)攻擊和秘密性保護(hù),以及對密鑰進(jìn)行有效管理的方法。L2TP協(xié)議、PPP協(xié)議提供的認(rèn)證和加密機(jī)制無法滿足L2TP協(xié)議的安全性要求。

(二)PPTPVPN的安全性

PPTPVPN在PPP協(xié)議階段無法避免黑客攻擊,在LCP認(rèn)證階段,攻擊者可截獲該過程的數(shù)據(jù)包,分別冒充客戶端和服務(wù)器,通過偽造報(bào)文,使客戶端和服務(wù)器發(fā)生重協(xié)商行為,最終使客戶端與服務(wù)器由CHAP認(rèn)證協(xié)議翻轉(zhuǎn)為PAP協(xié)議。由于在PAP認(rèn)證過程中的用戶名和密碼以明文形式傳輸,因此攻擊者可獲取用戶名和密碼,從而進(jìn)一步獲取通信雙方信息。

(三)IPSecVPN的安全性

互聯(lián)網(wǎng)交換密鑰協(xié)議(IKE)在協(xié)商建立安全聯(lián)盟(IKESA)時(shí),通信雙方通過互聯(lián)網(wǎng)將公鑰傳遞給對方,然后將自己的私鑰與對方的公鑰進(jìn)行運(yùn)算,從而得到雙方共同擁有的密鑰,監(jiān)聽者僅根據(jù)雙方的公鑰無法得到這個(gè)密鑰。

此外,網(wǎng)關(guān)通過認(rèn)證中心(CA)獲取對方公鑰時(shí),將采用靜態(tài)方法,通過公鑰實(shí)現(xiàn)與CA的認(rèn)證。由于雙方在建立IKESA時(shí),采用了身份認(rèn)證和加密技術(shù),因此能防范“中間人”攻擊。在IKESA建立后,所有通信都是在IKESA的密鑰保護(hù)下進(jìn)行,可有效防止“監(jiān)聽”和“中間人”攻擊。當(dāng)攻擊者對IKE進(jìn)行重傳攻擊時(shí),由于IKE的ISAKMP中使用的Cookie都是獨(dú)一無二的,且對定義它的特殊交換來說也是獨(dú)一無二的,因此可防止新的數(shù)據(jù)流進(jìn)入過期的數(shù)據(jù)包。如果對方要對整個(gè)IKE協(xié)商過程進(jìn)行重傳,由于每次使用的Cookie不同,攻擊則無效。此外,攻擊者截獲被保護(hù)的IP包,只能獲得IP頭、ESP頭中的部分信息,但由于ESP和AH中都有序列號字段,當(dāng)包使用同樣的SA發(fā)送時(shí),每發(fā)一次序列號字段都將加1,它標(biāo)示了每一個(gè)包及有多少個(gè)包使用同樣的參數(shù)被發(fā)送。這樣就可以通過檢查包的序列號,把包含重復(fù)序列號的包丟棄,從而達(dá)到防范“報(bào)文重傳”攻擊的目的。

四、結(jié)語

通過以上分析可知,L2TP協(xié)議和PPTP協(xié)議在數(shù)據(jù)傳輸過程中都存在一定安全隱患,基于IPSec協(xié)議的VPN技術(shù)可有效防止黑客入侵,保護(hù)用戶的通信信息。因此,對于保密性要求較高的重要部門,建議選擇使用基于IPSec協(xié)議實(shí)現(xiàn)的VPN,保證通信安全。

 

(原載于《保密科學(xué)技術(shù)》雜志2017年7月刊)