【IT168 安全频道】目前主要有两大远程安全接入技术,IPSec VPN和SSL VPN技术。
SSL VPN的优势在于Web。SSL在Web的易用性和安全性方面架起了一座桥梁。目前,对SSL VPN的好处是:首先来自于它的简单性,它不需要配置,可以立即安装、立即生效;第二个好处是客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;第三个好处是兼容性好,传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。
虽然SSL VPN有诸般好处,但SSL VPN并不能取代IPSec VPN。因为,这两种技术目前应用在不同的领域。SSL VPN考虑的是应用软件的安全性,更多应用在Web的远程安全接入方面;而IPSec VPN是在两个网站之间通过专线或互联网安全连接以及两台服务器之间的安全连接,保护的是点对点之间的通信,并且,它不局限于Web应用, IPSec VPN的扩展性很强。
IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。
虽然SSL VPN有许多相对IPSec VPN的优点,但对于应用VPN的大、中型企业来说这些优点显得不是很重要。一个企业往往有很多种应用(OA、财务、销售管理、ERP,很多并不基于Web),单纯只有Web应用的极少。一般企业希望VPN能达到局域网的效果(比如网上邻居,而SSL VPN只能保护应用层协议,如WEB、FTP等),保护更多的应用这点,SSL VPN很难做到。所以目前的SSL VPN应用还仅适用于基于Web的应用,范围有限。只能说未来基于Web的便捷性会吸引很多用户转向SSL VPN. 具体选择哪一个技术, 需要按网络的业务需求来决定。
1. IPsec远程安全接入
IPSec提供了多种安全特性,提供了可配置选择:数据加密、设备验证,以及保密、数据完整性、地址隐藏和安全机构(SA)密钥老化等功能。IPSec标准提供数据完整性或数据加密二种功能。数据完整性分两类:128位强度Messaqe Digests(MD-5)-HMAC或160位强度安全散列算法(SHA)-HMAC。由于SHA的位强度更大,故公认更安全, 建议使用SHA,因为安全性的提高在重要性上超过了处理器开支的少许增长(实际上,在某些硬件实施中,有时SHA要快于MD5)。
改变这些数值会提高安全水平, 但与此同时,也提高了处理器开支, 建议您不要改变使用周期和实施PFS,除非数据敏感度对其提出强制性要求。如果选择改变这些数值,在确定网络设计时,应考虑该变量。Diffie-Hellman乘幂的强度可配置;组1(768位)、2(1024位)和5(1536位)都可获支持。建议采用组2。在整个SAFE VPN体系结构中,至少需采用下列模式:IKE 3DES、SHA-HXXAC、DH组2、预共享密钥、IPSec 3DES、SHA-HXXAC、无PFS和隧道模式。
下面是一个具体的VPN网络模型
 |
| 中型企业网络公司互联网VPN的详细模型 |
Ipsec VPN部署关键设备
VPN防火墙-提供资源的网络级保护和信息流状态过滤功能,为远程用户提供独特的安全性能;验证信任远程站点和利用互联网隧道连接能力提供
VPN集中器-验证个别远程用户和端接其IPSec隧道
NIDS应用-提供模块第4-7层的关键网络分段的监控功能
身份
在远程地点到站点到站点VPN连接中,数字证书和IPSec对等IP地址被用于确认对等设备的身份。这样就提供了在标准预共享密钥基础上更理想的安全和管理性能。远程接入VPN可采用双项验证方案,在通过OTP的备用用户验证的设备上采用了通配符预共享密钥。
安全性
从安全性角度来看,边缘路由器只允许IKE和ESP信息流端接VPN设备的公共接口。信息流从这里加密,然后,如果它是远程接入VPN信息流,就穿过防火墙;或在站点到站点VPN中,利用防火墙功能进行本地过滤。在过滤发生后,随着信息流被发送至公共服务网段,或路由选择至园区网。NTDS的配置使其能规避防火墙的某些报警。
可扩展性
凭借硬件加密,该设计可轻松地支持500名同步远程用户和50个远程站点。
NAT
在配置中,NAT只是用于内部用户连接到互联网。内部站点VPN通信可绕过NAT,在使用非重叠RFC 1918编址的情况下,可允许所有信任用户用其真实IP地址进行交流。远程用户由集中器分配了一个虚拟IP地址,是由AAA服务器提供的。在VPN集中器上NAT透明度模式得以启用,以加速远程接入客户机连接。
路由选择
所有内部用户的信息流都路由选择至VPN防火墙,然后,再把远程接入客户机信息流路由选择至VPN集中器,并通过缺省配置将所有其他信息流路由选择至边缘路由器。其结果,远程站点信息流会触发加密CL。
更加详细设计可参见思科的IPSec虚拟专用网系统设计白皮书。
2. SSL VPN远程安全接入
SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间的远程接入技术, SSL VPN因为以下的技术特点更适合应用于远程分散移动用户的安全接入。
(1)客户端维护简单
对于大多数执行基于SSL协议的远程访问, 不需要在远程客户端设备上安装软件,只需通过标准的Web浏览器连接因特网,即可以通过网页访问到企业内部的网络资源。而IPSec VPN需要在远程终端用户一方安装特定软件以建立安全隧道。
(2)提供增强的远程安全接入功能
SSL VPN提供安全、可代理连接。通常SSL VPN的实现方式是在企业的防火墙后面放置一个SSL代理服务器。如果用户希望安全地连接到公司网络上,那么当用户在浏览器上输入一个URL后,连接将被SSL代理服务器取得,并验证该用户的身份,然后SSL代理服务器将连接映射到不同的应用服务器上。
(3)提供更细粒度的访问控制
SSL VPN能对加密隧道进行细分,使终端用户能够同时接入Internet和访问内部企业网资源。另外,SSL VPN还能细化接入控制功能,提供用户级别的鉴权,依据安全策略确保只有授权的用户才能够访问特定的内部网络资源,这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
(4)能够穿越NAT和防火墙设备
SSL VPN工作在传输层之上,因而能够遍历所有NAT设备和防火墙设备,这使得用户能够从任何地方远程接入到公司的内部网络。而IPSec VPN工作在网络层上,它很难实现防火墙和NAT设备的遍历,并且无力解决IP地址冲突。
(5)能够较好地抵御外部系统和病毒攻击
SSL是一个安全协议,数据是全程加密传输的。由于SSL网关隔离了内网服务器和客户端,只留下一个Web浏览接口,客户端的大多数木马病毒感染不到内网服务器。
(6)网络部署灵活方便
SSL VPN却有所不同,它一般部署在内网中防火墙之后,可以随时根据需要,添加需要VPN保护的服务器,因此无需影响原有网络结构。
当然,SSL VPN技术也存在一些不足,如
认证方式比较单一,只能够采用证书,而且一般是单向认证
SSL VPN用户只能访问基于Web服务器的应用,而IPSec VPN却几乎可以为所有的应用提供访问,包括B/S,C/S模式的应用
SSL VPN只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密
SSL VPN是应用层加密,性能相对来说可能会受到较大影响。
SSL VPN主要适用于点到点的信息加密传输,无法支持实现网络到网络的安全互联
3. SSL VPN的实际应用
SSL VPN在实际应用中就是要依据安全控制策略为分散移动用户提供从外网访问企业内网资源的安全访问通道。通常企业内部的资源服务器向外网用户提供一个虚拟的URL地址,当用户从外网访问企业内网资源时,发起的连接被SSL VPN网关取得,通过认证后映射到不同的应用服务器,采用这种方式能够屏蔽内部网络的结构,不易遭受来自外部的攻击。目前SSL VPN的网关设备从三个基本层面来满足不同的应用需求:
(1)支持Web方式的应用。例如通过SSL VPN建立的安全通道访问基于Web的电子邮件系统收发邮件。
(2)支持非Web方式的应用。例如非Web页面的文件共享
(3)支持基于客户/服务器应用的代理。这种应用需要在终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。当数据包进入这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关中,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。
思科 ASA 5500系列可提供SSL VPN解决方案, ASA 5500系列上的WebVPN可从与互联网连接、能够到达HTTP(S)互联网站点的任何计算机方便地访问多种企业应用,包括
Web资源、Web型应用
NT/Active Directory文件共享(Web型
电子邮件
基于TCP的其它应用,如Telnet或Windows终端服务
ASA 5500还可以在单一平台上提供IPSec和基于SSL的VPN服务,无需部署两个并行解决方案, 避免了为SSL和IPSec VPN部署分立的平台会导致低效和成本增加。
