VPN技術(shù)詳解(中)

2019-11-18 22:21:49

字體：大中小

供稿：網(wǎng)友

隧道技術(shù)基礎(chǔ)

隧道技術(shù)是一種通過使用互聯(lián)網(wǎng)絡(luò)的基礎(chǔ)設(shè)施在網(wǎng)絡(luò)之間傳遞數(shù)據(jù)的方式。使用隧道傳遞的數(shù)據(jù)（或負(fù)載）可以是不同協(xié)議的數(shù)據(jù)
楨（此字不正確）或包。隧道協(xié)議將這些其它協(xié)議的數(shù)據(jù)楨或包重新封裝在新的包頭中發(fā)送。新的包頭提供了路由信息，從而使封
裝的負(fù)載數(shù)據(jù)能夠通過互聯(lián)網(wǎng)絡(luò)傳遞。

被封裝的數(shù)據(jù)包在隧道的兩個(gè)端點(diǎn)之間通過公共互聯(lián)網(wǎng)絡(luò)進(jìn)行路由。被封裝的數(shù)據(jù)包在公共互聯(lián)網(wǎng)絡(luò)上傳遞時(shí)所經(jīng)過的邏輯路徑稱
為隧道。一旦到達(dá)網(wǎng)絡(luò)終點(diǎn)，數(shù)據(jù)將被解包并轉(zhuǎn)發(fā)到最終目的地。注意隧道技術(shù)是指包括數(shù)據(jù)封裝，傳輸和解包在內(nèi)的全過程。

隧道所使用的傳輸網(wǎng)絡(luò)可以是任何類型的公共互聯(lián)網(wǎng)絡(luò)，本文主要以目前普遍使用Internet為例進(jìn)行說明。此外，在企業(yè)網(wǎng)絡(luò)同樣
可以創(chuàng)建隧道。隧道技術(shù)在經(jīng)過一段時(shí)間的發(fā)展和完善之后，目前較為成熟的技術(shù)包括：

1.ip網(wǎng)絡(luò)上的SNA隧道技術(shù)
當(dāng)系統(tǒng)網(wǎng)絡(luò)結(jié)構(gòu)（SystemNetworkArchitecture）的數(shù)據(jù)流通過企業(yè)IP網(wǎng)絡(luò)傳送時(shí)，SNA數(shù)據(jù)楨將被封裝在UDP和IP協(xié)議包頭中。

2.IP網(wǎng)絡(luò)上的NovellNetWareIPX隧道技術(shù)
當(dāng)一個(gè)IPX數(shù)據(jù)包被發(fā)送到NetWare服務(wù)器或IPX路由器時(shí)，服務(wù)器或路由器用UDP和IP包頭封裝IPX數(shù)據(jù)包后通過IP網(wǎng)絡(luò)發(fā)送。另一
端的IP-TO-IPX路由器在去除UDP和IP包頭之后，把數(shù)據(jù)包轉(zhuǎn)發(fā)到IPX目的地。

近幾年不斷出現(xiàn)了一些新的隧道技術(shù)，本文將主要介紹這些新技術(shù)。具體包括：

1.點(diǎn)對(duì)點(diǎn)隧道協(xié)議（PPTP）
PPTP協(xié)議允許對(duì)IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共互聯(lián)網(wǎng)絡(luò)發(fā)送。

2.第2層隧道協(xié)議（L2TP）
L2TP協(xié)議允許對(duì)IP，IPX或NetBEUI數(shù)據(jù)流進(jìn)行加密，然后通過支持點(diǎn)對(duì)點(diǎn)數(shù)據(jù)報(bào)傳遞的任意網(wǎng)絡(luò)發(fā)送，如IP，X.25，楨中繼或
ATM。

3.安全I(xiàn)P（IPSec)隧道模式
IPSec隧道模式允許對(duì)IP負(fù)載數(shù)據(jù)進(jìn)行加密，然后封裝在IP包頭中通過企業(yè)IP網(wǎng)絡(luò)或公共IP互聯(lián)網(wǎng)絡(luò)如Internet發(fā)送。

隧道協(xié)議

為創(chuàng)建隧道，隧道的客戶機(jī)和服務(wù)器雙方必須使用相同的隧道協(xié)議。
隧道技術(shù)可以分別以第2層或第3層隧道協(xié)議為基礎(chǔ)。上述分層按照開放系統(tǒng)互聯(lián)（OSI）的參考模型劃分。第2層隧道協(xié)議對(duì)應(yīng)OSI
模型中的數(shù)據(jù)鏈路層，使用楨作為數(shù)據(jù)交換單位。PPTP，L2TP和L2F（第2層轉(zhuǎn)發(fā)）都屬于第2層隧道協(xié)議，都是將數(shù)據(jù)封裝在點(diǎn)對(duì)
點(diǎn)協(xié)議（PPP）楨中通過互聯(lián)網(wǎng)絡(luò)發(fā)送。第3層隧道協(xié)議對(duì)應(yīng)OSI模型中的網(wǎng)絡(luò)層，使用包作為數(shù)據(jù)交換單位。IP overIP以及IPSec
隧道模式都屬于第3層隧道協(xié)議，都是將IP包封裝在附加的IP包頭中通過IP網(wǎng)絡(luò)傳送。

隧道技術(shù)如何實(shí)現(xiàn)

對(duì)于象PPTP和L2TP這樣的第2層隧道協(xié)議，創(chuàng)建隧道的過程類似于在雙方之間建立會(huì)話；隧道的兩個(gè)端點(diǎn)必須同意創(chuàng)建隧道并協(xié)商
隧道各種配置變量，如地址分配，加密或壓縮等參數(shù)。絕大多數(shù)情況下，通過隧道傳輸?shù)臄?shù)據(jù)都使用基于數(shù)據(jù)報(bào)的協(xié)議發(fā)送。隧道
維護(hù)協(xié)議被用來作為管理隧道的機(jī)制。

第3層隧道技術(shù)通常假定所有配置問題已經(jīng)通過手工過程完成。這些協(xié)議不對(duì)隧道進(jìn)行維護(hù)。與第3層隧道協(xié)議不同，第2層隧道協(xié)議
（PPTP和L2TP）必須包括對(duì)隧道的創(chuàng)建，維護(hù)和終止。

隧道一旦建立，數(shù)據(jù)就可以通過隧道發(fā)送。隧道客戶端和服務(wù)器使用隧道數(shù)據(jù)傳輸協(xié)議準(zhǔn)備傳輸數(shù)據(jù)。例如，當(dāng)隧道客戶端向服務(wù)
器端發(fā)送數(shù)據(jù)時(shí)，客戶端首先給負(fù)載數(shù)據(jù)加上一個(gè)隧道數(shù)據(jù)傳送協(xié)議包頭，然后把封裝的數(shù)據(jù)通過互聯(lián)網(wǎng)絡(luò)發(fā)送，并由互聯(lián)網(wǎng)絡(luò)將
數(shù)據(jù)路由到隧道的服務(wù)器端。隧道服務(wù)器端收到數(shù)據(jù)包之后，去除隧道數(shù)據(jù)傳輸協(xié)議包頭，然后將負(fù)載數(shù)據(jù)轉(zhuǎn)發(fā)到目標(biāo)網(wǎng)絡(luò)。

隧道協(xié)議和基本隧道要求

因?yàn)榈?層隧道協(xié)議（PPTP和L2TP）以完善的PPP協(xié)議為基礎(chǔ)，因此繼承了一整套的特性。

1.用戶驗(yàn)證
第2層隧道協(xié)議繼承了PPP協(xié)議的用戶驗(yàn)證方式。許多第3層隧道技術(shù)都假定在創(chuàng)建隧道之前，隧道的兩個(gè)端點(diǎn)相互之間已經(jīng)了解或
已經(jīng)經(jīng)過驗(yàn)證。一個(gè)例外情況是IPSec協(xié)議的ISAKMP協(xié)商提供了隧道端點(diǎn)之間進(jìn)行的相互驗(yàn)證。

2.令牌卡（Tokencard）支持
通過使用擴(kuò)展驗(yàn)證協(xié)議（EAP），第2層隧道協(xié)議能夠支持多種驗(yàn)證方法，包括一次性口令（one-timepassWord)，加密計(jì)算器
（cryptographic calculator）和智能卡等。第3層隧道協(xié)議也支持使用類似的方法，例如，IPSec協(xié)議通過ISAKMP/Oakley協(xié)商
確定公共密鑰證書驗(yàn)證。

3.動(dòng)態(tài)地址分配
第2層隧道協(xié)議支持在網(wǎng)絡(luò)控制協(xié)議（NCP）協(xié)商機(jī)制的基礎(chǔ)上動(dòng)態(tài)分配客戶地址。第3層隧道協(xié)議通常假定隧道建立之前已經(jīng)進(jìn)行
了地址分配。目前IPSec隧道模式下的地址分配方案仍在開發(fā)之中。

4.數(shù)據(jù)壓縮
第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)壓縮方式。例如，微軟的PPTP和L2TP方案使用微軟點(diǎn)對(duì)點(diǎn)加密協(xié)議（MPPE）。IETP正在開發(fā)應(yīng)
用于第3層隧道協(xié)議的類似數(shù)據(jù)壓縮機(jī)制。

5.數(shù)據(jù)加密
第2層隧道協(xié)議支持基于PPP的數(shù)據(jù)加密機(jī)制。微軟的PPTP方案支持在RSA/RC4算法的基礎(chǔ)上選擇使用MPPE。第3層隧道協(xié)議可以使
用類似方法，例如，IPSec通過ISAKMP/Oakley協(xié)商確定幾種可選的數(shù)據(jù)加密方法。微軟的L2TP協(xié)議使用IPSec加密保障隧道客戶端
和服務(wù)器之間數(shù)據(jù)流的安全。

6.密鑰管理
作為第2層協(xié)議的MPPE依靠驗(yàn)證用戶時(shí)生成的密鑰，定期對(duì)其更新。IPSec在ISAKMP交換過程中公開協(xié)商公用密鑰，同樣對(duì)其進(jìn)行定
期更新。

7.多協(xié)議支持
第2層隧道協(xié)議支持多種負(fù)載數(shù)據(jù)協(xié)議，從而使隧道客戶能夠訪問使用IP，IPX，或NetBEUI等多種協(xié)議企業(yè)網(wǎng)絡(luò)。相反，第3層隧道
協(xié)議，如IPSec隧道模式只能支持使用IP協(xié)議的目標(biāo)網(wǎng)絡(luò)。

點(diǎn)對(duì)點(diǎn)協(xié)議

因?yàn)榈?層隧道協(xié)議在很大程度上依靠PPP協(xié)議的各種特性，因此有必要對(duì)PPP協(xié)議進(jìn)行深入的探討。PPP協(xié)議主要是設(shè)計(jì)用來通過撥
號(hào)或?qū)＞€方式建立點(diǎn)對(duì)點(diǎn)連接發(fā)送數(shù)據(jù)。PPP協(xié)議將IP，IPX和NETBEUI包封裝在PP楨內(nèi)通過點(diǎn)對(duì)點(diǎn)的鏈路發(fā)送。PPP協(xié)議主要應(yīng)用
于連接撥號(hào)用戶和NAS。 PPP撥號(hào)會(huì)話過程可以分成4個(gè)不同的階段。分別如下：

階段1：創(chuàng)建PPP鏈路

PPP使用鏈路控制協(xié)議（LCP）創(chuàng)建，維護(hù)或終止一次物理連接。在LCP階段的初期，將對(duì)基本的通訊方式進(jìn)行選擇。應(yīng)當(dāng)注意在鏈
路創(chuàng)建階段，只是對(duì)驗(yàn)證協(xié)議進(jìn)行選擇，用戶驗(yàn)證將在第2階段實(shí)現(xiàn)。同樣，在LCP階段還將確定鏈路對(duì)等雙方是否要對(duì)使用數(shù)據(jù)壓
縮或加密進(jìn)行協(xié)商。實(shí)際對(duì)數(shù)據(jù)壓縮/加密算法和其它細(xì)節(jié)的選擇將在第4階段實(shí)現(xiàn)。

階段2：用戶驗(yàn)證

在第2階段，客戶會(huì)PC將用戶的身份明發(fā)給遠(yuǎn)端的接入服務(wù)器。該階段使用一種安全驗(yàn)證方式避免第三方竊取數(shù)據(jù)或冒充遠(yuǎn)程客戶接
管與客戶端的連接。大多數(shù)的PPP方案只提供了有限的驗(yàn)證方式，包括口令驗(yàn)證協(xié)議（PAP），挑戰(zhàn)握手驗(yàn)證協(xié)議（CHAP）和微軟挑
戰(zhàn)握手驗(yàn)證協(xié)議（MSCHAP）。

1.口令驗(yàn)證協(xié)議（PAP）

PAP是一種簡單的明文驗(yàn)證方式。NAS要求用戶提供用戶名和口令，PAP以明文方式返回用戶信息。很明顯，這種驗(yàn)證方式的安全性
較差，第三方可以很容易的獲取被傳送的用戶名和口令，并利用這些信息與NAS建立連接獲取NAS提供的所有資源。所以，一旦用戶
密碼被第三方竊取，PAP無法提供避免受到第三方攻擊的保障措施。

2.挑戰(zhàn)-握手驗(yàn)證協(xié)議（CHAP）

CHAP是一種加密的驗(yàn)證方式，能夠避免建立連接時(shí)傳送用戶的真實(shí)密碼。NAS向遠(yuǎn)程用戶發(fā)送一個(gè)挑戰(zhàn)口令（challenge），其中包
括會(huì)話ID和一個(gè)任意生成的挑戰(zhàn)字串（arbitrary challengestring）。遠(yuǎn)程客戶必須使用md5單向哈希算法（one-
wayhashingalgorithm）返回用戶名和加密的挑戰(zhàn)口令，會(huì)話ID以及用戶口令，其中用戶名以非哈希方式發(fā)送。

CHAP對(duì)PAP進(jìn)行了改進(jìn)，不再直接通過鏈路發(fā)送明文口令，而是使用挑戰(zhàn)口令以哈希算法對(duì)口令進(jìn)行加密。因?yàn)榉?wù)器端存有客戶
的明文口令，所以服務(wù)器可以重復(fù)客戶端進(jìn)行的操作，并將結(jié)果與用戶返回的口令進(jìn)行對(duì)照。CHAP為每一次驗(yàn)證任意生成一個(gè)挑戰(zhàn)
字串來防止受到再現(xiàn)攻擊（replay attack).在整個(gè)連接過程中，CHAP將不定時(shí)的向客戶端重復(fù)發(fā)送挑戰(zhàn)口令，從而避免第3方冒
充遠(yuǎn)程客戶（remoteclient impersonation)進(jìn)行攻擊。

3.微軟挑戰(zhàn)-握手驗(yàn)證協(xié)議（MS-CHAP）

與CHAP相類似，MS-CHAP也是一種加密驗(yàn)證機(jī)制。同CHAP一樣，使用MS-CHAP時(shí)，NAS會(huì)向遠(yuǎn)程客戶發(fā)送一個(gè)含有會(huì)話ID和任意生成
的挑戰(zhàn)字串的挑戰(zhàn)口令。遠(yuǎn)程客戶必須返回用戶名以及經(jīng)過MD4哈希算法加密的挑戰(zhàn)字串，會(huì)話ID和用戶口令的MD4哈希值。采用這
種方式服務(wù)器端將只存儲(chǔ)經(jīng)過哈希算法加密的用戶口令而不是明文口令，這樣就能夠提供進(jìn)一步的安全保障。此外，MS-CHAP同樣
支持附加的錯(cuò)誤編碼，包括口令過期編碼以及允許用戶自己修改口令的加密的客戶-服務(wù)器（client-server)附加信息。使用MS-
CHAP，客戶端和NAS雙方各自生成一個(gè)用于隨后數(shù)據(jù)加密的起始密鑰。MS-CHAP使用基于MPPE的數(shù)據(jù)加密，這一點(diǎn)非常重要，可以
解釋為什么啟用基于MPPE的數(shù)據(jù)加密時(shí)必須進(jìn)行MS-CHAP驗(yàn)證。
在第2階段PPP鏈路配置階段，NAS收集驗(yàn)證數(shù)據(jù)然后對(duì)照自己的數(shù)據(jù)庫或中央驗(yàn)證數(shù)據(jù)庫服務(wù)器（位于NT主域控制器或遠(yuǎn)程驗(yàn)證用
戶撥入服務(wù)器）驗(yàn)證數(shù)據(jù)的有效性。

階段3：PPP回叫控制（callbackcontrol)

微軟設(shè)計(jì)的PPP包括一個(gè)可選的回叫控制階段。該階段在完成驗(yàn)證之后使用回叫控制協(xié)議（CBCP）如果配置使用回叫，那么在驗(yàn)證
之后遠(yuǎn)程客戶和NAS之間的連接將會(huì)被斷開。然后由NAS使用特定的電話號(hào)碼回叫遠(yuǎn)程客戶。這樣可以進(jìn)一步保證撥號(hào)網(wǎng)絡(luò)的安全
性。NAS只支持對(duì)位于特定電話號(hào)碼處的遠(yuǎn)程客戶進(jìn)行回叫。

階段4：調(diào)用網(wǎng)絡(luò)層協(xié)議

在以上各階段完成之后，PPP將調(diào)用在鏈路創(chuàng)建階段（階段1）選定的各種網(wǎng)絡(luò)控制協(xié)議（NCP).例如，在該階段IP控制協(xié)議
（IPCP）可以向撥入用戶分配動(dòng)態(tài)地址。在微軟的PPP方案中，考慮到數(shù)據(jù)壓縮和數(shù)據(jù)加密實(shí)現(xiàn)過程相同，所以共同使用壓縮控制
協(xié)議協(xié)商數(shù)據(jù)壓縮（使用MPPC）和數(shù)據(jù)加密（使用MPPE）。

上一篇：VPN技術(shù)詳解(下）

下一篇：VPN技術(shù)詳解(上)