信息安全工程师软考(软考-信息安全工程师学习笔记31)

发布日期:2024-12-22 01:54:32     作者:高傲旳骄傲     手机:https://m.xinb2b.cn/sport/vpx336198.html     违规举报
VPN概述

VPN即虚拟专用网

是依靠ISP(Internet服务提供商)和其他NSP(网络服务提供商),在公用网络中建立专用的数据通信网络的技术。虚拟:是指用户不再需要拥有实际的长途数据线路,而是使用Internet公众数据网络线路。专用网:是指用户可以为自己制定一个最符合自己需求的网络。


VPN安全功能保密性服务(Confidentiality):防止传输的信息被监听;完整性服务(Integrity):防止传输的信息被修改;认证服务(Authentication):提供用户和设备的访问认证,防止非法接入。VPN发展

VPN产品的技术动向具有以下特点:

VPN客户端尽量简化,将出现“零客户端”安装模式;VPN网关一体化,综合集成多种接入模式,融合多种安全机制和安全功能;VPN产品可能演变成可信网络产品;VPN提供标准安全管理数据接口,能够纳入SOC中心(安全运行中心)进行管理控制。VPN技术风险VPN 产品代码实现的安全缺陷。VPN产品的实现涉及多种协议、密码算法等,编程处理不当,极易导致代码安全缺陷,从而使得VPN产品出现安全问题。例如,Open SSL的Heartbleed漏洞(心脏滴血)可以让远程攻击者暴露敏感数据。VPN密码算法安全缺陷。VPN产品如果选择非安全的密码算法或者选择不好的密码参数,都有可能导致VPN系统出现安全问题,不能起到安全保护的作用。例如,密钥长度不够。VPN管理不当引发的安全缺陷。VPN的管理不当导致密码泄露、非授权访问等问题。VPN类型和实现技术

VPN的类型包括

链路层VPN网络层VPN传输层VPN

VPN的实现技术

隧道技术:PPTP,L2TP,IPSec,SSL VPN ,TLS VPN加解密技术:密码算法 (核心)密钥管理技术身份认证技术:认证访问控制

VPN的组成:客户机、传输介质(隧道)、服务器

VPN采用的多种安全机制:

隧道技术加密技术身份认证技术密钥管理技术访问控制


隧道技术

隧道:实质就是一种封装,将一种协议(协议A)封装在另一个协议(协议B)中传输,从而实现协议A对公用网络的透明性。协议A称为被封装协议,协议B称为封装协议,封装时一般还要加上特定的隧道控制信息,因此,隧道协议的一般形式为(协议B(隧道头(协议A)))


隧道的功能封装原始数据(包头不封装)实现隧道两端的点到点连通定时检测VPN隧道的连通性(如果隧道不同,则会报警,提醒隧道不存在)VPN隧道的安全性(进行了封装和加密)VPN隧道的QoS特性隧道协议类型

第二层隧道协议

PPTP:微软、3Com等公司支持,点对点隧道协议 ,第一个VPN协议L2F:Cisco等公司支持第2层转发协议。 1、用户拨号到ISP接入服务器(NAS),建立PPP链接 2、NAS根据用户名等信息,发起第二重连接,呼叫用户网络的服务器L2TP:国际互联网工程任务组(IETF)起草,微软、Cisco、3Com等公司共同制定的第2层隧道协议,结合了PPTP和L2F的优点

第三层隧道协议

GRE:普通路由封装IPSec:IP安全协议IPSec:IP安全协议

IPSec协议在隧道外面再封装,保证了隧道在传输过程中的安全.该协议是第3层隧道协议

Internet 协议安全性(Internet Protocol Security ,IPSec)是通过对IP协议的分组进行加密和认证保护IP协议的网络传输协议簇,其工作在TCP/IP协议栈的网络层

IPSec在IP层对数据包进行安全处理,提供数据源验证(Authentication)、无连接数据完整性(Integrity)和数据机密性、抗重播等安全服务。

IPSec是一个协议体系,有建立安全分组流的密钥交换协议(IKE协议)保护分组流的协议(AH和ESP协议)两部分构成

IKE协议:Internet密钥交换协议(Internet Key Exchange Protocol,IKE)属于一种混合协议

ISAKMP协议:Internet安全关联和密钥管理协议(internet security association and key management protocol)OAKLEY协议:奥克利协议Oakley Key Determination Protocol)是一个密钥交换协议,它允许认证过的双方通过不安全的网络交换秘钥的一部分元素,这一过程是通过迪菲-赫尔曼密钥交换来实现的。SKEME:提供了IKE交换密钥的算法,方式;即,通过DH进行密钥交换和管理的方式

即IKE由ISAKMP框架,OAKLEM密钥交换协议及SKEME的共享和密钥更新技术组成.


AH(Authencation Header)协议:认证头

--提供数据源认证,可以保证信息源的可靠性和数据的完整性,以及确保数据到达次序的完整性,并防止重放攻击--摘要算法采用Hash算法(单向Hash函数MD5和SHA1实现摘要和认证确保数据完整性)

ESP(Encapsulating Security Payload)协议: 封装安全有效负载

--支持数据的保密性,使用DES,3DES,AES等加密算法--提供数据的完整性和可靠性,使用非对称密钥技术(使用MD5和SHA1实现摘要和认证确保数据完整性)IPSec的工作模式传输模式隧道模式

AH与ESP均支持两种模式:传输模式和隧道模式

传输模式通常用于主机和主机之间,不改变原有的IP包头,主要是为上层协议提供保护,同时增加IP包载荷的保护

传输模式下AH和ESP处理后的IP头部不变,而隧道模式下的AH和ESP处理后需要新封装一个新的IP头.


隧道模式:通常用于私网与私网之间通过公网进行通信。


传输模式下AH和ESP处理后的IP头部不变隧道模式下的AH和ESP处理后需要新封装一个新的IP头AH只做摘要,只能验证数据完整性和合法性ESP做摘要和加密,验证数据完整性和合法性,还能进行数据加密IPSec的传输模式与隧道模式的应用场景

IPSec VPN应用场景

站点到站点(site-to-site):又称为网关到网关,多个异地机构利用运营商网络建立IPSec隧道,将各自的内部网络联系起来

端到端(End-to-End):又称为PC到PC,即两个PC之间的通信由IPSec完成

端到站点(End-to-Site):两个PC之间的通信由网关和异地PC之间的IPSec会话完成


PPTP---点对点隧道协议(Point-to-Point Tunneling Protocol)

PPTP是一种用于让远程用户拨号连接到本地的ISP,是通过因特网安全访问内网资源的技术,它能将PPP帧封装成IP数据包,以便能够在基于IP的互联网上进行传输。PPTP 使用TCP连接创建、维护、终止隧道,并使用GRE (通用路由封装)将PPP帧封装成隧道数据。被封装后的PPP帧的有效载荷可以被加密、压缩或同时被加密与压缩。该协议是第2层隧道协议

PPTP协议是PPP协议的扩展增强了PPP协议的认证、压缩和加密功能增加了一个新的安全等级,并且可以通过因特网进行多协议通信。可用于移动办公或个人用户与VPN服务器进行连接

PPTP协议将控制包和数据包分开,控制包采用TCP控制。

封装服务:使用一般路由封装(GRE)头文件和IP报头数据封装PPP帧加密服务:PPTP继承了PPP的认证和加密机制,采用Chap、EAP、PAP等认证,以及MPPE(微软点对点加密)机制。


L2TP---第2层隧道协议

L2TP也是PPP协议的发展,是为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议

L2TP是PPTP与L2F (第二层转发)的一一种综合,是由思科公司推出的一种技术。 该协议是第2层隧道协议。L2TP的封装格式为PPP帧封装L2TP报头,再封装UDP报头,再封IP头。具体如下:



学习参考资料:

信息安全工程师教程(第二版)

建群网培信息安全工程师系列视频教程

信息安全工程师5天修炼

 
 
本文地址:https://xinb2b.cn/sport/vpx336198.html,转载请注明出处。

推荐图文
推荐运动知识
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  违规举报  |  蜀ICP备18010318号-4  |  百度地图  | 
Processed in 0.028 second(s), 1 queries, Memory 2.44 M