Openswan和freeswan有什么区别?
Openvpn是通过SSL技术实现的。因为主要是在应用层工作,效率很低。如果单位流量比较大,最好不要用这个。另一种使用的是SSL技术,并不是我们通常所说的SSL VPN。
目前市场上比较流行的硬件VPN采用的是ipsec技术。所以选择第一个有助于你以后更换硬件。
基本上市面上的硬件VPN产品很少采用openvpn这样的技术。
IPSEC的工作原理
-
虚拟专用网是指在公网中建立一个专用网络,数据通过安全的“管道”在公网中传播。使用VPN具有节约成本、远程访问、扩展性强、易于管理和完全控制等优点,是目前和未来网络服务的重点项目。因此,我们必须充分了解虚拟专用网的技术特点,建立完善的服务体系。虚拟专用网的工作原理
目前构建虚拟专用网的国际标准有IPSEC(RFC 1825-1829)和L2TP(draft-IETF-PPP ext-L2TP-10)。L2TP(virtual private dial-up network protocol)是一种虚拟专用拨号网络协议,由IETF根据各个厂商的协议(包括微软的PPTP和思科的L2F)起草,目前仍处于草案阶段。IPSEC是由IETF正式定制的一系列基于IP网络(包括内网、外网和互联网)的开放IP安全标准。它是虚拟专用网的基础,已经相当成熟和可靠。L2TP协议草案规定,它(L2TP标准)必须基于IPSEC(见草案-IETF-PPP ext-L2TP-security-01)。因此,本文阐述了VPN的工作原理,主要分析了IPSEC的工作原理。
IPSEC提供了三种不同的形式来保护通过公共或专用IP网络传输的专用号码。
认证——功能是保证接收的数据和发送的数据一致,同时保证应用的发送方实际上是真实的发送方,而不是伪装。
数据完整性——功能是保证数据从原地点传输到目的地的过程中没有不可察觉的数据丢失和变化。
保密性——作用是使相应的接收者能够获得传输的真实内容,而无意获得数据的接收者无法知道数据的真实内容。
在IPSEC中,三个基本元素提供了上述三种形式的保护:认证协议报头(AH)、安全加载封装(ESP)和互联网密钥管理协议(IKMP)。身份验证协议报头和安全加载封装可以单独使用,也可以结合使用,以实现所需的保护级别。
认证协议报头(AH)是给所有数据包报头添加一个密码。顾名思义,AH通过只有密钥持有者知道的“数字签名”来认证用户。这个签名是数据包通过特殊算法得到的唯一结果;AH还能保持数据的完整性,因为在传输过程中加载再小的变化,包头的数字签名都能检测出来。但是因为AH无法对数据包中加载的内容进行加密,所以不保证任何保密性。两种最常见的AH标准是MD5和SHA-1。MD5使用最大值为128的密钥,而SHA-1使用最大值为160的密钥提供更强的保护。
安全加载封装(ESP)通过对数据包的所有数据和加载内容进行完全加密,严格保证了传输信息的机密性,可以防止其他用户通过监听打开信息交换的内容,因为只有可信用户才有密钥打开内容。ESP还可以提供身份验证并维护数据完整性。最重要的ESP标准是数据加密标准(DES)。DES支持最大56位的密钥,而3DES使用三组密钥进行加密,相当于使用最大168位的密钥。因为ESP实际上是对所有数据进行加密,所以比AH需要更多的处理时间,导致性能下降。
密钥管理包括密钥确定和密钥分发两个方面,最多需要四个密钥:AH和ESP两个发送和接收密钥。密钥本身是一个二进制字符串,通常用十六进制表示。例如,一个56位的密钥可以表示为5F39DA752E0C25B4。注意,总长度* * *是64比特,包括8比特的奇偶校验。56位密钥(DES)对于大多数商业应用程序来说已经足够了。密钥管理包括手动和自动方法。人工管理系统可以在有限的安全需求中很好地工作,而自动管理系统可以满足所有其他应用需求。
使用手动管理系统,密钥由管理站点确定,然后分发给所有远程用户。真正的密钥可以通过随机数生成器或简单的随机拼凑来计算,每个密钥都可以根据组的安全策略进行修改。使用自动管理系统,您可以动态地确定和分发密钥,这显然与名称一样是自动的。自动管理系统有一个中央控制点,集中的密钥管理器可以使自己更加安全,并最大限度地发挥IPSEC的效用。
IPSEC的实现
IPSEC的一个最基本的优势就是可以完全在* * *网络接入设备上实现,甚至是所有的主机和服务器,很大程度上避免了任何网络相关资源的升级。在客户端,IPSEC体系结构允许使用远程访问路由器中涉及的PC和工作站,或者使用基于纯软件的普通调制解调器。ESP通过两种模式在应用中提供更多的灵活性:传输模式和隧道模式。
IPSEC数据包可以在隧道模式下用于压缩原始IP地址和数据。
当ESP在主机(客户端或服务器)上实现时,通常使用传输模式。传输模式使用原始明文IP报头,并且只加密数据,包括其TCP和UDP报头。
当在与多个主机相关联的网络访问干预设备中实现ESP时,通常使用隧道模式。隧道模式处理整个IP数据包,包括所有TCP/IP或UDP/IP报头和数据,它使用自己的地址作为源地址添加到新的IP报头中。当在用户终端设置中使用隧道模式时,可以更方便地隐藏内部服务器主机和客户端的地址。
虚拟专用网加密算法解读
-
一. IPSec认证
IPSec身份验证头(AH)是一种提供IP数据报完整性和身份验证的机制。完整性确保数据报不会被无意或恶意更改,而身份验证则验证数据的来源(主机、用户、网络等。).AH本身不支持任何形式的加密,无法保护通过互联网发送的数据的可信度。只有当加密的出口、进口或使用受到当地政府的限制时,AH才能提高全球互联网的安全性。当所有的功能都实现后,它将通过对IP数据包进行认证,减少基于IP欺骗的攻击概率,从而提供更好的安全服务。AH使用的包头放在标准IPv4和IPv6包头和下一个高层协议帧(如TCP、UDP、I CMP等)之间。).
AH协议通过在整个IP数据报中实现消息摘要计算来提供完整性和认证服务。消息摘要是一种特定的单向数据函数,它可以创建数据报的唯一数字指纹。消息摘要算法的输出结果放在AH报头的Authentication_Data区域中。消息摘要5算法(MD5)是一种单向数学函数。当应用于分组数据时,它将整个数据分成若干具有128比特的信息分组。128位组中的信息是大型数据包数据的压缩或抽象表示。以这种方式使用时,MD5仅提供数字完整性服务。消息摘要可以在发送之前和接收之后从一组数据中计算出来。如果两次计算的摘要值相同,则分组数据在传输期间没有被改变。这可以防止无意或恶意篡改。在HMAC-MD5认证的数据交换中,发送方首次使用之前交换的密钥计算数据报的64位数据包的MD5摘要。从一系列16位计算出的摘要值累加成一个值,然后放入AH头的认证数据区,再将数据报发送给接收方。接收者还必须知道密钥值,以便计算正确的消息摘要,并使其适应所接收的认证消息摘要。如果计算出的摘要值等于接收到的摘要值,那么数据报在发送过程中没有被改变,可以认为是由只知道密钥的另一方发送的。
第二,IPSec加密
数据包安全协议(ESP)报头提供IP数据报的完整性和可靠性服务。ESP协议设计为在两种模式下工作:隧道模式和传输模式。两者的区别在于IP数据报的ESP load部分的内容不同。在隧道模式下,整个IP数据报被封装和加密在ESP有效负载中。当这样做时,真实的IP源地址和目的地址可以隐藏为互联网发送的普通数据。这种模式的典型用法是在通过虚拟专用网络连接防火墙到防火墙时隐藏主机或拓扑。在传输模式中,只有更高层协议帧(TCP、UDP、ICMP等。)被放置在加密的IP数据报的ESP有效载荷部分中。在这种模式下,源和目标IP地址以及所有IP头字段都不加密发送。
IPSec要求在所有ESP实现中使用一个通用的默认算法DES-CBC算法。美国数据加密标准(DES)是一种非常流行的加密算法。它最早由美国政府发布,最初用于商业应用。到目前为止,所有DES专利的保护期都已到期,所以在全球范围内都实现了免费。IPSec ESP标准要求所有ESP实现支持CBC的DES作为默认算法。DES-CBC的工作原理是在一个8位数据包中添加一个数据功能,构成一个完整的IP包(隧道模式)或下一个更高层协议帧(传输模式)。DES-CBC使用8位加密数据(密文)而不是8位未加密数据(明文)。一个随机的8比特初始化向量(IV)被用于加密第一明文分组,以便即使明文信息具有相同的开始,也能确保加密信息的随机性。DES-CBC主要使用所有通信方共享的相同密钥。因此,它被认为是一种对称加密算法。接收者只能通过使用发送者用来加密数据的密钥来解密加密的数据。因此,DES-CBC算法的有效性取决于密钥的安全性,ESP使用的DES-CBC的密钥长度为56位。
基于IPSec的VPN技术原理与实现
本文首先阐述了VPN技术的基本原理和IPSec规范,然后介绍了VPN技术的实现方法和几种典型的应用方案。最后,作者对VPN技术的推广应用提出了自己的看法。
1.介绍
1998称为“电子商务年”,而1999将是“政府在线年”。事实上,作为连接全球的“第四媒体”,互联网已经成为一个商机无限的地方。如何利用互联网开展商务活动是目前各企业讨论的一个热门话题。然而,当互联网实际应用于商业时,仍有一些问题需要解决,其中最重要的两个问题是服务质量和安全性。服务质量问题正在相关厂商和ISP的努力下逐步得到解决,VPN技术的出现为解决安全问题提供了有效途径。
所谓VPN(VirtualPrivate Network)是指通过公共骨干网将物理上分布在不同地方的网络连接起来形成的逻辑虚拟子网,这里的公网主要指Interet。为了保证信息在互联网上传输的安全性,VPN技术采用了认证、访问控制、保密性、数据完整性等措施,保证信息在传输过程中不会被窥视、篡改或复制。由于使用互联网进行传输的成本比租用专线的成本极低,VPN的出现使企业通过互联网安全、经济地传输私有机密信息成为可能。
除了省钱,VPN技术还有其他特点:
●可扩展性可以随着网络的扩展而灵活扩展。当添加新的用户或子网时,只有修改现有的网络软件配置,在新添加的客户端或网关上安装相应的软件并连接到互联网,新的VPN才能工作。
●灵活性:除了容易地将新子网扩展到企业网络之外,由于因特网的全球连接性,VPN使企业能够随时安全地访问全球商业伙伴和客户的信息。
●易于管理用专线连接企业的子网时,随着子网数量的增加,所需的专线数量会呈几何级数增长。使用VPN时,互联网就像一个HUB,只需要把每个子网连接到互联网上,不需要管理每一条线路。
VPN可以用来建立企业内部网和外部网。随着全球电子商务的兴起,VPN的应用会越来越广泛。根据Infonetics Reseach的预测,VPN的市场份额将从今天的2亿美元增长到2006年的119亿美元,其中VPN产品的销售收入将占十分之一。
2.基于IPSec规范的VPN技术。
1)IPSec协议介绍
IPSec(1P Security)在IPv6的制定中应运而生,用于提供IP层的安全性。由于所有支持TCP/IP协议的主机在通信时都要经过IP层,所以提供IP层的安全性就相当于为整个网络提供了安全通信的基础。鉴于IPv4的广泛应用,在IPSec的制定中加入了对IPv4的支持。
第一套IPSec标准是IETF在1995年制定的,但由于一些未解决的问题,IETF从1997开始新一轮的IPSec制定,到1998+01年底主要协议已经基本完成。然而,这套新协议仍存在一些问题,预计IETF将在近期进行下一轮IPSec修订。
2)IPSec的基本工作原理
IPSec的工作原理(如图L所示)类似于包过滤防火墙,可以看作是包过滤防火墙的扩展。当收到IP数据包时,包过滤防火墙使用其报头在规则表中进行匹配。当找到匹配的规则时,包过滤防火墙根据该规则制定的方法处理接收的IP包。这里的处理工作只有两种:丢弃或者转发。
图1 IPSec工作原理图
IPSec通过查询SPD(安全p 01策略数据库安全策略数据库)来确定接收的IP数据包的处理。然而,IPSec不同于包过滤防火墙。除了直接丢弃转发IP包,还有一种方法,就是IPSec处理。正是这种新增加的处理方法,提供了比包过滤防火墙更进一步的网络安全。
执行IPSec处理意味着对IP数据包进行加密和认证。包过滤防火墙只能控制来自或去往某个站点的IP包的通过,可以拒绝来自外部站点的IP包访问某些内部站点,也可以拒绝内部站点访问某些外部网站。但是包过滤防火墙不能保证从内网出去的包不被拦截,也不能保证进入内网的包没有被篡改。只有对IP数据包进行加密和认证后,才能保证在外网传输的数据包的机密性、真实性和完整性,才有可能通过互联网进入新的安全通信。
IPSec可以只加密IP数据包,只进行身份验证,或者两者都加密。但是无论是加密还是认证,IPSec都有两种工作模式,一种是类似上一节提到的协议的隧道模式,另一种是传输模式。
如图2所示,传输模式仅加密或验证IP数据包的有效负载。此时继续使用之前的IP头,只修改IP头的部分字段,而在IP头和传输层头之间插入IPSec协议头。
图2传输模式示意图
如图3所示,隧道模式对整个IP数据颜色进行加密或认证。此时需要生成一个新的IP头,IPSec头放在新生成的IP头和之前的IP包之间,这样就形成了一个新的IP头。
图3隧道模式示意图
3)IPSec中的三个主要协议。
如前所述,IPSec的主要功能是加密和认证。为了加密和认证,IPSec还需要密钥管理和交换的功能,以便提供加密和认证所需的密钥并管理密钥的使用。以上三个方面由AH、ESP、IKE三个协议规定。为了介绍这三个协议,有必要介绍一个非常重要的术语——安全关联SA。所谓安全关联,是指安全服务与其服务的运营商之间的一种“连接”。AH和ESP都需要使用SA,IKE的主要功能就是SA的建立和维护。只要实现了AH和ESP,就必须为SA提供支持。
如果通信双方都想用IPSec建立安全的传输路径,就需要事先协商好要采用的安全策略,包括加密算法、密钥、密钥生存期等等。当双方就使用的安全策略达成一致时,我们说双方已经建立了一个SA。SA是一个简单的连接,可以为其上的数据传输提供一些IPSec安全性,可以由AH或ESP提供。当给出SA时,确定由IPSec执行的处理,例如加密、认证等。SA可以以两种方式组合,即传输邻近和嵌套隧道。
1)ESP(封装安全负载)
ESP协议主要用于加密IP包,同时也为认证提供一些支持。ESP独立于具体的加密算法,几乎可以支持所有种类的对称密钥加密算法,如DES、TripleDES、RC5等。为了保证各种IPSec实现之间的互操作性,目前ESP必须提供对56位DES算法的支持。
ESP协议数据单元格式由三部分组成,除了报头和加密数据部分,在实现认证时还包括可选的尾部。报头有两个字段:安全策略索引(SPl)和序列号(Sequencenumber)。在使用ESP进行安全通信之前,双方需要协商一套要采用的加密策略,包括使用的算法、密钥和密钥的有效期。“安全策略索引”用于确定发送方使用哪种加密策略来处理IP数据包。当接收方看到这个序列号时,它就会知道如何处理接收到的IP数据包。序列号用于区分使用同一组加密策略的不同数据包。除了原始IP包的有效载荷之外,加密数据部分和填充字段(用于确保加密数据部分满足块加密的长度要求)在传输过程中都是加密的。“下一个报头”用于指示净荷部分使用的协议,可以是传输层协议(TCP或UDP)或IPSec协议(ESP或AH)。
一般ESP可以作为IP的有效载荷传输,jip的UKB头表示下一个协议是ESP,而不是TCP和UDP。由于这种封装形式,ESP可以使用旧网络进行传输。
前面提到过IPSec的加密有两种工作模式,也就是说ESP协议有两种工作模式:传输模式和隧道模式。当ESP工作在传输模式时,采用当前IP头。在隧道模式下,整个IP包作为ESP的有效载荷进行加密,在ESP报头前增加一个以网关地址为源地址的新IP报头,可以起到NAT的作用。
2)AH(认证报头)
AH只涉及认证,不涉及加密。虽然AH在功能上与ESP有一些重复,但是AH可以认证IP报头以及IP有效载荷。主要处理数据对,可以认证IP头,而ESP的认证功能主要是面向IP净荷。为了提供最基本的功能并确保互操作性,AH必须包括对HMAC的支持?/FONT & gt;沙和/FONT & gt;MD5(HMAC是一种受SHA和MD5支持的对称认证系统)。
AH可以单独使用,也可以在隧道模式下使用,或者与ESP结合使用。
3)IKE(互联网密钥交换)
IKE协议主要管理密钥交换,主要包括三个功能:
●协商使用的协议、加密算法和密钥。
方便的密钥交换机制(这可能需要定期执行)。
跟踪这些协议的执行情况。
3.3的设计。虚拟专用网系统
如图4所示,VPN的实现由管理模块、密钥分发和生成模块、身份认证模块、数据加密/解密模块、数据包封装/分解模块和加密函数库组成。
管理模块负责整个系统的配置和管理。管理模块决定采用哪种传输模式以及加密/解密哪些IP包。因为加密IP包会消耗系统资源,增加网络延迟,所以为两个安全网关之间的所有IP包提供VPN服务是不现实的。网络管理员可以通过管理模块指定加密哪些IP数据包。内部网用户也可以指定VPN系统,通过Telnet协议传输的特殊命令,为自己的IP包提供加密服务。
密钥管理模块负责身份认证和数据加密所需的密钥生成和分发。密钥是随机生成的。安全网关间密钥的分发采用人工分发,安全网关间密钥的传输通过网络传输以外的其他安全通信方式完成。每个安全网关的密钥都存储在一个秘密数据库中,支持以IP地址为密钥的快速查询和获取。
身份认证模块完成对IP数据包的数字签名操作。数字签名的整个过程如图5所示:
图5数字签名
首先发送方对数据H = H (m)进行哈希处理,然后用通信密钥K对H进行加密,得到Signature={ h} key。发送方将签名附加到明文上,一起发送给接收方。接收到数据后,接收方首先用密钥K解密签名得到H,并与H(m)进行比较。如果一致,说明数据是完整的。数字签名不仅保证了数据的完整性,还起到了身份认证的作用,因为只有有密钥才能对数据进行正确的签名。
数据加密/解密模块完成IP包的加密和解密。可选的加密算法有IDEA算法和DES算法。前者用软件实现可以获得更快的加密速度。为了进一步提高系统的效率,我们可以使用专门的硬件来加密和解密数据,然后DES算法可以获得更快的加密速度。随着计算机计算能力的提高,DES算法的安全性受到了挑战。对于安全性要求较高的网络数据,数据加密/解密模块可以提供三重DES加密服务。
数据包封装/分解模块实现IP数据包的安全封装或分解。当从安全网关发送IP数据分组时,数据分组封装/分解模块将身份附加到IP数据分组上。
认证报头AH和安全数据封装报头ESP。当安全网关接收到IP数据包时,数据包封装/分解模块解析AH和ESP的协议,根据包头信息进行身份认证和数据解密。
加密函数库为上述模块提供统一的加密服务。加密函数库设计的一个基本原则是通过统一的函数接口与上述模块进行通信。这可以基于实际需要
可以肯定的是,在连接不同加密算法和加密强度的函数库时,不需要改变其他模块。
4.几种典型的VPN应用方案
VPN应用程序有两种基本类型:拨号VPN和专用VPN。
拨号VPN为移动用户和远程办公者提供远程内部网访问,是目前最流行的形式。拨号VPN服务也叫“公司拨号外包”。根据隧道建立的地点,拨号VPN可以分为两种:在用户的PC上或在服务提供商的网络接入服务器(NAS)上。
私有VPN有很多种形式,相同的要素是为用户提供IP服务。通常,安全设备或客户端的路由器用于完成IP网络上的服务。IP服务也可以通过在帧中继或ATM网络上安装IP接口来提供。私有服务应用程序通过WAN将远程办公室与企业内部网和外部网络连接起来。这些服务的特点是多用户和高速连接。为了提供完整的VPN服务,企业和服务提供商经常将私有VPN和远程访问方案结合起来。
目前,VPN感知网络刚刚兴起,服务提供商将很快推出一系列新产品,专门用于满足提供商在向企业提供特殊增值服务时对可扩展性和灵活性的需求。
5.结束语
总之,VPN是一项综合性的网络新技术,即使在网络高度发达的美国,它也表现出了强大的生命力。思科、3Com、Ascend等公司都推出了自己的产品。但VPN产品能否被广泛接受,主要取决于以下两点:一是VPN方案能否线速加密,否则会产生瓶颈;第二个是VPN数据流是否可以被调度和引导到网络上的不同管理域。
在国内,由于网络基础设施还比较落后,计算机应用水平不高,目前对VPN技术的需求不高,大部分厂商还处于观望阶段。但是,随着国家经济信息化进程的加快,特别是政府上网和电子商务的推进,VPN技术将大有用武之地。