VPN技术(IPsec/L2TP/SSLVPN/PPTP)学习笔记


常见的VPN技术IPsec VPN: 多机房互联(即一般在GW与GW之间建立隧道)L2TP/IPsec VPN: 支持多隧道,配置IPsec使用PPTP VPN: 只能两端点间建立单一隧道,可选配合IPsec使用SSL VPN: 数据私密性、端点验证、信息完整性,自协议:握手协议、记录协议 SSL VPNSSL VPN是无需安装客户端软件,通过远程建立的SSL隧道访问内部服务器的代理技术,并对服务器内容提供基于用户认证、远程站点检查的资源访问控制。
SSL VPN现已成为远程访问VPN的新宠。
除了具备与IPsec VPN相当的安全性外,认证功能更强,还增加了基于内容的访问控制机制。
客户端只需要拥有支持SSL的浏览器即可SSL VPN由于处在TCP层,所以可以进行丰富的业务控制,如行为审计,可以记录每名用户的所有操作,为更好地管理VPN提供了有效统计数据。
当使用者退出SSL VPN登陆页面时,所有会话会全部释放。
SSLVPN的技术分为以下四种Web代理(proxying)应用转换(application translation)端口转发(port forwarding)网络扩展(network extension)每种技术支持的应用与控制粒度会有所不同。
Web代理(proxying)来自客户端的发往SSL VPN Server得页面请求在VPN Server内部替换,发往VPN后面的真正Web服务器,然后再将Web服务器的响应回传给终端用户.WEB代理是最为简单的应用,也是控制粒度最细的SSL VPN应用,可以精确地控制每个链接。
应用转换(application translation)有些通过HTML、Java程序,有些通过HTTPS页面中的客户端下载实现对于非Web页面的文件访问,要借助于应用转换。
在浏览器中用HTML或JAVA来实现模拟客户端程序。
通过SSL VPN的协议连接器,访问指定资源。
应用:文件共享、telnet、ssh、远程桌面、ftp。
端口转发(port forwarding)端口映射是粒度仅次于WEB代理的应用,它通过TCP端口映射的方式(原理上类似于NAT内部服务器应用),为使用者提供远程接入TCP的服务,它需要专门的、与服务器配套的SSL VPN客户端程序帮忙(在页面中一般提供下载方式)或是通过HTML代码实现。
端口转发用于端口定义明确的应用(如FTP,SSH等)。
终端系统上运行一个非常小的Java或ActiveX程序作为端口转发器,监听某个端口上的连接。
当数据包进入 这个端口时,它们通过SSL连接中的隧道被传送到SSL VPN网关,SSL VPN网关解开封装的数据包,将它们转发给目的应用服务器。
使用端口转发器,需要终端用户指向他希望运行的本地应用程序(127.0.0.1),而不必指向真正的应用服务器。
网络扩展(network extension)网络扩展是SSL VPN中粒度最粗的服务,但也是使用最广泛的,它实现了类似于L2TP的特性,所有客户端都可以从服务器获得一个VPN地址,然后直接访问内部服务器,它也需要专门的SSL VPN客户端程序帮忙.远程端点可以具有完全的网络连接,并动态获取内部地址。
在用法上和IPsec等同。
需要插件和网络驱动的支持。
优点:适应性好,所有的IP应用都可以。
缺点:控制的粒度太粗,跟IPsec非常相似。
L2TP/IPsec VPN实际上是,终端与接入服务器之间先建立IPsec隧道,然后再进行L2TP协商(UDP端口1701)。
依靠Internet协议安全性(IPsec)技术提供加密服务,在建立的IPsec加密通道上承载L2TP的控制和数据协商并传输通过L2TP封装的用户报文。
L2TP与IPsec的结合产物称为L2TP/IPsec。
VPN客户端与VPN服务器都必须支持L2TP和IPsec。
L2TP将随同路由与远程访问服务一道自动进行安装。
在IPsec数据包基础上所进行的L2TP封装由两个层次组成:L2TP封装:PPP帧(IP或IPX数据包)将通过L2TP报头和UDP报头进行封装。
IPsec封装:上述封装后所得到的L2TP报文将通过IPsec封装安全性有效载荷(ESP)报头、用以提供消息完整性与身份验证的IPsec身份验证报尾以及IP报头再次进行封装。
IP报头中将提供与VPN客户端和VPN服务器相对应的源IP地址和目标IP地址。
IPsec加密机制将通过由IPsec身份验证过程所生成的加密密钥对L2TP报文进行加密。
L2TP控制报文封装格式:(UDP 1701)# L2TP Control Message若经过IPsec NAT穿越,则在外层IP与ESP Header之间再增加一个UDP头(端口为4500)L2TP数据报文封装(UDP 1701):# L2TP Data encapsulation若经过IPsec NAT穿越,则在外层IP与ESP Header之间再增加一个UDP头(端口为4500)L2TP/IPsec Tunnel的不足之处:使用Windows终端(Win10/Win8等),进行L2TP/IPsec第一次拨号时,必须先添加如下注册表项,否则无法顺利接入Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesPolicyAgent]"AssumeUDPEncapsulationContextOnSendRule"=dword:000000022. L2TP/IPsec接入时,无法自动下发路由信息,终端用户必须手动添加路由才能访问Server提供的子网访问路劲3. L2TP/IPsec配置复杂,且性能很低下,大多不会采用这个隧道方式PPTP VPNPPTP(Point to Point Tunneling Protocol),即点对点隧道协议。
该协议是在PPP协议的基础上开发的一种新的增强型安全协议,支持多协议虚拟专用网,可以通过密码验证协议,可扩展认证协议等方法增强安全性。
远程用户可以通过ISP、直接连接Internet或者其他网络安全地访问企业网;PPTP实现需要完成2个动作:协商PPTP/GRE隧道和协商建立PPTP虚拟链路,PPTP和FTP类似,是一种多通道协议,具体而言,即PPTP存在控制通道和数据通道。
控制通道建立在PPTP客户端和服务器之间,PPTP客户机使用动态分配的TCP端口号,而PPTP则使用保留TCP端口号1723。
控制通道用于PPTP隧道的协商和维护。
PPTP控制通道协商数据包包括一个IP包头,一个TCP报头和PPTP控制消息:PPTP控制报文格式:# PPTP Control messagePPTP数据报文封装:# PPTP data encapsulation由MS-CHAP、MS-CHAP v2或EAP-TLS身份验证过程所生成的加密密钥对PPP帧进行加密PPTP控制连接的建立流程分析PPTP控制连接建立过程可以分为以下几步:建立TCP连接PPTP控制连接和GRE隧道建立3. PPP协议的LCP协商4. PPP协议的身份验证5. PPP协议的NCP协商NCP协议是PPP协议的网络控制协议,主要用来协商双方网络层接口参数,配置虚拟端口,分配IP,DNS等信息。
图中的IPCP是NCP基于TCP/IP的接口协商协议。
Server和Client都要把自己的Miniport信息发送给对方6. PPP协议的CCP协商CCP协议协商PPP通讯中数据加密的协议L2TP和PPTP区别:L2TP:公有协议、UDP1701、支持隧道验证,支持多个协议,多个隧道,压缩字节PPTP:私有协议、TCP1723、不支持隧道验证,只支持IP、只支持点到点PPTP只能在两端间建立单一隧道,L2TP支持在两端点间使用多隧道,这样可以针对不同的用户创建不同的服务质量L2TP可以提供隧道验证机制,而PPTP不能提供这样的机制,但当L2TP或PPTP与IPsec共同使用时,可以由IPsec提供隧道验证,不需要在第二层协议上提供隧道验证机制PPTP要求互联网络为IP网络,而L2TP只要求隧道媒介提供面向数据包的点对点连接,L2TP可以在IP(使用UDP),FR,ATM,x.25网络上使用L2TP可以提供包头压缩。
当压缩包头时,系统开销(overhead)占用4个字节,而PPTP协议下要占用6个字节IPsec VPNIPsec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
IPsec VPN:是基于IPsec协议族构建的在IP层实现的安全虚拟专用网。
通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。

未经允许不得转载:选主机测评网 » VPN技术(IPsec/L2TP/SSLVPN/PPTP)学习笔记