網際網路安全和VPN網絡設計
總覽
本文討論了與VPN相關的一些基本技術概念。虛擬專用網絡(VPN)使用Internet集成了遠程員工,公司辦公室和業務合作夥伴,並保護位置之間的加密隧道。Access VPN用於將遠程用戶連接到企業網絡。遠程工作站或便攜式計算機將使用電纜,DSL或無線之類的前往電路連接到本地Internet服務提供商(ISP)。使用客戶端啟動的模型,遠程工作站上的軟件使用IPSec,第2層隧道協議(L2TP)或點對點隧道協議(PPTP)建立從筆記本電腦到ISP的加密隧道。用戶必須通過ISP身份驗證為允許的VPN用戶。一旦完成,ISP將建立到公司VPN路由器或集中器的加密隧道。TACACS,RADIUS或Windows服務器會將遠程用戶身份驗證為允許前往公司網絡的員工。完成此操作後,遠程用戶必鬚根據本地網絡帳戶所在的位置向本地Windows域服務器,Unix服務器或大型機主機進行身份驗證。ISP發起的模型不如客戶端發起的模型安全,因為加密隧道僅從ISP到公司VPN路由器或VPN集中器建立。同樣,安全VPN隧道是使用L2TP或L2F構建的。ISP發起的模型不如客戶端發起的模型安全,因為加密隧道僅從ISP到公司VPN路由器或VPN集中器建立。同樣,安全VPN隧道是使用L2TP或L2F構建的。ISP發起的模型不如客戶端發起的模型安全,因為加密隧道僅從ISP到公司VPN路由器或VPN集中器建立。同樣,安全VPN隧道是使用L2TP或L2F構建的。
Extranet VPN將通過建立從業務夥伴路由器到公司VPN路由器或集中器的安全VPN連接,將業務夥伴連接到公司網絡。使用的特定隧道協議取決於是路由器連接還是遠程撥號連接。路由器連接的Extranet VPN的選項是IPSec或通用路由封裝(GRE)。撥號外聯網連接將使用L2TP或L2F。Intranet VPN將使用與隧道協議相同的IPSec或GRE流程,通過安全連接連接公司辦公室。重要的是要注意,使VPN具有很高的成本效益和效率的原因是它們利用現有的Internet來傳輸公司流量。這就是為什麼許多公司選擇IPSec作為安全性協議的首選,以確保信息在路由器或便攜式計算機與路由器之間傳播時是安全的。IPSec由3DES加密,IKE密鑰交換身份驗證和MD5路由身份驗證組成,它們提供身份驗證,授權和機密性。
網際網路協議安全(IPSec)
IPSec操作值得注意,因為它是當今虛擬專用網絡使用的一種普遍使用的安全協議。IPSec由RFC 2401指定,並被開發為用於在公共Internet上安全傳輸IP的開放標準。數據包結構由IP頭/ IPSec頭/封裝安全有效載荷組成。IPSec通過3DES提供加密服務,並通過MD5提供身份驗證。此外,還有Internet密鑰交換(IKE)和ISAKMP,可自動在IPSec對等設備(集中器和路由器)之間分配密鑰。這些協議是協商單向或雙向安全關聯所必需的。IPSec安全關聯由加密算法(3DES),哈希算法(MD5)和身份驗證方法(MD5)組成。Access VPN實施對每個連接(發送,接收和IKE)利用3個安全關聯(SA)。具有許多IPSec對等設備的企業網絡將利用證書頒發機構來擴展身份驗證過程,而不是使用IKE /預共享密鑰。
筆記本電腦-VPN集中器IPSec對等連接
- IKE安全協會協商
- IPSec隧道設置
- XAUTH請求/響應-(RADIUS服務器身份驗證)
- 模式配置響應/確認(DHCP和DNS)
- IPSec安全協會
前往VPN設計
Access VPN將利用本地網際網路服務提供商提供的WiFi,DSL和電纜前往電路,利用可用性和低成本Internet連接到公司的核心辦公室。主要問題在於,公司數據在從遠程辦公筆記本電腦到公司核心辦公室的整個Internet傳輸過程中必須受到保護。將使用客戶端啟動的模型,該模型從每個客戶端便攜式計算機構建一個IPSec隧道,該隧道在VPN集中器處終止。每台筆記本電腦都將配置VPN客戶端軟件,該軟件將在Windows上運行。遠程辦公人員必須首先撥打本地前往號碼,並通過ISP進行身份驗證。RADIUS服務器將把每個撥號連接認證為授權的通勤者。完成後,遠程用戶將使用Windows進行身份驗證和授權,啟動任何應用程序之前,請使用Solaris或Mainframe服務器。如果其中一個不可用,將配置雙VPN集中器,以使用虛擬路由冗餘協議(VRRP)進行故障轉移。
每個集中器都連接在外部路由器和防火牆之間。VPN集中器的一項新功能可防止來自外部黑客的拒絕服務(DOS)攻擊,這可能會影響網絡可用性。防火牆配置為允許源IP地址和目標IP地址,這些地址已從預定義範圍分配給每個遠程辦公人員。同樣,將通過所需的防火牆允許任何應用程序和協議端口。
Extranet VPN設計
Extranet VPN旨在允許從每個業務合作夥伴辦公室到公司核心辦公室的安全連接。安全是主要重點,因為將利用Internet傳輸每個業務夥伴的所有數據流量。每個業務合作夥伴之間都有電路連接,該電路連接將在公司核心辦公室的VPN路由器處終止。核心辦公室中的每個業務夥伴及其對等VPN路由器都將使用帶有VPN模塊的路由器。該模塊可在數據包通過Internet傳輸之前提供IPSec和數據包的高速硬件加密。公司核心辦公室的對等VPN路由器被雙歸屬到不同的多層交換機,以在鏈路之一不可用時實現鏈路多樣性。重要的是,來自一個業務夥伴的流量不能 最終到達另一個業務合作夥伴辦公室。交換機位於外部和內部防火牆之間,用於連接公共服務器和外部DNS服務器。這不是安全問題,因為外部防火牆正在過濾公共Internet流量。
另外,還可以在每個網絡交換機上實施過濾,以防止發布路由或利用漏洞在公司核心辦公室多層交換機上建立業務夥伴連接。將在每個網絡交換機上為每個業務夥伴分配單獨的VLAN,以提高安全性和子網流量的分段。第2層外部防火牆將檢查每個數據包,並允許其具有業務合作夥伴的源和目標IP地址,應用程序和協議端口。業務合作夥伴會話將必須通過RADIUS服務器進行身份驗證。完成後,它們將在啟動任何應用程序之前在Windows,Solaris或大型機主機上進行身份驗證。