慧聪网首页所有行业资讯中心企业管理商务指南展会访谈行业研究博客慧聪吧找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

确保VPN通信安全

2006/7/27/15:12 来源:赛迪网 作者:skid
    伴随信息技术应用变化的是基础网络架构的变化。传统上通过调制解调器或专用线路连接互联网用户的方式正逐渐被新兴虚拟专用网(VPN)所代替,VPN使用户可以通过互联网安全通信。在未来几年中,几乎所有的通信——括数据、话音和视频通信——都将能够安全地通过互联网进行。  

    VPN的前景非常吸引人,许多公司都开始制定自己的战略,利用互联网作为他们主要的传输媒介,甚至包括商业秘密数据的传输。如今,北电网络提供的解决方案不仅使客户可以建立各种类型的VPN,而且还可以把VPN集成到未来的话音和数据网络中。  

    VPN有许多类型,部署范围非常广泛:包括服务提供商为用户提供可管理的VPN服务,及企业自己建立并管理的VPN。VPN主要应用有3种类型:远程接入VPN、内联网VPN和外联网VPN。  

    部署VPN面临的挑战  

    无论企业选择使用哪一种或全部三种类型的VPN,都必须采取特殊的保护措施,以保证重要信息在公共互联网上传输时不会泄露。  

    保密性  

    最简单也是最常用的信息保密方法是采用加密技术扰乱数据,尽管加密算法较为复杂,但使用起来却方便易用。而随着网络用户的增加,实际上带来更大的挑战将是密钥管理。  

    完整性  

    完整性可以验证接收到的数据确实就是发送的数据。与保密性一样,完整性是使用数学算法来保证的;在这里,使用的是散列算法。它们使用数据包中的部分数据位算出长度固定的散列。  

    鉴权和可查性  

    鉴权和可查性是同一事物的两个方面。与任何一方通信时,重要的是要毫无疑问地证明网络另一端的人确实是他们声称的人。这被称为鉴权用户。另一方面,有时某一方可能会否认曾发送过信息。这种情况下,就可以使用可查性这一概念。可查性为用户提供证据,证明对方确实发送了信息或进行了交易。  

    IPsec协议  

    IPsec提供了一种针对IP协议的安全框架;长久以来,人们一致公认,IP本身缺乏安全性。IPsec提供网络层安全性,只要求两个通信端点支持IPsec标准。两个端点之间的所有其他网络设备只是完成IP数据包的转发。了解IPsec的关键是要弄清楚其涉及到的几个大的技术领域,包括:加密、鉴权和密钥管理。  

    加密  

    加密指根据某种数学算法将数据置乱。最简单的方法是,把加密算法看作一个密码锁,而密钥就是打开锁的号码。号码位数越多,潜在攻击者要攻破的组合变化也就越多。这样,密钥越长,算法的保护能力也就越强。加密算法有几种类型,包括:对称算法(专用密钥)、不对称算法(公共密钥)和散列算法。  

    密钥交换  

    IPsec中的密钥必须认真管理。管理IPsec中的密钥有两种方法:人工密钥管理和互联网密钥交换(IKE)。在人工密钥管理中,不同IPsec设备上的密钥是人工输入的。由于无法加密这些密钥,所以通常直接将密钥交给管理员,或通过邮件发送。  

    IPsec总是假定已有可用的SA(SA指两个通信实体间相互约定好的IPsec通信模式),但是,它要依赖于IKE协商这些SA。在大型、动态的互联网中,有时需要连接的双方从来没有进行过通信,而他们又不想等着网络管理员来进行详细配置。IKE是基于端口500的UDP协议,它用来协商SA,并为它的客户机提供用于鉴权的密钥交换。IKE在两个通信实体 (IKE SA)之间创建经过鉴权的安全隧道,然后为IPsec协商SA。  

    IKE鉴权有几种方法。使用预共享的密钥,每个主机(或安全网关)都拥有相同的预共享秘密。IKE使用密钥散列对不同实体进行鉴权。然后,另一个实体解密散列,看密钥是否匹配。  

    在公共密钥加密技术中,每个实体都生成一个随机号码,并用对方的公共密钥进行加密。如果另一实体能够计算该随机号码的散列,并发送回对方,则可以进行鉴权。利用数字签名,每个设备都以数字方式签下一个数据集,并把它发送给对方。这种方法与公共密钥技术类似,但是它添加了可查性功能。  

    防火墙  

    在任何VPN部署中,防火墙都是一个关键部件。尽管IPsec拥有许多内置鉴权功能,但是防火墙仍然是企业网络的第一道屏障。  

    在任何VPN方案中都需要认真考虑防火墙的位置。防火墙应该放在安全网关的里面还是外面,一直都是争论的焦点。最好的方案是把防火墙集成到VPN网关内(如北点网络的Contivity 安全IP网关),另一种方案是把VPN网关设立在防火墙的非军事区(DMZ)中,以确保整体网络的安全。  

    入侵检测  

    在VPN整体解决方案中,入侵检测变得越来越重要。它查询不同的主机和管理数据库,寻找是否有未经授权的用户正在登录网络或者曾登录网络上的迹象。虽然VPN 隧道和防火墙可以抵御大多数风险,入侵检测软件可以提供保护、监控,以抵御意外的风险。  

    例如:越来越多的攻击是由网络内部的用户发起的。因此,重要的是要知道哪些用户正在未经授权的情况下访问网络的资源。防火墙和Ipsec都不能防止这种类型的访问。  

    同样,如果用户在PC机上添加一个调制解调器以建立互联网连接,然后直接把网络连接到互联网,无意中制造一个后门。无论是防火墙、隧道或其他安装的安全系统,了解这些系统是否正常工作总是非常重要的,入侵检测软件就提供了这种保证措施。北电网络与入侵检测软件领域的领导者Internet Security Systems合作,提供VPN解决方案中的入侵检测部件。

我要评论

】 【打印