如何识别VPN网络

安全
自从IPSec(IP security)标准的最终版本发行之后,在IPSec VPN的安全性、可靠性和易管理性等方面,给了企业的网络管理员很大的信心。

当网络管理员开始配置基于IPSec的VPN时,需要密切关注IPSec标准中的身份验证,以便能够支持远程的接入。在三种支持IPSec的IKE(Internet Key Exchange)规范验证类型中,只有基于数字鉴定的验证能够支持远程用户的安全接入,而数字鉴定需要企业网支持公共密钥架构(PKI,Public Key Infrastructure)。

实际上,能在其企业的IT基础设施内部拥有完整的PKI和数字鉴定的组织很少。但是,企业网络拥有大量已安装的用户验证系统,它们是以其他一些技术为基础的,如RSA的SecurID卡,或者是通过RADIUS服务器访问的用户/密码数据库。实际上,可以利用这些认证机制实现IPsec。

CRACK用不对称认证

适当改变IPSec的目的是使远程接入的用户更容易使用基于IPsec的产品,这种改变最困难的领域在于终端用户的验证。在XAUTH(eXtended Authentication)、混合验证(Hybrid Authentication)和CRACK(Challenge/Response Authentication of Cryptographic Key)这三个验证系统中,CRACK是最新的,它允许不对称形式的验证。

通过CRACK协议对IKE添加一个新的验证方法,保留了IKE原有的安全性能。这是存在于CRACK和XAUTH和混合验证之间的主要差异。CRACK的一个重要目标是不必为可用性而牺牲安全性。

CRACK验证

将对称的VPN验证方法改为不对称的验证方法的实现方法是,将PKI用于VPN服务器,而将传统认证方法(LAM )用于VPN客户,这是CRACK的主要属性。

CRACK认证过程

当VPN服务器和终端用户开始其验证对话时,用户表明他需要使用CRACK,如果VPN服务器支持CRACK,它就会通过出示其数字鉴定的验证来做出响应。这种对话提供了VPN服务器到终端用户的明确验证。

许多VPN厂商在他们的产品中提供了“微型PKI”,它能为服务器发放鉴定,或者能够使用Windows 2000 Server的简单PKI产品。

一旦服务器对用户进行了验证,那么对服务器进行验证就是用户的责任了。在CRACK体系中,用户对服务器的鉴定采用LAM。CRACK可支持任何LAM,包括简单的用户名/密码对、询问/响应标记、时间标记,如SecurID等。CRACK允许终端用户和VPN服务器之间任意长的对话,这一点能够支持一些重要的特征,例如,改变标记卡上的个人识别码等。

只有当用户进行了完全的鉴定之后,才产生了IKE的安全联合,然后,建立了VPN隧道。

CRACK可以使远程接入的用户能够使用LAM,它是第一个能够保持IKE互验性能的提案。在远程接入VPN时,与传统的IPSec VPN相比,网络管理员对CRACK具有同样的信心。

【编辑推荐】

  1. 一样的VPN但不一样的安全防护
  2. ERP远程安全接入得益于SSL VPN
责任编辑:张恬恬 来源: 互联网
相关推荐

2013-02-22 09:27:58

2009-12-09 09:37:00

2010-06-29 16:56:48

2010-05-11 10:22:28

2010-12-15 11:24:35

2012-03-19 10:55:27

JavaSocket

2018-03-22 09:51:48

CAN网络协议

2019-10-12 17:42:33

2010-02-22 11:00:05

CCIE

2011-11-07 15:52:05

2010-04-19 11:48:39

2011-08-02 16:17:00

2009-05-09 16:53:47

2011-12-26 11:22:48

2012-02-22 10:16:54

2015-04-21 10:23:11

2009-09-02 15:08:47

2009-12-29 15:24:09

VPN网络建设

2011-03-21 14:04:38

2010-03-31 17:29:26

点赞
收藏

51CTO技术栈公众号