VPN (虚拟专用网)发展至今已经不在是一个单纯的经过加密的访问隧道了,它已经融合了访问控制、传输管理、加密、路由选择、可用性管理等多种功能,并在全球的 信息安全体系中发挥着重要的作用。也在网络上,有关各种VPN协议优缺点的比较是仁者见仁,智者见智,很多技术人员由于出于使用目的考虑,包括访问控制、 安全和用户简单易用,灵活扩展等各方面,权衡利弊,难以取舍;尤其在VOIP语音环境中,网络安全显得尤为重要,因此现在越来越多的网络电话和语音网关支 持VPN协议。
一、PPTP
点对点隧道协议 (PPTP) 是由包括微软和3Com等公司组成的PPTP论坛开发的一种点对点隧道协,基于拨号使用的PPP协议使用PAP或CHAP之类的加密算法,或者使用 Microsoft的点对点加密算法MPPE。其通过跨越基于 TCP/IP 的数据网络创建 VPN 实现了从远程客户端到专用企业服务器之间数据的安全传输。PPTP 支持通过公共网络(例如 Internet)建立按需的、多协议的、虚拟专用网络。PPTP 允许加密 IP 通讯,然后在要跨越公司 IP 网络或公共 IP 网络(如 Internet)发送的 IP 头中对其进行封装。
二、L2TP
第 2 层隧道协议 (L2TP) 是IETF基于L2F (Cisco的第二层转发协议)开发的PPTP的后续版本。是一种工业标准 Internet 隧道协议,其可以为跨越面向数据包的媒体发送点到点协议 (PPP) 框架提供封装。PPTP和L2TP都使用PPP协议对数据进行封装,然后添加附加包头用于数据在互联网络上的传输。PPTP只能在两端点间建立单一隧道。 L2TP支持在两端点间使用多隧道,用户可以针对不同的服务质量创建不同的隧道。L2TP可以提供隧道验证,而PPTP则不支持隧道验证。但是当L2TP 或PPTP与IPSEC共同使用时,可以由IPSEC提供隧道验证,不需要在第2层协议上验证隧道使用L2TP。 PPTP要求互联网络为IP网络。L2TP只要求隧道媒介提供面向数据包的点对点的连接,L2TP可以在IP(使用UDP),桢中继永久虚拟电路 (PVCs),X.25虚拟电路(VCs)或ATM VCs网络上使用。
三、IPSec
IPSec 隧道模式隧道是封装、路由与解封装的整个过程。隧道将原始数据包隐藏(或封装)在新的数据包内部。该新的数据包可能会有新的寻址与路由信息,从而使其能够 通 过网络传输。隧道与数据保密性结合使用时,在网络上窃听通讯的人将无法获取原始数据包数据(以及原始的源和目标)。封装的数据包到达目的地后,会删除封 装,原始数据包头用于将数据包路由到最终目的地。
隧道本身是封装数据经过的逻辑数据路径,对原始的源和目的端,隧道是不可见的,而只能看到网络路径中的点对点连接。连接双方并不关心隧道起点和终点之间的任何路由器、交换机、代理服务器或其他安全网关。将隧道和数据保密性结合使用时,可用于提供VPN。
封装的数据包在网络中的隧道内部传输。在此示例中,该网络是 Internet。网关可以是外部 Internet 与专用网络间的周界网关。周界网关可以是路由器、防火墙、代理服务器或其他安全网关。另外,在专用网络内部可使用两个网关来保护网络中不信任的通讯。
当以隧道模式使用 IPSec 时,其只为 IP 通讯提供封装。使用 IPSec 隧道模式主要是为了与其他不支持 IPSec 上的 L2TP 或 PPTP VPN 隧道技术的路由器、网关或终端系统之间的相互操作。
四、SSL VPN
SSL协议提供了数据私密性、端点验证、信息完整性等特性。SSL协议由许多子协议组成,其中两个主要的子协议是握手协议和记录协议。握手协议允许 服务器和客户端在应用协议传输第一个数据字节以前,彼此确认,协商一种加密算法和密码钥匙。在数据传输期间,记录协议利用握手协议生成的密钥加密和解密后 来交换的数据。
SSL独立于应用,因此任何一个应用程序都可以享受它的安全性而不必理会执行细节。SSL置身于网络结构体系的 传输层和应用层之间。此外,SSL本身就被几乎所有的Web浏览器支持。这意味着客户端不需要为了支持SSL连接安装额外的软件。这两个特征就是SSL能 应用于VPN的关键点。
典型的SSL VPN应用如OpenVPN,是一个比较好的开源软件。PPTP主要为那些经常外出移动或家庭办公的用户考虑;而OpenVPN主要是针对企业异地两地总分公司之间的VPN不间断按需连接,例如ERP在企业中的应用。
五、OpenVPN产品特点与优势
OpenVPN 允许参与建立VPN的单点使用预设的私钥,第三方证书,或者用户名/密码来进行身份验证。它大量使用了OpenSSL加密库,以及SSLv3/TLSv1 协议。OpenVPN能在Linux、xBSD、Mac OS X与Windows 2000/XP上运行。它并不是一个基于Web的VPN软件,也不与IPsec及其他VPN软件包兼容。
● 隧道加密
OpenVPN使用OpenSSL库加密数据与控制信息:它使用了OpesSSL的加密以及验证功能,意味着,它能够使用任何OpenSSL支持的算法。它提供了可选的数据包HMAC功能以提高连接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。
OpenVPN提供了多种身份验证方式,用以确认参与连接双方的身份,包括:预享私钥,第三方证书以及用户名/密码组合。预享密钥最为简单,但同时 它只能用于建立点对点的VPN;基于PKI的第三方证书提供了最完善的功能,但是需要额外的精力去维护一个PKI证书体系。OpenVPN2.0后引入了 用户名/口令组合的身份验证方式,它可以省略客户端证书,但是仍有一份服务器证书需要被用作加密.
OpenVPN所有的通信都基于一个单一的IP端口,默认且推荐使用UDP协议通讯,同时TCP也被支持。OpenVPN连接能通过大多数的代理服 务器,并且能够在NAT的环境中很好地工作。服务端具有向客户端“推送”某些网络配置信息的功能,这些信息包括:IP地址、路由设置等。OpenVPN提 供了两种虚拟网络接口:通用Tun/Tap驱动,通过它们,可以建立三层IP隧道,或者虚拟二层以太网,后者可以传送任何类型的二层以太网络数据。传送的 数据可通过LZO算法压缩。IANA(Internet Assigned Numbers Authority)指定给OpenVPN的官方端口为1194。OpenVPN 2.0以后版本每个进程可以同时管理数个并发的隧道。
OpenVPN使用通用网络协议(TCP与UDP)的特点使它成为IPsec等协议的理想替代,尤其是在ISP(Internet service provider)过滤某些特定VPN协议的情况下。在选择协议时候,需要注意2个加密隧道之间的网络状况,如有高延迟或者丢包较多的情况下,请选择 TCP协议作为底层协议,UDP协议由于存在无连接和重传机制,导致要隧道上层的协议进行重传,效率非常低下。
OpenVPN与生俱来便具备了许多安全特性:它在用户空间运行,无须对内核及网络协议栈作修改;初始完毕后以chroot方式运行,放弃root权限;使用mlockall以防止敏感数据交换到磁盘。
OpenVPN通过PKCS#11支持硬件加密标识,如智能卡。
● 明确目标:以东北大学校园网VPN 部署为例
随着东北大学的校园网规模逐渐扩大和信息化建设的发展,越来越多的网络服务在校园网上运行。但网络的服务能力与不断发展的应用并不匹配。比如,学校内部的一些网络应用服务、信息化系统、网上办公等系统只允许校内的师生通过校园网访问,并不对外开放。这就给住在校外和出差的教职工访问这些资源造成困难。从电子图书馆的
应用就可见一斑。目前东北大学图书馆购买了一定数量的电子期刊,绝大部分电子期刊都是通过IP地址来控制用户访问的。所以通过其他ISP接入互联网的校外老师,都无法使用图书馆购买的电子资源。而 VPN 服务正好可以解决这些问题。
学校师生可以通过VPN 穿越互联网安全地访问校内的资源,可以通过VPN 获得校内的IP地址再来访问图书馆或购买电子资源。除了远程访问,VPN技术还为部门内部资源共享提供了支持。例如一些学校有分校区,在不同的校区都有相同的部门,如财务处、资产处等,这些部门内部都有自己的小网络,他们的内网是不允许校园网用户访问的。为了在不同校区之间的财务处、资产处内部共享信息,这些部门之间就需要通过 VPN 来实现资源共享。
目前东北大学由网络中心所提供的VPN 服务只有OpenVPN 这一种,在一些部门内部也有使用Windows自带的 PPTP/L2TPVPN 的,一般都是部门内部有小的局域网,通过 VPN 接入后访问网络内部的资源。我校建设 VPN 服务有明确的目标:
1.为出差在外教职工提供访问校内资源的入口,特别是访问图书馆资源的入口;
2.随着 CNGI-CERNET2 的推进,为出差在外教职工访问IPv6资源提供服务。
在选择技术模式时,我们认为,所选择的VPN技术和产品应该尽量适应各种环境。
● 比较技术
在架设VPN之前,对PPTP、IPSec、SSLVPN都有考察,最终根据我校的应用需求,决定应用了Open VPN服务。
个人觉得:PPTP对net支持得不好,很多情况下在一个net下面只有一个人可以访问这一类型的VPN服务;PPTP、IPSec对环境支持要求太高;IPSec灵活性太低,不适合太多移动用户;SSL VPN 应用类型有限,支持有限的Web proxy、port forward等一些基本的网络应用;MPLS VPN 是运营商级的 VPN 服务,如果学校有多个校区,MPLS VPN 应该有很好的发展潜力。在主流的VPN中,对用户IP变化不敏感的主要有PPTP 和 SSL VPN,但是由于PPTP穿越net效果不好,SSL VPN应用过于简单,所以不予采纳。而OpenVPN在设计之初就考虑了复杂的环境,通过技术手
段很好地解决了这些问题。并且在设计的时候还充分考虑了系统的扩展、与现有系统的整合、支持基于事件触发的脚本、支持基于脚本的用户验证等等。
● 使用经验
在建设 VPN 时,主要考虑的是网管如何维护、如何跟踪用户的行为、如何对事件进行追查。任何一套具有用户概念的系统都涉及用户管理,是否让用户在每套应用系统上都有独立的用户名和密码?从学校的实际情况出发,最终VPN用户与学校邮件系统共享用户信息,只要有邮件系统帐号的用户都可以使用VPN服务。这样一旦出现恶意下载事件,网管人员就可以有据可查,对于能访问图书馆资源的机器需要对用户访问过的URL 进行记录,以备事件追踪。
目前由于网络问题,VPN 的使用情况不容乐观,如果互联问题解决,相信 VPN的用户能有一个突破。由于OpenVPN是开源的,并且在设计之初就充分考虑了系统的扩展性,所以在VPN的基础上可以很方便地扩展。例如:计费、用户连接数、负载均衡等方面。OpenVPN支持UPD、TCP也支持通过HTTP代理连接服务器,极大的增加的OpenVPN的灵活性,适合更复杂的网络环境。在使用过程中应该多分析分析系统的日志,分析用户行为,最好可以通过程序
来实现。对于一些不可预见的问题可以及时发现,避免不必要的损失。
