PowerPoint 演示文稿

Size: px

Start display at page:

Download "PowerPoint 演示文稿"

糊焦
4 years ago
Views:

1 (2019 秋季, 网络安全, 编号 :CS05154) 第 4 章虚拟专用网络 (VPN) 技术中国科学技术大学曾凡平 billzeng@ustc.edu.cn 主要内容 1. 概述 VPN 的功能和原理 VPN 的分类 2. 基于第 2 层隧道协议的 PPTP VPN 和 L2TP VPN 3. 基于第 3 层隧道协议的 IPSec VPN IPSec 的组成和工作模式认证协议 AH 封装安全载荷 ESP 安全关联与安全策略 4. Windows 环境下的 VPN VPN 技术概述 VPN(Virtual Private Network) 即虚拟专用网络, 是企业网在因特网 ( 或其他公共网络 ) 上的扩展 VPN 在因特网上开辟一条安全的隧道, 以保证两个端点 ( 或两个局域网 ) 之间的安全通信 VPN 构建于廉价的因特网之上, 可以实现远程主机与局域网 ( 内网 ) 之间的安全通信, 也可以实现任何两个局域网之间的安全连接 Microsoft Windows 和 Linux 的任何一个版本都可以用作 VPN 客户端,Windows Server 以及 Linux 的服务器版本均可以配置为 VPN 服务器因此, 从经济性和安全性考虑,VPN 是企业实现安全通信的一个很好的选择 VPN 的功能和原理 VPN 的功能是将因特网虚拟成路由器, 将物理位置分散的局域网和主机虚拟成一个统一的虚拟企业网 VPN 综合利用了隧道技术加密技术鉴别技术和密钥管理等技术, 在公共网络之上建立一个虚拟的安全通道, 实现两个网络或两台主机之间的安全连接图 1 所示的是企业使用 VPN 的两种典型模式 VPN 技术 3 VPN 技术 4 图 1 (a) 远程用户访问企业内网图 1(b) 企业分支机构之间的局域网互联因特网 Secure Tunnel 合肥合肥 VPN 服务器 A 因特网 Secure Tunnel 上海 VPN 服务器 B 远程主机纽约 VPN 服务器 A /24 图 1 (a) 远程用户访问企业内网 /24 图 1(b) 企业分支机构之间的局域网互联 / VPN 技术 5 VPN 技术 6 1

2 图 2 VPN 将因特网虚拟成一个路由器 VPN 的分类伦敦纽约远程主机远程主机 / /24 因特网合肥上海图 2 VPN 将因特网虚拟成一个路由器根据应用场合,VPN 可以大致分为二类 : 远程访问 VPN 和网关网关 VPN (1) 远程访问 VPN 它是为企业员工从外地访问企业内网而提供的 VPN 解决方案, 如图 1(a) 所示当公司的员工出差到外地需要访问企业内网的机密信息时, 为了避免信息传输过程中的泄密, 他们的主机首先以 VPN 客户端的方式连接到企业的远程访问 VPN 服务器, 此后远程主机到内网主机的通信将加密, 从而保证了通信的安全性 VPN 技术 7 VPN 技术 8 从应用的观点分类 (2) 网关网关 VPN 也称为网络网络 VPN, 如图 1(b) 所示这种方案通过不安全的因特网实现两个或多个局域网的安全互联在每个局域网的出口处设置 VPN 服务器, 当局域网之间需要交换信息时, 两个 VPN 服务器之间建立一条安全的隧道, 保证其中的通信安全这种方式适合企业各分支机构商业合作伙伴之间的网络互联按隧道协议分类隧道协议 (Tunneling Protocol) 是一个网络协议的载体使用隧道的原因是在不兼容的网络上传输数据, 或在不安全网络上提供一个安全路径隧道协议可能使用数据加密技术来保护所传输的数据隧道协议实现在 OSI 模型或 TCP/IP 模型的各层协议栈根据 VPN 协议在 OSI(7 层 ) 模型的实现层次,VPN 大致可以分为 : 第 2 层隧道协议第 3 层隧道协议第 4 层隧道协议以及基于第 2 3 层隧道协议 ( MPLS) 之间的 VPN VPN 技术 9 VPN 技术 10 按隧道协议分类隧道协议与 OSI 分层协议模型 (1) 第 2 层隧道协议主要包括点到点隧道协议 (PPTP) 第二层转发协议 (L2F) 第 2 层隧道协议 (L2TP) 主要用于实现远程访问 VPN (2) 第 3 层隧道协议主要是 IP 安全 (IPSec), 用于在网络层实现数据包的安全封装 IPSec 主要用于实现网关网关 VPN, 也可以实现主机主机的安全连接 (3) 第 4 层隧道协议 (SSL) 在传输层上实现数据的安全封装, 主要用于保护两台主机的两个进程间的安全通信安全的 Web 安全的电子邮件等均使用了第 4 层隧道协议 (4) 基于第 2 3 层隧道协议也称为 2.5 层隧道协议, 是利用 MPLS 路由器的标签特性实现的 VPN 应用层 ( 第 7 层 ) 表示层会话层传输层网络层 ( 第 3 层 ) 数据链路层物理层 ( 第 1 层 ) 第 4 层隧道协议第 3 层隧道协议第 2 层隧道协议图 3 隧道协议与 OSI 分层协议模型 2.5 层隧道协议 VPN 技术 11 VPN 技术 12 2

3 4.2 基于第 2 层隧道协议的 VPN PPTP VPN 第 2 层隧道协议在数据链路层对数据报进行封装, 主要用于远程访问 VPN 目前常用的有点到点隧道协议 (PPTP) 第二层转发协议 (L2F) 第 2 层隧道协议 (L2TP) 本节介绍目前最广泛使用的两种远程访问 VPN, 即 PPTP VPN 和 L2TP VPN 点对点隧道协议 ( Point to Point Tunneling Protocol, 缩写为 PPTP ) 是实现虚拟专用网 (VPN) 的方式之一 PPTP 使用传输控制协议 (TCP) 创建控制通道来传送控制命令, 以及利用通用路由封装 (GRE) 通道来封装点对点协议 (PPP) 数据包以传送数据这个协议最早由微软等厂商主导开发, 但因为它的加密方式容易被破解, 微软已经不再建议使用这个协议 VPN 技术 13 VPN 技术 14 PPTP 协议 PPTP 的协议规范本身并未描述加密或身份验证的部份, 它依靠点对点协议 (PPP) 来实现这些安全性功能因为 PPTP 协议内置在微软 Windows 家族的各个产品中, 在微软点对点协议 (PPP) 协议堆栈中, 提供了各种标准的身份验证与加密机制来支持 PPTP 在微软 Windows 中, 它可以搭配 PAP CHAP MS-CHAP v1/v2 或 EAP-TLS 来进行身份验证通常也可以搭配微软点对点加密 (MPPE) 或 IPSec 的加密机制来提高安全性在 Windows 或 Mac OS 平台之外,Linux 与 FreeBSD 等平台也提供开放源代码的版本 PPTP 协议 PPTP 是由微软 Ascend Communications( 现在属于 Alcatel-Lucent 集团 ) 3Com 等厂商联合形成的产业联盟开发 1999 年 7 月出版的 RFC 2637 是第一个正式的 PPTP 规格书 PPTP 以通用路由封装 (GRE) 协议向对方作一般的点对点传输通过 TCP 1723 端口来发起和管理 GRE 状态因为 PPTP 需要 2 个网络状态, 因此会对穿越防火墙造成困难很多防火墙不能完整地传递连接, 导致无法连接在 Windows 或 Mac OS 平台, 通常 PPTP 可搭配 MSCHAP-v2 或 EAP-TLS 进行身份验证, 也可配合微软点对点加密 (MPPE) 进行连接时的加密 VPN 技术 15 VPN 技术 16 PPTP 帧的封装格式 IP TCP/UDP 用户数据原始 IP 数据报 PPTP 因为易于设置和使用而流行自 Microsoft Windows 95 OSR2 开始的 Windows 系统包含 PPTP 客户端, 而自 Windows NT 开始的服务器版本在其路由和远程访问服务中实现了 VPN 服务 IP GRE PPP PPP IP IP TCP/UDP 用户数据 TCP/UDP 用户数据封装在 PPP 帧中封装在 GRE 帧中并添加 IP 头以往,Linux 缺乏完整的 PPTP 支持, 这是因为 MPPE 是软件专利但是, 自从在 2005 年 10 月 28 日发布的 Linux 起 Linux 核心提供完整的 PPTP 支持 ( 包含对 MPPE 的支持 ) 图 4 PPTP 帧的封装格式 VPN 技术 17 VPN 技术 18 3

4 4.2.2 L2TP VPN L2TP 协议第二层隧道协议 ( Layer Two Tunneling Protocol, 缩写为 L2TP) 是一种由 RFC 2661 定义的数据链路层隧道协议, 是一种虚拟隧道协议, 通常用于虚拟专用网互联网工程任务组于 1999 年 8 月发布 RFC 2661, 制定了 L2TP 协议的标准 2005 年, 互联网工程任务组发布 RFC 3931, 制定了该协议标准的新版本 L2TPv3 L2TP 协议自身不提供加密与可靠性验证的功能, 可以和安全协议搭配使用, 从而实现数据的加密传输经常与 L2TP 协议搭配的加密协议是 IPsec, 当这两个协议搭配使用时, 通常合称 L2TP/IPsec L2TP 支持包括 IP ATM 帧中继 X.25 在内的多种网络在 IP 网络中,L2TP 协议使用了 UDP 1701 端口因此, 在某种意义上, 尽管 L2TP 协议的确是一个数据链路层协议, 但在 IP 网络中, 它又的确是一个会话层协议 VPN 技术 19 VPN 技术基于第 3 层隧道协议的 IPSec VPN 互联网安全协议 (Internet Protocol Security, 缩写为 IPsec), 是通过对 IP 协议 ( 互联网协议 ) 的分组进行加密和认证来保护 IP 协议的网络传输协议族 ( 一些相互关联的协议的集合 ) 第一版 IPsec 协议在 RFC 中定义第二版 IPsec 协议的标准文档在 2005 年发布, 新的文档定义在 RFC 4301 RFC 4309 中 IPsec 协议工作在 OSI 模型的第三层 ( 网络层或 TCP/IP 模型的 IP 层 ), 使其在单独使用时适于保护基于 TCP 或 UDP 的协议 ( 如安全套接子层 (SSL) 就不能保护 UDP 层的通信流 ) 这就意味着, 与传输层或更高层的协议相比,IPsec 协议必须处理可靠性和分片的问题, 这同时也增加了它的复杂性和处理开销相对而言,SSL/TLS 依靠更高层的 TCP(OSI 的第四层 ) 来管理可靠性和分片 VPN 技术 21 VPN 技术 IPSec 的组成和工作模式 IPSec 是一个开放的标准, 由一序列的协议组成, 其中最重要的协议有三个 : 认证头 AH (Authentication Headers) 封装安全有效载荷 ESP (Encapsulating Security Payloads) 和安全联盟 SA (Security Associations) 各部分的功能如下 : (1) 认证头 AH (Authentication Headers):AH 为 IP 数据报实现无连接的完整性和数据源认证功能, 并能抵抗重放攻击 IPSec 的组成 (2) 封装安全有效载荷 ESP (Encapsulating Security Payloads):ESP 实现保密性数据源认证无连接的完整性抵抗重放攻击的服务 ( 一种形式的部分序列完整性 ) 和有限的网络流的保密性 (3) 安全联盟 SA (Security Associations):SA 给出算法和数据的集合, 以向 AH 或 ESP 的操作提供必须的参数安全联盟和密钥管理协议 ISAKMP ( Internet Security Association and Key Management Protocol ) 提供了认证和密钥交换的框架该框架支持手工配置的预共享密钥以及通过其他方法获得的密钥, 这些方法包括 :Internet 密钥交换 (IKE 和 IKEv2 协议 ) KINK(Kerberized Internet Negotiation of Keys) IPSECKEY DNS 记录 VPN 技术 23 VPN 技术 24 4

5 IPSec 的工作模式认证协议 AH IPSec 有两种工作模式 : 传输模式和隧道模式 1. 传输模式用于两台主机之间的连接, 在 IP 层封装主机主机的分组 ; 2. 隧道模式用于两个网关之间的连接, 在 IP 层封装网关网关的分组, 可穿过公共网络 ( 如 Internet) 实现局域网之间的互联 AH 和 ESP 均支持传输模式和隧道模式, 实现认证和 ( 或 ) 加密等安全功能 IP 认证头 AH(IP Authentication Header) 定义在 RFC4302 中, 实现 IP 数据报的认证完整性和抗重放攻击 AH 数据报直接封装在 IP 数据报中, 如果 IP 数据包的协议字段为 51, 表明 IP 头之后是一个 AH 头 AH 和 ESP 同时保护数据时, 在顺序上, AH 头在 ESP 头之后 VPN 技术 25 VPN 技术 26 图 5(a) AH 的传输模式图 5(b) AH 的隧道模式原始 IP 数据包原 IP 头 TCP/UDP 头数据原始 IP 数据包原 IP 头 TCP/UDP 头数据新 IP 头 AH 头 TCP/UDP 头数据认证范围传输模式 AH: 新 IP 头拷贝自原 IP 头, 将协议字段改为 51, 原协议字段拷贝到 AH 头的下一个头新 IP 头 AH 头原 IP 头 TCP/UDP 头数据认证范围隧道模式 AH: 重建 IP 头, 新 IP 头的 IP 地址改成网关的 IP 地址, 协议字段为 51,AH 头中的下一个头为 4 或 41( 对于于 IPv6), 原始数据包拷贝到 AH 头之后 VPN 技术 27 VPN 技术 28 图 6 AH 头的格式位下一个头载荷长度保留安全参数索引 (SPI) 序列号完整性验证数据 ICV( 长度可变 ) VPN 技术 29 1 下一个头 (Next Header):8-bits, 标识 AH 头后的载荷 ( 协议 ) 类型在传输模式下可为 6( TCP) 或 17 (UDP); 在隧道模式下将是 4(IPv4) 或 41 (IPv6) 2 载荷长度 (Payload Length):8-bits, 表示 AH 头本身的长度, 以 32-bits 为单位 3 保留 (Reserved):16-bits, 保留字段, 未使用时必须设为 0 4 安全参数索引 SPI (Security Parameters Index):32-bits, 接收方用于标识对应的安全关联 (SA) 5 序列号 (Sequence Number):32-bits, 是一个单向递增的计数器, 提供抗重播功能 (anti-replay) 6 完整性验证数据 ICV(Integrity Check Value): 这是一个可变长度 ( 必须是 32 比特的整数倍 ) 的域, 长度由具体的验证算法决定完整性验证数据 ICV 验证 IP 数据包的完整性, 因此 ICV 的计算包含了整个 IP 数据包 VPN 技术 30 5

6 4.3.3 封装安全载荷 ESP IP 封装安全载荷 ESP (IP Encapsulating Security Payload) 定义在 RFC 4303 中, 实现 IP 数据报的认证完整性抗重放攻击和加密 ESP 可以实现 AH 的所有功能, 然而由于 AH 比 ESP 出现得更早,AH 至今未被废弃与 AH 协议一样,ESP 的数据报也直接封装在 IP 数据报中, 如果 IP 数据包的协议字段为 50, 表明 IP 头之后是一个 ESP 数据报 ESP 数据报由四部分组成, 分别是 : 头部加密数据 ( 包括 ESP 尾 ) 和 ESP 验证数据图 7 (a) 传输模式的 ESP 原始 IP 报文 IP 头负载受 ESP 保护的的 IP 报文新 IP 头 ESP 头负载 ESP 尾 ESP 验证数据加密范围认证范围传输模式 ESP: 新 IP 头拷贝自原 IP 头, 将协议字段改为 50, 原协议字段拷贝到 ESP 尾的下一个头 VPN 技术 31 VPN 技术 32 图 7 (b) 隧道模式的 ESP 图 8 ESP 的数据报格式原始 IP 报文受 ESP 保护的的 IP 报文新 IP 头 ESP 头 IP 头负载 IP 头负载 ESP 尾 ESP 验证数据加密范围认证范围隧道模式 ESP: 重建 IP 头, 新 IP 头的 IP 地址改成网关的 IP 地址, 协议字段为 50,ESP 尾中的下一个头为 4 或 41( 对于 IPv6), 原始数据包和 ESP 尾加密后拷贝到 ESP 头之后 ESP 头部 ESP 尾部 ESP 载荷安全参数索引 (SPI) 序列号填充项 (0~255) 填充长度下一头部加密范围验证范围 ESP 验证数据验证数据 (ICV) VPN 技术 33 VPN 技术 34 安全参数索引 SPI(32-bits): 在 IKE 交换过程中由目标主机选定, 与 IP 头之前的目标地址以及协议结合在一起, 用来标识用于处理数据包的特定的那个安全关联 SPI 经过验证, 但并未加密序列号 (32-bits): 它是一个唯一的单向递增的计数器, 与 AH 类似, 提供抵抗重播攻击的能力填充项 (0~255 bytes): 由具体的加密算法决定填充长度 (8-bits): 接收端可以据此恢复载荷数据的真实长度下一头部 (8-bits): 标识受 ESP 保护的载荷的 ( 协议 ) 类型在传输模式下拷贝自原 IP 数据报头中的协议值 ; 在隧道模式下可为 4(IPv4) 或 41 (IPv6) 验证数据 ( 完整性校验值 ICV): 一个经过密钥处理的散列值, 验证范围包括 ESP 头部被保护的数据以及 ESP 尾部其长度与具体的验证算法有关, 但必须是 32bits 的整数倍安全关联与安全策略在 AH 和 ESP 头中有一个 32bits 的安全参数索引 SPI, 用于标识通信的两端采用的 IPSec 安全关联 SA(Security Associations) SA 保存于通信双方的安全关联数据库中, SA 根据安全策略手工或自动创建, 安全策略保存在安全策略数据库中安全关联 SA 与安全策略定义在 RFC 4301 中 VPN 技术 35 VPN 技术 36 6

7 (1) 安全关联与安全关联数据库安全关联 (SA) 是两个通信实体协商建立起来的一种安全协定, 例如,IPSec 协议 (AH 或 ESP) IPSec 的操作模式 ( 传输模式和隧道模式 ) 加密算法验证算法密钥密钥的存活时间等安全关联 SA 是单工的 ( 即单向的 ), 输出和输入都需要独立的 SA SA 是通过 IKE 密钥管理协议在通信双方之间来协商的, 协商完成后, 通信双方都会在它们的安全关联数据库 ( SAD) 中存储该 SA 参数一个安全关联由下面三个参数唯一确定 : 1. 安全参数索引号 (SPI): 一个与 SA 相关的位串, 由 AH 和 ESP 携带, 使得接收方能选择合适的 SA 处理数据包 2. IP 目的地址 : 目前只允许使用单一地址, 表示 SA 的目的地址 3. 安全协议标识 : 标识该 SA 是 AH 安全关联或 ESP 安全关联每个 SA 条目除了有上述参数外, 还有下面的参数 : (1) 序列号计数器 : 一个 32 位的值, 用于生成 AH 或 ESP 头中的序号字段, 在数据包的外出处理时使用 VPN 技术 37 VPN 技术 38 (2) 序列号溢出 : 用于输出包处理, 并在序列号溢出的时候加以设置, 安全策略决定了一个 SA 是否仍可用来处理其余的包 (3) 抗重放窗口 : 用于确定一个入栈的 AH 或 ESP 包是否是重放 (4)AH 信息 :AH 认证算法密钥密钥生存期和其他 AH 的相关参数 (5)ESP 信息 :ESP 认证和加密算法密钥初始值密钥生存期和其他 ESP 的相关参数 (6)SA 的生存期 : 一个 SA 最长能存在的时间到时间后, 一个 SA 必须用一个新的 SA 替换或终止 (7)IPSec 协议模式 : 隧道传输通配符 ( 隧道模式传输模式均可 ) (8) 路径 MTU: 在隧道模式下使用 IPSec 时, 必须维持正确的 PMTU 信息, 以便对这个数据包进行相应的分段 VPN 技术 39 (2) 安全策略和安全策略数据库 SPD 安全策略决定了为一个数据包提供的安全服务, 它保存在安全策略数据库 SPD 中 SPD 中的每一个安全策略条目由一组 IP 和上层协议字段值组成, 即下面提到的选择符安全策略数据库 (SPD) 记录了对 IP 数据流 ( 根据源 IP 目的 IP 上层协议以及流入还是流出 ) 采取的安全策略每一安全策略条目可能对应零条或多条 SA 条目, 通过使用一个或多个选择符来确定某一个 SA 条目 VPN 技术 40 IPSec 允许的选择符 (1) 目的 IP 地址 : 可以是主机地址地址范围或者通配符 (2) 源 IP 地址 : 可以是主机地址地址范围或者通配符 (3) 源 / 目的端口 (4) 用户 ID: 操作系统中的用户标识 (5) 数据敏感级别 (6) 传输层协议 (7)IPSec 协议 (AH,ESP,AH/ESP) (8) 服务类型 (TOS) 4.4 Windows 环境下的 VPN 目前流行的 Windows 系统各版本均支持远程访问 VPN 客户端,Windows Server 支持远程访问服务及 IPSec 服务本节详细介绍远程访问 VPN 和网关网关 VPN 在 Windows 环境下的配置使用方法 VPN 技术 41 VPN 技术 42 7

4.4.1 用 Windows2003 实现远程访问 VPN 图 9 远程访问 VPN 的架构基于第 2 层隧道协议的 PPTP VPN 用于实现主机到企业内网的远程访问 PPTP VPN 由 PPTP VPN 客户端和 PPTP VPN 服务器组成 Windows 系统的桌面版本如 Windows XP Windows Vista

z VMnet7 VMnet5 VMnet6 Router 路由器模拟因特网 VMnet1 VPN Server 局域网 192.168.86.

?? (1) 配置路由器 Router Client B Windows 2003 VMnet1 IP: 自动获取 VPN Server Windows Server 2003 VMnet1 VMnet6 IP: 自动获取 IP:166.66.66.67 Subnet Mask: 255.255.0.0 GateWay:?

8 4.4.1 用 Windows2003 实现远程访问 VPN 图 9 远程访问 VPN 的架构基于第 2 层隧道协议的 PPTP VPN 用于实现主机到企业内网的远程访问 PPTP VPN 由 PPTP VPN 客户端和 PPTP VPN 服务器组成 Windows 系统的桌面版本如 Windows XP Windows Vista Windows 7 Windows 8 以及 Windows 的服务器版本均包含了 PPTP VNP 客户端软件, 而 Windows 的服务器版本包含了 PPTP VPN 服务器软件在此以 Windows XP 和 Windows Server 2003 为例说明 PPTP VPN 的配置及使用方法 Client A 55.x.y.z VMnet7 VMnet5 VMnet6 Router 路由器模拟因特网 VMnet1 VPN Server 局域网 /24 Client B VMnet x VPN 技术 43 VPN 技术 44 表 1 虚拟机的配置机器名系统及必备软件虚拟网络 IP 地址信息 Client A Windows 2003 VMnet5 IP: 自动获取 GateWay:??? (1) 配置路由器 Router Client B Windows 2003 VMnet1 IP: 自动获取 VPN Server Windows Server 2003 VMnet1 VMnet6 IP: 自动获取 IP: Subnet Mask: GateWay:??? Router VMnet5 Windows Server 2003 安装了 Wireshark 软件 VMnet6 g/ VMnet7 IP: Subnet Mask: IP: Subnet Mask: IP: Subnet Mask: VPN 技术 45 图 10 选用路由和远程访问 VPN 技术 46 打开路由和远程访问管理界面图 11 路由和远程访问管理界面图 12 选择配置并启用路由和远程访问 VPN 技术 47 VPN 技术 48 8

图 13 路由和远程访问服务器安装向导 VPN 技术图 14 选择 LAN 路由

9 图 13 路由和远程访问服务器安装向导 VPN 技术图 14 选择 LAN 路由 50 VPN 技术 49 必须先禁用防火墙 (ICS) 才能配置路由和远程访问服务图 15 启用路由和远程访问服务图 16 禁用防火墙和因特网连接共享 VPN 技术 51 VPN 技术 52 (2) 配置远程访问服务器 VPN Server 首先按图 16 所示的方法禁用防火墙和因特网连接共享, 然后打开路由和远程访问服务器安装向导, 选择远程访问 ( 拨号或 VPN) ( 也可选择虚拟专用网络 (VPN) 访问和 NAT ) 依次按照图所示的步骤配置服务器 VPN 技术 53 VPN 技术图 17 配置为远程访问 ( 拨号或 VPN) 54 9

图 18 选择 VPN VPN 技术图 19 选择连接到 Internet 的网络接口 56 VPN 技术 55 图 20

$IP 在 VPN 服务器的命令提示符下运行 IPConfig, 得到如下输出 : c:\hktools>ipconfig$ : IP Address............ : 166.66.66.203 Subnet Mask........... : 255.

66.66.66 Ethernet adapter 本地连接 3: Connection-specific DNS Suffix.

10 图 18 选择 VPN VPN 技术图 19 选择连接到 Internet 的网络接口 56 VPN 技术 55 图 20 选择待管理的用户 ( 如 VPN) VPN 技术 57 VPN 技术图 21 选择允许访问 58 查看 VPN 服务器的 IP 在 VPN 服务器的命令提示符下运行 IPConfig, 得到如下输出 : c:\hktools>ipconfig Ethernet adapter 本地连接 4: Connection-specific DNS Suffix. : IP Address : Subnet Mask : Default Gateway : Ethernet adapter 本地连接 3: Connection-specific DNS Suffix. : IP Address : Subnet Mask : Default Gateway : (3) 配置 VPN 客户端图 22 网络连接为了使远程主机通过因特网访问局域网, 需要在客户机上配置拨号网络打开网络连接, 如图 22 所示 : VPN 技术 59 VPN 技术 60 10

点击创建一个新的连接, 打开新建连接向导, 选择连接到我的工作场所, 如图 23 所示图 23 确定网络连接类型 VPN 技术图 24

To-Server, 在其中输入 VPN 服务器中允许拨入的用户名及密码 ( 假设用户名为 vpn, 密码也为 vpn), 如图 25 所示 :

则可以建立到 VPN 服务器的虚拟专用网连接完成后在任务栏可以看到一个新的连接图标用 IPconfig 命令可以看到,VPN

11 点击创建一个新的连接, 打开新建连接向导, 选择连接到我的工作场所, 如图 23 所示图 23 确定网络连接类型 VPN 技术图 24 选择虚拟专用网 62 VPN 技术 61 点击下一步, 输入该连接的名称, 在此命名为 To-Server ; 点击下一步, 输入远程访问 VPN 服务器的 IP 地址, 在此输入 ; 依次点击下一步, 在点击完成, 则完成了 VPN 客户端的配置接下来可通过该连接与 VPN 服务器建立虚拟专用网打开 To-Server, 在其中输入 VPN 服务器中允许拨入的用户名及密码 ( 假设用户名为 vpn, 密码也为 vpn), 如图 25 所示 : VPN 技术 63 VPN 技术图 25 输入拨号的用户名和密码 64 用 IPconfig 命令查看虚拟网络接口演示点击连接, 则可以建立到 VPN 服务器的虚拟专用网连接完成后在任务栏可以看到一个新的连接图标用 IPconfig 命令可以看到,VPN 客户机新建了一个虚拟网络接口同理,VPN 服务器也新建了一个虚拟网络接口因此,VPN 客户机和 VPN 服务器通过各自的虚拟网络接口建立了一条虚拟通道, 就好像 VPN 客户机位于局域网内部一样, 从而可以访问局域网内的主机 VPN 技术密码学基础 66 11

具体设计和规划如下图 : 网络信息安全 67 VPN 技术 68 Client A 局域网 1 VMnet1 ServerA VMnet5 Router 路由器模拟因特网 VMnet6 ServerB 局域网 2 VMnet2 Client B 虚拟网卡 VMnet1 和 VMnet2 分别模拟两个局域网, VMnet5 VMnet6 和 Router 模拟因特网,ServerA 和

Wireshark 软件 http://www.wireshark.org/ Server B Windows Server 2003 VMnet1 VMnet5 VMnet5 VMnet6 VMnet6 VMnet2 IP: 自动获取 Subnet Mask: 255.255.255.0 GateWay: 192.168.86.56 IP: 192.168.86.56 Subnet Mask: 255.

12 VPN-Server 显示的信息用 Windows2003 实现网关网关 VPN 目的用 IPsec 隧道方式配置网关 - 网关 VPN, 连接被 Internet 隔开的两个局域网 (VMnet1 和 VMnet3), 使之进行安全通信, 实现信息的保密和完整设计用 VMware 模拟两个局域网和一个广域网 ( 用路由器模拟 ) 每个局域网含若干台客户机和一台 Windows server 2003 组成具体设计和规划如下图 : 网络信息安全 67 VPN 技术 68 Client A 局域网 1 VMnet1 ServerA VMnet5 Router 路由器模拟因特网 VMnet6 ServerB 局域网 2 VMnet2 Client B 虚拟网卡 VMnet1 和 VMnet2 分别模拟两个局域网, VMnet5 VMnet6 和 Router 模拟因特网,ServerA 和 ServerB 模拟互联网上的远程服务器 ( 边界路由器 ), 建立 IPSec 隧道以连接两个局域网, 并保证通信安全 VPN 技术 69 机器名系统及必备软件虚拟网络 IP 地址信息 Client A Windows Server 2003 VMnet1 Server A Windows Server 2003 Router Windows Server 2003 必须安装 Wireshark 软件 Server B Windows Server 2003 VMnet1 VMnet5 VMnet5 VMnet6 VMnet6 VMnet2 IP: 自动获取 Subnet Mask: GateWay: IP: Subnet Mask: GateWay: IP: Subnet Mask: GateWay: IP: Subnet Mask: GateWay: IP: Subnet Mask: GateWay: IP: Subnet Mask: GateWay: IP: Subnet Mask: GateWay: IP: 自动获取 Client B Windows Server 2003 VMnet2 Subnet Mask: VPN 技术 GateWay: 创建 ServerA 的 IPSec 策略 (1) 在管理工具中打开本地安全策略 -- 右击 IP 安全策略, 在本地计算机创建 IP 安全策略, 如图 27 所示图 27 创建 IP 安全策略 VPN 技术 71 图 28 打开 IP 安全策略向导, 将该策略命名为 AB VPN 技术 72 12

13 图 29 取消激活默认响应规则 VPN 技术 73 VPN 技术图 30 编辑属性 74 (2) 点击添加 (D), 打开新规则属性, 选择 IP 筛选器列表属性页图 31 打开 AB 属性编辑界面 VPN 技术 76 图 32 选择 IP 筛选器列表属性页 VPN 技术 75 点击添加 (D), 打开新规则属性, 选择 IP 筛选器列表属性, 命名为 A to B, 不勾选使用添加向导 (W) 点击添加 (A), 打开 IP 筛选器属性, 选择地址属性页, 设置源地址为一个特定的 IP 子网,IP 地址为 , 子网掩码为 ; 设置目的地址为一个特定的 IP 子网,IP 地址为 , 子网掩码为 ; 不勾选镜像然后选择协议属性页, 设定为默认值 : 任意图 33 VPN 技术 77 图 34 VPN 技术 78 13

14 (3) 打开新规则属性, 选择筛选器操作属性页, 不勾选使用添加向导 (W) 如图 35 所示然后点击添加 (D), 安全措施为协商安全, 新增安全措施为完整性和加密, 如图 36 所示图 36 图 35 VPN 技术 79 VPN 技术 80 (4) 打开新规则属性, 选择身份验证方法属性页, 点击添加 (D), 选择使用此字符串 ( 预共享密钥 ), 设置一个高强度的密钥 ( 此例设为 microsoft), 如图 37 所示图 37 VPN 技术 81 VPN 技术 82 (5) 打开新规则属性, 选择隧道设置属性页, 指定隧道终点的 IP 地址 (Server B 的外网 IP 地址 : ) (6) 打开新规则属性, 选择连接类型属性页, 设置为 " 所有网络连接 ", 如图 39 所示图 38 VPN 技术 83 VPN 技术图

(7) 重复 (2)-(6), 创建 IP 筛选器列表 B to A 设置从 ServerB 到 ServerA 的 IP 策略将源子网 (IP) 和目的子网 (IP) 互换, 隧道终点设置为 55.

配置远程访问 VPN 服务器配置 Server A 和 Server B 为路由器在开始所有程序管理工具菜单中选择路由和远程访问, 打开路由和远程访问管理界面, 选择配置并启用路由和远程访问, 如图 41 所示

ping 测试 (Client A) 在 Client A 的 cmd 中输入 ping 172.16.0.67 ( 或 Client B 的 IP 地址 ), 或者在 Client B 的 cmd 中输入 ping 192.168.

15 (7) 重复 (2)-(6), 创建 IP 筛选器列表 B to A 设置从 ServerB 到 ServerA 的 IP 策略将源子网 (IP) 和目的子网 (IP) 互换, 隧道终点设置为 (8) 在本地安全设置中, 右击策略 AB 并指派, 如图 40 所示 : 2. 创建 ServerB 的 IPSec 策略按相同的方法步骤, 创建 ServerB 的 IP 安全策略并指派图配置远程访问 VPN 服务器配置 Server A 和 Server B 为路由器在开始所有程序管理工具菜单中选择路由和远程访问, 打开路由和远程访问管理界面, 选择配置并启用路由和远程访问, 如图 41 所示 : VPN 技术 85 VPN 技术 86 配置为两个专用网络之间的安全连接, 如图 42 所示图 41 VPN 技术 87 VPN 技术图不选择拨号 VPN, 如图 43 所示 4. ping 测试 (Client A) 在 Client A 的 cmd 中输入 ping ( 或 Client B 的 IP 地址 ), 或者在 Client B 的 cmd 中输入 ping ( 或 Client A 的 IP 地址 ) 如果两方的 IPsec 策略没有配置正确, 不会 ping 通如果正确则说明两个局域网互联互通在路由器中用 wireshark 检测到的是 ESP 数据包, 因此实现了数据的完全保密通信 VPN 技术图 VPN 技术 90 15

16 作业和上机实践做实验并写实验报告参照的步骤, 用 Windows 2003 实现一个网关网关 VPN, 要求 : (1) ServerA 和 ServerB 的 IP 地址的最后 2 个数字 = 你学号的最后 2 个数字 ; (2) 如果你学号的最后 2 个数字恰好为 , 则 ServerA 和 ServerB 的 IP 地址的最后 3 个数字 = 你学号的最后 2 个数字 +100; (3) 你的实验必须得出如图 44 的效果 (4) 实验报告需包含关键步骤和结果, 但不超过 5 页图 44 VPN 技术 91 上机实践 ( 不考核, 自己练习 ) New: 参考 SEED 的 VPN 实验, 设计一个最小化的 VPN: VPN 技术 92 16

PowerPoint Presentation

PowerPoint Presentation 第 4 章虚拟专用网络 (VPN) 技术中国科学技术大学曾凡平 billzeng@ustc.edu.cn 主要内容 1. 概述 VPN 的功能和原理 VPN 的分类 2. 基于第 2 层隧道协议的 PPTP VPN 和 L2TP VPN 3. 基于第 3 层隧道协议的 IPSec VPN IPSec 的组成和工作模式认证协议 AH 封装安全载荷 ESP 安全关联与安全策略 4. Windows