对网络安全提出的建议范例(3篇)
时间:2024-02-24
时间:2024-02-24
关键词:无线网络规划;无线网络风险;无线安全检查项目;无线网络安全指引
中图分类号:TP393文献标识码:A文章编号:1009-3044(2013)28-6262-03
1概述
有别于有线网络的设备可利用线路找寻设备信息,无论是管理、安全、记录信息,比起无线网络皆较为方便,相较之下无线网络的环境较复杂。无线网络安全问题最令人担心的原因在于,无线网络仅透过无线电波透过空气传递讯号,一旦内部架设发射讯号的仪器,在收讯可及的任一节点,都能传递无线讯号,甚至使用接收无线讯号的仪器,只要在讯号范围内,即便在围墙外,都能截取讯号信息。
因此管理无线网络安全维护比有线网络更具挑战性,有鉴于政府机关推广于民众使用以及企业逐渐在公司内部导入无线网络架构之需求,本篇论文特别针对无线网络Wi-Fi之使用情境进行风险评估与探讨,以下将分别探讨无线网络传输可能产生的风险,以及减少风险产生的可能性,进而提出建议之无线网络建置规划检查项目。
2无线网络传输风险
现今无线网络装置架设便利,简单设定后即可进行网络分享,且智能型行动装置已具备可架设热点功能以分享网络,因此皆可能出现不合法之使用者联机合法基地台,或合法使用者联机至未经核可之基地台情形。倘若企业即将推动内部无线上网服务,或者考虑网络存取便利性,架设无线网络基地台,皆须评估当内部使用者透过行动装置联机机关所提供之无线网络,所使用之联机传输加密机制是否合乎信息安全规范。
倘若黑客企图伪冒企业内部合法基地台提供联机时,势必会造成行动装置之企业数据遭窃取等风险。以下将对合法使用者在未知的情况下联机至伪冒的无线网络基地台,以及非法使用者透过加密机制的弱点破解无线网络基地台,针对这2个情境加以分析其风险。
2.1伪冒基地机风险
目前黑客的攻击常会伪冒正常的无线网络基地台(AccessPoint,以下简称AP),而伪冒的AP在行动装置普及的现今,可能会让用户在不知情的情况下进行联机,当连上线后,攻击者即可进行中间人攻击(Man-in-the-Middle,简称MitMAttack),取得被害人在网络上所传输的数据。情境之架构详见图1,利用伪冒AP攻击,合法使用者无法辨识联机上的AP是否合法,而一旦联机成功后黑客即可肆无忌惮的窃取行动装置上所有的数据,造成个人数据以及存放于行动装置上之机敏数据外泄的疑虑存在。企业在部署无线局域网络时,需考虑该类风险问题。
2.2弱加密机制传输风险
WEP(WiredEquivalentPrivacy)为一无线加密协议保护无线局域网络(WirelessLAN,以下简称WLAN)数据安全的加密机制,因WEP的设计是要提供和传统有线的局域网络相当的机密性,随着计算器运算能力提升,许多密码分析学家已经找出WEP好几个弱点,但WEP加密方式是目前仍是许多无线基地台使用的防护方式,由于WEP安全性不佳,易造成被轻易破解。
许多的无线破解工具皆已存在且纯熟,因此利用WEP认证加密之无线AP,当破解被其金钥后,即可透过该AP连接至该无线局域网络,再利用探测软件进行无线局域网络扫描,取得该无线局域网络内目前有哪些联机的装置。
当使用者使用行动装置连上不安全的网络,可能因本身行动装置设定不完全,而将弱点曝露在不安全的网络上,因此当企业允许使用者透过行动装置进行联机时,除了提醒使用者应加强自身终端安全外,更应建置安全的无线网络架构,以提供使用者使用。
3无线网络安全架构
近年许多企业逐渐导入无线局域网络服务以提供内部使用者及访客使用。但在提供便利的同时,如何达到无线局域网络之安全,亦为重要。
3.1企业无线局域网安全目标
企业之无线网络架构应符合无线局域网络安全目标:机密性、完整性与验证性。
机密性(Confidentiality)
无线网络安全架构应防范机密不可泄漏给未经授权之人或程序,且无线网络架构应将对外提供给一般使用者网络以及内部所使用之内部网络区隔开。无线网络架构之加密需采用安全性即高且不易被破解的方式,并可对无线网络使用进行稽核。
完整性(Integrity)
无线网络安全架构应确认办公室环境内无其它无线讯号干扰源,并保证员工无法自行架设非法无线网络存取点设备,以确保在使用无线网络时传输不被中断或是拦截。对于内部使用者,可建立一个隔离区之无线网络,仅提供外部网际网络连路连接,并禁止存取机关内部网络。
认证性(Authentication)
建议无线网络安全架构应提供使用者及设备进行身份验证,让使用者能确保自己设备安全性,且能区分存取控制权限。无线网络安全架构应需进行使用者身份控管,以杜絶他人(允许的访客除外)擅用机关的无线网络。
因应以上无线局域网络安全目标,应将网络区分为内部网络及一般网络等级,依其不同等级实施不同的保护措施及其应用,说明如下。
内部网络:
为网络内负责传送一般非机密性之行政资料,其系统能处理中信任度信息,并使用机关内部加密认证以定期更变密码,且加装防火墙、入侵侦测等作业。
一般网络:
主要在提供非企业内部人员或访客使用之网络系统,不与内部其它网络相连,其网络系统仅能处与基本信任度信息,并加装防火墙、入侵侦测等机制。
因此建议企业在建构无线网络架构,须将内部网络以及提供给一般使用者之一般网络区隔开,以达到无线网络安全目标,以下将提供无线办公方案及无线访客方案提供给企业导入无线网络架构时作为参考使用。
3.2内部网络安全架构
减轻无线网络风险之基础评估,应集中在四个方面:人身安全、AP位置、AP设定及安全政策。人身安全方面,须确保非企业内部使用者无法存取办公室范围内之无线内部网络,仅经授权之企业内部使用者可存取。可使用影像认证、卡片识别、使用者账号密码或生物识别设备以进行人身安全验证使用者身份。企业信息管理人员须确保AP安装在受保护的建筑物内,且使用者须经过适当的身份验证才允许进入,而只有企业信息管理人员允许存取并管理无线网络设备。
企业信息管理人员须将未经授权的使用者访问企业外部无线网络之可能性降至最低,评估每台AP有可能造成的网络安全漏洞,可请网络工程师进行现场调查,确定办公室内最适当放置AP的位置以降低之风险。只要企业使用者拥有存取无线内部网络能力,攻击者仍有机会窃听办公室无线网络通讯,建议企业将无线网络架构放置于防火墙外,并使用高加密性VPN以保护流量通讯,此配置可降低无线网络窃听风险。
企业应侧重于AP配置之相关漏洞。由于大部分AP保留了原厂之预设密码,企业信息管理人员需使用复杂度高之密码以确保密码安全,并定期更换密码。企业应制定相关无线内部网络安全政策,包括规定使用最小长度为8个字符且参杂特殊符号之密码设置、定期更换安全性密码、进行使用者MAC控管以控制无线网络使用情况。
为提供安全无线办公室环境,企业应进行使用者MAC控管,并禁用远程SNMP协议,只允许使用者使用本身内部主机。由于大部分厂商在加密SSID上使用预设验证金钥,未经授权之设备与使用者可尝试使用预设验证金钥以存取无线内部网络,因此企业应使用内部使用者账号与密码之身份验证以控管无线内部网络之存取。
企业应增加额外政策,要求存取无线内部网络之设备系统需进行安全性更新和升级,定期更新系统安全性更新和升级有助于降低攻击之可能性。此外,政策应规定若企业内部使用者之无线装置遗失或被盗,企业内部使用者应尽快通知企业信息管理人员,以防止该IP地址存取无线内部网络。
为达到一个安全的无线内部网络架构,建议企业采用IPS设备以进行无线环境之防御。IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部无线内部网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御之策略。
考虑前述需求,本篇论文列出建构无线内部网络应具备之安全策略,并提供一建议无线内部网络安全架构示意图以提供企业信息管理人员作为风险评估之参考,详见表1。
企业在风险评估后确认实现无线办公室环境运行之好处优于其它威胁风险,始可进行无线内部网络架构建置。然而,尽管在风险评估上实行彻底,但无线网络环境之技术不断变化与更新,安全漏洞亦日新月异,使用者始终为安全链中最薄弱的环节,建议企业必须持续对企业内部使用者进行相关无线安全教育,以达到纵深防御之目标。
另外,企业应定期进行安全性更新和升级会议室公用网络之系统,定期更新系统安全性更新和升级有助于降低攻击之可能性。为达到一个安全的会议室公用网络架构,建议企业采用IPS设备以进行无线环境之防御。
IPS设备有助于辨识是否有未经授权之使用者试图存取企业内部会议室公用网络或企图进行非法攻击行为,并加以阻挡企业建筑内未经授权私自架设之非法网络。所有无线网络之间的通讯都需经过IPS做保护与进一步分析,为一种整体纵深防御策略。
4结论
由于无线网络的存取及使用上存在相当程度的风险,更显无线局域网络的安全性之重要,本篇论文考虑无线网络联机存取之相关风险与安全联机的准则需求,有鉴于目前行动装置使用量大增,企业可能面临使用者要求开放无线网络之需求,应建立相关无线网络方案,本研究针对目前常见之无线网络风险威胁为出发,以及内部网络与外部网络使用者,针对不同安全需求强度,规划无线网络使用方案,提供作为建置参考依据,进而落实传输风险管控,加强企业网络安全强度。
参考文献:
[1]GastMS.WirelessNetworks:TheDefinitiveGuide[M].O’Reilly,2002.
[2]EdneyJ,ArbaughWA.Security:Wi-FiProtectedAccessand802.11[M].Addison-Wesley,2004.
[3]R.Guha,Z.Furqan,S.Muhammad.DiscoveringMan-In-The-MiddleAttacksnAuthenticationProtocols[J].IEEEMilitaryCommunicationsConference2007,Orlando,FL,2007(10):29-31.
[4]Nam,SeungYeob.EnhancedARP:PreventingARPPoisoning-Based[J].IEEECommucationLetters,2011,14:187-189.
1网络安全协议的概念
协议指的是为了完成某任务,由两个或者以上的参与者组成的程序,协议在社会生产和生活中的应用越来越广泛,人们对协议重要性的认识逐渐提高。协议的定义需要具备以下要素:首先,是一个过程,并且具有一定的程序性,协议制定者按照自身的需求制定程序次序,该顺序不能随意更改,必须严格按照既定的程序进行执行;其次,协议的参与者必须超过两个,每一个参与者在协议执行的过程中均具有固定的步骤;再者,由于协议的目的在于完成任务,因此在制定协议时应该保证预期的效果。网络安全协议指的是信息在计算机网络中传输时,为了保证信息的安全性而制定的一个程序,网络安全协议时通过加密或者其他措施保证信息传递的安全性、有效性以及完整性,主要包括身份认证、密钥认证等。网络安全协议在计算机通信网络中的应用起源于上世纪其实年代,通过多年的发展,网络安全协议在计算机通信技术中的应用越来越广泛,网络安全协议越来越优化,目前,计算机通信技术最常采用的网络安全协议包括SET协议、SSL协议等,并且上述两种网络安全协议都采用信息加密的方式保证协议的安全性。
2网络安全协议在计算机通信技术中的应用分析
1)网络安全协议设计方式。
在进行网络安全协议设计过程中,需要进行网络安全协议的复杂的抵御能力、交织的攻击性等进行分析和设计,同时还需要保证网络安全协议涉及的简单性、可操作性以及经济性,前者的目的在于保证网络安全协议自身的安全性,后者在于扩大其使用范围。在进行网络安全协议设计时,应该重点从三个方面进行设计:其一,常规性攻击抵御设计,常规性攻击抵御设计主要是针对所有的网络安全协议,阻止网络攻击者获取密钥信息,具有抵抗文明攻击、混合攻击等一般性、基本性的网络攻击,值得注意的是,随着网络攻击范围和攻击频率的增加,应该增加抵御范围,尽可能的减少网络漏洞,不给网络攻击者可乘之机;其二,采用一次性随机数取代传统的时间戳,传统的时间戳设计方式,即利用同步认证的方式设计的网络安全协议,在网路环境较好的前提下,能够同步认证用户,以此保证通信信息的安全性,但是,现阶段的网路环境非常差,依然采用传统的时间戳认证方式,很难保证网络信息的安全,因此,在进行网络安全协议设计时,应该采用异步认证方法渠道时间戳认证方式,采用随机生成数字的方法进行身份验证,即使在恶劣的网络环境中,也能够保证网络协议的安全性;其三,设计适合所有网络的协议层,网络不同其协议层的长度也存在一定差异,因此为了保证网络协议能够满足网络安全协议的基本要求,必须满足最短的协议层长度,保证报文长度和密码消息长度相同,进而保障网络安全协议的安全性以及适应性。
2)网络安全协议的攻击检测与安全性分析。
在科学技术快速发展的今天,网络安全协议越来越受到人们的重视。但是,许多网络安全协议的安全性令人堪忧,刚刚研发和应用就被检测出存在许多问题或者漏洞。导致网络安全协议存在漏洞的原因相对较多,主要包括:设计人员并没有全面了解网络安全协议的需求,研究不深入、不透彻,导致网络安全协议的安全性大打折扣,在实际应用的过程中能够存在许多问题。在检测网络安全协议的安全性时,通常采用攻击方式进行检测,对于加密协议的压力检测主要包括三个方面:攻击协议自身、攻击协议与算法的加密技术、攻击协议的加密算法。本文探究的主要为网络安全协议自身的攻击检测,与加密技术、加密算法无关,即假设进行网络安全协议自身攻击检测时,加密技术、加密算法都是安全的。
3)密码协议的类型分析。
目前,网络安全协议的类型尚没有权威、严格的定论,主要是因为缺乏专业的网络安全协议分类规范,并且网络安全协议的密码种类众多,想要将网络安全协议进行严格划分是不现实的。从不同角度来看,网络安全协议具有不同的类别。以ISO角度进行种类划分,能够将网络安全协议划分为两个层次,即高层次协议、低层析;从功能角度进行种类划分,可以将网络安全协议划分三种,即密钥认证协议、认证协议以及密钥建立协议;从密钥种类角度进行种类花费,可以划分为三种,即混合协议、公钥协议、单钥协议。目前,网络安全协议通常从功能角度进行划分,主要分为三种:其一,密钥认证协议,通过创建基于身份证明的共享密钥获得网络安全协议;其二,密钥协议,充分利用共享密钥对多个实体创建网络安全协议;其三,认证协议,指的是利用一个实体确认与之对应的另一个实体的身份创建的网络安全协议。
4)应用实例分析。
文章以某信息化调度系统为例,该信息化调度系统由2台高性能100M交换机构成,并且工作站、服务器等计算机设备都配备了2块100M冗余网卡,便于实现交换机和调度网络的连接和高速通信,以此满足整个调度系统的通信需求。为了保证信息传输的安全性,该局域网增加了2台高性能的集线器或者交换机、2台路由器,然后在交换机和路由器之间安装了防火墙,这样能够保证信息化调度系统局域网数据信息的安全性。采用迂回、双环的高速专用数字通道进行网络通信,将每个通信通道的站数设置为8个,并在每个环的交叉处设置了2台路由器,保证数据信息能够可靠、高速的传输。在网络安全协议方面,在信息传输中采用了TCP/IP协议,综合运用IPSEC安全保密技术、CHAP身份验证技术等,既能够保证网络通信的安全性,又能够提高网络信息传输的高效性。
3结论
关键词:CDMA;20001X;VPDN;隧道技术;接入方式
一、背景
随着CDMA20001X网络的逐步完善,其在数据业务方面的优势也日益显现出来,由于其稳定性和速度上已经远远的超过了GPRS,因此许多企业已经考虑将其应用在经常出差的员工访问公司内部网络,以及企业网点中有线网络不能到达或不方便布放有线网络的地方,然而在使用这种接入方式之前,企业往往出于对自身网络以及数据安全性的考虑而提出此种组网方式的安全性问题,下面就接入方式及其安全问题谈谈我的一些看法和观点。
二、VPDN原理
VPDN(VirtualPrivateDialNetwork)虚拟拨号专网技术采用专用的网络加密和通信协议,可以使企业在公共IP网络上建立安全的虚拟专网。企业出差人员可以从远程经过公共IP网络,通过虚拟的加密通道与企业内部的网络连接,而公共网络上的用户则无法穿过虚拟通道访问该企业的内部网络。VPDN的技术核心主要在于隧道技术和安全技术。
三、CDMA1X-VPDN介绍
1.基本组网介绍
(1)用户端设备(CPE:CustomerPremisesEquipment):用户端需具备作为VPDN的网关功能的设备,它位于用户总部,可以由企业网内部的路由器实现,具体可以选用同时具备路由功能和VPDN功能的网络设备。CPE是VPDN呼叫发起和结束的地方,也是用户方需要设置的唯一VPDN硬件设备。
(2)接入服务器(NAS:Networkaccessserver):NAS由联通公司提供并承担运维工作,其作用是作为VPDN的接入服务器,可以提供广域网接口,负责与企业专用网的VPN连接,并支持各种LAN局域网协议,支持安全管理和认证,支持隧道及相关技术。
(3)企业端认证服务器:用于用户一次认证,对认证通过的用户将其资料发送给相应的LNS设备的认证系统进行二次认证。
(4)用户终端:具备能使用CDMA1X上网的终端设备。
(5)用户端认证服务器:用户端认证服务器是可选的设备,用于对登录用户做鉴权认证,为了便于对用户的账户密码资料进行管理,一般情况下建议设置。
2.VPDN的隧道技术
目前隧道技术有很多种,但从根本上来讲可分为两类:第二层隧道协议PPTP、L2F、L2TP和第三层隧道协议GRE、IPsec。它们的本质区别在于提供的是第二层协议的穿透还是第三层协议的穿透。
隧道协议有很多好处,例如在拨号网络中,用户大都接受ISP分配的动态IP地址,而企业网一般均采用防火墙、NAT等安全措施来保护自己的网络,企业员工通过ISP拨号上网时就不能穿过防火墙访问企业内部网资源。采用隧道协议后,企业拨号用户就可以得到企业内部网IP地址,通过对PPP帧进行封装,用户数据包可以穿过防火墙到达企业内部网。
(1)PPTP――点对点隧道协议
PPTP提供PPTP客户机和PPTP服务器之间的加密通信。PPTP客户机是指运行了该协议的PC机,如启动该协议的Windows95/98;PPTP服务器是指运行该协议的服务器,如启动该协议的WindowsNT服务器。PPTP可看作是PPP协议的一种扩展。它提供了一种在Internet上建立多协议的安全虚拟专用网(VPN)的通信方式。远端用户能够透过任何支持PPTP的ISP访问公司的专用网络。
通过PPTP,客户可采用拨号方式接入公共IP网络Internet。拨号客户首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;在此基础上,客户进行二次拨号建立到PPTP服务器的连接,该连接称为PPTP隧道,实质上是基于IP协议上的另一个PPP连接,其中的IP包可以封装多种协议数据,包括TCP/IP、IPX和NetBEUI。PPTP采用了基于RSA公司RC4的数据加密方法,保证了虚拟连接通道的安全性。对于直接连到Internet上的客户则不需要第一重PPP的拨号连接,可以直接与PPTP服务器建立虚拟通道。PPTP把建立隧道的主动权交给了用户,但用户需要在其PC机上配置PPTP,这样做既增加了用户的工作量又会造成网络安全隐患。另外PPTP只支持IP作为传输协议。
(2)L2F――第二层转发协议
L2F是由Cisco公司提出的可以在多种介质如ATM、帧中继、IP网上建立多协议的安全虚拟专用网(VPN)的通信方式。远端用户能够透过任何拨号方式接入公共IP网络,首先按常规方式拨号到ISP的接入服务器(NAS),建立PPP连接;NAS根据用户名等信息,发起第二重连接,通向HGW服务器。在这种情况下隧道的配置和建立对用户是完全透明的。
(3)L2TP――第二层隧道协议
L2TP结合了L2F和PPTP的优点,可以让用户从客户端或访问服务器端发起VPN连接。L2TP是把链路层PPP帧封装在公共网络设施如IP、ATM、帧中继中进行隧道传输的封装协议。
Cisco、Ascend、Microsoft和RedBack公司的专家们在修改了十几个版本后,终于在1999年8月公布了L2TP的标准RFC2661。(可以从ftp://.edu/innotes/rfc2661.txt下载该标准内容。)
目前用户拨号访问Internet时,必须使用IP协议,并且其动态得到的IP地址也是合法的。L2TP的好处就在于支持多种协议,用户可以保留原有的IPX、Appletalk等协议或公司原有的IP地址。L2TP还解决了多个PPP链路的捆绑问题,PPP链路捆绑要求其成员均指向同一个NAS,L2TP可以使物理上连接到不同NAS的PPP链路,在逻辑上的终结点为同一个物理设备。L2TP扩展了PPP连接,在传统方式中用户通过模拟电话线或ISDN/ADSL与网络访问服务器(NAS)建立一个第2层的连接,并在其上运行PPP,第2层连接的终结点和PPP会话的终结点在同一个设备上(如NAS)。L2TP作为PPP的扩展提供更强大的功能,包括第2层连接的终结点和PPP会话的终结点可以是不同的设备。
L2TP主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成,LAC(L2TP访问集中器)支持客户端的L2TP,他用于发起呼叫,接收呼叫和建立隧道;LNS(L2TP网络服务器)是所有隧道的终点。在传统的PPP连接中,用户拨号连接的终点是LAC,L2TP使得PPP协议的终点延伸到LNS。
L2TP的建立过程是:
①远程用户使用CDMA1X拨入LAC(PDSN),例如拨打号码为#777,并输入username@XXX.133VPDN.HA和密码。
②LAC将username@XXX.133VPDN.HA送到分组网AAA服务器,由AAA服务器向LAC(PDSN)提供LNS(用户网关)信息,包括LNSIP地址等。
③若XXX.133VPDN.HA信息为正确的VPDN用户信息,则返回LNS信息,再由AAA送给LAC。
④LAC开始与LNS之间直接进行L2TP隧道建立,并将username@XXX.133VPDN.HA全部送给LNS,由LNS进行认证。
⑤LNS将username@XXX.133VPDN.HA送给自己的RADIUS服务器(认证服务器)。
⑥如果是合法用户则允许接入并保持L2TP隧道。
⑦LAC通知本地AAA进行计费。
⑧VPDN本身与LNS之间进行PPP握手,LNS与远程用户交换PPP信息,分配IP地址。LNS可采用企业专用地址(未注册的IP地址)或服务提供商提供的地址空间分配IP地址。因为内部源IP地址与目的地IP地址实际上都通过服务提供商的IP网络在PPP信息包内传送,企业专用地址对提供者的网络是透明的。
⑨完成VPDN操作,用户可以利用PPP协议透过L2TP隧道进行互联,端到端的数据从拨号用户传到LNS。
在实际应用中,LAC将拨号用户的PPP帧封装后,传送到LNS,LNS去掉封装包头,得到PPP帧,再去掉PPP帧头,得到网络层数据包。
L2TP这种方式给服务提供商和用户带来了许多好处。用户不需要在PC上安装专门的客户端软件,企业可以使用保留IP地址,并在本地管理认证数据库,从而降低了使用成本和培训维护费用。
与PPTP和L2F相比,L2TP的优点在于提供了差错和流量控制;L2TP使用UDP封装和传送PPP帧。面向非连接的UDP无法保证网络数据的可靠传输,L2TP使用Nr(下一个希望接受的消息序列号)和Ns(当前发送的数据包序列号)字段控制流量和差错。双方通过序列号来确定数据包的次序和缓冲区,一旦数据丢失根据序列号可以进行重发。
作为PPP的扩展,L2TP支持标准的安全特性CHAP和PAP,可以进行用户身份认证。L2TP定义了控制包的加密传输,每个被建立的隧道生成一个独一无二的随机钥匙,以便抵抗欺骗性的攻击,但是它对传输中的数据并不加密。
(4)GRE――通用路由封装
GRE在RFC1701/RFC1702中定义,它规定了怎样用一种网络层协议去封装另一种网络层协议的方法。GRE的隧道由两端的源IP地址和目的IP地址来定义,它允许用户使用IP封装IP、IPX、AppleTalk,并支持全部的路由协议如RIP、OSPF、IGRP、EIGRP。通过GRE,用户可以利用公共IP网络连接IPX网络、AppleTalk网络,还可以使用保留地址进行网络互联,或者对公网隐藏企业网的IP地址。
GRE在包头中包含了协议类型,这用于标明乘客协议的类型;校验和包括了GRE的包头和完整的乘客协议与数据;密钥用于接收端验证接收的数据;序列号用于接收端数据包的排序和差错控制;路由用于本数据包的路由。
GRE只提供了数据包的封装,它并没有加密功能来防止网络侦听和攻击。所以在实际环境中它常和IPsec在一起使用,由IPsec提供用户数据的加密,从而给用户提供更好的安全性。
(5)IPSec
PPTP、L2F、L2TP和GRE各自有自己的优点,但是都没有很好地解决隧道加密和数据加密的问题。而IPSec协议把多种安全技术集合到一起,可以建立一个安全、可靠的隧道。这些技术包括DiffieHellman密钥交换技术,DES、RC4、IDEA数据加密技术,哈希散列算法HMAC、MD5、SHA,数字签名技术等。
IPSec实际上是一套协议包而不是一个单个的协议,这一点对于我们认识IPSec是很重要的。自从1995年开始IPSec的研究工作以来,IETFIPSec工作组在它的主页上了几十个Internet草案文献和12个RFC文件。其中,比较重要的有RFC2409IKE互连网密钥交换、RFC2401IPSec协议、RFC2402AH验证包头、RFC2406ESP加密数据等文件。
IPSec安全结构包括3个基本协议:AH协议为IP包提供信息源验证和完整性保证;ESP协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。ESP和AH协议都有相关的一系列支持文件,规定了加密和认证的算法。最后,解释域(DOI)通过一系列命令、算法、属性、参数来连接所有的IPSec组文件。
3.CDMA1X-VPDN技术实现
VPDN有两种实现方法:通过NAS与VPDN网关建立隧道;客户机与VPN网关直接建立隧道方式。
(1)NAS与VPDN网关建立隧道
这种方式是NAS通过Tunnel协议,与VPDN网关建立通道,将客户的PPP连接直接连到企业网的网关上,目前使用的协议有L2F,L2TP。这种方式结构如下:
这种方式的好处在于:对用户是透明的,用户只需要登录一次就可以接入企业网,由企业网进行用户认证和地址分配,不占有公共地址,用户可以使用各种平台上网。这种方式需要NAS支持VPDN协议,需要认证系统支持VPDN属性,网关一般使用路由器(Cisco11.3后开始支持L2F),专用网关,NT服务器(5.0开始支持L2TP)。
(2)客户机与VPDN网关建立隧道
这种方式是由客户机首先先建立与Internet的连接,如拨号方式,LAN方式等,再通过专用的客户软件(Win98支持PPTP)与网关建立通道连接,一般使用PPTP,IPSec协议。结构如下:
这种方式的好处在于:用户上网的方式地点没有限制,不需要ISP的介入。缺点是需要安装专用的软件,一般都是Windows平台,限制了用户使用的平台;用户需要两次认证,一次上ISP,一次接入企业网;用户同时接入Internet和企业网,存在着潜在的安全隐患。这种方式一般使用防火墙和专用网关作为VPDN网关。
4.VPDN的安全技术
基于Internet的VPDN首先要考虑的就是安全问题。能否保证VPDN的安全性,是VPDN网络能否实现的关键。可以采用下列技术保证VPDN的安全:
・口令保护;
・用户认证技术;
・一次性口令技术;
・用户权限设置;
・在传输中采用加密技术;
・采用防火墙把用户网络中的对外服务器和对内服务器隔离开。
四、几种不同接入方式安全性的阐述
1.公网接入方式
用户端网关设备直接与公网了连接,用户通过公网方式与企业内部取得联系。适用于对安全性要求不高的用户,比如一般移动办公用户,适用的企业用户应大致有以下要求:
A.企业用户为达到某种目的需要使用CDMA1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作;
C.用户的网关本身具备一定的安全措施,可以与互联网连接并且用户上网操作对数据安全性要求不苛刻。
此种实现方式较为成熟,目前全国分组网PDSN均已支持,只需要在分组网AAA设置相应的域名以及LNSIP地址等数据。公网接入方式由于网络条件成熟,实现快速,成本较低,是联通公司向一般1X-VPDN客户推荐的首选接入方式。
网络拓扑:见接入组网图中企业用户C。
2.长途专线接入
用户端网关与公网完全隔离,LNS以独立专线方式接通分组网LAC服务器前端的用户接入汇接交换机,交换机根据不同的用户划分不同的VLAN保证用户相互在逻辑上隔离。适用于对安全性极度苛刻的用户,一般此类用户不允许与公网有连接,比如银行业、国家机密机关的秘密数据传输需求,适用的企业用户应大致有以下要求:
A.企业用户为达到某种目的需要使用CDMA1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作;
C.企业用户的网关设备安全要求非常苛刻并且不允许与公网有链路连接;
D.企业用户使用1X无线上网所传输的数据保密性要求非常高;
范例:见接入组网图中企业用户B。
3.互联网专线接入方式
由于完全专线接入的成本较高,一般用户不能承受,但是用户同时希望自己的LNS设备不要直接暴露在公网上,以避免来自公网的各种各样攻击,同时用户实际上对于应用的数据并不是需要极度保密;此时,用户可以选择互联网专线接入达到以上要求。这种接入方式不是严格意义上的物理隔绝的数据包,尽管在省内公网传输部分又封装到一个隧道中,降低了数据被监听的风险,但无法完全避免该风险;但我们也应该看到,如果VPDN业务要允许用户利用互联网进行省外漫游,现有的各方案中,数据包在省外传送部分是无法避免被监听的,适用的企业用户应大致有以下要求:
A.企业用户为达到某种目的需要使用CDMA1X无线上网;
B.用户需要使用无线上网方式进入企业内部网络进行某些操作
C.企业用户的网关设备安全要求较为严格,不允许LNS直接与公网连接;
D.企业用户使用1X无线上网所传输的数据保密性要求不是太苛刻。
参考文献:
[1]胡铮.《网络与信息安全》.清华大学出版社.2006.5
[2][美]VijayBollapragadaMohamedKhalidScottWainnerIPSecVPN设计.人民邮电出版社.2006.5
热门推荐