在虚拟专用网络(VirtualPrivateNetwork,VPN)是在公共通信基础设备上构建的虚拟专用网或私有网,被认为是一种从公共网络中隔离出来的网络。它可以通过特殊的加密通信协议,使联接互联网但位于不同地方的两个或多个网络之间,建立起一条专有通信线路。VPN的核心是利用公共网络建立虚拟私有网,通过提供跨公网的私有网络通信能力,保证通信的私密性。因此对于保密要求较高的重要部门,VPN的安全性不言而喻。信息时代,越来越多的日常工作需要通过计算机网络进行处理。
二、VPN协议介绍
常用的VPN实现技术主要包括:L2TP协议、PPTP协议和IPSec协议。
(一)L2TP协议
L2TP(Layer2TunnelingProtocol)协议即第二层隧道协议,是典型的被动式隧道协议,可使用户从客户端或访问服务器端发起VPN联接。
L2TP协议是把链路层PPP帧封装在公共网络设施中进行隧道传输的封装协议,主要由LAC(L2TPAccessConcentrator)和LNS(L2TPNetworkServer)构成。L2TP协议包括由远程拨号用户发起和直接由LAC客户发起这2种隧道模式。
(二)PPTP协议
PPTP(PointtoPointTunnelingProtocol)协议即点对点隧道协议,是在PPP协议基础上开发的一种增强型安全协议。为保证安全,可使用密码身份验证协议(PAP)、可扩展身份验证协议(EAP)、质询握手协议(CHAP)对终端进行身份验证。PPTP协议分为2部分:控制层链接和隧道。PPTP链接的建立过程可分为:TCP三次握手、PPTP控制连接建立、PPP协议LCP协商、PPP协议身份验证、PPP协议NCP协商和PPP协议CCP协商。
(三)IPSec协议
IPSec(IPSecurity)协议是互联网工程任务组(IETF)制定的一系列协议,可保证IP数据包安全。特定通信方在IP层,通过加密与数据源验证等方式,保证数据包在网络传输时的私有性、完整性、真实性和防重放。IPSec协议包括AH、ESP和IKE等3个基本协议及传输模式和隧道模式2种模式。
三、VPN协议的安全性
(一)L2TPVPN的安全性
L2TP协议支持多种传输介质,可穿越IP和非IP公共网络,因此L2TP控制报文和数据报文很容易受到攻击。例如,通过监听数据报文可以很容易发现用户身份标识符,可对L2TP数据报文和控制报文进行修改,可对L2TP协议和协议中的PPP联接进行攻击,也可通过对PPP的LCP认证协商过程进行监听和控制,减弱或取消PPP的认证过程,甚至获得用户口令。为防止攻击的发生,L2TP协议必须能为控制报文和数据报文提供认证、完整性、重发攻击和秘密性保护,以及对密钥进行有效管理的方法。L2TP协议、PPP协议提供的认证和加密机制无法满足L2TP协议的安全性要求。
(二)PPTPVPN的安全性
PPTPVPN在PPP协议阶段无法避免黑客攻击,在LCP认证阶段,攻击者可截获该过程的数据包,分别冒充客户端和服务器,通过伪造报文,使客户端和服务器发生重协商行为,最终使客户端与服务器由CHAP认证协议翻转为PAP协议。由于在PAP认证过程中的用户名和密码以明文形式传输,因此攻击者可获取用户名和密码,从而进一步获取通信双方信息。
(三)IPSecVPN的安全性
互联网交换密钥协议(IKE)在协商建立安全联盟(IKESA)时,通信双方通过互联网将公钥传递给对方,然后将自己的私钥与对方的公钥进行运算,从而得到双方共同拥有的密钥,监听者仅根据双方的公钥无法得到这个密钥。
此外,网关通过认证中心(CA)获取对方公钥时,将采用静态方法,通过公钥实现与CA的认证。由于双方在建立IKESA时,采用了身份认证和加密技术,因此能防范“中间人”攻击。在IKESA建立后,所有通信都是在IKESA的密钥保护下进行,可有效防止“监听”和“中间人”攻击。当攻击者对IKE进行重传攻击时,由于IKE的ISAKMP中使用的Cookie都是独一无二的,且对定义它的特殊交换来说也是独一无二的,因此可防止新的数据流进入过期的数据包。如果对方要对整个IKE协商过程进行重传,由于每次使用的Cookie不同,攻击则无效。此外,攻击者截获被保护的IP包,只能获得IP头、ESP头中的部分信息,但由于ESP和AH中都有序列号字段,当包使用同样的SA发送时,每发一次序列号字段都将加1,它标示了每一个包及有多少个包使用同样的参数被发送。这样就可以通过检查包的序列号,把包含重复序列号的包丢弃,从而达到防范“报文重传”攻击的目的。
四、结语
通过以上分析可知,L2TP协议和PPTP协议在数据传输过程中都存在一定安全隐患,基于IPSec协议的VPN技术可有效防止黑客入侵,保护用户的通信信息。因此,对于保密性要求较高的重要部门,建议选择使用基于IPSec协议实现的VPN,保证通信安全。