具體羅列VPN服務的特性問題
具體羅列VPN服務的特性問題,也許大家聽說過VPN服務,下面主要向大家介紹D-Link路由器VPN服務的相關知識,如何合理運用D-Link路由器VPN服務來為我們帶來方便呢?下面將做出具體的介紹。
靈活的身份驗證機制以及高度的安全性
L2TP 可以選擇多種身份驗證機制(CHAP、PAP等),繼承了PPP的所有安全特性,L2TP 還可以對隧道端點進行驗證,這使得通過L2TP所傳輸的數據更加難以被攻擊。而且根據特定的網絡安全要求還可以方便地在L2TP之上采用隧道加密、端對端數據加密或應用層數據加密等方案來提高數據的安全性。
內部地址分配支持
LNS可以放置于企業網的防火墻之后,它可以對于遠端用戶的地址進行動態的分配和管理,可以支持DHCP和私有地址應用(RFC1918)等方案。遠端用戶所分配的地址不是Internet地址而是企業內部的私有地址,這樣方便了地址的管理并可以增加安全性。
網絡計費的靈活性
可以在LAC和LNS兩處同時計費,即ISP處(用于產生帳單)及企業處(用于付費及審記)。L2TP能夠提供數據傳輸的出入包數,字節數及連接的起始、結束時間等計費數據,可以根據這些數據方便地進行網絡計費。
VPN服務可靠性
L2TP 協議可以支持備份 LNS,當一個主 LNS 不可達之后,LAC(接入服務器)可以重新與備份 LNS 建立連接,這樣增加了 VPN服務的可靠性和容錯性。
VPN服務統一的網絡管理
L2TP協議將很快地成為標準的RFC協議,有關L2TP的標準MIB也將很快地得到制定,這樣可以統一地采用 SNMP 網絡管理方案進行方便的網絡維護與管理。
三層隧道協議
第三層隧道協議是把各種網絡協議直接裝入隧道協議中,形成的數據包依靠第三層協議進行傳輸。三層隧道協議并非是一種很新的技術,早已出現的 RFC 1701 Generic Routing Encapsulation(GRE)協議就是個三層隧道協議。新出來的 IETF 的 IP 層加密標準協議 IPSec 協議也是個三層隧道協議。
IPSec(IPSecurity)是由一組RFC文檔組成,定義了一個系統來提供安全協議選擇、安全算法,確定服務所使用密鑰等服務,從而在IP層提供安全保障。 它不是一個單獨的協議,它給出了應用于IP層上網絡數據安全的一整套體系結構,它包括網絡安全協議 Authentication Header(AH)協議和 Encapsulating Security Payload(ESP)協議、密鑰管理協議Internet Key Exchange (IKE)協議和用于網絡驗證及加密的一些算法等。下面就IPSec的認證與加密機制和協議分別做一些詳細說明。
IPSec認證包頭(AH):
它是一個用于提供IP數據報完整性和認證的機制。其完整性是保證數據報不被無意的或惡意的方式改變,而認證則驗證數據的來源(識別主機、用戶、網絡等)。AH本身其實并不支持任何形式的加密,它不能保證通過Internet發送的數據的可信程度。
AH只是在加密的出口、進口或使用受到當地政府限制的情況下可以提高全球Intenret的安全性。當全部功能實現后,它將通過認證IP包并且減少基于IP欺騙的攻擊機率來提供更好的安全服務。AH使用的包頭放在標準的IPv4和IPv6包頭和下一個高層協議幀(如TCP、UDP、ICMP等)之間。
AH協議通過在整個IP數據報中實施一個消息文摘計算來提供完整性和認證服務。一個消息文摘就是一個特定的單向數據函數,它能夠創建數據報的唯一的數字指紋。消息文摘算法的輸出結果放到AH包頭的認證數據(Authentication_Data)區。
消息文摘5算法(MD5)是一個單向數學函數。當應用到分組數據中時,它將整個數據分割成若干個128比特的信息分組。每個128比特為一組的信息是大分組數據的壓縮或摘要的表示。當以這種方式使用時,MD5只提供數字的完整性服務。
一個消息文摘在被發送之前和數據被接收到以后都可以根據一組數據計算出來。如果兩次計算出來的文摘值是一樣的,那么分組數據在傳輸過程中就沒有被改變。這樣就防止了無意或惡意的竄改。在使用HMAC-MD5認證過的數據交換中,發送者使用以前交換過的密鑰來首次計算數據報的64比特分組的MD5文摘。
從一系列的16比特中計算出來的文摘值被累加成一個值,然后放到AH包頭的認證數據區,隨后數據報被發送給接收者。接收者也必須知道密鑰值,以便計算出正確的消息文摘并且將其與接收到的認證消息文摘進行適配。如果計算出的和接收到的文摘值相等,那么數據報在發送過程中就沒有被改變,而且可以相信是由只知道秘密密鑰的另一方發送的。
封包安全協議(ESP)包頭:
它提供IP數據報的完整性和可信性服務ESP協議是設計以兩種模式工作的:隧道(Tunneling)模式和傳輸(Transport)模式。兩者的區別在于IP數據報的ESP負載部分的內容不同。在隧道模式中,整個IP數據報都在ESP負載中進行封裝和加密。
當這完成以后,真正的IP源地址和目的地址都可以被隱藏為Internet發送的普通數據。這種模式的一種典型用法就是在防火墻-防火墻之間通過虛擬專用網的連接時進行的主機或拓撲隱藏。在傳輸模式中,只有更高層協議幀(TCP、UDP、ICMP等)被放到加密后的IP數據報的ESP負載部分。在這種模式中,源和目的IP地址以及所有的IP包頭域都是不加密發送的。
IPSec要求在所有的ESP實現中使用一個通用的缺省算法即DES-CBC算法。美國數據加密標準(DES)是一個現在使用得非常普遍的加密算法。它最早是在由美國政府公布的,最初是用于商業應用。到現在所有DES專利的保護期都已經到期了,因此全球都有它的免費實現。
IPSecESP標準要求所有的ESP實現支持密碼分組鏈方式(CBC)的DES作為缺省的算法。DES-CBC通過對組成一個完整的IP數據包(隧道模式)或下一個更高的層協議幀(傳輸模式)的8比特數據分組中加入一個數據函數來工作。
DES-CBC用8比特一組的加密數據(密文)來代替8比特一組的未加密數據(明文)。一個隨機的、8比特的初始化向量(IV)被用來加密第一個明文分組,以保證即使在明文信息開頭相同時也能保證加密信息的隨機性。DES-CBC主要是使用一個由通信各方共享的相同的密鑰。
正因為如此,它被認為是一個對稱的密碼算法。接收方只有使用由發送者用來加密數據的密鑰才能對加密數據進行解密。因此,DES-CBC算法的有效性依賴于秘密密鑰的安全,ESP使用的DES-CBC的密鑰長度是56比特。
Internet 密鑰交換協議(IKE):
用于在兩個通信實體協商和建立安全相關,交換密鑰。安全相關(SecurityAssociation)是IPSec中的一個重要概念。一個安全相關表示兩個或多個通信實體之間經過了身份認證,且這些通信實體都能支持相同的加密算法,成功地交換了會話密鑰,可以開始利用 IPSec 進行安全通信。
IPSec協議本身沒有提供在通信實體間建立安全相關的方法,利用 IKE建立安全相關。IKE定義了通信實體間進行身份認證、協商加密算法以及生成共享的會話密鑰的方法。IKE中身份認證采用共享密鑰和數字簽名兩種方式,密鑰交換采用 Diffie Hellman 協議。安全相關也可以通過手工方式建立,但是當 VPN服務中結點增多時,手工配置將非常困難。
由此,IPSec 提供了以下幾種網絡安全服務:
◆私有性 - IPsec 在傳輸數據包之前將其加密,以保證數據的私有性
◆完整性 - IPsec在目的地要驗證數據包,以保證該數據包在傳輸過程中沒有被替換
◆真實性 - IPsec 端要驗證所有受 IPsec 保護的數據包
◆反重復 -IPsec防止了數據包被撲捉并重新投放到網上,即目的地會拒絕老的或重復的數據包;
小結,VPN服務綜合了專用和公用網絡的優點,允許有多個站點的公司擁有一個假想的完全專有的網絡,而使用公用網絡作為其站點之間交流的線路,它通過可靠的加密技術方法保證其安全性。I P s e c是VPN服務隧道協議中一個相當新的標準,是實現I n t e r n e t的I P協議級安全可靠的一種方法,必將成為各個VPN服務產品所支持的業界標準。
