◆秦 勇
基于IPSec的VPN在校园网的应用研究
◆秦 勇
(北京青年政治学院计算机系 北京 100102)
基于IPSec的VPN技术为用户提供了安全的内网资源访问,在校园网应用中可以搭建基于IPSec的站点到站点的VPN和L2TP VPN,通过防火墙调试和抓包分析工具WireShark获得流量数据包,确定IPSec的工作原理和安全特性。
IPSEC;VPN;数据分析
网络技术的发展,促进了社会的发展,企业扩展和校园合并都把园区网的功能做了升级,企业员工不管在哪里都希望能够使用企业的网络资源,特别是校园网的资源,然而限于安全和成本的考虑,很多资源只能在园区网络内供用户访问。虚拟专用网VPN技术的应用,使得园区网络资源能够安全的为企业员工提供服务。
虚拟专用网VPN是指将物理上分布在不同地点的网络通过公用骨干网联接而成逻辑上的虚拟子网,从实际应用效果看,对用户是完全透明的,就好像在实际的园区网络里访问内部资源一样。
VPN属于远程访问技术,简单地说就是利用公用网络架设专用网络。传统的企业网络配置中,要进行远程访问,传统的方法是租用DDN(数字数据网)专线或帧中继,这样的通讯方案必然导致高昂的网络通讯和维护费用。对于移动用户(移动办公人员)与远端个人用户而言,一般会通过拨号线路(Internet)进入企业的局域网,但这样必然带来安全上的隐患。为了保障网络数据的传输安全,VPN技术采用了认证、存取控制、机密性、数据完整性等措施,以保证信息在传输中不被偷看、篡改、复制。有了数据加密,就可以认为数据是在一条专用的数据链路上进行安全传输,就如同专门架设了一个专用网络一样,但实际上VPN使用的是互联网上的公用链路,因此VPN称为虚拟专用网络,其实质上就是利用加密技术在公网上封装出一个数据通讯隧道。有了VPN技术,用户无论是在外地出差还是在家中办公,只要能上互联网就能利用VPN访问内网资源,这就是VPN在企业中应用得如此广泛的原因。
IPSec是IETF IPSec工作组定义的一套安全协议,在RFC2401中,对IPSec基本架构和基本部件做了定义,其中包括验证报头(AH)和封装安全有效负载(ESP)的安全协议,密钥管理(ISAKMP、IKE、SKEME)和用于加密和身份验证的算法。
图1 IPSec体系结构
IPSec体系结构如图1所示。AH(认证头)和ESP(封装安全载荷)是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务。两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以确保数据的安全,其中包括算法、密钥大小、算法程序以及算法专用的任何信息。IKE(Internet 密钥交换)利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务,即 “IPSec安全关联”。SA(安全关联)是一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案,它保证了IPSec数据报封装及提取的正确性,同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。即SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。策略是一个非常重要的但又尚未成为标准的组件,它决定两个实体之间是否能够通信;如果允许通信,又采用什么样的数据处理算法。如果策略定义不当,可能导致双方不能正常通信。与策略有关的问题分别是表示与实施。“表示”负责策略的定义、存储和获取,“实施”强调的则是策略在实际通信中的应用。
校园网是一种非常典型的园区网络,教师和学生基本都在校园内部访问校园网资源,网络的安全是在隔离外界的基础上进行保证的。随着院校规模的扩大,院校的合并带来了多地办学的形态,教师和学生都面临在非校园网的环境进行远程访问,外部的网络应用给校园网络带来很多安全隐患,IPSec与VPN技术的应用为校园网的远程互访提供了良好的安全保障。
3.1 多校区的IPSec VPN的实现
在校园网的出口,一般都使用防火墙来与外网连接。防火墙可根据数据包的IP地址、访问状态、深入数据包内部检查数据等工作,来有效防范外网对内网的攻击,同时可以协同其他安全工具和软件,构成IDS和IPS系统。如图2所示。
图2 校区间网络拓扑
在进行两个校区的IPSecVPN应用时,要进行合理的内网地址规划。信息中心的人员在进行地址应用时,两个校区要通过的数据网段不能相同,这个是在基本的拓扑概念中要注意的,对于数据流的保护,在进行应用时必须把特定的保护流量规划出来,通过访问控制列表来做限定。
IPSec VPN实现的具体步骤是,由于校园网访问外部网络通常使用NAT(网络地址转换)技术,在应用VPN时,需要考虑把其中的流量进行NAT的穿越处理,当VPN设备发现数据需要被保护时,启用安全协议IPSec,就是对数据进行加密、认证处理,密钥管理协议阶段1验证IPSec对等方,在该阶段中协商IKE安全关联,为阶段2中的协商IPSec安全关联创建一条安全的通信信道;密钥管理协议阶段2协商IPSec安全关联参数,创建的安全参数则用来保护端点之间交换的信息和数据,在对等方中创建匹配IPSec安全关联;数据传输发生存储在安全关联数据库中的密钥和基于IPSec参数的IPSec对等方;通过超时发生或删除安全关联终止IPSec隧道。
思科设备的稳定性是业界比较知名的,一般处理过脚本的应用后,对于相关技术的掌握也就比较容易了,以思科ASA5520为例,使用ASA8.4版本系统进行IPSecVPN应用。
首先进行NAT和NAT穿越的应用nat(inside,outside)source static INSIDE- ADDRESS INSIDE- ADDRESS destination static VPN-ADDRESS VPN-ADDRESS,因为IPSecVPN应用时,需要在校园网的网络地址上封装IPSec协议及隧道地址,所以对于NAT来说必须进行穿越应用,即不让这些VPN流量进行转换,所以需要通过NAT配置旁路掉VPN感兴趣流。
其次,进行IPSec安全提议应用,把IPSec应用定义在校园网的防火墙的外网crypto ikev1 enableoutside,在安全提议中指明加密和认证的算法,如3des、md5、sha等,为后续的第二阶段的IPsec协商做准备,一般使用预共享密钥方式authentication pre-share。
再次,进行IPSec策略的协商应用,在这个阶段定义安全流应用的隧道类型tunnel-group OUT-ADDRESS type ipsec-l2l,制定安全访问的预共享密钥,并且进行第二阶段的应用crypto ipsec ikev1transform-set ESP-3DES-SHA esp-3des esp-sha-hmac,在这里定义好VPN的应用隧道,即封装外网端口地址,包括本地和外网的应用crypto map TEST 10 set peer 外网IP。
最后,把上面的IPSec安全关联应用在防火墙的外网接口上,在两个校区的外网应用中药进行对称应用,即双方的安全流量要互访,并且使用相同的共享秘钥。
3.2 移动用户IPSec VPN的应用
对于校园网的远程用户一般使用L2TP over IPSec的方式进行访问,对于教师和学生来说,使用的外网地址是不固定的,所以在建立IPSec通道时不能象校区之间通过特定的设备来实现预共享密钥的访问,只能使用野蛮模式来进行IPSec VPN的应用,如图3所示。
图3 L2TP over IPSec VPN
用户需要在移动终端上使用相应的拨号软件,实现与校园网防火墙(VPN网关)通信。当拨号成功以后,VPN网关会给移动终端分配一个IP地址,这时候他们之间就可以通信了,这时移动终端用户就是L2TP应用中的LAC(L2TP Access Concen trator),校园网防火墙就是LNS(L2TP Network Server),IPSec隧道在LAC与LNS之间建立,保护L2TP隧道数据流,L2TP隧道封装包被封装在IPSec隧道封装包之中。在整个应用中,IP Sec协议对数据流提供了很好的保护,使得校园网与移动用户之间处在安全的应用框架内。
3.3 IPSec数据包分析
多校区间IPSec VPN应用成功以后,可以从设备上可以进行功能应用查看,通过使用命令可以查看到IPSec SA的信息,如图4所示。
图4 IPSec SA
通过图示可以看到数据流的私网地址是反应不出来的,都被应用在外网应用的隧道中,数据流被ESP协议进行保护,VPN网关上的进站流量和出站流量在两个校区站点设备上是互相对应的,并且应用加密算法、认证算法都显示出来,最重要的链路的预共享密钥隐含在内部起作用。
使用Wireshark捕捉VPN网关的外部流量时,如图5,可以看到设备为内网流量建立了SA(Security Association),并且显示使用了身份验证保护方式为Main Mode,这是IKE协商的第一阶段,使用抓包分析软件无法获取流量应用的预共享密钥。
图5 Wirshark获取SA数据
IPSec与VPN技术的拓展了校园网的应用范围,为教师和学生访问校园网资源提供了方便,保障了数据传输的安全,节省了网络应用成本。然而,IPSec VPN的应用局限在站到到站点的访问,特别是L2TP over IPSec VPN对用户的应用访问要求比较高,这就需要校园网的管理应用人员要对数据流进行良好的规划,才能把IPSec VPN技术进行最大化的推广。
[1]百度百科.虚拟专用网[J/OL].http://baike.baidu.com. [2]波拉普拉哥达.IPSec VPN设计[M].人民邮电出版社,2 012.
[3]陆敏锋,平玲娣,李 卓.基于IPSec 网络协议的VPN测试系统[J].计算机工程,2010.
[4]王凤领.基于IPSec 的VPN 技术的应用研究[J].计算机技术与发展,2012.
[5]H3C通信技术有限公司.路由交换技术(第4卷)[M].清华大学出版社,2012.
[6]51CTO技术论坛.gns3模拟ASA8.4.2和ASA8.0.2之间做ipsec-l2lvpn,新老版本配置[J/OL].http://bbs.51cto.com/thr ead-1104422-1.html.
[7]百度文库.l2tp over ipsec隧道[J/OL].http:// http://wen ku.baidu.com/.
[8]约拉姆·奥扎赫(Yoram Orzach),古宏霞,孙余强.Wi reshark网络分析实战[M].人民邮电出版社,2015.