1、远程接入 VPN 用户解决方案前言随着业务的发展,移动办公用户通过 Internet 远程接入企业内网 VPN 的需求日益明显。本文提供的方案为员工访问企业内部局域网提供了方便和安全的接入方法。该方案的特点是系统管理集成化、技术标准国际化,系统兼容性好,接入响应速度快。该方案主要由两大部分组成,一为接入系统,二为认证系统。该方案采用目前通行的设计思路,接入方式为 IPSECVPN,采用动态密钥的身份认证,使用防火墙策略,可以保证移动用户接入企业内部网数据在传输上的安全。一、远程 VPN 系统设计应满足的标准远程 VPN 系统设计应满足的标准是网络在安全性、网络性能优化、VPN 可管理性方面有良
2、的好表现。1安全性VPN 直接构建在公用网上,实现简单、方便、灵活,但同时其安全问题也更为突出。企业必需要确保其 VPN 上传送的数据不被攻击者窥视和篡改,并且要防止非法用户对网络资源或私有信息的访问。ExtranetVPN 将企业网扩展到合作伙伴和客户,对安全性提出了更高的要求。VPN 的安全性包含以下几个特征。(1)隧道与加密:隧道能实现多协议封装,增加 VPN 应用的灵活性,可以在无连接的 IP网上提供点到点的逻辑通道。在安全性要求更高的场合应用加密隧道则进一步保护了数据的私有性,使数据在网上传送而不被非法窥视与篡改。(2)数据验证:在不安全的网络上,特别是构建 VPN 的公用网上,数据
3、包有可能被非法截获,篡改后重新发送,接收方将会接收到错误的数据。数据验证使接收方可识别这种篡改,保证了数据的完整性。(3)用户验证:VPN 可使合法用户访问他们所需的企业资源,同时还要禁止未授权用户的非法访问。通过 AAA,路由器可以提供用户验证、访问级别以及必要的访问记录等功能。这一点对于 AccessVPN 和 ExtranetVPN 具有尤为重要的意义。(4)防火墙与攻击检测:防火墙用于过滤数据包,防止非法访问,而攻击检测则更进一步分析数据包的内容,确定其合法性,并可实时应用安全策略,断开包含非法访问内容的会话链接,产生非法访问记录。2网络优化构建 VPN 的另一重要需求是充分有效地利用
4、有限的广域网资源,为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低,在流量高峰时引起网络阻塞,产生网络瓶颈,使实时性要求高的数据得不到及时发送;而在流量低谷时又造成大量的网络带宽空闲。QoS 通过流量预测与流量控制策略,可以按照优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生。二层和三层的 QoS 一般具有以下功能。(1)流分类:根据不同的用户、应用、服务器或 URL 地址等对数据流进行分类,然后才可以在不同的数据流上实施不同的 QoS 策略。流分类是实现带宽管理以及其他 QoS 功能的基础。ACL 就是流分类的手段之一。(2)流量整形与监
5、管:流量整形是指根据数据流的优先级,在流量高峰时先尽量保证优先级高的数据流的接收/发送,而将超过流量限制的优先级低的数据流丢弃或滞后到流量低谷时接收/发送,使网络上的流量趋于稳定;流量监管则是指带宽大的路由器限制出口的发送速率,从而避免下游带宽小的路由器丢弃超过其带宽限制的数据包,消除网络瓶颈。(3)拥塞管理与带宽分配:根据一定的比例给不同的优先级的数据流分配不同的带宽资源,并对网络上的流量进行预测,在流量达到上限之前丢弃若干数据包,避免过多的数据包因发送失败同时进行重传而引起更严重的资源紧张,进而提高网络的总体流量。3VPN 管理VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚
6、至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完成,企业自己仍需要完成许多网络管理任务。所以,一个完善的 VPN 管理系统是必不可少的。VPN 管理的目标包括以下方面。(1)减小网络风险:从传统的专线网络扩展到公用网络基础设施上,VPN 面临着新的安全与监控的挑战。网络管理需要做到在允许公司分部、客户和合作伙伴对 VPN 访问的同时,还要确保公司数据资源的完整性。(2)扩展性:VPN 管理需要对日益增多的客户和合作伙伴作出迅捷的反应,包括网络硬、软件的升级、网络质量保证、安全策略维护等。(3)经济性:保证 VPN 管理扩展性的同时不应过多地增加操作和维护成本。(4)可靠性
7、:VPN 构建于公用网之上,不同于传统的专线广域网,其受控性大大降低,故 VPN 可靠而稳定地运行是 VPN 管理必需考虑的问题。(5)VPN 管理主要包括安全管理、设备管理、配置管理、ACL 管理、QoS 管理等内容。二、用户远程接入 VPN 技术方案选择针对移动办公用户通过 internet 接入企业内部网,建议采用 L2TPIPsec+RSAOTP 技术组合,实现 VPN 的安全可靠接入。下面对上述三种所涉及的技术做简要介绍。1.L2TP 技术PPP 协议定义了一种封装技术,可以在二层的点到点链路上传输多种协议数据包,这时用户与 NAS 之间运行 PPP 协议,二层链路端点与 PPP 会
8、话点驻留在相同硬件设备上。L2TP(Layer2TunnelingProtocol )协议提供了对 PPP 链路层数据包的通道( Tunnel)传输支持,允许二层链路端点和 PPP 会话点驻留在不同设备上并且采用包交换网络技术进行信息交互,从而扩展了 PPP 模型。L2TP 协议结合了 L2F 协议和 PPTP 协议的各自优点,成为 IETF 有关二层隧道协议的工业标准。L2TP 包括以下几个特性。(1)安全的身份验证机制:与 PPP 类似,L2TP 可以对隧道端点进行验证。不同的是 PPP可以选择采用 PAP 方式以明文传输用户名及密码,而 L2TP 规定必须使用类似 PPPCHAP的验证方
9、式。(2)内部地址分配支持:LNS 放置于企业网的防火墙之后,可以对远端用户的地址进行动态分配和管理,还可以支持 DHCP 和私有地址应用(RFC1918) 。远端用户所分配的地址不是 Internet 地址而是企业内部的私有地址,方便了地址管理并可以增加安全性。(3)统一的网络管理:L2TP 协议已成为标准的 RFC 协议,有关 L2TP 的标准 MIB 也已制定,这样可以统一地采用 SNMP 网络管理方案进行方便的网络维护与管理。2.IPSec 技术IPSec(IPSecurity)是一组开放协议的总称,特定的通信方之间在 IP 层通过加密与数据源验证,以保证数据包在 Internet 网
10、上传输时的私有性、完整性和真实性。IPSec 通过AH(AuthenticationHeader)和 ESP (Encapsulating Security Payload)这两个安全协议来实现。而且此实现不会对用户、主机或其它 Internet 组件造成影响,用户还可以选择不同的硬件和软件加密算法,而不会影响其它部分的实现。IPSec 提供以下几种网络安全服务:私有性:IPSec 在传输数据包之前将其加密,以保证数据的私有性;完整性:IPSec 在目的地要验证数据包,以保证该数据包在传输过程中没有被修改;真实性:IPSec 端要验证所有受 IPSec 保护的数据包;防重放:IPSec 防止了
11、数据包被捕捉并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。3.RSAOTP 技术RSAOTP 是建立在“双因素认证”基础上。该方法的前提是一个单一的记忆因素,如口令,但口令本身只能对真实性进行低级认证,因为任何听到或盗窃口令的人都会显得完全真实,因此需要增加第二个物理认证因素以使认证的确定性按指数递增。借助强大的用户认证系统,RSA 信息安全解决方案可以向授权的员工发放单独登记的设备,以生成个人使用令牌码,这一代码可以根据时间而变化。每 60 秒就会生成一个不同的令牌码,保护网络的认证服务器能够验证这个变化的代码是否有效。每个认证设备都是唯一的,别人无法通过记录以
12、前的令牌代码来预测将来的代码,就可以高度确信该用户即拥有 RSA安全认证令牌的合法用户。每一个令牌密码变换是基于时间和预置的种子的函数。保证令牌卡与认证服务器的时间同步是保证系统可靠运行的基础。(1)与 UCT 时间同步全球同步时间(UCT)用来同步所有 RSA 信息安全公司产品之间的时间。在发售时,每个RSASecurID 令牌都设定为 UCT(与格林威治标准时间相同) ;在安装过程中,RSAACE/Server 系统时钟同样设定为 UCT。实质上,全世界各地的所有 RSA 信息安全公司都被精确设定为相同的时钟,从而不需处理时区差或进行夏令时调整。(2)有效令牌窗口和时钟漂移调整为解决使用基
13、于硬件的令牌所产生的微小时间设置差异和时钟漂移问题,RSAACE/Server在 3 分钟的时间窗口基础上进行认证,即 UCT 时钟显示的当前时间、该时间的前一分钟和后一分种。如果用户名和 PIN 准确无误,而所提供的密码与当前时间不符,RSAACE/Server 会自动将其前一分钟和后一分种匹配项进行核对。这一过程适用于认证令牌中的时钟略为偏离 RSAACE/Server 中的时间相位的情况。如果与其中任一项相符,则用户通过认证,进而在该用户的数据库纪录中创建一个节点,用于调整未来的登录,以反映时间漂移。假定一个用户定期进行登录,RSAACE/Server 会一直调整令牌时间,使令牌码保持在
14、 3 分钟窗口内。但是,如果一个用户长期没有登录(一般情况下达几个月) ,其令牌时间就会漂移到三分钟窗口以外,生成一个无效的令牌码。在这种情况下, RSAACE/Server 会测试当前时间前十分钟和当前时间后十分钟的令牌码,如果它与其中任意一个代码相符,那么RSAACE/Server 会再次要求用户输入令牌码,以确认令牌所有权;如果第二个令牌码具有相同的时钟漂移,该令牌就被假定为有效,从而用户通过认证,RSA ACE/Server 会在该用户纪录中注明特定认证令牌的时钟差异,已备未来登录时使用。但是,如果所提供的 PIN(个人身份识别号)不匹配,或输入了无法由时钟漂移解释的错误令牌码,RSA
15、ACE/Server 会要求用户重试。管理员可以设置在锁定用户和建立报警日志项目前允许的重试次数。三、用户远程接入 VPN 接入方案规划用户远程接入 VPN 系统结构如图 1 所示。图 1 用户远程接入 VPN 系统结构服务器端系统包括:高性能 VPN 接入服务器组成高可用性 VPN 接入服务器计费认证服务器RSAOTP 服务器日志审计服务器及 VPNManager用户端设备移动终端(WindowsXP/2000)RSA 令牌卡、Internet 移动办公用户接入内网流程:用户首先接入 Internet,通过L2TPIPsec 呼叫与 Internet 接入 VPN 服务器连接,输入用户名密码,其中密码为 PIN 码RSA 令牌卡产生的一次性密码。密码通过 PPP 的 CHAP 认证由 CAMS 与 RSAServer 组合完成认证后向 VPN 接入路由器反馈认证是否成功信息最终决定用户是否可以接入。用户通过认证后即可通过 L2TP 协议获得企业内网内部 IP 地址,与内网内设备与系统进行正常通信。