广域网安全解决方案

1/12/2008来源:网络方案人气:5155

 广域网上存在哪些不安全的地方?
  
    由于广域网采用公网传输数据,因而在广域网上进行传输时信息也可能会被不法分子截取。 如分支机构从异地上发一个信息到总部时,这个信息包就有可能被人截取和利用。因此在广域网上发送和接收信息时要保证:
    1. 除了发送方和接收方外,其他人是不可知悉的(隐私性);
    2. 传输过程中不被窜改(真实性);
    3. 发送方能确信接收方不会是假冒的(非伪装性);
    4. 发送方不能否认自己的发送行为(非否认)。
  
    假如没有专门的软件对数据进行控制,所有的广域网通信都将不受限制地进行传输, 因此任何一个对通信进行监测的人都可以对通信数据进行截取。这种形式?quot;攻击"是相对比较轻易成功的 ,只要使用现在可以很轻易得到的"包检测"软件即可。
  
    假如从一个联网的UNIX工作站上使用"跟踪路由"命令的话,就可以看见数据从客户机传送到服务器要经过多少种不同的节点和系统, 所有这些都被认为是最轻易受到黑客攻击的目标。一般地,一个监听攻击只需通过在传输数据的末尾获取ip包的信息即可以完成。 这种办法并不需要非凡的物理访问。假如对网络用线具有直接的物理访问的话,还可以使用网络诊断软件来进行窃听。
  
    对付这类攻击的办法就是对传输的信息进行加密,或者是至少要对包含敏感数据的部分信息进行加密。
  
  加密技术
  
    加密型网络安全技术的基本思想是不依靠于网络中数据路径的安全性来实现网络系统的安全, 而是通过对网络数据的加密来保障网络的安全可靠性, 因而这一类安全保障技术的基石是适用的数据加密技术及其在分布式系统中的应用。
  
    数据加密技术可以分为三类,即对称型加密、不对称型加密和不可逆加密。
  
    其中对称型加密使用单个密钥对数据进行加密或解密,其特点是计算量小、加密效率高。但是此类算法在分布式系统上使用较为困难, 主要是密钥治理困难,从而使用成本较高,保安性能也不易保证。 这类算法的代表是在计算机专网系统中广泛使用的DES算法(Digital Encryption Standard)。
  
    不对称型加密算法也称公用密钥算法,其特点是有二个密钥(即公用密钥和私有密钥), 只有二者搭配使用才能完成加密和解密的全过程。由于不对称算法拥有二个密钥,它非凡适用于分布式系统中的数据加密, 在Internet中得到了广泛应用。其中公用密钥在网上公布,为数据源对数据加密使用, 而用于解密的相应私有密钥则由数据的收信方妥善保管。 不对称加密的另一用法称为"数字签名"(digital signature),即数据源使用其私有密钥对数据的校验和(checksum) 或其他与数据内容有关的变量进行加密,而数据接收方则用相应的公用密钥解读"数字签名", 并将解读结果用于对数据完整性的检验。在网络系统中得到应用的不对称加密算法有RSA算法和美国国家标准局提出的DSA算法 (Digital Signature Algorithm)。不对称加密法在分布式系统中应用需注重的问题是如何治理和确认公用密钥的合法性。
  
    不可逆加密算法的特征是加密过程不需要密钥,并且经过加密的数据无法被解密, 只有同样的输入数据经过同样的不可逆加密算法才能得到相同的加密数据。不可逆加密算法不存在密钥保管和分发问题, 适合于分布式网络系统上使用,但是其加密计算工作量相当可观,所以通常用于数据量有限的情形下的加密, 例如计算机系统中的口令就是利用不可逆算法加密的。近来随着计算机系统性能的不断改善,不可逆加密的应用逐渐增加。 在计算机网络中应用较多的有RSA公司发明的md5算法和由美国国家标准局建议的可靠不可逆加密标准 (SHS-Secure Hash Standard)。
  
    加密技术用于网络安全通常有二种形式,即面向网络或面向应用服务。 前者通常工作在网络层或传输层,使用经过加密的数据包传送、认证网络路由及其他网络协议所需的信息, 从而保证网络的连通性和可用性不受损害。在网络层上实现的加密技术对于网络应用层的用户通常是透明的。此外, 通过适当的密钥治理机制,使用这一方法还可以在公用的互联网络上建立虚拟专用网络并保障虚拟专用网上信息的安全性。 SKIP协议即是近来IETF在这一方面的努力之一。
  
    面向网络应用服务的加密技术使用则是目前较为流行的加密技术的使用方法,例如使用Kerberos服务的telnet、NFS、rlogion等, 以及用作电子邮件加密的PEM(PRivacy Enhanced Mail)和PGP(Pretty Good Privacy)。 这一类加密技术的优点在于实现相对较为简单,不需要对电子信息(数据包)所经过的网络的安全性能提出非凡要求, 对电子邮件数据实现了端到端的安全保障。

  
  数字签名和认证技术
  
    认证技术主要解决网络通讯过程中通讯双方的身份认可,数字签名作为身份认证技术中的一种具体技术, 同时数字签名还可用于通信过程中的不可抵赖要求的实现。
  
    认证过程通常涉及到加密和密钥交换。通常,加密可使用对称加密、不对称加密及两种加密方法的混合。
  
   UserName/PassWord认证
  
    该种认证方式是最常用的一种认证方式,用于操作系统登录、telnet、rlogin等,但由于此种认证方式过程不加密, 即password轻易被监听和解密。
  
   使用摘要算法的认证
    Radius(拨号认证协议)、路由协议(OSPF)、SNMP Security Protocol等均使用共享的Security Key, 加上摘要算法(MD5)进行认证,由于摘要算法是一个不可逆的过程,因此,在认证过程中, 由摘要信息不能计算出共享的security key,敏感信息不在网络上传输。市场上主要采用的摘要算法有MD5和SHA-1。
  
    基于PKI的认证
  使用公开密钥体系进行认证和加密。该种方法安全程度较高,综合采用了摘要算法、不对称加密、对称加密、 数字签名等技术,很好地将安全性和高效率结合起来。2.6节描述了基于PKI认证的基本原理。 这种认证方法目前应用在电子邮件、应用服务器访问、客户认证、防火墙验证等领域。 该种认证方法安全程度很高,但是涉及到比较繁重的证书治理任务。
  
   数字签名
    数字签名作为验证发送者身份和消息完整性的根据。公共密钥系统(如RSA)基于私有/公共密钥对, 作为验证发送者身份和消息完整性的根据。CA使用私有密钥计算其数字签名,利用CA提供的公共密钥,任何人均可验证签名的真实性。 伪造数字签名从计算能力上是不可行的。并且,假如消息随数字签名一同发送,对消息的任何修改在验证数字签名时都将会被发现。 通讯双方通过Diffie-Hellman密钥系统安全地获取共享的保密密钥,并使用该密钥对消息加密。Diffie-Hellman密钥由CA进行验证。
  
  
  类型 技术 用途 
  基本会话密钥 DES 加密通讯 
  加密密钥 Deff-Hellman 生成会话密钥 
  认证密钥 RSA 验证加密密钥 
  
  
    基于此种加密模式,需要治理的密钥数目与通讯者的数量为线性关系。 而其它的加密模式需要治理的密钥数目与通讯者数目的平方成正比。
  PGP对数据传输加密和认证
  
  以上两节解释了加密和认证的基本原理。如何保证广域网系统的安全性呢?采用PGP来保护系统的安全性。
  
   为什么采用PGP加密?
  
    目前国内多使用56位的加密系统,实际上是不安全的,而PGP是最少128位加密的强大的加密软件, 可以用于任何格式的文档,包括文本、电子表、图形等。
    ▲具备数字签名功能,用于检查消息和文件的原作者和完整性。
    ▲支持以下密钥算法:
     1. 公用密钥算法:Diffie-Hellman/DSS,RSA
     2. 散列功能:MD5, RIPEMD-160, SHA-1
     3. 对称算法:CAST, IDEA, Triple-DES
    ▲包括密钥生成和治理的整套工具,使系统治理员能够灵活控制整个网络系统的安全策略。
  
   如何部署PGP系统
  
   分以下三个部分描述:
  
    1.建立网络系统的PGP证书治理中心
  
    在大型网络系统中,利用PGP Certificate Server建立一个证书的治理中心。
  
    可以轻松地创建并治理统一的公用密钥基础结构。从而在网络系统内部或Internet之间进行保密通讯。 通过将Lightweight Directory access Protocol (LDAP)目录和PGP证书的优点相结合, PGP Certificate Server大大简化了投递和治理证书的过程。同时具备灵活的配置和制度治理。
  
    PGP Certificate Server支持LDAP和HTTP协议,从而保证与PGP客户软件的无缝集成。 其Web接口答应治理员执行各种功能,包括配置、报告和状态检查,以实现对其远程治理。 我们可以在Sun Solaris(SPARC)或Microsoft Windows NT Server (Intel)平台上实现。
  
    2.对文档和电子邮件进行PGP加密
  
    在Windows95或Windows N上可以安装PGP for Business Security ,对文件系统和电子邮件系统进行加密传输。
  
    3.在应用系统中集成PGP加密
  
    利用PGP Software Development Kit(PGP sdk)系统开发人员可以将密码功能结合到现有的应用系统中, 如电子商务、法律、金融及其他应用中。PGP sdk采用 C/C++ API, 提供一致的接口和强健的错误处理协议。
  
  
  VPN技术
  
   网络系统对VPN技术的需求
  
    网络系统总部和各分支机构之间采用公网网络进行连接,其最大的弱点在于缺乏足够的安全性。 企业网络接入到公网中,暴露出两个主要危险:
  ▲来自公网的未经授权的对企业内部网的存取。
  ▲当网络系统通过公网进行通讯时,信息可能受到窃听和非法修改。
  

    完整的集成化的企业范围的VPN安全解决方案,提供在公网上安全的双向通讯,
  以及透明的加密方案以保证数据的完整性和保密性。
  
  由于VPN大多采用IPSec协议,下面作简要介绍。
  
   IPSec
  
    IPSec作为在IP v4及IP v6上的加密通讯框架,已为大多数厂商所支持,预计在1998年将确定为IETF标准, 是VPN实现的Internet标准。 IPSec主要提供IP网络层上的加密通讯能力。该标准为每个IP包增加了新的包头格式, Authentication Header(AH)及encapsualting security payload(ESP)。 IPsec使用ISAKMP/Oakley及SKIP进行密钥交换、治理及加密通讯协商(Security Association)。
  
  Ipsec包含两个部分:
    (1) IP security Protocol proper,定义Ipsec报文格式。
    (2) ISAKMP/Oakley,负责加密通讯协商。
  
  Ipsec提供了两种加密通讯手段:
    Ipsec Tunnel:整个IP封装在Ipsec报文。提供Ipsec-gateway之间的通讯。
    Ipsec transport:对IP包内的数据进行加密,使用原来的源地址和目的地址。
    Ipsec Tunnel不要求修改已配备好的设备和应用,网络黑客户不能看到实际的的通讯源地址和目的地址,
  并且能够提供专用网络通过Internet加密传输的通道,因此,绝大多数均使用该模式。
  ISAKMP/Oakley使用X.509数字证书,因此,使VPN能够轻易地扩大到企业级。(易于治理)。
  
    在为远程拨号服务的Client端,也能够实现Ipsec的客户端,为拨号用户提供加密网络通讯。
  由于Ipsec即将成为Internet标准,因此不同厂家提供的防火墙(VPN)产品可以实现互通。
  
   Gauntlet的VPN实现
  
  Gauntlet支持VPN, 大型网络系统可以利用其实现VPN功能。关于Gauntlet的具体介绍,参见4.3节。
  
  如何保证远程访问的安全性
  
    对于从外部拨号访问总部内部局域网的用户,由于使用公用电话网进行数据传输所带来的风险,必须严格控制其安全性。
  
    首先,应严格限制拨号上网用户所能访问的系统信息和资源,这一功能可通过在拨号访问服务器后设置的Gauntlet防火墙来实现。
  
    其次,应加强对拨号用户的身份验证功能,使用TACACS、RADIUS等专用身份验证协议和服务器。一方面,
  可以实现对拨号用户帐号的统一治理;另一方面,在身份验证过程中采用PGP加密手段,避免用户口令泄密的可能性(参见下图)。
   
  第三,在数据传输过程中采用加密技术,防止数据被非法窃取。一种方法是使用PGP for Business Security, 对数据直接加密。另一种方法是采用Gauntlet防火墙所提供的VPN(虚拟专网)技术。VPN在提供网间数据加密的同时, 也提供了针对单机用户的加密客户端软件,即采用软件加密的技术来保证数据传输的安全性,其运行示意图如下。