廣域網安全解決方案

2019-11-04 21:17:59

字體：大中小

來源：轉載

供稿：網友

　廣域網上存在哪些不安全的地方？
　　
　　　　由于廣域網采用公網傳輸數據，因而在廣域網上進行傳輸時信息也可能會被不法分子截取。如分支機構從異地上發一個信息到總部時，這個信息包就有可能被人截取和利用。因此在廣域網上發送和接收信息時要保證：
　　　　1. 除了發送方和接收方外，其他人是不可知悉的（隱私性）；
　　　　2. 傳輸過程中不被竄改（真實性）；
　　　　3. 發送方能確信接收方不會是假冒的（非偽裝性）；
　　　　4. 發送方不能否認自己的發送行為（非否認）。
　　
　　　　假如沒有專門的軟件對數據進行控制，所有的廣域網通信都將不受限制地進行傳輸，因此任何一個對通信進行監測的人都可以對通信數據進行截取。這種形式?quot;攻擊"是相對比較輕易成功的，只要使用現在可以很輕易得到的"包檢測"軟件即可。
　　
　　　　假如從一個聯網的UNIX工作站上使用"跟蹤路由"命令的話，就可以看見數據從客戶機傳送到服務器要經過多少種不同的節點和系統，所有這些都被認為是最輕易受到黑客攻擊的目標。一般地，一個監聽攻擊只需通過在傳輸數據的末尾獲取ip包的信息即可以完成。這種辦法并不需要非凡的物理訪問。假如對網絡用線具有直接的物理訪問的話，還可以使用網絡診斷軟件來進行竊聽。
　　
　　　　對付這類攻擊的辦法就是對傳輸的信息進行加密，或者是至少要對包含敏感數據的部分信息進行加密。
　　
　　加密技術
　　
　　　　加密型網絡安全技術的基本思想是不依靠于網絡中數據路徑的安全性來實現網絡系統的安全，而是通過對網絡數據的加密來保障網絡的安全可靠性，因而這一類安全保障技術的基石是適用的數據加密技術及其在分布式系統中的應用。
　　
　　　　數據加密技術可以分為三類，即對稱型加密、不對稱型加密和不可逆加密。
　　
　　　　其中對稱型加密使用單個密鑰對數據進行加密或解密，其特點是計算量小、加密效率高。但是此類算法在分布式系統上使用較為困難，主要是密鑰治理困難，從而使用成本較高，保安性能也不易保證。這類算法的代表是在計算機專網系統中廣泛使用的DES算法（Digital Encryption Standard）。
　　
　　　　不對稱型加密算法也稱公用密鑰算法，其特點是有二個密鑰（即公用密鑰和私有密鑰），只有二者搭配使用才能完成加密和解密的全過程。由于不對稱算法擁有二個密鑰，它非凡適用于分布式系統中的數據加密，在Internet中得到了廣泛應用。其中公用密鑰在網上公布，為數據源對數據加密使用，而用于解密的相應私有密鑰則由數據的收信方妥善保管。不對稱加密的另一用法稱為"數字簽名"（digital signature），即數據源使用其私有密鑰對數據的校驗和（checksum）或其他與數據內容有關的變量進行加密，而數據接收方則用相應的公用密鑰解讀"數字簽名"，并將解讀結果用于對數據完整性的檢驗。在網絡系統中得到應用的不對稱加密算法有RSA算法和美國國家標準局提出的DSA算法（Digital Signature Algorithm）。不對稱加密法在分布式系統中應用需注重的問題是如何治理和確認公用密鑰的合法性。
　　
　　　　不可逆加密算法的特征是加密過程不需要密鑰，并且經過加密的數據無法被解密，只有同樣的輸入數據經過同樣的不可逆加密算法才能得到相同的加密數據。不可逆加密算法不存在密鑰保管和分發問題，適合于分布式網絡系統上使用，但是其加密計算工作量相當可觀，所以通常用于數據量有限的情形下的加密，例如計算機系統中的口令就是利用不可逆算法加密的。近來隨著計算機系統性能的不斷改善，不可逆加密的應用逐漸增加。在計算機網絡中應用較多的有RSA公司發明的md5算法和由美國國家標準局建議的可靠不可逆加密標準（SHS－Secure Hash Standard）。
　　
　　　　加密技術用于網絡安全通常有二種形式，即面向網絡或面向應用服務。前者通常工作在網絡層或傳輸層，使用經過加密的數據包傳送、認證網絡路由及其他網絡協議所需的信息，從而保證網絡的連通性和可用性不受損害。在網絡層上實現的加密技術對于網絡應用層的用戶通常是透明的。此外，通過適當的密鑰治理機制，使用這一方法還可以在公用的互聯網絡上建立虛擬專用網絡并保障虛擬專用網上信息的安全性。 SKIP協議即是近來IETF在這一方面的努力之一。
　　
　　　　面向網絡應用服務的加密技術使用則是目前較為流行的加密技術的使用方法，例如使用Kerberos服務的telnet、NFS、rlogion等，以及用作電子郵件加密的PEM（PRivacy Enhanced Mail）和PGP（Pretty Good Privacy）。這一類加密技術的優點在于實現相對較為簡單，不需要對電子信息（數據包）所經過的網絡的安全性能提出非凡要求，對電子郵件數據實現了端到端的安全保障。

　　
　　數字簽名和認證技術
　　
　　　　認證技術主要解決網絡通訊過程中通訊雙方的身份認可，數字簽名作為身份認證技術中的一種具體技術，同時數字簽名還可用于通信過程中的不可抵賴要求的實現。
　　
　　　　認證過程通常涉及到加密和密鑰交換。通常，加密可使用對稱加密、不對稱加密及兩種加密方法的混合。
　　
　　　UserName/PassWord認證
　　
　　　　該種認證方式是最常用的一種認證方式，用于操作系統登錄、telnet、rlogin等，但由于此種認證方式過程不加密，即password輕易被監聽和解密。
　　
　　　使用摘要算法的認證
　　　　Radius(撥號認證協議)、路由協議(OSPF)、SNMP Security Protocol等均使用共享的Security Key，加上摘要算法(MD5)進行認證，由于摘要算法是一個不可逆的過程，因此，在認證過程中，由摘要信息不能計算出共享的security key，敏感信息不在網絡上傳輸。市場上主要采用的摘要算法有MD5和SHA-1。
　　
　　　　基于PKI的認證
　　使用公開密鑰體系進行認證和加密。該種方法安全程度較高，綜合采用了摘要算法、不對稱加密、對稱加密、數字簽名等技術，很好地將安全性和高效率結合起來。2.6節描述了基于PKI認證的基本原理。這種認證方法目前應用在電子郵件、應用服務器訪問、客戶認證、防火墻驗證等領域。該種認證方法安全程度很高，但是涉及到比較繁重的證書治理任務。
　　
　　　數字簽名
　　　　數字簽名作為驗證發送者身份和消息完整性的根據。公共密鑰系統(如RSA)基于私有/公共密鑰對，作為驗證發送者身份和消息完整性的根據。CA使用私有密鑰計算其數字簽名，利用CA提供的公共密鑰，任何人均可驗證簽名的真實性。偽造數字簽名從計算能力上是不可行的。并且，假如消息隨數字簽名一同發送，對消息的任何修改在驗證數字簽名時都將會被發現。通訊雙方通過Diffie-Hellman密鑰系統安全地獲取共享的保密密鑰，并使用該密鑰對消息加密。Diffie-Hellman密鑰由CA進行驗證。
　　
　　
　　類型　技術　用途　
　　基本會話密鑰　DES　加密通訊　
　　加密密鑰　Deff-Hellman　生成會話密鑰　
　　認證密鑰　RSA　驗證加密密鑰　
　　
　　
　　　　基于此種加密模式，需要治理的密鑰數目與通訊者的數量為線性關系。而其它的加密模式需要治理的密鑰數目與通訊者數目的平方成正比。
　　PGP對數據傳輸加密和認證
　　
　　以上兩節解釋了加密和認證的基本原理。如何保證廣域網系統的安全性呢？采用PGP來保護系統的安全性。
　　
　　　為什么采用PGP加密？
　　
　　　　目前國內多使用56位的加密系統，實際上是不安全的，而PGP是最少128位加密的強大的加密軟件，可以用于任何格式的文檔，包括文本、電子表、圖形等。
　　　　▲具備數字簽名功能，用于檢查消息和文件的原作者和完整性。
　　　　▲支持以下密鑰算法：
　　　　　1. 公用密鑰算法：Diffie-Hellman/DSS,RSA
　　　　　2. 散列功能：MD5, RIPEMD-160, SHA-1
　　　　　3. 對稱算法：CAST, IDEA, Triple-DES
　　　　▲包括密鑰生成和治理的整套工具，使系統治理員能夠靈活控制整個網絡系統的安全策略。
　　
　　　如何部署PGP系統
　　
　　　分以下三個部分描述：
　　
　　　　1．建立網絡系統的PGP證書治理中心
　　
　　　　在大型網絡系統中，利用PGP Certificate Server建立一個證書的治理中心。
　　
　　　　可以輕松地創建并治理統一的公用密鑰基礎結構。從而在網絡系統內部或Internet之間進行保密通訊。通過將Lightweight Directory access Protocol (LDAP)目錄和PGP證書的優點相結合， PGP Certificate Server大大簡化了投遞和治理證書的過程。同時具備靈活的配置和制度治理。
　　
　　　　PGP Certificate Server支持LDAP和HTTP協議，從而保證與PGP客戶軟件的無縫集成。其Web接口答應治理員執行各種功能，包括配置、報告和狀態檢查，以實現對其遠程治理。我們可以在Sun Solaris(SPARC)或Microsoft Windows NT Server (Intel)平臺上實現。
　　
　　　　2．對文檔和電子郵件進行PGP加密
　　
　　　　在Windows95或Windows N上可以安裝PGP for Business Security ，對文件系統和電子郵件系統進行加密傳輸。
　　
　　　　3．在應用系統中集成PGP加密
　　
　　　　利用PGP Software Development Kit（PGP sdk）系統開發人員可以將密碼功能結合到現有的應用系統中，如電子商務、法律、金融及其他應用中。PGP sdk采用 C/C++ API, 提供一致的接口和強健的錯誤處理協議。
　　
　　
　　VPN技術
　　
　　　網絡系統對VPN技術的需求
　　
　　　　網絡系統總部和各分支機構之間采用公網網絡進行連接，其最大的弱點在于缺乏足夠的安全性。企業網絡接入到公網中，暴露出兩個主要危險：
　　▲來自公網的未經授權的對企業內部網的存取。
　　▲當網絡系統通過公網進行通訊時，信息可能受到竊聽和非法修改。
　　

　　　　完整的集成化的企業范圍的VPN安全解決方案，提供在公網上安全的雙向通訊，
　　以及透明的加密方案以保證數據的完整性和保密性。
　　
　　由于VPN大多采用IPSec協議，下面作簡要介紹。
　　
　　　IPSec
　　
　　　　IPSec作為在IP v4及IP v6上的加密通訊框架，已為大多數廠商所支持，預計在1998年將確定為IETF標準，是VPN實現的Internet標準。 IPSec主要提供IP網絡層上的加密通訊能力。該標準為每個IP包增加了新的包頭格式， Authentication Header(AH)及encapsualting security payload(ESP)。 IPsec使用ISAKMP/Oakley及SKIP進行密鑰交換、治理及加密通訊協商(Security Association)。
　　
　　Ipsec包含兩個部分：
　　　　(1) IP security Protocol proper，定義Ipsec報文格式。
　　　　(2) ISAKMP/Oakley，負責加密通訊協商。
　　
　　Ipsec提供了兩種加密通訊手段：
　　　　Ipsec Tunnel：整個IP封裝在Ipsec報文。提供Ipsec-gateway之間的通訊。
　　　　Ipsec transport：對IP包內的數據進行加密，使用原來的源地址和目的地址。
　　　　Ipsec Tunnel不要求修改已配備好的設備和應用，網絡黑客戶不能看到實際的的通訊源地址和目的地址，
　　并且能夠提供專用網絡通過Internet加密傳輸的通道，因此，絕大多數均使用該模式。
　　ISAKMP/Oakley使用X.509數字證書，因此，使VPN能夠輕易地擴大到企業級。(易于治理)。
　　
　　　　在為遠程撥號服務的Client端，也能夠實現Ipsec的客戶端，為撥號用戶提供加密網絡通訊。
　　由于Ipsec即將成為Internet標準，因此不同廠家提供的防火墻(VPN)產品可以實現互通。
　　
　　　Gauntlet的VPN實現
　　
　　Gauntlet支持VPN, 大型網絡系統可以利用其實現VPN功能。關于Gauntlet的具體介紹，參見4.3節。
　　
　　如何保證遠程訪問的安全性
　　
　　　　對于從外部撥號訪問總部內部局域網的用戶，由于使用公用電話網進行數據傳輸所帶來的風險，必須嚴格控制其安全性。
　　
　　　　首先，應嚴格限制撥號上網用戶所能訪問的系統信息和資源，這一功能可通過在撥號訪問服務器后設置的Gauntlet防火墻來實現。
　　
　　　　其次，應加強對撥號用戶的身份驗證功能，使用TACACS、RADIUS等專用身份驗證協議和服務器。一方面，
　　可以實現對撥號用戶帳號的統一治理；另一方面，在身份驗證過程中采用PGP加密手段，避免用戶口令泄密的可能性（參見下圖）。
　　　

　　第三，在數據傳輸過程中采用加密技術，防止數據被非法竊取。一種方法是使用PGP for Business Security，對數據直接加密。另一種方法是采用Gauntlet防火墻所提供的VPN（虛擬專網）技術。VPN在提供網間數據加密的同時，也提供了針對單機用戶的加密客戶端軟件，即采用軟件加密的技術來保證數據傳輸的安全性，其運行示意圖如下。
　　