Wireless VPN攻防實戰

 VPN原理
    本節來說明VPN的工作原理。

1  虛擬專用網的組件
    VPN全稱為Virtual Private Network，即虛擬專用網，其目的是為了實現建立私有的安全 通信通道，方便遠程用戶能夠穩定、安全地連接至企 業內部網絡，訪問內部的資源。其基本工作原理如 圖12-1所示。
    VPN主要包括以下組件：
    ●虛擬專用網( VPN)服務器：可以配置VPN服務器以提供對整個網絡的訪問，或限制僅可訪 問作為VPN服務器的計算機的資源。
    ●VPN客戶端：是獲得遠程訪問VPN連接的個人用戶或獲得路由器到路由器VPN連接

圖12-1 

 ●LAN、遠程訪問及隧道協議：應用程序使用LAN協議傳輸信息。遠程訪問協議用   於協商連接，並為通過廣域網( WAN)連接發送的LAN協議數據提供組幀。隧道   協議是為了進行身份驗證、加密及數據壓縮。

隧道協議
    VPN客戶端通過使用PPTP或L2TP隧道協議，可創建到VPN服務器的安全連接。 以下內容僅顯示虛擬專用網可能的配置，實際工作實施和配置可能會有所不同。
    1．PPTP概述
    點對點隧道協議( PPTP)是一種VPN隧道協議。PPTP是點對點協議(PPP)酌擴展， 並協調使用PPP的身份驗證、壓縮和加密機制。PPTP的客戶端支持內置於Windows .XP 中的遠程訪問客戶端。
    Windows Server 2003支持PPTP的VPN服務器的實現。在系統初始安裝時，PPTP將 與TCP/IP協議一同安裝。根據運行“路由和遠程訪問服務器安裝向導”時所做的選擇，PPTP 可以配置為5個或128個PPTP端口。PPTP和“Microsoft點對點加密”(MPPE)提供了 對專用數據封裝和加密的主要VPN服務。

  2．L2TP概述

L2TP是一個工業標准Internet隧道協議，它為通過面向數據包的介質發送的PPP幀提 供封裝。與PPTP -樣，L2TP也利用PPP的身份驗證和壓縮機制，但與PPTP不同的是， L2TP不采用“Microsoft點對點加密”(MPPE)方式來加密PPP幀，L2TP依賴於加密服務 的Internet協議安全性(IPSec)。基於L2TP的虛擬專用網連接是L2TP和IPSec的組合， L2TP和IPSec二者都必須被雙方路由器所支持。
    3. IPSec概述
    IPSec即Internet協議安全性，是一種開放標准的框架結構，通過使用加密的安全服務 以確保在Internet協議(IP)網絡上進行保密而安全的通信。
    IPSec是安全聯網的長期方向，為防止專用網絡和Internet攻擊提供了主要防線。它通 過端對端的安全性來提供主動的保護，以防止專用網絡與Internet的攻擊。在通信中，只有 發送方和接收方才是唯一必須了解IPSec保護的計算機。
    IPSec通過數據包篩選及受信任通信的實施來防御網絡攻擊。通常，通信兩端都需要 IPSec配置（稱為IPSec策略）來設置選項與安全設置，以允許兩個系統對如何保護它們之 間的通信達成協議。
    4．Pre-Shared Key概述
    Pre-Shared Key（預共享密鑰）是一串用以驗證L2TP/IPSec連接的Unicode字符，可 以配置“路由和遠程訪問”以驗證支持預共享密鑰的VPN連接。
    預共享密鑰的優點是不要求公鑰基礎設施( PKI)的硬件和配置投資，而PKI對於使 用計算機證書進行L2TP/IPSec身份驗證則是必需的。這樣在遠程訪問服務器上配置預共享 密鑰很簡單，在遠程訪問客戶端上配置預共享密鑰也相對較容另。
    但是與證書不同，預共享密鑰的起源和歷史都無法確定。單個遠程訪問服務器對需要預 共享密鑰以進行身份驗證的所有L2TP/IPSec連接只能使用一個預共享密鑰。因此，必須對 連接到使用預共享密鑰的遠程訪問服務器的所有L2TPfIPSec VPN客戶端發行同一預共享 密鑰。所以，使用預共享密鑰驗證L2TP/IPSec連接被認為是一種相對較弱的身份驗證方法。 如果需要一種長期、安全可靠的身份驗證方法，則應考慮使用PKI。

12.1.3無線VPN
    1．關於無線VPN
    詢問任何熟悉安全的IT專業人員有關在企業環境中使用無線網絡的問題，他們都會告訴用 戶：普通的AP安全措施並不能真正解決問題。無線通信的廣播性質、日益高級的無線監聽工 具和坡解無線AP傳輸數據的手段，都表明若不采用額外的措施，無線網絡也將無法保證安全。
    通常的安全建議是：把無線AP放入企業內部的某一網段中，並將這一網段用防火牆保 護起來，防止內部網的其他部分與無線AP連接；然後采取的步驟是讓所有的無線客戶使用 虛擬專用網軟件，這樣的無線網絡會更安全一些。同時，如果企業網絡存在一個DMZ（半 軍事化區，內部網絡與外部互聯網之間的半安全區域），就使用DMZ;如果沒育DMZ，應 堅持使用原有的方法，使用單獨的電纜隔離或者AP的虛擬網絡，讓數據在進入內部網之前通 過一個防火牆，只讓這個通信停留在網絡安全的一邊。無線VPN認證簡化過程如表12-1所示。

表12-1    

由表12-1可知，基於無線網絡的VPN實際上就是傳統的有線網絡VPN的合理延伸。 通過無線接入點或無線路由器的中轉，使得外部用戶可以通過VPN連接到內部網絡，從而 訪問內部資源。作為一種安全策略，無線VPN可以有效地將原本透明的無線網絡提升到一 個高安全的階段。
    2．虛擬專用網和無線AP結合
    常見的有兩種模式可以把虛擬專用網和無線AP結合起來。
    第一種模式：把AP放在Windows服務器的接口上，使用Windows內置的虛擬專用網 軟件增加無線通信的覆蓋范圍。
    這種方法允許用戶使用內置的Windows客戶端軟件以及L2TP和IPSec軟件，為用戶的 無線網絡通信進行加密。這種技術也適用於 支持同樣的內置或者免費的虛擬專用網客 戶端軟件的其他操作系統。這個方法的好處 是使用內置的軟件，客戶端軟件的變化很 小，非常容易設置和應用，不需要增加額外 的服務器或者硬件成本。不足的是增加了現 有的服務器的額外負荷（根據提供服務的 AP的數量和使用這些AP的客戶數量的不 同，負荷也有所不同），也可能導致服務器 執行其他的任務時效果不好。如果同一服務 器還提供防火牆功能，那麼額外負荷可能會 需要使用其他的服務器或者采用不同的方 法，其拓撲原埋如圖12-2所示。

    第二種模式：使用一個包含內置虛擬專用網網關服務的無線AP。
    一些網絡設備公司目前提供一種單個機箱的解決方案，這種解決方案集成了AP和虛 擬專用網功能，使應用無線安全網絡更加容易。這種預先封裝在一起的兩種功能結合的設 備很容易安裝、設置、配置和管理，而且很容易強制規定政策，讓每一個無線連接都使用 虛擬專用網完成連接。由於這種方法在使用的時候很容易選擇，加密也更加合理了，避免 了802.1X加密為虛擬專用網連接增加的費用。這種方法的缺點是價格昂貴，購買新的機 器只能滿足新的無線局域網子網的需求，在不更換硬件的情況下很難從一種無線技術升級 到另一種技術等。   還有一種方法是指定一台在DMZ（或者在自己的網段）的服務器，專門處理無線連接、VPN 網關需求以及防火牆信息，開啟或關閉無線網段。這樣，在其中增加一個虛擬專用網，不但可以 提高機密資料傳輸的安全性，也會使得日常網絡通信在無線網絡中就像在有線網絡中一樣安全。

12.2  無線VPN攻防實戰
    一提到VPN，絕大多數公司管理員及用戶的看法都是：VPN環境已經屬於高級別 安全防護，足以保證企業內部信息通信的安全與穩定。而對於大多數中小型企業，為了便 於工作及都署，基本都是采用PPTP及強化的IPSec VPN，至於大型企業及分支眾多的分店 型企業，則較多使用SSL VPN。作為無線領域的延伸，無線VPN在帶來便捷的同時，也面 臨著和有線網絡VPN -樣的威脅。下面分別以Windows Server 2003下的PPTP及IPSec VPN 為例，來進行安全威脅試驗及分析。

12.2.1  攻擊PPTP VPN
    對於采用PPTP驗證的VPN，可以使用中間人攻擊實現，在截獲到VPN客戶端登錄 VPN服務器／設備的數據報文之後，就可以使用asleap進行坡解了。 圓掃描VPN設備。 心懷惡意的攻擊者在對VPN設備進行攻擊前，需要先對預攻擊目標進行確認，這就需 要掃描來發現及識別目標。對於最常見的PPTP VPN，攻擊者常會使用NMAP這款在命令提 示符下工作的掃描器來進行探測。當然，其圖形化版本Zenmap也非常好用。Zenmap提供 了很好的界面幫助用戶進行NMAP常見的掃描選項，並能夠將結