萬盛學電腦網

 萬盛學電腦網 >> 網絡應用技術 >> 應用教程 >> Wireless VPN攻防實戰

Wireless VPN攻防實戰

 VPN原理
    本節來說明VPN的工作原理。

1  虛擬專用網的組件
    VPN全稱為Virtual Private Network,即虛擬專用網,其目的是為了實現建立私有的安全 通信通道,方便遠程用戶能夠穩定、安全地連接至企 業內部網絡,訪問內部的資源。其基本工作原理如 圖12-1所示。
    VPN主要包括以下組件:
    ●虛擬專用網( VPN)服務器:可以配置VPN服務器以提供對整個網絡的訪問,或限制僅可訪 問作為VPN服務器的計算機的資源。
    ●VPN客戶端:是獲得遠程訪問VPN連接的個人用戶或獲得路由器到路由器VPN連接

Wireless  VPN攻防實戰圖12-1 

 ●LAN、遠程訪問及隧道協議:應用程序使用LAN協議傳輸信息。遠程訪問協議用   於協商連接,並為通過廣域網( WAN)連接發送的LAN協議數據提供組幀。隧道   協議是為了進行身份驗證、加密及數據壓縮。

隧道協議
    VPN客戶端通過使用PPTP或L2TP隧道協議,可創建到VPN服務器的安全連接。 以下內容僅顯示虛擬專用網可能的配置,實際工作實施和配置可能會有所不同。
    1.PPTP概述
    點對點隧道協議( PPTP)是一種VPN隧道協議。PPTP是點對點協議(PPP)酌擴展, 並協調使用PPP的身份驗證、壓縮和加密機制。PPTP的客戶端支持內置於Windows .XP 中的遠程訪問客戶端。
    Windows Server 2003支持PPTP的VPN服務器的實現。在系統初始安裝時,PPTP將 與TCP/IP協議一同安裝。根據運行“路由和遠程訪問服務器安裝向導”時所做的選擇,PPTP 可以配置為5個或128個PPTP端口。PPTP和“Microsoft點對點加密”(MPPE)提供了 對專用數據封裝和加密的主要VPN服務。

  2.L2TP概述

L2TP是一個工業標准Internet隧道協議,它為通過面向數據包的介質發送的PPP幀提 供封裝。與PPTP -樣,L2TP也利用PPP的身份驗證和壓縮機制,但與PPTP不同的是, L2TP不采用“Microsoft點對點加密”(MPPE)方式來加密PPP幀,L2TP依賴於加密服務 的Internet協議安全性(IPSec)。基於L2TP的虛擬專用網連接是L2TP和IPSec的組合, L2TP和IPSec二者都必須被雙方路由器所支持。
    3. IPSec概述
    IPSec即Internet協議安全性,是一種開放標准的框架結構,通過使用加密的安全服務 以確保在Internet協議(IP)網絡上進行保密而安全的通信。
    IPSec是安全聯網的長期方向,為防止專用網絡和Internet攻擊提供了主要防線。它通 過端對端的安全性來提供主動的保護,以防止專用網絡與Internet的攻擊。在通信中,只有 發送方和接收方才是唯一必須了解IPSec保護的計算機。
    IPSec通過數據包篩選及受信任通信的實施來防御網絡攻擊。通常,通信兩端都需要 IPSec配置(稱為IPSec策略)來設置選項與安全設置,以允許兩個系統對如何保護它們之 間的通信達成協議。
    4.Pre-Shared Key概述
    Pre-Shared Key(預共享密鑰)是一串用以驗證L2TP/IPSec連接的Unicode字符,可 以配置“路由和遠程訪問”以驗證支持預共享密鑰的VPN連接。
    預共享密鑰的優點是不要求公鑰基礎設施( PKI)的硬件和配置投資,而PKI對於使 用計算機證書進行L2TP/IPSec身份驗證則是必需的。這樣在遠程訪問服務器上配置預共享 密鑰很簡單,在遠程訪問客戶端上配置預共享密鑰也相對較容另。
    但是與證書不同,預共享密鑰的起源和歷史都無法確定。單個遠程訪問服務器對需要預 共享密鑰以進行身份驗證的所有L2TP/IPSec連接只能使用一個預共享密鑰。因此,必須對 連接到使用預共享密鑰的遠程訪問服務器的所有L2TPfIPSec VPN客戶端發行同一預共享 密鑰。所以,使用預共享密鑰驗證L2TP/IPSec連接被認為是一種相對較弱的身份驗證方法。 如果需要一種長期、安全可靠的身份驗證方法,則應考慮使用PKI。

12.1.3無線VPN
    1.關於無線VPN
    詢問任何熟悉安全的IT專業人員有關在企業環境中使用無線網絡的問題,他們都會告訴用 戶:普通的AP安全措施並不能真正解決問題。無線通信的廣播性質、日益高級的無線監聽工 具和坡解無線AP傳輸數據的手段,都表明若不采用額外的措施,無線網絡也將無法保證安全。
    通常的安全建議是:把無線AP放入企業內部的某一網段中,並將這一網段用防火牆保 護起來,防止內部網的其他部分與無線AP連接;然後采取的步驟是讓所有的無線客戶使用 虛擬專用網軟件,這樣的無線網絡會更安全一些。同時,如果企業網絡存在一個DMZ(半 軍事化區,內部網絡與外部互聯網之間的半安全區域),就使用DMZ;如果沒育DMZ,應 堅持使用原有的方法,使用單獨的電纜隔離或者AP的虛擬網絡,讓數據在進入內部網之前通 過一個防火牆,只讓這個通信停留在網絡安全的一邊。無線VPN認證簡化過程如表12-1所示。

Wireless  VPN攻防實戰表12-1    

由表12-1可知,基於無線網絡的VPN實際上就是傳統的有線網絡VPN的合理延伸。 通過無線接入點或無線路由器的中轉,使得外部用戶可以通過VPN連接到內部網絡,從而 訪問內部資源。作為一種安全策略,無線VPN可以有效地將原本透明的無線網絡提升到一 個高安全的階段。
    2.虛擬專用網和無線AP結合
    常見的有兩種模式可以把虛擬專用網和無線AP結合起來。
    第一種模式:把AP放在Windows服務器的接口上,使用Windows內置的虛擬專用網 軟件增加無線通信的覆蓋范圍。
    這種方法允許用戶使用內置的Windows客戶端軟件以及L2TP和IPSec軟件,為用戶的 無線網絡通信進行加密。這種技術也適用於 支持同樣的內置或者免費的虛擬專用網客 戶端軟件的其他操作系統。這個方法的好處 是使用內置的軟件,客戶端軟件的變化很 小,非常容易設置和應用,不需要增加額外 的服務器或者硬件成本。不足的是增加了現 有的服務器的額外負荷(根據提供服務的 AP的數量和使用這些AP的客戶數量的不 同,負荷也有所不同),也可能導致服務器 執行其他的任務時效果不好。如果同一服務 器還提供防火牆功能,那麼額外負荷可能會 需要使用其他的服務器或者采用不同的方 法,其拓撲原埋如圖12-2所示。

Wireless  VPN攻防實戰
    第二種模式:使用一個包含內置虛擬專用網網關服務的無線AP。
    一些網絡設備公司目前提供一種單個機箱的解決方案,這種解決方案集成了AP和虛 擬專用網功能,使應用無線安全網絡更加容易。這種預先封裝在一起的兩種功能結合的設 備很容易安裝、設置、配置和管理,而且很容易強制規定政策,讓每一個無線連接都使用 虛擬專用網完成連接。由於這種方法在使用的時候很容易選擇,加密也更加合理了,避免 了802.1X加密為虛擬專用網連接增加的費用。這種方法的缺點是價格昂貴,購買新的機 器只能滿足新的無線局域網子網的需求,在不更換硬件的情況下很難從一種無線技術升級 到另一種技術等。   還有一種方法是指定一台在DMZ(或者在自己的網段)的服務器,專門處理無線連接、VPN 網關需求以及防火牆信息,開啟或關閉無線網段。這樣,在其中增加一個虛擬專用網,不但可以 提高機密資料傳輸的安全性,也會使得日常網絡通信在無線網絡中就像在有線網絡中一樣安全。

12.2  無線VPN攻防實戰
    一提到VPN,絕大多數公司管理員及用戶的看法都是:VPN環境已經屬於高級別 安全防護,足以保證企業內部信息通信的安全與穩定。而對於大多數中小型企業,為了便 於工作及都署,基本都是采用PPTP及強化的IPSec VPN,至於大型企業及分支眾多的分店 型企業,則較多使用SSL VPN。作為無線領域的延伸,無線VPN在帶來便捷的同時,也面 臨著和有線網絡VPN -樣的威脅。下面分別以Windows Server 2003下的PPTP及IPSec VPN 為例,來進行安全威脅試驗及分析。

12.2.1  攻擊PPTP VPN
    對於采用PPTP驗證的VPN,可以使用中間人攻擊實現,在截獲到VPN客戶端登錄 VPN服務器/設備的數據報文之後,就可以使用asleap進行坡解了。 圓掃描VPN設備。 心懷惡意的攻擊者在對VPN設備進行攻擊前,需要先對預攻擊目標進行確認,這就需 要掃描來發現及識別目標。對於最常見的PPTP VPN,攻擊者常會使用NMAP這款在命令提 示符下工作的掃描器來進行探測。當然,其圖形化版本Zenmap也非常好用。Zenmap提供 了很好的界面幫助用戶進行NMAP常見的掃描選項,並能夠將結

copyright © 萬盛學電腦網 all rights reserved