VPN知識詳解
VPN:virtual private network(虛擬專用網路)
背景介紹:
- 很多的公司具有全球化業務,它們在世界各個區域都有裝置。但是隨之面臨的問題是:怎麼建立一種有效的安全的可信賴的連線在各個區域之間。
- 最近才出現的概念:可靠通訊意味著使用租用線路維護−區域網路(WAN:Wide-Area Network)租用的線路,範圍從綜合服務數字網路(ISDN,執行速度為144kbps)到光載波−3 (OC3執行在155 Mbps)纖維,為公司提供一種擴大他們的私人網路超出了他們直接的地理區域。
- 廣域網在可靠性、效能和安全性方面明顯優於Internet等公共網路;但是維護廣域網,特別是使用租用線路時,可能會變得相當昂貴
- (it often rises in cost as the distance between offices increase)通常成本會隨著距離的增加而增加。
- 此外,對於部分員工流動性很強(比如營銷人員)、可能經常需要遠端連線公司網路並訪問敏感資料的組織來說,租用線路不是可行的解決方案。
- 隨著網際網路的普及,企業已經將其作為擴充套件自己網路的一種手段。首先是內部網,這是專為公司員工設計的網站。現在,許多公司建立自己的虛擬專用網(vpn)來滿足遠端員工和辦公室的需求。
概念介紹:
一個典型的VPN可能由一個主要的(LAN)在公司的總部,其他的LANs在遠端的辦公區域或裝置,外部連線的個人使用者三部分組成。
VPN是一種專用網路,它使用公共網路(通常是Internet)將遠端站點或使用者連線在一起。而不是使用一個專用的,真正的−世界連線,如專線。
VPN型別
兩種:
- Remote-Access:也稱為虛擬專用撥號−網路(VPDN),這是一個使用者−−區域網連線使用的公司的員工需要從不同的遠端連線到私有網路。
- Site-to-site:通過使用專用裝置和大型−規模加密,一個公司可以連線多個固定站點在網際網路等公共網路。每個站點只需要一個本地連線相同的公共網路,從而節省私人出租−線長。
類比的故事:每一個區域網都是一個島
-
想象一下我們生活在一個巨大海洋的小島上。有成千上萬的島嶼在你的島嶼周圍,一些離得近,一些離得遠。通常的旅行方式是從你的島乘渡船到你想去的任何一個島。乘渡船旅行意味著你幾乎沒有隱私。你做的任何事都可能被別人看到。
-
假設每個島嶼代表一個私有區域網,海洋就是網際網路。當你乘坐輪渡旅行時,它類似於你通過網際網路連線到一個web伺服器或另一個裝置。你無法控制構成網際網路的線路和路由器,就像你無法控制渡輪上的其他人一樣。如果您試圖使用公共資源在兩個私有網路之間連線,這將使您容易受到安全問題的影響。
-
你的島決定建造一座通往另一個島的橋樑,這樣人們在這兩個島之間旅行就會更容易、更安全、更直接。即使你所連線的島離你很近,建造和維護這座橋的費用還是很高的。但是對一個可靠、安全的路徑的需求是如此之大,以至於您無論如何都要這樣做。你的島想要連線到另一個島,這個要遠得多,但你認為它太貴了。
-
這種情況很像租用線路。這些橋(租用的線路)與海洋分開(網際網路),但他們能夠連線島嶼(區域網)。許多公司選擇這條路線,是因為在連線遠端辦公室時需要安全性和可靠性。相距很遠,但是,如果辦公室的費用可以支付高額−就像試圖建立一座橋樑橫跨一個偉大的距離。
-
那麼VPN如何適應這個類比呢?我們可以給我們島嶼上的每個居民一個小型潛水艇作為他們的私有財產。
這樣有如下的優點:- 快速。
- 想去哪就很方便。
- 從任何的船隻和潛水艇隱藏你。
- 獨立的。
- 一旦購買了潛水艇,之後的花費就很少了。
-
雖然他們和其他交通工具一起在海洋中旅行,但我們兩個島嶼的居民可以在他們想要的任何時候在隱私和安全的情況下來回旅行。這就是VPN的工作原理。您的網路中的每個遠端成員都可以使用internet作為連線到專用LAN的媒介,以安全可靠的方式進行通訊。VPN可以比租用線路更容易適應更多的使用者和不同的位置。事實上,可伸縮性是vpn相對於典型的租用線路的一個主要優勢。與租用線路的成本隨著距離的增加而增加不同,在VPN的建立過程中,每個辦公室的地理位置無關緊要。
VPN技術
一個好的VPN技術通常使用幾種不同的方法來保證資料的安全。
-
資料機密性
這可能是VPN實現提供的最重要的服務。由於您的私有資料通過公共網路傳輸,因此資料機密性非常重要,可以通過加密資料來實現。這是將一臺計算機發送給另一臺計算機的所有資料編碼成只有另一臺計算機能夠解碼的形式的過程。
幾種加密技術:- IPsec
- PPTP/MPPE
- L2TP/IPsec
-
資料完整性(資料有沒有被更改)
雖然在公共網路上對資料進行加密很重要,但同樣重要的是驗證資料在傳輸過程中沒有被更改。例如,IPsec有一種機制來確保資料包的加密部分,或者資料包的整個報頭和資料部分沒有被篡改。如果檢測到篡改,則丟棄資料包。資料完整性還包括對遠端對等點進行身份驗證。 -
資料來源認證
驗證傳送的資料來源的身份非常重要。這對於防範一些依賴於欺騙傳送方身份的攻擊是必要的。 -
抗重播
這是一種檢測和拒絕重放資料包的能力,有助於防止欺騙。 -
資料隧道/交通流機密性
隧道是將整個包封裝在另一個包中並通過網路傳送它的過程。在需要隱藏發起通訊流的裝置的標識的情況下,資料隧道非常有用。例如,一個使用IPsec的裝置封裝了它背後屬於多個主機的流量,並在現有資料包上添加了自己的報頭。通過加密原始資料包和報頭(並基於在其上新增的額外第3層報頭路由資料包),隧道裝置有效地隱藏了實際的報頭資料包的來源。
這裡列出的所有加密協議也都使用隧道作為在公共網路上傳輸加密資料的一種方法。重要的是要認識到,隧道本身並不提供資料安全性。原包僅僅是封裝在另一個協議和可能仍然可見與包−捕獲裝置如果沒有加密。然而,這裡提到了它,因為它是VPNs功能不可分割的一部分。
隧道需要三種不同的協議- Passenger protocol
- Encapsulating protocol
- Carrier protocol
site-to-site:對於網站−−網站vpn,通常是IPsec或通用路由封裝協議封裝(GRE)。GRE包括關於您正在封裝的包的型別的資訊以及關於客戶機和伺服器之間的連線的資訊。
remote-to-acess:為遠端−訪問vpn隧道通常使用點−−點協議(PPP)。作為TCP/IP協 議棧的一部分,當主機和遠端系統通過網路進行通訊時,PPP是其他IP協議的載體。PPP隧道將使用PPTP, L2TP或
Cisco的Layer 2 Forwarding (L2F) -
AAA
身份驗證、授權和會計是用來更安全的訪問遠端−訪問VPN環境中。沒有使用者身份驗證,誰坐在膝上型電腦/ PC pre−配置VPN客戶端軟體可以建立一個安全連線到遠端網路。但是,對於使用者身份驗證,在連線完成之前還必須輸入有效的使用者名稱和密碼。使用者名稱和密碼可以儲存在VPN終端裝置本身上,也可以儲存在外部AAA伺服器上,它可以為Windows NT、Novell、LDAP等許多其他資料庫提供身份驗證- Who you are(Authentication)
- What you are allowed to do(authorization)
- What you actually do(Accounting)
-
不可抵賴性
在某些資料傳輸中,尤其是與金融交易相關的資料傳輸中,不可抵賴性是非常可取的特性。這有助於防止一方否認參與交易的情況。就像銀行在兌現支票之前需要您的簽名一樣,不可抵賴性的工作原理是在傳送的訊息上附加一個數字簽名,從而排除了這種可能性發送方拒絕參與交易的可能性。
VPN產品
針對兩種不同的型別,你需要某些元件來構建你的VPN
- 遠端使用者的客戶端
- 專用硬體,如Cisco VPN集中器或Cisco安全PIX防火牆
- 用VPN伺服器為錶盤−服務
- 服務提供商用於遠端使用者VPN訪問的網路訪問伺服器(NAS)
- 專用網路和策略管理中心
這方面的知識可以網上詳細查詢思科公司提出的幾種解決方案。
什麼是SS(shadowsocks)
Shadowsocks的執行原理與其他代理工具基本相同,使用特定的中轉伺服器完成資料傳輸。
在伺服器端部署完成後,使用者需要按照指定的密碼、加密方式和埠,使用客戶端軟體與其連線。在成功連線到伺服器後,客戶端會在本機上構建一個本地Socks5代理(或VPN、透明代理)。瀏覽網路時,網路流量會被分到本地Socks5代理,客戶端將其加密之後傳送到伺服器,伺服器以同樣的加密方式將流量回傳給客戶端,以此實現代理上網。
附錄
翻譯自google的某篇大神的PDF,PDF資訊如下:
title:How Virtual Private Networks Work
Document ID: 14106