SSL VPN即指採用SSL協定來實現遠程接入的一種新型VPN技術。它包括:伺服器認證,客戶認證、SSL鏈路上的數據完整性和SSL鏈路上的數據保密性。
基本介紹
- 中文名:SSL VPN
- 外文名:SSL VPN
- 實質:遠程隧道訪問技術
- 特點:使用簡單、部署容易等
- 套用場景:遠程辦公室、酒店、傳統交易大廳等場所
- 所屬領域:網路技術
簡介,通信過程,特點,認證方式,組網模式,套用場景及流程,
簡介
所謂的SSL VPN,指的是使用者利用瀏覽器內建的Secure Socket Layer封包處理功能,用瀏覽器通過SSL VPN網關連線到公司內部SSL VPN伺服器,然後透過網路封包轉向的方式,讓使用者可以在遠程計算機執行應用程式,讀取公司內部伺服器數據。它採用標準的安全套接層SSL對傳輸中的數據包進行加密,從而在套用層保護了數據的安全性。高質量的SSL VPN解決方案可保證企業進行安全的全局訪問。在客戶端和伺服器連線的過程中,SSL VPN網關有不可替代的作用。
SSLVPN是解決遠程用戶訪問公司敏感數據最簡單最安全的解決技術。與複雜的IPSecVPN相比,SSL通過相對簡易的方法實現信息遠程連通。任何安裝瀏覽器的機器都可以使用SSLVPN,這是因為SSL內嵌在瀏覽器中,它不需要像傳統IPSecVPN一樣必須為每一台客戶機安裝客戶端軟體。
SSL協定主要由SSL握手協定和SSL記錄協定組成,它們共同為套用訪問連線提供認證、加密和防篡改功能。
SSL握手協定和IPSEC協定體系中的IKE(網際網路密鑰交換協定)協定類似,主要用於客戶和伺服器之間的相互認證,MAC(MessageAuthenticationCode-訊息認證碼)算法和協商加密算法,主要用於SSL記錄協定中生成並使用的加密和認證密鑰。
SSL記錄協定為各種套用協定提供最基本的安全服務,和IPSEC的傳輸模式有易曲同工之處,應用程式訊息參照MTU(最大傳輸單元)被分割成可治理的數據塊(可進行數據壓縮處理)的同時產生MAC信息,然後再加密並插入新的報頭最後在TCP中傳輸;收到的數據在接收端進行解密,做身份驗證(MAC認證)、解壓縮、重組數據報最後提交給套用協定進行處理。
選擇VPN是為了支持遠程訪問內部網路的套用,這是最先需要考慮的一點,目前,大多數SSLVPN都兼容大部分日常會用的郵件系統、OA系統、CRM/ERP等,但並不是所有,如動態連線埠的套用就只有部分SSLVPN能夠支持。這一過程中,必須注意傳輸過程的安全其中必須保證用戶身份的驗證、客戶端設備的安全性、訪問後清楚客戶端快取、服務端日誌跟蹤,必須做到以上這幾點才能在保證傳輸過程安全的同時,提高系統安全性,構建系統安全。
通信過程
SSLVPN一般的實現方式是在企業的防火牆後面放置一個SSL代理伺服器,SSL代理伺服器將提供一個遠程用戶與各種不同的套用伺服器之間的連線,實現起來主要有握手協定、記錄協定、警告協定的通信,SSLVPN的通信過程主要集中在握手協定上,主要有:第1步:SSL客戶機連線到SSL伺服器,並要求伺服器驗證身份;第2步:伺服器通過傳送它的數字證書證明自身的身份。這個交換包括整個證書鏈,直到某個證書頒發機構(CA),通過檢查有效日期並確認證書包含可信任CA的數字簽名來驗證證書的有效性;第3步:伺服器發出一個請求,對客戶端的證書進行驗證;第4步:雙方協商用於加密的訊息加密算法和用於完整性檢查的HAS日函式,通常由客戶端提供它所支持的所有算法列表,然後由伺服器選擇其中最強大的加密算法:第5步:客戶機和伺服器通過下列步驟生成會話密鑰。(1)客戶機生成一個隨機數,並使用伺服器的公鑰(從伺服器證書中獲得)對它加密,再送到伺服器,(2)伺服器用更加隨機的數據、用客戶機的公鑰加密,傳送至客戶機以表示回響:(3)使用HAS日函式從隨機數據中生成密鑰。
特點
SSL VPN是一種既簡單又安全的遠程隧道訪問技術,使用非常簡單。SSL VPN採用公匙加密的方式來保障數據在傳輸的過程中的安全性,它採用瀏覽器和伺服器直接溝通的方式,既方便了用戶的使用,又可以通過SSL協定來保證數據的安全。SSL協定是採用SSL/TLS綜合加密的方式來保障數據安全的。SSL協定從其使用上來說可以分為兩層:第一層是SSL記錄協定,這種協定可以為數據的傳輸提供基本的數據壓縮、加密等功能;第二層是SSL握手協定,主要用於檢測用戶的賬號密碼是否正確,進行身份驗證登錄。與IPSec VPN相比,SSL VPN具有架構簡單、運營成本低、處理速度快、安全性能高的特點,所以在企業用戶中得到大規模的使用。但是SSL協定是基於WEB開發的,通過瀏覽器來使用,由於近年來電腦病毒的多樣性,要想保障SSL VPN的安全運營,就需要在SSLVPN的安全技術上有所更新。
認證方式
1、LDAP認證
系統組織已經採用LDAP進行用戶管理。它只需要在SSL VPN設備中根據LDAP中的OU組結構建立用戶組結構,並為用戶組綁定相應的OU結構,不需要再在設備中建立具體用戶。當用戶向SSL VPN提交用戶名密碼認證身份時,SSL VPN可自動將此認證信息提交給LDAP認證,並根據反饋的信息判斷該用戶是否為合法用戶。當用戶通過了LDAP認證,SSL VPN設備就會通過LDAP返回該用戶的OU值,將該用戶自動歸於綁定了該OU的用戶組。這時,該用戶即享用了該用戶組所有的認證、策略和授權等屬性。
2、Radius認證
系統組織中已經採用 Radius實現用戶認證管理,在 SSL VPN設備中建立相應的用戶組結構,並選用Radius認證並綁定相應的Class屬性值。當用戶向SSL VPN提交用戶名密碼認證信息時,SSL VPN就會將此信息以標準的Radius協定格式向Radius伺服器發出認證請求,之後Radius將返回認證結果。如果Radius認證通過,則將在返回給SSL VPN的數據包中捎帶Class分組屬性,SSL VPN會根據綁定該屬性的用戶組賦予該用戶相應的認證、策略和授權等屬性。如果Radius認證未通過,SSL VPN則會拒絕該用戶登錄。
3、CA認證
內置CA的SSL VPN安全網關,可以支持PKI體系的認證。
4、USB KEY認證
將CA中心生成的數字證書頒發給USB KEY,並為該USB KEY設定PIN碼。利用“硬體存儲數字證書+PIN碼”的方式為用戶提供高安全的認證方式。
5、硬體綁定(HardCA)
僅使用用戶名/密碼認證的用戶,為了保證用戶登錄 SSL VPN限定在某一台或是某幾台客戶端上,有效解決用戶賬號意外泄露、賬號盜用導致數據泄露的問題,可綁定登錄客戶端。通常情況下,客戶端綁定都是採用IP/MAC、MAC、IP綁定方式實現的。
6、動態令牌認證
動態令牌認證是技術領先的一種雙因素身份認證體系,內嵌特殊運算晶片,與事件同步的技術手段。它是通過符合國際安全認可的OATH動態口令演算標準,使用HMAC-SHA1算法產生6位動態數字進行一次一密的方式認證。
7、簡訊認證
USB KEY、動態令牌等認證方式能非常好地保證認證的安全性,但是,卻需要隨身攜帶USB KEY、動態令牌這些小硬體,對移動辦公人員來說非常不便。
針對上面提到的問題,採用簡訊認證就能很好地解決這個問題。該認證系統分為手機客戶端和簡訊伺服器兩部分,手機往往是隨身攜帶的,相對於USB KEY、動態令牌隨身攜帶的方式更容易讓用戶接受。當用戶在進行SSL VPN登錄認證時,簡訊伺服器將為該用戶自動生成一個6位數字的隨機認證碼,並以簡訊的方式傳送到用戶所綁定手機號碼的客戶端,之後用戶只需在認證界面上輸入6位認證碼認證。
8、多種方式混合認證
單一的認證方式容易被暴力破解,為了進一步提高身份認證的安全性,可以採用多種認證方式結合的混合認證方式進行多因素的“與”“或”結合認證。這時,只需通過一種認證方式即可接入到SSL VPN中。
9 強密碼保護功能
對於使用單純的密碼和用戶名的SSL VPN用戶來說,對其密碼的保護則更為重要。有些SSL VPN提供了強大的安全保障策略,比如圖形校驗碼、最小密碼長度設定和程式軟鍵盤等多重設定密碼安全的保護組策略,以此提高密碼的安全性。
10、主從賬號綁定
針對C/S套用或B/S資源,用戶可在登錄SSL VPN後自行打開瀏覽器輸入資源地址訪問。這時,主從賬號綁定將通過監聽特定的IP、URL並和數據流解析相結合的認證方式,比較用戶所輸入的賬號是否與綁定的賬號一致,進而判斷對該數據包是阻止還是放行。
SSL VPN認證方式多種多樣,指定的用戶登錄SSL VPN後,通過指定的賬號訪問指定的套用,可以達到增強重要系統認證安全性的目的。
組網模式
SSL VPN網關接入網路有很多不同的類型,從而也導致SSL VPN組網模式有所區別,常見的模式有單臂、雙臂兩種模式。
1)單臂模式。所謂單臂模式是指將SSL VPN網關作為於一台代理伺服器使用;當內部伺服器與該遠程代理伺服器進行通信時,SSL VPN網關不處在網路通訊的關鍵路徑上。也就是說,單臂模式類似環形網路拓撲結構,當一邊環路不通時,可以選擇其他的路徑方式實現通信。因此,單臂模式的優點是當該網路上某點出現故障時,不會影響整個網路的通信;其不足在於對於網路信息資源不能夠實現全面的保護。
2)雙臂模式。所謂雙臂模式是指將SSL VPN網關架接在外網與區域網路之間,即實現了網橋的功能。同時,該網橋也充當必要的防火牆的作用,從而實現對全網路的保護。這種結構具有很好的安全性,但也有比較明顯的不足,即會降低內外網路之間數據傳輸的穩定性。
套用場景及流程
SSLVPN網關在企業網的邊緣,介於企業伺服器與遠程用戶之間並對二者的通信加以控制。SSLVPN採用的是標準的安全套接層(SSL)對傳輸中的數據包進行加密,並且在套用層保護數據的安全性。
在不斷擴展的網際網路Web站點之間、無線熱點和客戶端間、遠程辦公室、酒店、傳統交易大廳等場所,SSLVPN克服了IPSecVPN的不足,用戶可以輕鬆實現安全易用、無需客戶端安裝且配置簡單的遠程訪問。
SSLVPN最常見的入口是網路頁面,其基本運行流程:
1.登錄VPN的網址(通常為HTTPS),該網址在瀏覽器中打開;
2.輸鍵入用戶身份信息,身份信息包括用戶名、數字證書(如USB-Key)、靜態口令、動態口令的隨意組合,這樣以確保身份的真實性和保密性;
3.選擇服務類型,其中WEB代理使用起來最為簡單,同時WEB代理可以控制粒度最細的SSLVPN套用,可以精確地制導任何一個連結;
4.連線埠映射的精細粒度僅次於WEB代理,它用TCP連線埠映射的方式(原理上類似於NAT內部伺服器套用)為使用者提供TCP遠程接入的服務,但是它需要特定的與伺服器相應的SSLVPN客戶端程式輔助;
5.IP連線是SSLVPN中粒度精細程度相對較差的,但是它已經被廣泛使用,它實現了和L2TP相似的特性,伺服器可以給每一個客戶端一個VPN地址從而可以直接訪問內部伺服器,但是它也與連線埠映射一樣需要專門的SSLVPN客戶端程式幫忙;
6.SSLVPN由於處在TCP層,所以可以進行豐富的業務控制,如行為審計,可以記錄每名用戶的所有操作,為更好地管理VPN提供了有效統計數據;
7.當使用者退出SSLVPN登入頁面時,所有上述安全會話會統統釋放。
