前言
作为企业网络平台的一种有效的延伸,远程访问接入技术一直在我们的网络应用中扮演着非常重要的角色。利用远程接入技术,用户便不再需要处于企业局域网络平台覆盖范围之内,通过局域网接入方式来访问企业网络应用服务。此外,远程访问技术解决的另一个问题是灵活性,不论用户身在何处――在家中,亦或在另一个城市出差,均能够利用远程访问技术接入到企业内部网络平台。在这里我和大家谈谈三种远程连接方法及安全问题,希望对打算了解这一方面内容的朋友有所帮助。
一、利用拨号技术来实现远程连接
这是目前最为普通、方便的远程访问方式,通过传输媒介――PSTN(公用电话网),利用Modem模拟拨号技术来实现远程连接。利用PSTN进行远程接入,用户只要利用一条电话线和普通的Modem,对于用户来说,一次性投入很小。当然,如果用户想同时获得数据服务和模拟的电话传真服务,就不得不再申请一个号码,因为在这种通讯方式下,数据和模拟通讯均要求独占一个隧道。而企业需在局域网边缘设置远程访问接入设备,并配备一定数量的语音中继线路,供远程访问用户拨入。
不过PSTN远程拨号接入方式存在带宽不足、接入速度慢、服务质量差、需要支付昂贵的长途拨号以及长途专线服务费用等问题,已远远无法满足满足企业数据传输应用需求。因此又出现了一些接入技术,从利用电话线作为传输介质的xDSL,到依靠有线电视电缆的Cable Modem,直到城域网Ethernet接入,但是这些接着技术由于对各自传输介质的依赖性而不能直接运用于企业网远程访问。
这种点到点的连接,在传输数据的安全方面,一般只对数据经过封装,再加上一个提供路由信息的报头就可以,通常不必对数据进行加密处理,实现起来很简便,设置时只要注意的是两台计算机使用的通信协议必须相同否则无法建立连接,其它在这里我就不多介绍。二、利用VPN实现远程连接
VPN--虚拟专用网(Virtual Private Network)是专用网络在公共网络如Internet上的扩展。VPN通过私有隧道技术在公共网络上仿真一条点到点的专线,从而达到安全的数据传输目的。由于VPN具有高度灵活性、高带宽、高安全性、应用费用相对低廉等优点,已经成为非常理想的企业网远程访问解决方案。VPNs 的应用可以分为三个基本类型:Access VPNs、Intranet VPNs和Extranet VPNs。
1、一般建置VPN的网络方案
利用企业现有的网络设备―路由器、服务器与防火墙,来建置VPN。有些企业网络以路由器为中心,那么IT管理者便很可能会想把VPN服务加在路由器上;当然也有些企业把防火墙
看成是Internet安全通讯的核心,那么自然便会选择防火墙式的VPN 建置方案。
(1)路由器式VPN
使用具有VPN功能的路由器,IT管理者便可与分公司间经由Internet或ISP网络来传输资料。拨接用户也可在ISP网络中建立隧道,以存取企业网络。相对来说,路由器式VPN部署较容易,只要在路由器上添加VPN服务,通常只需将软件升级即可。而新型路由器通常已在软件或操作系统中内建了VPN服务。基本上,路由器上的VPN软件升级,一般都会包括防火墙、加密以及隧道 (Tunneling)等功能。有些厂商则会将用户身份辨识与既有的身份辨识服务(如远身份辨识拨接用户服务,Remote Authentication Dial-In User Service,RADIUS)连结在一起。
(2)软件式VPN:
由生产厂商与协作厂商提供VPN应用程序,可执行加密、隧道建立与身份辨识,让用户通过VPN与企业内网相连。沿用既有设备 ---- 将软件安装在现有的服务器,不须更动网络组态。另外,程序可与现有的网络操作系统的身份辨识服务相连,如此一来,将可大幅简化VPN的管理工作。
(3)防火墙式VPN:
许多企业均以防火墙为Internet安全措施的核心,以拒黑客于门外。有些企业甚至用防火墙在网络上扫瞄病毒,或是找出怀有恶意的攻击程序,因此许多防火墙厂商已在它们的产品中支持VPN服务。保护你的内部网络免于被未授权交通和用户侵入。一个良好的防火墙可以根据用户、应用程序和传输源辨识交通流。
这种作法的好处是现有网络架构保持不变,管理VPN服务所用的接口,与原本管理防火墙的使用接口通常是相同的,因此培训成本也缩减到最小,因为加密与建立隧道等VPN服务也是由软件来处理,效能是考虑的重要指针之一。
2、VPN的安全管理
如同任何的网络资源一样,VPN也必须得到有效的管理。同时需要关注的还有VPN的安全问题,尤其是和Internet相关的安全问题。针对这一方面,目前所有的VPN设备都应用了相关的核心技术,这些技术包括隧道协议 (Tunneling)、资料加密 (Encryption)、认证 (Authentication)及存取控制 (Access control)等。
(1)隧道协议 (Tunneling):
一般而言,隧道协议技术区分为两种不同的类型。第一种类型是端对点(End-to-End)隧道技术;从用户的PC延伸到用户所连接的服务器上。每个端点的VPN设备都必须负责隧道的建立与端点之间资料加密及解密等工作。
第二种类是节点对节点(Node-to-Node)隧道技术。主要是连接不同地区的局域网络。在局域网络内部传送的资料并不需做任何的变动;一旦资料必需经由网络外围(edge)的VPN设备传送到不同的局域网络时,这些数据才会被加密且经由隧道传送给下一个节点的对应设备。当节点收到资料后,VPN设备会将这些资料解密,还原成原来的格式传送到内部局域网络。隧道利用软件「覆盖」在一个实体网络之上,构成VPN的虚拟特性,让其上任何一个连接看起来像是线路上唯一的交通。隧道也让一个VPN得以维持一如内部网络的安全性和优先性,以提供交通控制能力。
目前大部分的VPN 设备都采用下面这些隧道技术:IPSec (Internet Protocol Security,IP安全协议)、GRE(Generic Route Encapsulation)、L2TP (Layer 2 TunnelingProtocol,第二层隧道协议)、L2F及PPTP (Point-to-Point Tunneling Protocol,点对点隧道协议)。IT管理人员必须从VPN 设备所采用的众多核心技术之中,挑选出最适合他们特质的产品技术,并将挑选出来的各项产品应用在网络上。
(2)资料加密 (Encryption):
大部分的VPN设备厂商都支持市场上主要的几种加密技术,像RSA Security公司的Rivest Cipher技术、DES及Triple-DES (三重DES)等。密钥长度的选择取决于许多的因素,较明显的因素包括:确保资料机密的重要性程度以及资料所流经的网络安全性等。
一旦VPN采用加密技术后,系统也必须提供用户一套取得密钥的方法。最常见的几种密钥管理技术为:PPP (Point-to-Point Procotol,点对点协议)中的ECP (Encrytion Control Protocol,加密控制协议)协议、具备密钥管理功能的MPPE (Microsoft Point-to-PointEncryption,Microsoft点对点加密技术)、以及ISAKMP/IKE(Internet Society Association KeyManagement Protocol/Internet Key Exchange)等。
VPN提供私密性。加密应只使用于特别敏感的交通,当有需要时才使用,或加装硬件加密模块,因为加密非常占用处理器资源,而且会影响速度性能。
(3)认证 (Authentication):
VPN采用了许多现存的用户认证技术。举例来说,许多厂商所推出的VPN设备中,都具备了PPP的PAP (Password AuthenticationProtocol,密码认证协议)技术、CHAP (Challenge Handshake AuthenticationProtocol,查间性握手验证协议)以及Microsoft CHAP的支持能力。
不过VPN连接中一般都包括两种形式的认证:(a)用户身份认证,在VPN连接建立之前,VPN服务器对请求建立连接的VPN客户机进行身份验证,核查其是否为合法的授权用户。如果使用双向验证,还需进行VPN客户机对VPN服务器的身份验证,以防伪装的非法服务器提供错误信息。(b)数据完整性和合法性认证,检查链路上传输的数据是否出自源端以及在传输过程中是否经过篡改。VPN链路中传输的数据包含密码检查和,密钥只由发送者和接受者双方共享。
(4)存取控制 (Accesscontrol):
在确认用户身份之后,进一步所需要的功能就是针对不同的用户授予不同的存取权限。这部分的功能也是认证服务器拥有的另一功能。
许多VPN的产品都伴随有适用该产品的认证服务器,如RADIUS (Remote AuthenticationDial-In User Service,拨号用户远程认证服务器)及TACAS (Terminal AccessController Access System,终端存取控制存取系统)共同运作的能力。用户必须接受身分认证(Authentication),让网络知道他们是谁;和授权程序(Authorization),让用户知道他们可以做些什么;一个良好的系统也会执行帐户稽核(Accounting),以追踪支出源和确保安全性。验证、授权和帐户稽核,统称为AAA服务。
三、无线远程连接
随着无线网络技术的成熟,经过无线网络和数据采集设备及监控设备的有效结合,同样可以很方便地进行远程连接。就目前来看,实现无线网络的技术,有蓝牙无线接入技术、IEEE 802.11连接技术以及家庭网络的HomeRF技术。在这三种技术中,IEEE802.11比较适于办公室中的企业无线网络,HomeRF可应用于家庭中的移动数据和语音设备与主机之间的通信,而蓝牙技术则可以应用于任何可以用无线方式替代线缆的场合。
但由于很多地方并没的引进新的无线网,所以目前常见到的无线接入应用一般仅限于小区域的局域网络,还算不上真正意义的远程接入。如果你打算实现远程接入,就需要建立稳定的网络链路,通过无线网络及卫星地面站进行连接,由于无线网络的实性上也属于局域网络的范畴,所以在设置方面我不多介绍。
不过企业在选择无线接入时首要关注的是安全问题。当企业使用无线局域网技术,却没有采取适当的安全措施时,即使一些初级黑客都有可能利用容易得到的廉价设备对企业网络进行攻击。
无线网络最基本的安全措施是WEP(Wired Equivalent Privacy)。WEP 在设计上是用来阻止窃听者,并且防止未经授权的无线局域网络联机。然而这项标准本身却存在许多限制。WEP 使用 RC
