电信的163拨号上网分布范围广泛,利用该网可轻松实现全省、全国远程终端联网。但互联网安全性很差,通过L2TP Over ipSec技术在互联网上建立安全保密的VPDN专用数据通道,可以有效解决通信安全问题,使VPDN成为行之有效的广域网通信方案。
广东某营业中心的业务要求与遍布省城乡各地的数千个远程终端通信。它们利用L2TP Over IPSec实现的VPDN的广域网通信方式,实现了中心与数千个远程终端的实时连接,这在全国还是首例。本文简述VPDN的实现,并分析其性能,非凡是安全性。
一、 几种广域网实现方案比较
采用传统的广域网组网方式,如PSTN或ISDN拨号方式、专线、X.25分组等,有的费用昂贵,有的需要增加相应的拨号设备,有的速度不能满足要求。
电信的163拨号上网分布范围广泛,在广东省内的容量可达数十万用户。利用该网可轻松实现全省远程终端联网,但互联网安全性很差,通过L2TP Over IPSec技术在互联网上建立安全保密的VPDN专用数据通道,可以有效解决通信安全问题,使VPDN成为行之有效的广域网通信方案。
二、L2TP Over IPSec VPDN的实现
L2TP是VPDN的要害技术,被Cisco 和其他厂商广泛认可。它结合了Cisco的 Layer 2 Forwarding (L2F) 和微软的 Point-to-Point Tunneling PRotocol (P2TP)优点,目前应用比较广泛。L2TP隧道协议为专用网通信在互联网上形成一个专用隧道。但L2TP隧道协议对所传送数据没有加密功能,要在互联网安全传送数据,必须使用加密机制。IPSec(IP Security)协议是一组开放协议的总称,IKE(Internet Key Exchange)是互联网自动交换密钥的协议,IPSec通过ISAKMP(Internet Security Association & Key Management Protocol),使用IKE进行协议及算法的协商,并采用由 IKE 生成的密码来加密和验证。系统实现如图所示。
中心系统的路由器作为L2TP的网络服务器LNS(L2TP Network Server),并且负责IPSec本地端。中心路由器选用Cisco 7120路由器,每台可支持2000个IPSec加密的L2TP会话连接。每个地市利用原来的一个163拨号访问服务器,作为L2TP的访问集中器(L2TP access Concentrator ),LAC 同时作为网络接入服务器 NAS(Network Access Server),它用于为用户通过 PSTN/ISDN 提供网络接入服务,也是IPSec的远程端。NAS一般为Cisco 5800,可支持1300以上端口同时访问。
NAS和LNS之间建立加密的L2TP Over IPSec 通道,而远程终端至NAS之间则采用普通的PPP连接。这样做的主要优点是远程终端设备简化,只需具备PPP拨号设备;缺点是远程终端至NAS这一段没有加密保护,但电话网这一段的不安全因素对系统影响不大。
RADIUS认证服务器是系统要害部分。远程终端向当地的NAS发起PPP呼叫后,其用户名采用X@Y形式,其中Y为域名,RADIUS收到营业终端的用户名后,解析域名Y,判定为合法域名后,发给NAS相应L2TP控制参数,NAS收到RADIUS的信息后立即利用这些信息与LNS建立隧道,或利用已建立的隧道建立会话。利用这种机制,多种不同业务可以使用同一电话号码接入,用域名区分各种不同的业务。
访问服务器配置要点:IPSec支持AH和ESP两种封装方式。两者都可保证数据完整性,防止replay攻击,不同的是ESP提供了对数据报头的加密,因而更为安全,在本系统只采用ESP封装。
中心路由器配置要点:因为IPSec为点到点加密方式,而LNS对NAS为一点到多点,在广域网口上只能有一个Crypto Map Set ,所以在其上必须设置多个入口,每一个对应一个地市NAS。另一点是访问列表的设置。L2TP隧道的实现方式是每个远程终端到中心的连接在LNS广域网串口上形成一个虚拟接入,所以访问列表必须分为两级,一级加在广域网串口上,用于防止直接通过互联网的攻击,第二级加在虚拟连接上。
三、通信系统性能分析及其安全性
1. 通信系统可用性
VPDN网络与原来的163网络使用相同的网络设施。在中心方面,一台7120路由器具备处理50M加密数据流的能力,支持2000路加密隧道会话,可以根据需要增加专线带宽,不存在带宽瓶颈问题。
2. 通信系统的可靠性
任何一个地市到中心都有两条以上的路由,要害设备,如RADIUS服务器都有2~3个异地备份。分析以及试运行都表明,VPDN通信系统与互联网一样可靠。
3. 电话网的安全问题
理想的加密方式是从营业终端开始直接到LNS加密,但这样会使营业终端的计算机系统复杂化。本系统不采用此方案。电话网可能存在安全问题,特点是要求入侵者必须在当地电话线路上做手脚,这对一般黑客难度很大,而且不论在电话线路上怎么做,都不能破坏整个VPDN通信网络。
4. 通过互联网攻击
通过互联网攻击,第一步是在省外出口加上访问列表,使本中心路由器的地址只对省内可见,这样,外地黑客不可能进入通信网络,中心只须应付省内黑客的攻击。另外,本系统在路由器广域网串口上加上访问列表,只答应L2TP、IPSec数据包通过,黑客不可能通过常规入侵手段入侵系统。可能的攻击手段如下:
(1)网络窃听,黑客将获得IPSec数据包
要窃听该数据,黑客必须解除DES56加密算法。而以目前计算能力,解除DES56密码需要高档小型计算机运算10小时以上,本系统IPSec每1小时自动更换密码,对于一般的黑客,不可能及时破解DES56。
(2)伪造、重发数据包
IPSec在数据包发送前对报头和信息内容用md5-HMAC进行了单向信息摘要和加密。通过检查信息摘要的内容,可以防止伪造和重发信息。
(3)入侵系统
因为广域网接口严格限制了通过数据的类型,只答应专门业务有关的数据通过,黑客很难侵入系统。
(4) DoS攻击
这类攻击,如SYN Flooding等攻击手段,由路由器之后的防火墙负责检测。
在建立了省内的VPDN虚拟专用网络、采用L2TP Over IPSec VPDN技术之后,用户以公网的价格,获得专用网的服务。
