經常見遠程連接的辦法及安全問題
作者:佚名 來源:本站 時間:2018-08-06 點擊:305次
這是目前最為普通、方便的遠程訪問方式,通過傳輸媒介——PSTN(公用電話網),利用Modem模擬撥號技術來實現遠程連接。利用PSTN進行遠程接入,用戶只要利用一條電話線和普通的Modem,對于用戶來說,一次性投入很小。當然,如果用戶想同時獲得數據服務和模擬的電話傳真服務,就不得不再申請一個號碼,因為在這種通訊方式下,數據和模擬通訊均要求獨占一個隧道。而企業需在局域網邊緣設置遠程訪問接入設備,并配備一定數量的語音中繼線路,供遠程訪問用戶撥入。
不過PSTN遠程撥號接入方式存在帶寬不足、接入速度慢、服務質量差、需要支付昂貴的長途撥號以及長途專線服務費用等問題,已遠遠無法滿足滿足企業數據傳輸應用需求。因此又出現了一些接入技術,從利用電話線作為傳輸介質的xDSL,到依靠有線電視電纜的Cable Modem,直到城域網Ethernet接入,但是這些接著技術由于對各自傳輸介質的依賴性而不能直接運用于企業網遠程訪問。
這種點到點的連接,在傳輸數據的安全方面,一般只對數據經過封裝,再加上一個提供路由信息的報頭就可以,通常不必對數據進行加密處理,實現起來很簡便,設置時只要注意的是兩臺計算機使用的通信協議必須相同否則無法建立連接,其它在這里我就不多介紹。
二、利用VPN實現遠程連接
VPN--虛擬專用網(Virtual Private Network)是專用網絡在公共網絡如Internet上的擴展。VPN通過私有隧道技術在公共網絡上仿真一條點到點的專線,從而達到安全的數據傳輸目的。由于VPN具有高度靈活性、高帶寬、高安全性、應用費用相對低廉等優點,已經成為非常理想的企業網遠程訪問解決方案。VPNs 的應用可以分為三個基本類型:Access VPNs、Intranet VPNs和Extranet VPNs。
1、一般建置VPN的網絡方案
利用企業現有的網絡設備—路由器、服務器與防火墻,來建置VPN。有些企業網絡以路由器為中心,那么IT管理者便很可能會想把VPN服務加在路由器上;當然也有些企業把防火墻
看成是Internet安全通訊的核心,那么自然便會選擇防火墻式的VPN 建置方案。
(1)路由器式VPN
使用具有VPN功能的路由器,IT管理者便可與分公司間經由Internet或ISP網絡來傳輸資料。撥接用戶也可在ISP網絡中建立隧道,以存取企業網絡。相對來說,路由器式VPN部署較容易,只要在路由器上添加VPN服務,通常只需將軟件升級即可。而新型路由器通常已在軟件或中內建了VPN服務。基本上,路由器上的VPN軟件升級,一般都會包括防火墻、加密以及隧道 (Tunneling)等功能。有些廠商則會將用戶身份辨識與既有的身份辨識服務(如遠身份辨識撥接用戶服務,Remote Authentication Dial-In User Service,RADIUS)連結在一起。
(2)軟件式VPN:
由生產廠商與協作廠商提供VPN應用程序,可執行加密、隧道建立與身份辨識,讓用戶通過VPN與企業內網相連。沿用既有設備 ---- 將軟件安裝在現有的服務器,不須更動網絡組態。另外,程序可與現有的網絡的身份辨識服務相連,如此一來,將可大幅簡化VPN的管理工作。
(3)防火墻式VPN:
許多企業均以防火墻為Internet安全措施的核心,以拒黑客于門外。有些企業甚至用防火墻在網絡上掃瞄病毒,或是找出懷有惡意的攻擊程序,因此許多防火墻廠商已在它們的產品中支持VPN服務。保護你的內部網絡免于被未授權交通和用戶侵入。一個良好的防火墻可以根據用戶、應用程序和傳輸源辨識交通流。
這種作法的好處是現有網絡架構保持不變,管理VPN服務所用的接口,與原本管理防火墻的使用接口通常是相同的,因此培訓成本也縮減到最小,因為加密與建立隧道等VPN服務也是由軟件來處理,效能是考慮的重要指針之一。
2、VPN的安全管理
如同任何的網絡資源一樣,VPN也必須得到有效的管理。同時需要關注的還有VPN的安全問題,尤其是和Internet相關的安全問題。針對這一方面,目前所有的VPN設備都應用了相關的核心技術,這些技術包括隧道協議 (Tunneling)、資料加密 (Encryption)、認證 (Authentication)及存取控制 (Access control)等。
(1)隧道協議 (Tunneling):
一般而言,隧道協議技術區分為兩種不同的類型。第一種類型是端對點(End-to-End)隧道技術;從用戶的PC延伸到用戶所連接的服務器上。每個端點的VPN設備都必須負責隧道的建立與端點之間資料加密及解密等工作。
第二種類是節點對節點(Node-to-Node)隧道技術。主要是連接不同地區的局域網絡。在局域網絡內部傳送的資料并不需做任何的變動;一旦資料必需經由網絡外圍(edge)的VPN設備傳送到不同的局域網絡時,這些數據才會被加密且經由隧道傳送給下一個節點的對應設備。當節點收到資料后,VPN設備會將這些資料解密,還原成原來的格式傳送到內部局域網絡。隧道利用軟件「覆蓋」在一個實體網絡之上,構成VPN的虛擬特性,讓其上任何一個連接看起來像是線路上唯一的交通。隧道也讓一個VPN得以維持一如內部網絡的安全性和優先性,以提供交通控制能力。
目前大部分的VPN 設備都采用下面這些隧道技術:IPSec (Internet Protocol Security,IP安全協議)、GRE(Generic Route Encapsulation)、L2TP (Layer 2 TunnelingProtocol,第二層隧道協議)、L2F及PPTP (Point-to-Point Tunneling Protocol,點對點隧道協議)。IT管理人員必須從VPN 設備所采用的眾多核心技術之中,挑選出最適合他們特質的產品技術,并將挑選出來的各項產品應用在網絡上。
(2)資料加密 (Encryption):
大部分的VPN設備廠商都支持市場上主要的幾種加密技術,像RSA Security公司的Rivest Cipher技術、DES及Triple-DES (三重DES)等。密鑰長度的選擇取決于許多的因素,較明顯的因素包括:確保資料機密的重要性程度以及資料所流經的網絡安全性等。
一旦VPN采用加密技術后,系統也必須提供用戶一套取得密鑰的方法。最常見的幾種密鑰管理技術為:PPP (Point-to-Point Procotol,點對點協議)中的ECP (Encrytion Control Protocol,加密控制協議)協議、具備密鑰管理功能的MPPE (Microsoft Point-to-PointEncryption,Microsoft點對點加密技術)、以及ISAKMP/IKE(Internet Society Association KeyManagement Protocol/Internet Key Exchange)等。
VPN提供私密性。加密應只使用于特別敏感的交通,當有需要時才使用,或加裝硬件加密模塊,因為加密非常占用處理器資源,而且會影響速度性能。
(3)認證 (Authentication):
VPN采用了許多現存的用戶認證技術。舉例來說,許多廠商所推出的VPN設備中,都具備了PPP的PAP (Password AuthenticationProtocol,密碼認證協議)技術、CHAP (Challenge Handshake AuthenticationProtocol,查間性握手驗證協議)以及Microsoft CHAP的支持能力。
不過VPN連接中一般都包括兩種形式的認證:(a)用戶身份認證,在VPN連接建立之前,VPN服務器對請求建立連接的VPN客戶機進行身份驗證,核查其是否為合法的授權用戶。如果使用雙向驗證,還需進行VPN客戶機對VPN服務器的身份驗證,以防偽裝的非法服務器提供錯誤信息。(b)數據完整性和合法性認證,檢查鏈路上傳輸的數據是否出自源端以及在傳輸過程中是否經過篡改。VPN鏈路中傳輸的數據包含密碼檢查和,密鑰只由發送者和接受者雙方共享。
(4)存取控制 (Accesscontrol):
在確認用戶身份之后,進一步所需要的功能就是針對不同的用戶授予不同的存取權限。這部分的功能也是認證服務器擁有的另一功能。
許多VPN的產品都伴隨有適用該產品的認證服務器,如RADIUS (Remote AuthenticationDial-In User Service,撥號用戶遠程認證服務器)及TACAS (Terminal AccessController Access System,終端存取控制存取系統)共同運作的能力。用戶必須接受身分認證(Authentication),讓網絡知道他們是誰;和授權程序(Authorization),讓用戶知道他們可以做些什么;一個良好的系統也會執行帳戶稽核(Accounting),以追蹤支出源和確保安全性。驗證、授權和帳戶稽核,統稱為AAA服務。
三、無線遠程連接
隨著無線網絡技術的成熟,經過無線網絡和數據采集設備及監控設備的有效結合,同樣可以很方便地進行遠程連接。就目前來看,實現無線網絡的技術,有藍牙無線接入技術、IEEE 802.11連接技術以及家庭網絡的HomeRF技術。在這三種技術中,IEEE802.11比較適于辦公室中的企業無線網絡,HomeRF可應用于家庭中的移動數據和語音設備與主機之間的通信,而藍牙技術則可以應用于任何可以用無線方式替代線纜的場合。
但由于很多地方并沒的引進新的無線網,所以目前常見到的無線接入應用一般僅限于小區域的局域網絡,還算不上真正意義的遠程接入。如果你打算實現遠程接入,就需要建立穩定的網絡鏈路,通過無線網絡及衛星地面站進行連接,由于無線網絡的實性上也屬于局域網絡的范疇,所以在設置方面我不多介紹。
不過企業在選擇無線接入時首要關注的是安全問題。當企業使用無線局域網技術,卻沒有采取適當的安全措施時,即使一些初級黑客都有可能利用容易得到的廉價設備對企業網絡進行攻擊。
- 上一篇: 遠程、移動用戶連接網絡安全十大法則
- 下一篇: Vista系統文件及打印共享的技巧
