VPN的概念以及要点

VPN是一种安全的虚拟网络,对它的解释多种多样,有的侧重于隧道封装,有的侧重于访问控制,有的侧重于https,不管怎么说,这些都可以被称为VPN,对于最终用户,他们根本不管自己使用的网络是如何保证安全的,但是对于研发人员,如果不理解VPN的实现方式以及该实现的要点,那就枉做研发了。周末,一个人闲来无事,总结了vpn的种种

1.最简单的基于https协议的安全访问

这种方式最简单,也最容易被用户理解,因为它几乎不需要客户端进行任何配置,只需要一个浏览器即可,当然你需要一些外部支持,比如key,比如安装于浏览器的数字证书。这种vpn要点在于它能保护你访问应用期间的数据通道的安全,然而它的局限在于每应用封装的,由于浏览器处理应用层数据,所以每次应用层发起一次访问,安全参数就需要重新初始化一次,OSI模型中,它处理表示层和会话层,可是我们习惯叫它第七层VPN。它保护的是最终的应用通信,而不是自己的主机网络通信。因此这种VPN又叫做SSL VPN。
所谓的SSL是一种协议,它的原理很简单,它在应用数据进入传输层之前进行了一次加密操作,因此它处于表示层,然而安全参数并不仅仅是数据的安全,还有一项指标是对用户的认证,因此从应用层发起通信到结束通信的所有时间,SSL要保证通信者始终是一开始的那个通过认证的用户,换言之,SSL需要保护一次会话,因此SSL又处于会话层。最新的TLS实际上在OSI模型中和传输层是没有关系的,它本质上还是会话层和表示层的。SSL/TLS握手协议保证了会话层安全,SSL/TLS记录协议保证了表示层的安全。
SSL协议上的应用访问非常安全,现在很多的购物网站都使用了SSL上的http,也就是https。然而记住,SSL VPN保护的你的应用,而不是你的主机网络协议栈,它的保护粒度很细,一直细到你不可察觉。
SSL VPN的好处在于其强大的认证机制,PKI体系和SSL简直就是一对孪生兄弟。PKI在互联网上实现了和现实生活中一样甚至更加安全的认证体系。签名验签,数据加密,X.509证书认证等高级主题在PKI中都有描述。而SSL的安全很大程度真是建立在PKI之上的。
在网络基础设施的意义上,SSL VPN几乎不需要对网络基础设施进行任何配置,它简单的保护了数据,注意,是数据,而不是网络,因此可能你只需要多打一个字符s就能安全访问应用了。这种简便的特定,使得其接入用户指数级的增加。你要明白一个道理,普通用户几乎不知道什么是路由,如果你告诉他们,为了安全,必须配置一条路由,那他们会疯了的,就算客户端软件自动完成了路由的配置,用户可能为了不装客户端而放弃自己的安全性。

2.IPSec VPN

在TCP/IP协议栈中,IP协议是主机应用多路复用和解复用的起点和终点,如果能保护IP的安全,那么同一主机的所有的应用程序,换句话说,整个应用层都能得到保护。IPSec就是实现这样的VPN的核心。IPSec为整个IP层提供了保护,我们知道http,ftp,qq等应用可以复用在一个IP上,因此它们都可以得到保护。
IP层的标识符就是二元组,很简单,那就是源IP地址和目的IP地址,每个这样的二元组定义了一个基本IP流,IPSec保护的就是这种基本IP流,当然在基本IP流之上,还可以有其它的限制条件比如传输层信息,称为扩展的IP流。IPSec将所有的IP流分为两类,一类是感兴趣流,另一类是不感兴趣流,对于感兴趣流,IPSec引擎负责对其进行安全保护,对于不感兴趣流,IPSec引擎直接放过。以上只是IPsec的大致框架,细节上IPSec包含了很多的技术,安全协议包括ESP,AH,IKE,ISAKMP,PKI等,封装技术包括隧道技术,GRE技术,Cisco VTI技术,虚拟网卡技术等,在实现上,很多的开源代码供我们研读,比如FreeSWAN等。本文不再叙述这些技术的细节,需要的话,请参考我前面的文章或者google。
由于IPSec保护的是IP,因此所有的IP层设备上都是可以实现IPSec的,比如Internet路由器,典型的好处是我们可以实现一个网对网的拓扑结构,这样,多个地理上隔离网络或者子网就可以通过IPSec构建的安全隧道无缝连接在一起,就好像它们地理上在同一个地方一样。IP层的IPSec VPN在这一点上要比SSL VPN具有更强的扩展性,子网内的客户端甚至都不需要SSL协议支持,甚至都不需要有浏览器,直接通过路由将数据导向运行IPSec引擎的路由器,然后该路由器通过配置感兴趣流将包截获,加密封装后发往隧道的另一端。
网对网的安全通信可能是最符合“虚拟专用网”定义的,因此IPSec技术几乎都被世界上大型VPN厂商所支持,比如Cisco。由于IPSec的这种可用的网对网的特性,它得到了大量的部署,特别是企业级的VPN部署。IPSec的核心在于定义感兴趣流和不感兴趣流,具体区分它们的方式不一而同,可以使用路由的方式,也可以使用filter的方式。

3.SSL VPN与IPSec VPN

SSL VPN和IPSec VPN的侧重点不同,前者保护应用,后者保护网络或者主机,前者在应用层实现,后者在TCP/IP协议栈实现。对于访问特定资源而言,建议启用SSL VPN,对于接入特定网络而言,建议启用IPSec VPN,并且阻断其它网络连接以保证内网的安全。
SSL VPN的精要之处在于和PKI的紧密融合,使得对接入用户的身份认证更加灵活,这是访问控制所必须的,SSL VPN直接控制到应用访问者本身。而IPSec VPN的控制侧重于接入控制,所要认证的信息就是接入端的公网地址以及其被分配的其它标识,而这些都是由ISP控制的,ISP首先保证了第一层的安全,它们往往处于核心网的边缘,因此IPSec的安全性必须和边缘网ISP的安全策略相结合方能保护接入网的通信安全,当然,IPSec亦可以使用PKI来进行接入认证,然而大多数场合没有这个必要,原因正如MPLS不需要加密一样。如果ISP以及核心网不能保证自己客户的安全,那它还能混么?
SSL VPN亦可以通过代理的方式实现和IPSec VPN相同的功能,然而它还是基于终端安全的。本质上所有的VPN的要旨都在于如何“能截获并加密需要保护的流”,这种截获可以在客户终端完成,也可以在路由器完成,在终端完成的话,可以通过Windows的LSP,Linux的内核Netfilter或者其它类似的技术来完成,以使数据被重定向到自己的第七层应用代理服务器,然后统一由应用代理服务器完成访问,在路由器实现的话,可以使用IPSec的引擎截获感兴趣流,在Linux上可以通过Netfilter的Redirect target截获之,并发往自己的应用服务器或者VTI/虚拟网卡,还可以直接使用路由截获数据,将数据直接导向自己的一个逻辑接口,比如Linux上虚拟网卡,或者Cisco的VTI。不管使用哪种方式,数据包被截获对于客户端用户而言都是不可见的,简化了客户端的配置。

4.OpenVPN实现的隧道

前文不断探讨,OpenVPN是一个怪胎,它实现了IP层隧道,可是取却使用了SSL,然而还是要重申,OpenVPN中使用SSL协议仅仅完成了认证功能,并且建立一个可信的,安全的控制通道,OpenVPN隧道的密钥是在这个控制通道中协商的。
虽然OpenVPN实现了隧道,但是这个隧道却不能和IPSec的隧道兼容。OpenVPN实现server模式,实际上就是一个多对一的服务模式,服务器端通过隧道载荷包的源IP地址来识别特定的客户端,OpenVPN强制使用类似Cisco VTI的虚拟网卡,因此强制使用路由的方式截获感兴趣流,这就意味着,OpenVPN的客户端从虚拟网卡发出数据时,数据源地址必须是虚拟网卡的IP地址,对于主机对网络的拓扑,这没有什么问题,因为路由模块添加源地址的机制会首选和网关处于一个子网的地址,然而对于网对网的拓扑,这就要求OpenVPN的客户端的虚拟网卡上需要强制使用源地址转换。因此最终的目的地将完全丢失访问客户端的IP地址信息,这对透明性打了折扣,特别在访问目的地需要对访问客户端进行基于IP地址的审计的时候。以上,OpenVPN对于网对网的拓扑做的不是那么透明,然而好在它是开源项目,这个美中不足在自己的项目中可以通过定制来解决。本人通过修改代码的方式修正了它,但是在tap桥接模式下有些许问题。
虽然OpenVPN实现了隧道,然而这个隧道是单向的。OpenVPN可是push下去自己的环境中的许多路由,用于在客户端截获感兴趣流,然而对于网对网双向通信拓扑而言,OpenVPN客户端环境的路由信息却需要在OpenVPN服务器端进行显式配置,这就大大增加了配置的复杂度。一切的原因就是OpenVPN客户端不能push数据到OpenVPN服务器端。好在OpenVPN是一个开源项目,可以定制。代码修改很简单:
第一步:修改options.c的解析push参数的逻辑,使得客户端也可以push数据;
第二步:修改send_push_request的逻辑,将push链表中数据统统发送;
第三步:修改接收push_request消息的函数,此时因为已经认证过了,需要分配给客户端的虚拟网卡的IP地址也已经准备好了;
第四步:保存从客户端发来的路由信息到链表A。在服务器端发送push_reply前从push链表中得到分配给客户端的IP地址B;
第五步:遍历链表A,取出每一条路由C,执行route add C gw B命令;
第六步:第五步的命令执行也可以单独增加一个plugin调用点来通过plugin或者script来完成,完美使用OpenVPN的事件机制。
上述几个步骤实现起来十分简单,今天周六,我大概用了1个小时实现了它们,然则代码很不规范,不可实用也。
由此可见,OpenVPN虽然实现了隧道,然而它和IPSec还是有些差距的,然而对其修改和扩展都不会太复杂。OpenVPN实现了很多的机制和策略,使得用户不得不这么做,本质上,我们可以将其定位为适用于主机到网络的拓扑结构的VPN,它被设计出来就不是为了网对网应用的。
OpenVPN相比无比彪悍的IPSec还是有些优点的,它没有NAT穿越问题,它使用很俗套的TCP/UDP协议,这样对于防火墙更加友好,特别是不需要ISP专门开放支持IPSec。OpenVPN的最大优势还是在于SSL以及PKI,这套安全体系要比ISAKMP好多了。
最后,OpenVPN让用户在TCP和UDP之间面临这抉择,话说UDP不会导致重传叠加,然而一旦隧道丢包,却需要OpenVPN端系统的Reliability层进行重传,可想而知,这个用户态的实现肯定没有内核态的TCP实现要更好,起码用户态和内核态的切换就是一笔开销。怎么选择,还得从统计数据中得到结果…

5.MPLS VPN的要旨

这个VPN一般普通研发人员遇不到,因为它是高度ISP相关的。本质上MPLS就是专用通道,外界的路由注入都不会影响数据包的流向。这个就不多说了。

6.广义VPN

说实话,VPN就是一种信息隔离机制,这么说来,不说L2TP,IPSec等,VLAN在LAN中也算是一种VPN,PPPoE 在ISP的LAN中也是一种VPN。只要保证你的网络数据不被窃听,不被篡改,保证这些的底层基础设施都是VPN。所以不要指望能为VPN下一个统一的定义。

标签: 无
返回文章列表 文章二维码
本页链接的二维码
打赏二维码