¿Cuál es la diferencia entre Openswan y freeswan?
Openvpn se implementa mediante tecnología SSL. Debido a que funciona principalmente en la capa de aplicación, la eficiencia es muy baja. Si el caudal unitario es relativamente grande, es mejor no utilizarlo. El otro utiliza tecnología SSL, que no es lo que solemos llamar SSL VPN.
Las VPN de hardware más populares actualmente en el mercado utilizan tecnología ipsec. Por lo tanto, elegir el primero le ayudará a reemplazar el hardware más adelante.
Básicamente, pocos productos VPN de hardware en el mercado utilizan tecnología como openvpn.
Cómo funciona IPSEC
-
La red privada virtual se refiere al establecimiento de una red privada en la red pública y los datos pasan a través de una "tubería" segura. " en la red pública. difundido en. El uso de VPN tiene las ventajas de ahorro de costos, acceso remoto, gran escalabilidad, fácil administración y control total. Es un proyecto clave de los servicios de red actuales y futuros. Por lo tanto, debemos comprender completamente las características técnicas de las redes privadas virtuales y establecer un sistema de servicio completo. Cómo funcionan las redes privadas virtuales
Los estándares internacionales actuales para construir redes privadas virtuales incluyen IPSEC (RFC 1825-1829) y L2TP (borrador-IETF-PPP ext-L2TP-10). L2TP (protocolo de red de acceso telefónico privado virtual) es un protocolo de red de acceso telefónico privado virtual redactado por el IETF basado en los protocolos de varios proveedores (incluido PPTP de Microsoft y L2F de Cisco). IPSEC es una serie de estándares de seguridad IP abiertos basados en redes IP (incluidas intranets, extranets e Internet) personalizados oficialmente por el IETF. Es la base de las redes privadas virtuales y es bastante madura y confiable. El borrador del protocolo L2TP estipula que (el estándar L2TP) debe basarse en IPSEC (ver borrador-IETF-PPP ext-L2TP-security-01). Por lo tanto, este artículo explica el principio de funcionamiento de VPN, analizando principalmente el principio de funcionamiento de IPSEC.
IPSEC proporciona tres formas diferentes de proteger números privados transmitidos a través de redes IP públicas o privadas.
Autenticación: la función es garantizar que los datos recibidos sean consistentes con los datos enviados y, al mismo tiempo, garantizar que el remitente de la aplicación sea realmente el remitente real y no lo pretenda.
Integridad de los datos: la función es garantizar que no haya ninguna pérdida o cambio imperceptible de datos durante la transmisión de datos desde la ubicación original al destino.
Confidencialidad - La función es permitir que el destinatario correspondiente obtenga el verdadero contenido de la transmisión, mientras que el destinatario que no tiene intención de obtener los datos no puede conocer el verdadero contenido de los datos.
En IPSEC, tres elementos básicos proporcionan las tres formas de protección anteriores: encabezado de protocolo de autenticación (AH), encapsulación de carga segura (ESP) y protocolo de administración de claves de Internet (IKMP). Los encabezados del protocolo de autenticación y la encapsulación de carga segura se pueden usar solos o en combinación para lograr el nivel de protección deseado.
El encabezado del protocolo de autenticación (AH) agrega una contraseña al encabezado de todos los paquetes de datos. Como sugiere el nombre, AH autentica a los usuarios a través de una "firma digital" conocida sólo por el poseedor de la clave. Esta firma es el único resultado obtenido por el algoritmo especial del paquete de datos; AH también puede mantener la integridad de los datos, porque la firma digital del encabezado del paquete puede detectar sin importar cuán pequeños cambios se carguen durante el proceso de transmisión. Pero como AH no puede cifrar el contenido cargado en el paquete, no se garantiza ninguna confidencialidad. Los dos estándares AH más comunes son MD5 y SHA-1. MD5 usa una clave con un valor máximo de 128, mientras que SHA-1 usa una clave con un valor máximo de 160 para brindar una protección más sólida.
La encapsulación de carga segura (ESP) garantiza estrictamente la confidencialidad de la información transmitida al cifrar completamente todos los datos y cargar el contenido del paquete de datos, y puede evitar que otros usuarios abran el contenido del intercambio de información mediante el monitoreo, porque Sólo Sólo los usuarios de confianza tienen la clave para abrir el contenido. ESP también puede proporcionar autenticación y mantener la integridad de los datos. El estándar ESP más importante es el Estándar de cifrado de datos (DES). DES admite claves de hasta 56 bits, mientras que 3DES utiliza tres conjuntos de claves para el cifrado, lo que equivale a utilizar claves de hasta 168 bits. Debido a que ESP en realidad cifra todos los datos, requiere más tiempo de procesamiento que AH, lo que resulta en una degradación del rendimiento.
La gestión de claves incluye dos aspectos: determinación de claves y distribución de claves. Se requieren hasta cuatro claves: AH y ESP, dos claves de envío y recepción. La clave en sí es una cadena binaria, normalmente representada en hexadecimal. Por ejemplo, una clave de 56 bits se puede representar como 5F39DA752E0C25B4. Tenga en cuenta que la longitud total * * * es de 64 bits, incluidos 8 bits de paridad. Una clave de 56 bits (DES) es suficiente para la mayoría de las aplicaciones empresariales. La gestión de claves incluye métodos manuales y automatizados. Los sistemas de gestión manual pueden funcionar bien dentro de necesidades de seguridad limitadas, mientras que los sistemas de gestión automatizados pueden satisfacer todas las demás necesidades de las aplicaciones.
Con un sistema de gestión manual, las claves las determina el sitio de gestión y luego se distribuyen a todos los usuarios remotos. Las claves reales se pueden calcular mediante un generador de números aleatorios o un simple mosaico aleatorio, y cada clave se puede modificar de acuerdo con la política de seguridad del grupo. Con un sistema de gestión automatizado, puede determinar y distribuir claves de forma dinámica, lo que obviamente es tan automático como sugiere el nombre. Los sistemas de gestión automatizados tienen un punto central de control y un administrador de claves centralizado puede hacerlos más seguros y maximizar la eficacia de IPSEC.
Implementación de IPSEC
Una de las ventajas más básicas de IPSEC es que se puede implementar completamente en * * * dispositivos de acceso a la red, incluso en todos los hosts y servidores, en gran medida. Se evita la actualización de cualquier recurso relacionado con la red. Del lado del cliente, la arquitectura IPSEC permite el acceso remoto a las PC y estaciones de trabajo involucradas en el enrutador, o mediante un módem basado en software simple. ESP proporciona más flexibilidad en las aplicaciones a través de dos modos: modo de transporte y modo túnel.
Los paquetes IPSEC se pueden utilizar en modo túnel para comprimir la dirección IP y los datos originales.
Cuando se implementa ESP en el host (cliente o servidor), generalmente se utiliza el modo de transporte. El modo de transporte utiliza encabezados IP de texto claro y sin formato y solo cifra los datos, incluidos sus encabezados TCP y UDP.
El modo túnel se utiliza normalmente cuando se implementa ESP en un dispositivo de intervención de acceso a la red asociado con múltiples hosts. El modo túnel maneja todo el paquete IP, incluidos todos los encabezados y datos TCP/IP o UDP/IP, y agrega su propia dirección al nuevo encabezado IP como dirección de origen. Cuando se utiliza el modo túnel en la configuración del terminal de usuario, es más fácil ocultar las direcciones de los clientes y hosts del servidor interno.
Interpretación del algoritmo de cifrado de red privada virtual
-
1. Autenticación IPSec
El encabezado de autenticación IPSec (AH) es un mecanismo para Integridad y autenticación de datagramas IP. La integridad garantiza que los datagramas no hayan sido alterados de forma accidental o maliciosa, mientras que la autenticación verifica el origen de los datos (host, usuario, red, etc.). AH en sí no admite ninguna forma de cifrado y no puede proteger la confiabilidad de los datos enviados a través de la red. Gastar. AH puede mejorar la seguridad de Internet global sólo cuando los gobiernos locales restringen la exportación, importación o uso de cifrado. Cuando se implementen todas las funciones, se reducirá la probabilidad de ataques basados en suplantación de IP mediante la autenticación de paquetes de datos IP, proporcionando así mejores servicios de seguridad. El encabezado utilizado por AH se coloca entre el encabezado estándar IPv4 e IPv6 y el siguiente marco de protocolo de nivel superior (como TCP, UDP, ICMP, etc.). ).
El protocolo AH proporciona servicios de integridad y autenticación mediante la implementación de cálculos de resumen de mensajes en todo el datagrama IP. Un resumen de mensaje es una función de datos unidireccional específica que crea una huella digital única de un datagrama. La salida del algoritmo de resumen del mensaje se coloca en el área Authentication_Data del encabezado AH. El algoritmo Message Digest 5 (MD5) es una función matemática unidireccional. Cuando se aplica a datos empaquetados, divide todos los datos en varios paquetes de información de 128 bits. La información del grupo de 128 bits es una representación comprimida o abstracta de los paquetes de datos grandes. Cuando se utiliza de esta manera, MD5 solo proporciona servicios de integridad digital. Un resumen de mensaje se puede calcular a partir de un conjunto de datos antes de enviarlo y después de recibirlo. Si el valor de resumen calculado dos veces es el mismo, los datos del paquete no se cambiaron durante la transmisión. Esto evita manipulaciones accidentales o maliciosas. En un intercambio de datos autenticado HMAC-MD5, el remitente primero calcula el resumen MD5 del paquete de 64 bits del datagrama utilizando las claves intercambiadas previamente. El valor de resumen calculado a partir de una serie de 16 bits se acumula en un valor, que luego se coloca en el área de datos de autenticación del encabezado AH y luego el datagrama se envía al receptor. El destinatario también debe conocer el valor de la clave para calcular el resumen del mensaje correcto y adaptarlo al resumen del mensaje de autenticación recibido. Si el valor del resumen calculado es igual al valor del resumen recibido, entonces el datagrama no se modificó durante la transmisión y se puede considerar que fue enviado por otra parte que solo conoce la clave.
En segundo lugar, el cifrado IPSec
El encabezado del Protocolo de seguridad de paquetes (ESP) proporciona servicios de integridad y confiabilidad para los datagramas IP. El protocolo ESP está diseñado para funcionar en dos modos: modo túnel y modo transporte. La diferencia entre los dos radica en el contenido de la parte de carga ESP del datagrama IP. En modo túnel, todo el datagrama IP se encapsula y cifra dentro de la carga útil ESP. Al hacer esto, las verdaderas direcciones IP de origen y destino se pueden ocultar como datos comunes enviados a través de Internet. Un uso típico de este modo es ocultar hosts o topología al conectar un firewall a otro a través de una red privada virtual. En el modo de transporte, sólo las tramas de protocolo de capa superior (TCP, UDP, ICMP, etc.) se colocan en la parte de carga útil ESP del datagrama IP cifrado. En este modo, las direcciones IP de origen y destino y todos los campos del encabezado IP se envían sin cifrar.
IPSec requiere el uso de un algoritmo predeterminado común, el algoritmo DES-CBC, en todas las implementaciones de ESP. El Estándar de cifrado de datos (DES) de EE. UU. es un algoritmo de cifrado muy popular. Fue lanzado por primera vez por el gobierno de EE. UU. e inicialmente para aplicaciones comerciales.
Hasta el momento, el período de protección de todas las patentes DES ha expirado, por lo que es gratuito en todo el mundo. El estándar IPSec ESP requiere que todas las implementaciones de ESP admitan el DES de CBC como algoritmo predeterminado. DES-CBC funciona agregando una función de datos a un paquete de datos de 8 bits para formar un paquete IP completo (modo túnel) o la siguiente trama de protocolo de capa superior (modo de transporte). DES-CBC utiliza 8 bits de datos cifrados (texto cifrado) en lugar de 8 bits de datos no cifrados (texto sin formato). Se utiliza un vector de inicialización (IV) aleatorio de 8 bits para cifrar el primer bloque de texto sin formato para garantizar la aleatoriedad del mensaje cifrado incluso si el mensaje de texto sin formato tiene el mismo comienzo. DES-CBC esencialmente utiliza la misma clave compartida por todas las partes que se comunican. Por tanto, se considera un algoritmo de cifrado simétrico. El destinatario solo puede descifrar los datos cifrados utilizando la clave utilizada por el remitente para cifrar los datos. Por lo tanto, la eficacia del algoritmo DES-CBC depende de la seguridad de la clave. La longitud de la clave DES-CBC utilizada por ESP es de 56 bits.
Principios e implementación de la tecnología VPN basada en IPSec
Este artículo primero explica los principios básicos de la tecnología VPN y las especificaciones IPSec, y luego presenta los métodos de implementación de la tecnología VPN y varias aplicaciones típicas. soluciones. Finalmente, el autor expone sus propios puntos de vista sobre la promoción y aplicación de la tecnología VPN.
1. Introducción
1998 se denomina "Año del comercio electrónico" y 1999 será el "Año del gobierno en línea". De hecho, como "cuarto medio" que conecta al mundo, Internet se ha convertido en un lugar con oportunidades comerciales ilimitadas. Cómo utilizar Internet para realizar actividades comerciales es actualmente un tema candente que discuten varias empresas. Sin embargo, cuando Internet se utiliza realmente en los negocios, todavía quedan algunos problemas por resolver, los dos más importantes son la calidad del servicio y la seguridad. Los problemas de calidad del servicio se están resolviendo gradualmente gracias a los esfuerzos de los principales fabricantes e ISP. La aparición de la tecnología VPN proporciona una forma eficaz de resolver los problemas de seguridad.
La llamada VPN (VirtualPrivate Network) se refiere a una subred virtual lógica formada conectando redes distribuidas físicamente en diferentes lugares a través de una red troncal pública. La red pública aquí se refiere principalmente a Internet. Para garantizar la seguridad de la transmisión de información en Internet, la tecnología VPN adopta autenticación, control de acceso, confidencialidad, integridad de los datos y otras medidas para garantizar que la información no sea espiada, manipulada ni copiada durante el proceso de transmisión. Dado que el costo de utilizar Internet para la transmisión es mucho menor que el costo de alquilar una línea dedicada, la aparición de VPN hace posible que las empresas transmitan de forma segura y económica información privada y confidencial a través de Internet.
Además de ahorrar dinero, la tecnología VPN tiene otras características:
●La escalabilidad se puede ampliar de manera flexible a medida que se expande la red. Al agregar nuevos usuarios o subredes, la nueva VPN solo puede funcionar si se modifica la configuración del software de red existente, se instala el software correspondiente en el cliente o puerta de enlace recién agregado y se conecta a Internet.
● Flexibilidad: además de extender fácilmente nuevas subredes a la red corporativa, debido a la conectividad global de Internet, VPN permite a las empresas acceder de forma segura a la información de socios comerciales y clientes de todo el mundo en cualquier momento. .
●Fácil de administrar Cuando se utilizan líneas dedicadas para conectar subredes empresariales, a medida que aumenta el número de subredes, el número de líneas dedicadas requeridas aumentará exponencialmente. Cuando se utiliza una VPN, Internet es como un HUB. Solo necesita conectar cada subred a Internet y no es necesario administrar cada línea.
La VPN se puede utilizar para establecer intranets y extranets corporativas. Con el auge del comercio electrónico global, las aplicaciones VPN se generalizarán cada vez más. Según las previsiones de Infonetics Reseach, la cuota de mercado de VPN crecerá de 200 millones de dólares actuales a 11.900 millones de dólares en 2006, de los cuales las ventas de productos VPN representarán una décima parte.
2. Tecnología VPN basada en especificaciones IPSec.
1) Introducción al protocolo IPSec
IPSec (Seguridad 1P) surgió durante la formulación de IPv6 para proporcionar seguridad en la capa IP. Dado que todos los hosts que admiten el protocolo TCP/IP deben pasar a través de la capa IP al comunicarse, proporcionar seguridad en la capa IP equivale a proporcionar una base para una comunicación segura para toda la red. En vista de la aplicación generalizada de IPv4, se añadió soporte para IPv4 a la formulación de IPSec.
El primer conjunto de estándares IPSec fue formulado por el IETF en 1995. Sin embargo, debido a algunos problemas no resueltos, el IETF inició una nueva ronda de formulación de IPSec en 1997. A finales de 1998+01, el El acuerdo principal se había completado básicamente. Sin embargo, todavía existen algunos problemas con este nuevo conjunto de protocolos y se espera que el IETF lleve a cabo la próxima ronda de revisiones de IPSec en un futuro próximo.
2) Principio de funcionamiento básico de IPSec
El principio de funcionamiento de IPSec (que se muestra en la Figura L) es similar al firewall de filtrado de paquetes y puede considerarse como una extensión del filtrado de paquetes. cortafuegos. Cuando se recibe un paquete IP, el firewall de filtrado de paquetes utiliza su encabezado para realizar una coincidencia en la tabla de reglas. Cuando se encuentra una regla coincidente, el firewall de filtrado de paquetes procesa los paquetes IP recibidos de acuerdo con el método especificado por la regla. Aquí solo hay dos tipos de procesamiento: descartar o reenviar.
Figura 1 Diagrama del principio de funcionamiento de IPSec
IPSec determina el procesamiento de los paquetes de datos IP recibidos consultando el SPD (base de datos de políticas de seguridad de la base de datos de políticas de seguridad p 01). Sin embargo, IPSec es diferente de los firewalls de filtrado de paquetes. Además de descartar y reenviar paquetes IP directamente, existe otro método, que es el procesamiento IPSec. Es este método de procesamiento recientemente agregado el que proporciona mayor seguridad de red que los firewalls de filtrado de paquetes.
Realizar el procesamiento IPSec significa cifrar y autenticar paquetes IP. Los firewalls de filtrado de paquetes solo pueden controlar el paso de paquetes IP desde o hacia un sitio determinado. Pueden negar el acceso de paquetes IP de sitios externos a ciertos sitios internos y también pueden negar que los sitios internos accedan a ciertos sitios web externos. Sin embargo, los firewalls de filtrado de paquetes no pueden garantizar que los paquetes que salen de la intranet no serán interceptados, ni pueden garantizar que los paquetes que ingresan a la intranet no serán manipulados. Sólo después de cifrar y autenticar los paquetes de datos IP se puede garantizar la confidencialidad, autenticidad e integridad de los paquetes de datos transmitidos en la red externa, y es posible iniciar nuevas comunicaciones seguras a través de Internet.
IPSec puede cifrar solo paquetes IP, solo autenticación o ambos. Pero ya sea cifrado o autenticación, IPSec tiene dos modos de trabajo, uno es el modo túnel similar al protocolo mencionado en la sección anterior y el otro es el modo de transmisión.
Como se muestra en la Figura 2, el modo de transporte solo cifra o autentica la carga útil del paquete IP. En este momento, se continúa utilizando el encabezado IP anterior, solo se modifican algunos campos del encabezado IP y el encabezado del protocolo IPSec se inserta entre el encabezado IP y el encabezado de la capa de transporte.
Figura 2 Diagrama esquemático del modo de transmisión
Como se muestra en la Figura 3, el modo túnel cifra o autentica todo el color de los datos IP. En este momento, es necesario generar un nuevo encabezado IP y el encabezado IPSec se coloca entre el encabezado IP recién generado y el paquete IP anterior, formando así un nuevo encabezado IP.
Figura 3 Diagrama esquemático del modo túnel
3) Tres protocolos principales en IPSec.
Como se mencionó anteriormente, las funciones principales de IPSec son el cifrado y la autenticación. Para el cifrado y la autenticación, IPSec también requiere funciones de intercambio y gestión de claves para proporcionar las claves necesarias para el cifrado y la autenticación y para gestionar el uso de las claves. Los tres aspectos anteriores están estipulados por los tres protocolos de AH, ESP e IKE. Para introducir estos tres protocolos, es necesario introducir un término muy importante: asociación de seguridad SA. La denominada asociación de seguridad se refiere a una "conexión" entre un servicio de seguridad y el operador al que presta servicio. Tanto AH como ESP necesitan utilizar SA. La función principal de IKE es el establecimiento y mantenimiento de SA. Mientras se implementen AH y ESP, se debe brindar soporte para SA.
Si ambas partes que se comunican quieren utilizar IPSec para establecer una ruta de transmisión segura, deben negociar de antemano la estrategia de seguridad que se adoptará, incluidos los algoritmos de cifrado, las claves, la duración de las claves, etc. Cuando ambas partes acuerdan la política de seguridad a utilizar, decimos que ambas partes han establecido una SA. La SA es una conexión simple que proporciona cierta seguridad IPSec para la transmisión de datos a través de ella, ya sea proporcionada por AH o ESP. Cuando se otorga una SA, determine el procesamiento realizado por IPSec, como cifrado, autenticación, etc. SA se puede combinar de dos maneras: proximidad de transporte y túneles anidados.
1)ESP (carga útil de seguridad encapsulada)
El protocolo ESP se utiliza principalmente para cifrar paquetes IP y también proporciona cierto soporte para la autenticación. ESP es independiente de algoritmos de cifrado específicos y puede admitir casi todos los tipos de algoritmos de cifrado de clave simétrica, como DES, TripleDES, RC5, etc. Para garantizar la interoperabilidad entre varias implementaciones de IPSec, actualmente ESP debe brindar soporte para el algoritmo DES de 56 bits.
El formato de la unidad de datos del protocolo ESP consta de tres partes. Además del encabezado y la parte de datos cifrados, también incluye una cola opcional al implementar la autenticación. El encabezado tiene dos campos: índice de política de seguridad (SPl) y número de secuencia (Sequencenumber). Antes de utilizar ESP para una comunicación segura, ambas partes deben negociar un conjunto de estrategias de cifrado que se adoptarán, incluido el algoritmo utilizado, la clave y el período de validez de la clave. El "Índice de política de seguridad" se utiliza para determinar qué política de cifrado utiliza el remitente para procesar paquetes IP. Cuando el receptor ve este número de secuencia, sabe qué hacer con el paquete IP recibido. Los números de secuencia se utilizan para distinguir diferentes paquetes que utilizan el mismo conjunto de políticas de cifrado. Además de la carga útil del paquete IP original, la porción de datos cifrados y los campos de relleno (utilizados para garantizar que la porción de datos cifrados cumpla con los requisitos de longitud para el cifrado de bloques) se cifran durante la transmisión. El "siguiente encabezado" se utiliza para indicar el protocolo utilizado en la parte de carga útil, que puede ser un protocolo de capa de transporte (TCP o UDP) o un protocolo IPSec (ESP o AH).
Generalmente, ESP se puede transmitir como carga útil de IP. El encabezado UKB de jip indica que el siguiente protocolo es ESP, no TCP y UDP. Debido a esta forma de encapsulación, ESP puede utilizar redes más antiguas para la transmisión.
Como se mencionó anteriormente, el cifrado IPSec tiene dos modos de trabajo, lo que significa que el protocolo ESP tiene dos modos de trabajo: modo de transmisión y modo túnel. Cuando ESP funciona en modo de transmisión, se utiliza el encabezado IP actual.
En el modo túnel, todo el paquete IP se cifra como carga útil de ESP y se agrega un nuevo encabezado IP con la dirección de puerta de enlace como dirección de origen antes del encabezado ESP, que puede desempeñar el papel de NAT.
2)AH (Encabezado de autenticación)
AH solo implica autenticación, no cifrado. Aunque AH tiene cierta superposición funcional con ESP, AH puede autenticar encabezados IP así como cargas útiles IP. Procesa principalmente pares de datos y puede autenticar encabezados IP, mientras que la función de autenticación de ESP es principalmente para la carga útil de IP. Para proporcionar la funcionalidad más básica y garantizar la interoperabilidad, ¿AH debe incluir soporte para HMAC? /FONT>sha y /FONT>MD5 (HMAC es un sistema de autenticación simétrico compatible con SHA y MD5).
AH se puede utilizar solo, en modo túnel o en combinación con ESP.
3)IKE (Intercambio de claves por Internet)
El protocolo IKE gestiona principalmente el intercambio de claves e incluye principalmente tres funciones:
●El protocolo utilizado para la negociación, cifrado algoritmos y claves.
Mecanismo conveniente de intercambio de claves (es posible que deba realizarse periódicamente).
Seguimiento de la implementación de estos acuerdos.
3.3 diseño. Sistema de red privada virtual
Como se muestra en la Figura 4, la implementación de VPN consta de un módulo de gestión, un módulo de generación y distribución de claves, un módulo de autenticación de identidad, un módulo de cifrado/descifrado de datos, un módulo de encapsulación/descomposición de paquetes de datos y un módulo de cifrado. función Composición de la biblioteca.
El módulo de gestión se encarga de la configuración y gestión de todo el sistema. El módulo de gestión decide qué modo de transmisión utilizar y qué paquetes IP cifrar/descifrar. Debido a que cifrar paquetes IP consume recursos del sistema y aumenta la latencia de la red, no es realista proporcionar servicios VPN para todos los paquetes IP entre dos puertas de enlace de seguridad. Los administradores de red pueden especificar qué paquetes IP se cifran a través del módulo de gestión. Los usuarios de Intranet también pueden especificar un sistema VPN para proporcionar servicios de cifrado para sus paquetes IP mediante comandos especiales transmitidos a través del protocolo Telnet.
El módulo de gestión de claves es responsable de la generación y distribución de las claves necesarias para la autenticación de identidad y el cifrado de datos. La clave se genera aleatoriamente. La distribución de claves entre puertas de enlace de seguridad utiliza la distribución manual y la transmisión de claves entre puertas de enlace de seguridad se completa mediante otros métodos de comunicación segura distintos de la transmisión de red. La clave de cada puerta de enlace de seguridad se almacena en una base de datos secreta, lo que permite realizar consultas y recuperaciones rápidas utilizando la dirección IP como clave.
El módulo de autenticación de identidad completa la operación de firma digital en paquetes de datos IP. Todo el proceso de firma digital se muestra en la Figura 5:
Figura 5 Firma digital
Primero, el remitente codifica los datos H = H (m) y luego usa la clave de comunicación. K cifra H y obtiene la clave Signature={ h}. El remitente añade la firma al texto sin formato y lo envía al destinatario. Después de recibir los datos, el receptor primero descifra la firma usando la clave K para obtener H y la compara con H (m). Si son consistentes, los datos están completos. Las firmas digitales no sólo garantizan la integridad de los datos, sino que también desempeñan un papel en la autenticación de la identidad, porque sólo con una clave se pueden firmar correctamente los datos.
El módulo de cifrado/descifrado de datos completa el cifrado y descifrado de paquetes IP. Los algoritmos de cifrado opcionales incluyen el algoritmo IDEA y el algoritmo DES. El primero se puede implementar en software para lograr una velocidad de cifrado más rápida. Para mejorar aún más la eficiencia del sistema, podemos utilizar hardware especializado para cifrar y descifrar datos, y luego el algoritmo DES puede obtener velocidades de cifrado más rápidas. Con la mejora de la potencia informática de las computadoras, la seguridad del algoritmo DES se ha visto cuestionada. Para datos de red con requisitos de seguridad más altos, el módulo de cifrado/descifrado de datos puede proporcionar servicios de cifrado DES triple.
El módulo de encapsulación/descomposición de paquetes de datos implementa una encapsulación o descomposición segura de paquetes de datos IP. Cuando se envía un paquete IP desde la puerta de enlace de seguridad, el módulo de encapsulación/descomposición del paquete adjunta una identidad al paquete IP.
Encabezado de autenticación AH y encabezado de encapsulación de datos de seguridad ESP. Cuando la puerta de enlace de seguridad recibe un paquete de datos IP, el módulo de encapsulación/descomposición del paquete de datos analiza los protocolos AH y ESP y realiza la autenticación de identidad y el descifrado de datos basándose en la información del encabezado del paquete.
La biblioteca de funciones de cifrado proporciona servicios de cifrado unificados para los módulos anteriores. Un principio básico en el diseño de la biblioteca de funciones de cifrado es comunicarse con los módulos anteriores a través de una interfaz de funciones unificada. Esto puede basarse en las necesidades reales.
Lo cierto es que no es necesario cambiar otros módulos al conectar bibliotecas de funciones con diferentes algoritmos de cifrado y niveles de cifrado.
4. Varias soluciones típicas de aplicaciones VPN
Hay dos tipos básicos de aplicaciones VPN: VPN de acceso telefónico y VPN dedicada.
La VPN de acceso telefónico proporciona acceso remoto a la intranet para usuarios móviles y trabajadores remotos y actualmente es la forma más popular. Los servicios VPN de acceso telefónico también se denominan "subcontratación corporativa de acceso telefónico". Las VPN de acceso telefónico se dividen en dos categorías según dónde se establezca el túnel: en la PC del usuario o en el servidor de acceso a la red (NAS) del proveedor de servicios.
Las VPN privadas vienen en muchas formas, y el mismo elemento es proporcionar a los usuarios servicios IP. Normalmente, se utilizan dispositivos de seguridad o enrutadores de clientes para completar los servicios en las redes IP. Los servicios IP también se pueden proporcionar instalando interfaces IP en redes Frame Relay o ATM.
Las aplicaciones de servicios privados conectan oficinas remotas con intranets y redes externas a través de la WAN. Estos servicios cuentan con conexiones multiusuario y de alta velocidad. Para proporcionar un servicio VPN completo, las empresas y los proveedores de servicios suelen combinar VPN privada y soluciones de acceso remoto.
En la actualidad, las redes compatibles con VPN apenas están surgiendo y los proveedores de servicios pronto lanzarán una serie de nuevos productos diseñados específicamente para satisfacer las necesidades de escalabilidad y flexibilidad de los proveedores al brindar servicios especiales de valor agregado a las empresas. .
5. Conclusión
En resumen, VPN es una nueva tecnología de red integral. Incluso en los Estados Unidos, donde Internet está altamente desarrollado, ha demostrado una gran vitalidad. Cisco, 3Com, Ascend y otras empresas han lanzado sus propios productos. Sin embargo, la aceptación generalizada de los productos VPN depende principalmente de los dos puntos siguientes: en primer lugar, si la solución VPN se puede cifrar a la velocidad de la línea; de lo contrario, se producirá un cuello de botella; en segundo lugar, si el flujo de datos VPN se puede programar y dirigir a diferentes direcciones; gestión en el dominio de la red.
En China, debido a la infraestructura de red relativamente atrasada y al bajo nivel de aplicaciones informáticas, la demanda actual de tecnología VPN no es alta y la mayoría de los fabricantes todavía se encuentran en la etapa de esperar y ver qué pasa. Sin embargo, con la aceleración del proceso de informatización económica nacional, especialmente el avance del acceso gubernamental a Internet y el comercio electrónico, la tecnología VPN será de gran utilidad.