VPN專用網
來源:
|
作者:pro41d1cf
|
發布時間: 2019-05-13
|
2667 次瀏覽
|
分享到:
虛擬專網在我國的企業用戶中應用廣泛,該解決方案可以為用戶提供安全穩定的數據傳輸通道,確保分支機構、移動人員與核心數據中心的通信安全。
VPN專用網
虛擬專網在我國的企業用戶中應用廣泛,該解決方案可以為用戶提供安全穩定的數據傳輸通道,確保分支機構、移動人員與核心數據中心的通信安全。
VPN(VPN-Virtual Private Network)指的是在公用網絡上建立專用網絡的技術。之所以稱為虛擬網主要是因為整個VPN網絡的任意兩個節點之間的連接并沒有傳統專網所需的端到端的物理鏈路,而是架構在公用網絡服務商所提供的網絡平臺(如Internet,ATM,Frame Relay等)之上的邏輯網絡,用戶數據在邏輯鏈路中傳輸。
應用
適用用于政府、企事業單位總部與分支機構內部聯網(Intranet-VPN)
適用于商業合作伙伴之間的網絡互聯(Extranet-VPN) VPN的功能。
功能
特點
建網快速方便用戶只需將各網絡節點采用專線方式本地接入公用網絡,并對網絡進行相關配置即可 降低建網投資由于VPN是利用公用網絡為基礎而建立的虛擬專網,因而可以避免建設傳統專用網絡所需的高額軟硬件投資
節約使用成本用戶采用VPN組網,可以大大節約鏈路租用費及網絡維護費用,從而減少企業的運營成本 4)網絡安全可靠實現VPN主要采用國際標準的網絡安全技術,通過在公用網絡上建立邏輯隧道及網絡層的加密,避免網絡數據被修改和盜用,保證了用戶數據的安全性及完整性
簡化用戶對網絡的維護及管理工作大量的網絡管理及維護工作由公用網絡服務提供商來完成
服務
1)根據用戶的需求提供VPN組網方案
設備選型
網絡設計。
2)專線接入CHINANET,為用戶提供VPN公用網絡基礎
DDN
FrameRelay
DSL
3)安裝調試,根據用戶的具體需求,可以選擇以下兩種配置方案: 建立IP Tunel(邏輯隧道)方式
建立IP Tunel(邏輯隧道)方式
IP Tunel (邏輯隧道)與數據加密相結合方式。
業務優勢
VPN不但是一種產品,更是一種服務。 VPN通過公眾網絡建立私有數據傳輸通道,將遠程的分支辦公室、商業伙伴、移動辦公人員等連接起來。可減輕企業的遠程訪問費用負擔,節省開支,并且可提供安全的端到端的數據通訊方式。 VPN兼備了公眾網和專用網的許多特點,將公眾網可靠的性能、擴展性、豐富的功能與專用網的安全、靈活、高效結合在一起,可以為企業和服務提供商帶來以下益處:
顯著降低了用戶在網絡設備的接入及線路的投資;
采用遠程訪問的公司提前支付了購買和支持整個企業遠程訪問基礎結構的全部費用;
減小用戶網絡運維和人員管理的成本;
網絡使用簡便,具有可管理性、可擴展性;
公司能利用無處不在的 INTERNET 通過單一網絡結構為分支機構提供無縫和安全的連接;
能加強與用戶、商業伙伴和供應商的聯系;運營商、 ISP 和企業用戶都可從中獲益。
VPN虛擬專網安全防范
企業限制用戶VPN虛擬專網訪問可以幫助企業執行安全與BYOD政策,同時減少風險。
為了防止員工有更改設置的機會,關鍵一點就是要能夠預配置鎖定VPN參數。預先采取這些積極的措施能夠將網絡管理員從每次追趕流氓員工以及當網絡被攻破的時候加固網絡中解救出來
VPN虛擬專網的良好屬性
不管部署哪種架構,我們有很多配置選項可用于鎖定VPN虛擬專網平臺及其提供的功能。所有VPN虛擬專網部署應該具備下面這些特性:
身份驗證和訪問控制:SSL VPN使用SSL/TLS證書來對端點進行身份驗證,以創建一個加密通道,然后通常還會提供一個web界面,支持密碼或多因素方法(令牌、客戶端證書或一次性密碼或代碼)的傳統身份驗證。IPSecVPN通常預配置了網關和客戶端之間的身份驗證選項,遠程用戶可以提供用戶名和密碼、令牌代碼等來驗證身份。
驗證終端設備安全和可信度:在過去幾年,VPN產品逐漸增加了終端設備安全評估功能。很多VPN現在可以確定終端設備的操作系統、補丁修復水平、瀏覽器版本和安全設置,以及是否安裝了反惡意軟件(還有部署了什么簽名版本)。
機密性和完整性:SSL VPN支持分組密碼和流加密算法,包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分組密碼進行加密。這兩種類型的VPN都支持哈希密碼進行完整性驗證,并且都有不同的方法來檢測數據包篡改和重放攻擊—通過序列號和哈希或消息身份驗證。
VPN虛擬專網的安全
取決于滲透測試期間所檢查的VPN的類型,有不同的流程可以遵循。不管使用哪種VPN類型,基本的測試步驟包括:
偵查:決定使用的VPN類型和VPN進程監聽的端口。這可以通過端口掃描工具如Nmap做到。根據不同的VPN類型,服務有時候監聽在UDP端口500上(IPSec),TCP端口1723,TCP端口443(SSL VPN),UDP端口1194(OpenVPN)或者其他非默認的端口上。
溢出:在成功的識別出VPN關聯哪個端口后,可以通過Ike掃描工具確定具體的廠商和守護進程的版本。然后檢查該廠商是否包含任何已有的CVE漏洞,可以被Metasploit框架中的已有exploit或者新寫的exploit利用。
認證:監聽傳入連接的守護進程必須正確檢查客戶遞交的口令。不要只是依賴于用戶名、密碼和使用安全證書來提高VPN服務的整體安全。應該有恰當的密碼政策確保強密碼和證書一起使用來限制暴力攻擊。