安全防御 --- SSL VPN

企业开发 2023-07-21 03:27:20 阅读次数: 0

附:无线项目介绍

SSL VPN

有浏览器的设备就可以使用SSL,进而使用SSL VPN。无需担心客户端问题,所以SSL VPN也称为无客户端VPN。SSL VPN在client to lan场景下特别有优势。

实际实现过程(基于TCP实现

(1)SSL协议握手实现

握手阶段

SSL协议握手第一阶段

客户端首先发送client hello消息到服务端,服务端收到client hello消息后,再发送server hello消息到客户端

  • 随机数:32位时间戳 + 28字节随机序列,用于计算摘要信息和预主密钥或主密钥的参数
  • 会话ID:一次性会话ID,防止重放攻击

SSL协议握手第二阶段

  • 服务器的证书:包含服务端公钥的证书,用于客户端给服务端发送信息时加密
  • server key exchange 服务端密钥交换:决定密钥的交换形式,比如DH、RSA,包含密钥交换所需的一系列参数

SSL协议握手第三阶段

client key exchange 客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收到后根据pre-master密钥生成一个main-master

附:预主密钥和主密钥的关系


初始化向量用途

SSL协议握手第四阶段

会话恢复阶段

(2)SSL记录协议

记录协议主要实现对数据的分块、加密解密、压缩解压缩、完整性校验、封装

SSL记录协议包含信息:

  • 内容类型
  • 协议版本号
  • 数据长度
  • 数据的有效载荷
  • 散列算法的认证代码

(3)SSL与IPSEC的对比


区别:

  • IPSec是网络层保证IP通讯而提供的协议族,以网络层为中心
  • SSL是套接字层保护HTTP通讯的协议,以应用层为中心

SSL VPN的优势

(4)SSL VPN实现

[1] 虚拟网关

SSL VPN每个虚拟网关可以独立管理,可以配置各自的资源,用户、认证方式,访问控制及管理员,并且相互隔离

[2] web代理

实现过程

实现方式

  • web-link:使用activeX控件方式,对页面进行请求
  • web列表:将所请求页面上的链接进行改写,其他内容不变

ActiveX是Microsoft对于一系列策略性面向对象程序技术和工具的称呼,其中主要的技术是组件对象模型(COM)。在有目录和其它支持的网络中,COM变成了分布式COM(DCOM)

实现结果(实现对内网web资源的访问)

  • 内网web资源只有私网地址,不做NAT的情况下,可通过SSL VPN实现对其代理的安全访问
  • 内网web资源只有私网地址,做NAT情况下,公网用户可实现安全访问,但是web资源未使用安全传输协议,SSL VPN可实现对https的安全访问

[3] 文件共享

实现过程

实现原理

  • 协议转换:无需客户端,直接通过浏览器访问转为内网文件共享的相应协议格式,使用activeX控件。

支持协议

  • SMB  windows
  • NFS  linux

[4] 端口转发

实现过程

实现原理:安装activeX控件,本质是NAT过程

提供内网TCP资源的访问,C/S资源

  • 提供丰富的静态端口的TCP应用

单端口单服务:telnet、SSH、MS、RDP、VNC
单端口多服务:notes
多端口多服务:outlook

  • 动态端口TCP应用
  • 提供端口的访问控制

自动安装运行一个 ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听端口。对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。USG收到报文进行解密,发往真实的目的服务器端口。USG收到服务器的响应后,再加密封装回传给用户终端的侦听端口。

特点

[5] 网络扩展

实现过程

访问模式

三种流量:去对方内网;去互联网;去本地局域网

  • 全路由模式:三种流量都走隧道,代表本地不能访问互联网,也可通过隧道访问,也可访问本地局域网
  • 分离模式:对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着能访问对方内网,能访问本地局域网,不能访问互联网。
  • 手动模式:对方内网流量走隧道,本地局域网流量和互联网流量走物理网卡。意味着都能访问,互联网走本地

(5)SSL VPN要求的终端安全

终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查、缓存清除、认证授权。

[1] 主机检查

  • 杀毒软件检查
  • 防火墙设置检查
  • 注册表检查
  • 端口检查
  • 进程检查
  • 操作系统检查

[2] 缓存清除

  • internet临时文件
  • 浏览器自动保存密码
  • cookie记录
  • 浏览器访问历史记录
  • 回收站和最近打开的文件
  • 指定文件或文件夹

[3] 认证授权

  • vpndb的认证授权
  • 第三方服务认证授权
  • 数字证书的认证
  • 短信辅助认证

SSL VPN功能总结

猜你喜欢

转载自blog.csdn.net/weixin_62443409/article/details/131402905
今日推荐
TIOBE 5 月榜单:Fortran “复活”进入 Top 10
GCC 14.1 发布
面壁智能发布 Eurux-8x22B 开源大模型 —— 堪称「理科状元」
开源日报 | 谷歌扶持鸿蒙上位;开源Rabbit R1;Docker加持的安卓手机;微软的焦虑和野心;海尔电器把开放平台关了
中国码农的“35岁魔咒”
蘭雅 CorelDRAW 插件 2024.5.1 国际劳动节版,免费下载
Arc Browser for Windows 1.0 正式 GA
90后程序员开发视频搬运软件、不到一年获利超 700 万,结局很刑!
周排行
Java自定义时间格式
同步整形电路
在开发中最最最常用的字符串的属性大集合
Linux 查看端口占用并杀掉
Java基础四:ArrayList
多线程之死锁就是这么简单
mysql 基础命令集
awk 命令详解
Centos6.3编译安装nginx+php步骤
OCR (Optical Character Recognition,光学字符识别)
每日归档
更多
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)
2024-05-05(0)
2024-05-04(7)
2024-05-03(19)
2024-05-02(0)
2024-05-01(4)
2024-04-30(1)
2024-04-29(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022