Defensa de seguridad --- SSL VPN

Enterprise 2023-07-21 04:35:45 views: null

Adjunto: Introducción al proyecto inalámbrico

VPN SSL

Un dispositivo con un navegador puede usar SSL y luego usar SSL VPN . No hay necesidad de preocuparse por los problemas del cliente, por lo que SSL VPN también se denomina VPN sin cliente. SSL VPN es particularmente ventajoso en el escenario de cliente a LAN.

El proceso de implementación real ( basado en la implementación de TCP )

(1) Implementación de reconocimiento de protocolo SSL

fase de apretón de manos

La primera fase del apretón de manos del protocolo SSL

El cliente primero envía un mensaje de saludo del cliente al servidor, y el servidor envía un mensaje de saludo del servidor al cliente después de recibir el mensaje de saludo del cliente.

  • Número aleatorio : marca de tiempo de 32 bits + secuencia aleatoria de 28 bytes, utilizada para calcular información de resumen y parámetros de clave maestra previa o clave maestra
  • ID de sesión : ID de sesión único para evitar ataques de repetición

La segunda fase del apretón de manos del protocolo SSL

  • Certificado del servidor : un certificado que contiene la clave pública del servidor, que se utiliza para el cifrado cuando el cliente envía información al servidor
  • intercambio de claves del servidor intercambio de claves del servidor : determine la forma de intercambio de claves, como DH, RSA, incluida una serie de parámetros necesarios para el intercambio de claves

La tercera fase del apretón de manos del protocolo SSL

intercambio de clave de cliente Intercambio de clave de cliente : calcule un pre-maestro en función del número aleatorio del servidor, envíelo al servidor y el servidor genera un maestro principal de acuerdo con la clave pre-maestra después de recibirlo

Adjunto: La relación entre la clave pre-maestra y la clave maestra


Propósito del vector de inicialización

La cuarta fase del apretón de manos del protocolo SSL

fase de recuperación de la sesión

(2) protocolo de registro SSL

El protocolo de grabación implementa principalmente bloqueo de datos, cifrado y descifrado, compresión y descompresión, verificación de integridad y encapsulación.

El protocolo de registro SSL contiene información:

  • tipo de contenido
  • número de versión del protocolo
  • Longitud de datos
  • carga útil de datos
  • Código de autenticación para el algoritmo hash

(3) Comparación entre SSL e IPSEC


la diferencia:

  • IPSec es una familia de protocolos proporcionada por la capa de red para garantizar la comunicación IP, con la capa de red como centro
  • SSL es un protocolo para proteger la comunicación HTTP en la capa de conexión, centrado en la capa de aplicación

Ventajas de las VPN SSL

(4) implementación de VPN SSL

[1] Puerta de enlace virtual

Cada puerta de enlace virtual de SSL VPN se puede administrar de forma independiente, y sus propios recursos, usuarios, métodos de autenticación, control de acceso y administradores se pueden configurar y aislar entre sí .

[2] proxy web

Proceso de implementación

Método para realizar

  • enlace web: utilice el método de control ActiveX para solicitar la página
  • lista web: reescriba el enlace en la página solicitada y mantenga el resto del contenido sin cambios

ActiveX es el nombre de Microsoft para una serie de tecnologías y herramientas estratégicas de programación orientada a objetos, cuya principal tecnología es el Modelo de objetos componentes (COM). En redes con directorio y otros soportes, COM se convierte en COM distribuido (DCOM)

Darse cuenta del resultado (darse cuenta del acceso a los recursos web de la intranet)

  • Los recursos web de la intranet solo tienen direcciones de red privadas y, sin NAT, se puede lograr un acceso seguro a su proxy a través de SSL VPN
  • Los recursos web de la intranet solo tienen direcciones de red privada. En el caso de NAT, los usuarios de la red pública pueden lograr un acceso seguro, pero los recursos web no usan protocolos de transmisión seguros. SSL VPN puede lograr un acceso seguro a https

[3] Uso compartido de archivos

Proceso de implementación

Principio de realización

  • Conversión de protocolo: no se requiere ningún cliente, y se puede acceder directamente al formato de protocolo correspondiente para compartir archivos de intranet a través de un navegador, usando controles ActiveX .

acuerdo de apoyo

  • ventanas pymes
  • NFS linux

[4] Reenvío de puertos

Proceso de implementación

Principio de implementación: instale el control ActiveX, la esencia es el proceso NAT

Proporcione acceso a recursos TCP de intranet, recursos C/S

  • Aplicaciones TCP que proporcionan puertos estáticos enriquecidos

Puerto único, servicio único: telnet, SSH, MS, RDP, VNC,
puerto único, servicios múltiples: notas,
puertos múltiples, servicios múltiples: Outlook

  • Aplicación TCP de puerto dinámico
  • Proporciona control de acceso al puerto

Instale y ejecute automáticamente un control ActiveX para obtener la lista de recursos de reenvío de puertos (IP del servidor de destino, puerto) configurada en el lado de la administración. El control compara el mensaje TCP iniciado por el cliente con la lista de recursos, y cuando encuentra que la IP/Puerto de destino del mensaje coincide con la entrada en la lista de recursos, intercepta el mensaje, abre el puerto de escucha (el puerto de destino se obtiene a través de un algoritmo específico) y vuelve a escribir la dirección de destino como una dirección de bucle invertido y la reenvía al puerto de escucha. Cifre y encapsule el mensaje, agregue un encabezado de mensaje privado, establezca la dirección de destino en la dirección IP del USG y envíelo al USG a través del puerto de escucha. El USG descifra el paquete recibido y lo envía al puerto del servidor de destino real. Después de recibir la respuesta del servidor, el USG la cifra y encapsula y la envía de regreso al puerto de escucha de la terminal del usuario.

características

[5] Extensión de red

Proceso de implementación

modo de acceso

Tres tipos de tráfico: a la intranet de la otra parte, a Internet, a la LAN local

  • Modo de enrutamiento completo : los tres tipos de tráfico pasan por el túnel, lo que significa que el área local no puede acceder a Internet, pero también puede acceder a través del túnel o de la red de área local
  • Modo de separación : el tráfico de la intranet de la otra parte pasa por el túnel, el tráfico de la LAN local pasa por la tarjeta de red física y el tráfico de Internet no puede pasar. Significa que puede acceder a la intranet de la otra parte, puede acceder a la red de área local y no puede acceder a Internet.
  • Modo manual : el tráfico de intranet de la otra parte pasa por el túnel, y el tráfico de LAN local y el tráfico de Internet pasan por la tarjeta de red física. Significa que se puede acceder a ellos e Internet va localmente.

(5) Seguridad de terminal requerida por SSL VPN

La seguridad de la terminal es implementar un software en el host de la intranet solicitante y verificar la seguridad de la terminal a través del software, que incluye: verificación del host, borrado de caché, autenticación y autorización.

[1] Comprobación de anfitrión

  • Comprobación de antivirus
  • Comprobación de la configuración del cortafuegos
  • verificación de registro
  • control de puerto
  • control de proceso
  • Comprobación del sistema operativo

[2] Destrucción de caché

  • archivos temporales de Internet
  • El navegador guarda automáticamente las contraseñas
  • registro de cookies
  • historial de acceso del navegador
  • Papelera y archivos abiertos recientemente
  • Especificar un archivo o carpeta

[3] Autenticación y autorización

  • Autenticación y autorización de vpndb
  • Autenticación y autorización de servicios de terceros
  • Autenticación con certificados digitales
  • Autenticación asistida por SMS

Resumen de la función SSL VPN

Supongo que te gusta

Origin blog.csdn.net/weixin_62443409/article/details/131402905
Recomendado
Clasificación
Diario
Más
2024-05-29(1)
2024-05-28(0)
2024-05-27(1)
2024-05-26(1)
2024-05-25(0)
2024-05-24(13)
2024-05-23(34)
2024-05-22(10)
2024-05-21(34)
2024-05-20(5)

Code World

© 2018 codetd.com