2021年06月16日 返回>>
PPTP、L2TP、IPSec、Open代理和SSTP的區(qū)別
代理(虛擬專用網(wǎng))發(fā)展至今已經(jīng)不在是一個單純的經(jīng)過加密的訪問隧道,它已經(jīng)融合了訪問控制、傳輸管理、加密、路由選擇、可用性管理等多種功能,并在全球的信息安全體系中發(fā)揮著重要的作用。
在網(wǎng)絡(luò)上,有關(guān)各種代理協(xié)議優(yōu)缺點(diǎn)的比較是仁者見仁,智者見智,很多技術(shù)人員由于出于使用目的考慮,包括訪問控制、安全和用戶簡單易用,靈活擴(kuò)展等各方面,權(quán)衡利弊,難以取舍;尤其在VOIP語音環(huán)境中,網(wǎng)絡(luò)安全顯得尤為重要,因此現(xiàn)在越來越多的網(wǎng)絡(luò)電話和語音網(wǎng)關(guān)支持代理協(xié)議。
主流的代理協(xié)議有PPTP、L2TP、IPSec、Open代理和SSTP
一、PPTP
點(diǎn)對點(diǎn)隧道協(xié)議 (PPTP) 是由包括微軟和3Com等公司組成的PPTP論壇開發(fā)的一種點(diǎn)對點(diǎn)隧道協(xié),基于撥號使用的PPP協(xié)議使用PAP或CHAP之類的加密算法,或者使用 Microsoft的點(diǎn)對點(diǎn)加密算法MPPE。其通過跨越基于 TCP/IP 的數(shù)據(jù)網(wǎng)絡(luò)創(chuàng)建 代理實(shí)現(xiàn)了從遠(yuǎn)程客戶端到專用企業(yè)服務(wù)器之間數(shù)據(jù)的安全傳輸。PPTP 支持通過公共網(wǎng)絡(luò)(例如 Internet)建立按需的、多協(xié)議的、虛擬專用網(wǎng)絡(luò)。PPTP 允許加密 IP 通訊,然后在要跨越公司 IP 網(wǎng)絡(luò)或公共 IP 網(wǎng)絡(luò)(如 Internet)發(fā)送的 IP 頭中對其進(jìn)行封裝。
二、L2TP
第 2 層隧道協(xié)議 (L2TP) 是IETF基于L2F (Cisco的第二層轉(zhuǎn)發(fā)協(xié)議)開發(fā)的PPTP的后續(xù)版本。是一種工業(yè)標(biāo)準(zhǔn) Internet 隧道協(xié)議,其可以為跨越面向數(shù)據(jù)包的媒體發(fā)送點(diǎn)到點(diǎn)協(xié)議 (PPP) 框架提供封裝。PPTP和L2TP都使用PPP協(xié)議對數(shù)據(jù)進(jìn)行封裝,然后添加附加包頭用于數(shù)據(jù)在互聯(lián)網(wǎng)絡(luò)上的傳輸。PPTP只能在兩端點(diǎn)間建立單一隧道。 L2TP支持在兩端點(diǎn)間使用多隧道,用戶可以針對不同的服務(wù)質(zhì)量創(chuàng)建不同的隧道。L2TP可以提供隧道驗(yàn)證,而PPTP則不支持隧道驗(yàn)證。但是當(dāng)L2TP 或PPTP與IPSEC共同使用時,可以由IPSEC提供隧道驗(yàn)證,不需要在第2層協(xié)議上驗(yàn)證隧道使用L2TP。 PPTP要求互聯(lián)網(wǎng)絡(luò)為IP網(wǎng)絡(luò)。L2TP只要求隧道媒介提供面向數(shù)據(jù)包的點(diǎn)對點(diǎn)的連接,L2TP可以在IP(使用UDP),楨中繼永久虛擬電路(PVCs),X.25虛擬電路(VCs)或ATM VCs網(wǎng)絡(luò)上使用。
三、IPSec
IPSec 隧道模式隧道是封裝、路由與解封裝的整個過程。隧道將原始數(shù)據(jù)包隱藏(或封裝)在新的數(shù)據(jù)包內(nèi)部。
該新的數(shù)據(jù)包可能會有新的尋址與路由信息,從而使其能夠通 過網(wǎng)絡(luò)傳輸。
隧道與數(shù)據(jù)保密性結(jié)合使用時,在網(wǎng)絡(luò)上竊聽通訊的人將無法獲取原始數(shù)據(jù)包數(shù)據(jù)(以及原始的源和目標(biāo))。
封裝的數(shù)據(jù)包到達(dá)目的地后,會刪除封裝,原始數(shù)據(jù)包頭用于將數(shù)據(jù)包路由到最終目的地。
隧道本身是封裝數(shù)據(jù)經(jīng)過的邏輯數(shù)據(jù)路徑,對原始的源和目的端,隧道是不可見的,而只能看到網(wǎng)絡(luò)路徑中的點(diǎn)對點(diǎn)連接。
連接雙方并不關(guān)心隧道起點(diǎn)和終點(diǎn)之間的任何路由器、交換機(jī)、代理服務(wù)器或其他安全網(wǎng)關(guān)。將隧道和數(shù)據(jù)保密性結(jié)合使用時,可用于提供代理。
封裝的數(shù)據(jù)包在網(wǎng)絡(luò)中的隧道內(nèi)部傳輸。在此示例中,該網(wǎng)絡(luò)是 Internet。網(wǎng)關(guān)可以是外部 Internet 與專用網(wǎng)絡(luò)間的周界網(wǎng)關(guān)。
周界網(wǎng)關(guān)可以是路由器、防火墻、代理服務(wù)器或其他安全網(wǎng)關(guān)。另外,在專用網(wǎng)絡(luò)內(nèi)部可使用兩個網(wǎng)關(guān)來保護(hù)網(wǎng)絡(luò)中不信任的通訊。
當(dāng)以隧道模式使用 IPSec 時,其只為 IP 通訊提供封裝。使用 IPSec 隧道模式主要是為了與其他不支持 IPSec 上的 L2TP 或 PPTP ××× 隧道技術(shù)的路由器、網(wǎng)關(guān)或終端系統(tǒng)之間的相互操作。
四、Open代理
SSL協(xié)議提供了數(shù)據(jù)私密性、端點(diǎn)驗(yàn)證、信息完整性等特性。SSL協(xié)議由許多子協(xié)議組成,其中兩個主要的子協(xié)議是握手協(xié)議和記錄協(xié)議。
握手協(xié)議允許服務(wù)器和客戶端在應(yīng)用協(xié)議傳輸?shù)谝粋€數(shù)據(jù)字節(jié)以前,彼此確認(rèn),協(xié)商一種加密算法和密碼鑰匙。
在數(shù)據(jù)傳輸期間,記錄協(xié)議利用握手協(xié)議生成的密鑰加密和解密后來交換的數(shù)據(jù)。
SSL獨(dú)立于應(yīng)用,因此任何一個應(yīng)用程序都可以享受它的安全性而不必理會執(zhí)行細(xì)節(jié)。
SSL置身于網(wǎng)絡(luò)結(jié)構(gòu)體系的 傳輸層和應(yīng)用層之間。此外,SSL本身就被幾乎所有的Web瀏覽器支持。
這意味著客戶端不需要為了支持SSL連接安裝額外的軟件。這兩個特征就是SSL能應(yīng)用于×××的關(guān)鍵點(diǎn)。
典型的SSL代理應(yīng)用如Open代理,是一個比較好的開源軟件。PPTP主要為那些經(jīng)常外出移動或家庭辦公的用戶考慮;
而Open代理主要是針對企業(yè)異地兩地總分公司之間的代理不間斷按需連接,例如ERP在企業(yè)中的應(yīng)用。
Open代理允許參與建立代理的單點(diǎn)使用預(yù)設(shè)的私鑰,第三方證書,或者用戶名/密碼來進(jìn)行身份驗(yàn)證。
它大量使用了OpenSSL加密庫,以及SSLv3/TLSv1 協(xié)議。Open×××能在Linux、xBSD、Mac OS X與Windows 2000/XP上運(yùn)行。
它并不是一個基于Web的代理軟件,也不與IPsec及其他代理軟件包兼容。
隧道加密
Open代理使用OpenSSL庫加密數(shù)據(jù)與控制信息:它使用了OpesSSL的加密以及驗(yàn)證功能,意味著,它能夠使用任何OpenSSL支持的算法。
它提供了可選的數(shù)據(jù)包HMAC功能以提高連接的安全性。此外,OpenSSL的硬件加速也能提高它的性能。
驗(yàn)證
Open代理提供了多種身份驗(yàn)證方式,用以確認(rèn)參與連接雙方的身份,包括:預(yù)享私鑰,第三方證書以及用戶名/密碼組合。預(yù)享密鑰最為簡單,但同時它只能用于建立點(diǎn)對點(diǎn)的代理;基于PKI的第三方證書提供了最完善的功能,但是需要額外的精力去維護(hù)一個PKI證書體系。Open代理2.0后引入了用戶名/口令組合的身份驗(yàn)證方式,它可以省略客戶端證書,但是仍有一份服務(wù)器證書需要被用作加密。
網(wǎng)絡(luò)
Open代理所有的通信都基于一個單一的IP端口,默認(rèn)且推薦使用UDP協(xié)議通訊,同時TCP也被支持。Open代理連接能通過大多數(shù)的代理服務(wù)器,并且能夠在NAT的環(huán)境中很好地工作。服務(wù)端具有向客戶端“推送”某些網(wǎng)絡(luò)配置信息的功能,這些信息包括:IP地址、路由設(shè)置等。Open代理提供了兩種虛擬網(wǎng)絡(luò)接口:通用Tun/Tap驅(qū)動,通過它們,可以建立三層IP隧道,或者虛擬二層以太網(wǎng),后者可以傳送任何類型的二層以太網(wǎng)絡(luò)數(shù)據(jù)。傳送的數(shù)據(jù)可通過LZO算法壓縮。IANA(Internet Assigned Numbers Authority)指定給Open代理的官方端口為1194。Open代理2.0以后版本每個進(jìn)程可以同時管理數(shù)個并發(fā)的隧道。
Open代理使用通用網(wǎng)絡(luò)協(xié)議(TCP與UDP)的特點(diǎn)使它成為IPsec等協(xié)議的理想替代,尤其是在ISP(Internet service provider)過濾某些特定代理協(xié)議的情況下。在選擇協(xié)議時候,需要注意2個加密隧道之間的網(wǎng)絡(luò)狀況,如有高延遲或者丟包較多的情況下,請選擇 TCP協(xié)議作為底層協(xié)議,UDP協(xié)議由于存在無連接和重傳機(jī)制,導(dǎo)致要隧道上層的協(xié)議進(jìn)行重傳,效率非常低下。
安全
Open代理與生俱來便具備了許多安全特性:它在用戶空間運(yùn)行,無須對內(nèi)核及網(wǎng)絡(luò)協(xié)議棧作修改;
初始完畢后以chroot方式運(yùn)行,放棄root權(quán)限;使用mlockall以防止敏感數(shù)據(jù)交換到磁盤。Open代理通過PKCS#11支持硬件加密標(biāo)識,如智能卡。
五、SSTP
安全套接字隧道協(xié)議(Secure Socket Tunneling Protocol,SSTP)是一種×××隧道的形式,提供了一種通過SSL3.0通道傳輸PPP或L2TP流量的機(jī)制。
SSL利用密鑰協(xié)商提供傳輸級別的安全性。通過TCP端口443使用SSL,允許SSTP通過幾乎所有的防火墻和代理服務(wù)器,除了需要身份驗(yàn)證的Web代理。
SSTP可用于Linux、BSD和Windows。MikroTik的RouterOS還包括一個SSTP客戶端和服務(wù)器端。對于Windows,SSTP僅可用于自Windows Vista SP1之后的系統(tǒng)。
這種SSTP只適用于遠(yuǎn)程訪問,通常不支持站點(diǎn)與站點(diǎn)之間的×××隧道。RouterOS的版本有沒有這樣的限制。
聯(lián)系人:朱
電話:18570559852
QQ:813700068
工作時間 9:00-24:00