《工业控制系统信息安全技术与实践》课件 CH8-VPN技术

VPN技术目录CONTENTS1VPN原理2IPsecVPN3利用菲尼克斯的mGuard实现VPN4本章实训PART1VPN原理1.1VPN概述企业在进行远程网络连接时，通常采用以下两种方式：（1）利用专用的广域网（WAN）基础设施，如点对点租用线路（即专线）、电路交换链路（PSTN或ISDN）和分组交换链路（以太网WAN、ATM或帧中继）等，将多个远程网络进行连接。（2）利用公共的广域网（WAN）基础设施，如数字用户线路（DSL）、电缆、卫星等宽带接入技术，通过Internet进行连接，通常用于小型办公室或远程办公的员工。在使用公共的广域网（WAN）基础设施进行连接时，会带来一定的安全风险，应通过VPN保护传输的数据。1.1VPN概述1.VPN工作原理VPN网关一般采取双网卡结构，外网卡使用公有IP地址接入Internet。1.1VPN概述2.VPN的优点（1）节约成本：利用VPN，企业无需使用昂贵的专用WAN链路，就可以将远程办公室和远程用户通过经济高效的Internet安全地连接到企业内部网络。现在普遍使用的高速宽带技术（例如ADSL和有线电视宽带），使企业可以在降低连接成本的同时增加远程连接的带宽，为连接远程办公室提供经济有效的解决方案。（2）可扩展性：通过VPN和Internet，企业可以在不增加重大基础设施的情况下轻松添加新用户，进行网络扩展。（3）安全性：通过使用先进的加密和身份验证协议，VPN可以防止数据受到未经授权的访问，从而提供最高级别的安全性。1.2VPN分类1.按接入类型分类按VPN接入类型，可分为站点间VPN和远程访问VPN两种。1）站点间VPN1.2VPN分类1.按接入类型分类按VPN接入类型，可分为站点间VPN和远程访问VPN两种。2）远程访问VPN：又称拨号VPN、AccessVPN、VPDN1.2VPN分类2.按VPN隧道协议分类VPN的隧道协议主要有PPTP、L2TP和IPsec三种PPTP和L2TP协议工作在OSI模型的第二层，又称为二层隧道协议；IPsec是第三层隧道协议。1.2VPN分类3.按所用的设备类型分类网络设备提供商针对不同客户的需求，开发出不同的VPN网络设备，主要有以下两种：（1）路由器式VPN：这种VPN部署较容易，只要在路由器上添加VPN服务即可。（2）交换机式VPN：主要应用于连接用户较少的VPN网络。1.2VPN分类4.按照实现原理分类按照VPN的实现原理进行分类，可以分为以下两种：（1）重叠VPN：此VPN需要用户自己建立端节点之间的VPN链路，主要包括GRE、L2TP、IPsec等众多技术。（2）对等VPN：由网络运营商在主干网上完成VPN通道的建立，主要包括MPLS、VPN技术。1.2VPN分类5.按照VPN的实现方式分类按照VPN的实现方式进行分类，可以分为以下四种：（1）VPN服务器：在大型局域网中，可以通过在网络中心搭建VPN服务器的方法实现VPN。（2）软件VPN：可以通过专用的软件实现VPN。（3）硬件VPN：可以通过专用的硬件实现VPN。（4）集成VPN：某些硬件设备，如路由器、防火墙等，都含有VPN功能，但是一般拥有VPN功能的硬件设备通常都比没有这一功能的要贵。1.3VPN隧道技术要创建VPN连接，隧道技术（Tunneling）是关键。隧道技术是指利用一种网络协议来传输另一种网络协议，主要利用隧道协议来实现。隧道的双方必须使用相同的隧道协议才能创建隧道。目前常用的网络隧道协议有两种：一种是第2层隧道协议，用于传输二层网络协议，主要应用于构建远程访问VPN；另一种是第3层隧道协议，用于传输三层网络协议，主要应用于构建站点间VPN。1.3VPN隧道技术1.第2层隧道协议第2层隧道协议对应数据链路层，使用数据帧（Frame）作为数据交换单位。第2层隧道协议是先把各种网络协议封装到PPP（PointtoPointProtocol，点对点协议）中，再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第2层协议进行传输。PPTP（PointtoPointTunnelingProtocol，点对点隧道协议）L2TP（Layer2TunnelingProtocol，二层隧道协议）L2F（Layer2ForwardingProtocol，第二层转发协议）1.3VPN隧道技术2.第3层隧道协议第3层隧道协议对应于网络层，使用数据包（Packet）作为数据交换单位。第3层隧道协议是把各种网络协议直接装入隧道协议中，形成的数据包依靠第3层协议进行传输。第3层隧道技术通常假定所有配置问题已经完成，这些协议不对隧道进行维护。这与第2层隧道协议不同，第2层隧道协议（PPTP和L2TP）必须包括对隧道的创建、维护和终止。第3层隧道协议的主要代表是IPsec（InternetProtocolSecurity，互联网安全协议）。PART2IPsecVPN2.1IPsec概述IPSec（IPSecurity）是一种开放标准的框架结构，特定的通信方之间在IP层通过加密和数据摘要（hash）等手段，来保证数据包在Internet网上传输时的私密性(Confidentiality)、完整性(DataIntegrity)和真实性(OriginAuthentication)。1.IPsec的特征不限于任何特定的加密、验证、安全算法或密钥技术。可保护网关与网关之间、主机与主机之间或网关与主机之间的路径。工作在网络层，保护和验证参与IPsec的设备之间的IP数据包。可对第

4层到第7层的数据实施保护，可以保护任何应用流量。第

2层协议的协议可以是以太网、ATM或帧中继等。2.1IPsec概述2．IPsec的功能保密性完整性真实性反重播保护2.2IPsec的基本模块IPSec安全协议保密性完整性DH算法组可选择的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真实性2.2IPsec的基本模块IPSec安全协议保密性完整性DH算法组可选择的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真实性2.2IPsec的基本模块IPSec安全协议保密性完整性DH算法组可选择的算法IPSec框架AHDESESPMD5DH13DESSHADH2AESDH24……PSKRSA真实性2.2IPsec的基本模块ESP（EncapsulatedSecurityPayload，封装安全负载）提供身份验证提供数据完整性提供防重放保护提供数据加密两种IPSec安全协议AH（AuthenticationHeader，验证头部）提供身份验证提供数据完整性提供防重放保护不提供数据加密所有数据均为明文所有数据均已加密Internet2.3IPsec的封装模式传输模式（TransportMode）不使用新的IP头部，封装模式相对简单，传输效率较高通常用于主机与主机之间无法保护原来的IP包头IP包头有效载荷IP包头VPN头有效载荷VPN尾IP包头VPN头有效载荷VPN尾IP包头VPN头IP包头有效载荷VPN尾IP包头未被保护Internet2.3IPsec的封装模式隧道模式（TunnelMode）增加新的IP头通常用于私网与私网之间通过公网进行通信，适用于建立安全VPN隧道保护了原来的IP包头新IP头VPN头IP包头有效载荷VPN尾新IP头VPN头IP包头有效载荷IP包头被保护新IP头VPN头IP包头有效载荷VPN尾VPN尾2.3IPsec的封装模式数据IP包头数据IP包头AH头数据IP包头AH头新IP包头传输模式隧道模式数据认证/完整性数据认证/完整性AH协议对除了TTL等变化值以外的整个IP包进行认证（hash运算），以确保被修改过的数据包可以被检查出来。数据IP包头AH协议在两种封装模式下的处理过程2.3IPsec的封装模式数据IP包头数据IP包头ESP头数据IP包头ESP头新IP包头传输模式隧道模式数据认证/完整性数据认证/完整性ESP协议只是对整个内部IP包进行认证（hash运算）以确保被修改过的数据包可以被检查出来。数据IP包头ESP尾ESP验证数据加密ESP尾ESP验证数据加密ESP协议在两种封装模式下的处理过程2.4IPsecVPN身份验证真实性：数据确实是由特定的对端发出通过身份认证可以保证数据的真实性。常用的身份认证方式包括：Pre-sharedkey，预共享密钥，简称PSKX.509证书2.4IPsecVPN身份验证预共享密钥PSK预先协商密钥；人工秘密交换密钥；少数设备；直接，对称的过程服务器I/O站控制器)

)

)

(

(

(采用PSK的WPA采用PSK的VPN传输2.4IPsecVPN身份验证PSK的边界条件静态IP地址或者DynDNS；动态IP地址仅用于主动模式；在经NAT路由器连接时，PSK是不行的。2.4IPsecVPN身份验证X.509证书每个证书包含一对密钥：一个是可以向大家公开的公钥，另一个是只有自己知道的私钥。用公钥加密过的数据只有对应的私钥才能解开，反之亦然。证书由共同信任的CA发布、分发和验证。X.509证书里含有公钥、身份信息(比如网络主机名，组织的名称或个体名称等)和签名信息（可以是证书签发机构CA的签名，也可以是自签名）。X.509有证书吊销列表和证书合法性验证算法。2.4IPsecVPN身份验证如何获得证书商业证书颁发机构，如VeriSignMicrosoftCA服务器使用软件的自签名证书OpenSSL–XCA–2.4IPsecVPN身份验证两种不同的证书格式PEM格式仅包含公钥必须将其导入到所有尝试与证书所属的设备建立VPN连接的每个设备中。PKCS＃12格式包含公共密钥和对应的私钥机器证书设备的身份证明文件作为某设备的唯一机器证书，导入到特定设备中。2.5VPN安全通道协商过程当需要保护的流量流经VPN网关时，就会触发VPN网关启动IPsecVPN相关的协商过程启动IKE（InternetKeyExchange，Internet密钥交换）阶段1，对通信双方进行身份认证，并在两端之间建立一条安全的通道；启动IKE阶段2，在上述安全通道上协商IPsec参数，并按协商好的IPsec参数对数据流进行加密、Hash等保护。2.5VPN安全通道协商过程1.IKE（Internet密钥交换）IKE（Internet密钥交换）解决了在不安全的网络环境（如Internet）中安全地建立、更新或共享密钥的问题。IKE是非常通用的协议，不仅可为IPsec协商SA（安全关联，SecurityAssociation），也可以为SNMPv3、RIPv2、OSPFv2等任何要求保密的协议协商安全参数。1）IKE的作用当应用环境的规模较小时，可以用手工配置SA；当应用环境规模较大、参与的节点位置不固定时，IKE可自动为参与通信的实体协商SA，并对安全关联库（SAD）进行维护，保障通信安全。2）IKE的机制IKE是一种混合型协议，由Internet安全关联和密钥管理协议（ISAKMP）和两种密钥交换协议OAKLEY与SKEME组成。IKE创建在由ISAKMP定义的框架上，沿用了OAKLEY的密钥交换模式以及SKEME的共享和密钥更新技术，还定义了它自己的密钥交换方式。2.5VPN安全通道协商过程2.两个阶段的安全关联IKE使用了两个阶段的安全关联，这一阶段也叫ISAKMPSA密钥交换阶段，协商创建一个通信信道，并对该信道进行身份验证，为双方进一步的IKE通信提供机密性、消息完整性以及消息源验证服务；第二阶段也叫IPsec-SA数据交换阶段，使用第一阶段创建的安全通道建立IPsecSA。PART3利用菲尼克斯的mGuard实现VPN利用菲尼克斯的mGuard实现VPN菲尼克斯的安全路由器与防火墙产品mGuard有多达250个IPsec加密的VPN通道，安全装置功能全面，为可用性要求高的场合和复杂的安全架构提供较高的安全性。要实现IPsecVPN的配置，需要满足以下前提条件：（1）两个固件版本在8.6.1以上的mGuard设备。（2）每个mGuard设备都有内部和外部IP地址。（3）这两个mGuard设备之间已经实现网络连接（IP连接），可以通过Internet、WAN或LAN。（4）IPsecVPN连接两侧的防火墙需要打开UDP端口500和4500。（5）（可选）通过DynDNS，为每个mGuard设备设置主机名，例如mG和mG。这两个mGuard设备，一个作为发起方（Initiate），即客户端，另一个作为等待方（Wait），即服务器。VPN连接通常由客户端发起，而服务器则等待来自客户端的连接请求，一旦客户端发起VPN连接请求，则可以建立IPsecVPN隧道。利用菲尼克斯的mGuard实现VPN配置过程可以分为如下几个步骤（若身份验证方式是预共享密钥PSK，前两个步骤可省略）：（1）生成X.509证书和密钥（2）导入X.509机器证书（3）配置IPsecVPN连接（4）查看IPsecVPN连接状态PART4本章实训4.1实训任务分解工业现场的一台PLC需要进行远程配置，同时要保证传输的数据的安全性，此时可利用mGuard的VPN功能实现，将编写好的程序通过安全的VPN通道远程下载到PLC中。4.1实训任务分解可将此实训分解成如下几个任务：（1）按照拓扑对各个设备进行配置，实现网络的连通性；（2）为mGuard1和mGuard2生成X.509证书和密钥；（3）为mGuard1和mGuard2导入X.509证书和密钥；（4）为mGuard1和mGuard2配置IPsecVPN连接；（5）测试VPN连接；（6）在PC3上用抓包软件验证VPN连接；（7）在PC2中将PLC程序通过VPN连接远程下载到PLC中并运行。4.2实现网络连通性按照拓扑图进行网络连接，并分别对每个设备进行必要的配置，实现网络的连通性，使PC2可以与PC1及PLC进行通讯。具体实训步骤如下：步骤1按照拓扑图进行网络连接。步骤2在PC1上，打开控制面板>>网络和Internet>>网络连接，禁用无线网卡，并将以太网的IP地址设置为，子网掩码为，网关为；打开控制面板>>系统和安全，点击“启用或关闭WindowsDefender防火墙”，关闭Windows防火墙。步骤3利用PLCNextEngineer软件将PLC的IP地址设置为0，子网掩码为，网关为。4.2实现网络连通性步骤4在PC2上，打开控制面板>>网络和Internet>>网络连接，禁用无线网卡，并将以太网的IP地址设置为，子网掩码为，网关为；打开控制面板>>系统和安全，点击“启用或关闭WindowsDefender防火墙”，关闭Windows防火墙。步骤5对mGuard1进行复位操作，复位之后mGuard的NetworkMode为Router，连接到mGuard1，按照拓扑图将mGuard1的LAN口地址配置为，子网掩码为，将WAN口地址配置为，子网掩码为，DefaultGateway为，同时将mGuard1的IncomingRules和OutgoingRules防火墙规则设置为“Acceptallconnections”，在Advanced标签设置“AllowallICMPS”，允许接受所有的PING数据包。4.2实现网络连通性步骤6对mGuard2进行复位操作，复位之后mGuard的NetworkMode为Router，连接到mGuard2，按照拓扑图将mGuard2的LAN口地址配置为，子网掩码为，将WAN口地址配置为，子网掩码为，DefaultGateway为，同时将mGuard2的IncomingRules和OutgoingRules防火墙规则设置为“Acceptallconnections”，在Advanced标签设置“AllowallICMPS”，允许接受所有的PING数据包。步骤7将PC3的IP地址设置为00，子网掩码为。步骤8将交换机复位，恢复到出厂设置，并在PC3上用IPAssign软件设置交换机的管理IP地址为，子网掩码为。步骤9在PC2上输入“CMD”，打开命令提示符窗口，用PING命令验证网络的连通性。如果不能连通，则需查找错误原因，连通之后才能进行后续的步骤。4.3生成并导入X.509证书和密钥1.为mGuard1和mGuard2生成X.509证书和密钥用XCA软件分别为mGuard1和mGuard2生成X.509证书和密钥，并导出成“.p12”和“.pem”格式，具体操作步骤见上章实训。4.3生成并导入X.509证书和密钥2.为mGuard1和mGuard2导入X.509证书和密钥分别为mGuard1和mGuard2导入X.509证书和密钥4.4配置并测试IPsecVPN连接1.为mGuard1和mGuard2配置IPsecVPN连接分别为mGuard1和mGuard2配置VPN连接，将mGuard1配置为server，mGuard2配置为client，并分别导入对方的安全证书，具体步骤如下：1）在mGuard1配置IPsecVPN连接步骤1登录到mGuard1，进入IPsecVPN>>Connections，点击Seq.后面的“加号”创建一个VPN连接，点击🖊（EditRow）图标进入设置页面4.4配置并测试IPsecVPN连接步骤2在General选项卡中，确认Connectionstartup为“Wait”，即server模式，将Local设置为“/24”，即mGuard1的LAN口连接的网段，将Remote设置为“/24”，即mGuard2的LAN口连接的网段4.4配置并测试IPsecVPN连接步骤3在Authentication选项卡中，在LocalX.509certificate后选择本地证书mguard1（即前面导入机器证书使设置的Shortname），点击Remotecertificate后面的文件夹图标，导入对方（即mGuard2）的安全证书CJSYmGuard2.pem，点击“Upload”4.4配置并测试IPsecVPN连接2）在mGuard2配置IPsecVPN连接步骤1登录到mGuard2，进入IPsecVPN>>Connections，点击Seq.后面的“加号”创建一个VPN连接，点击🖊（EditRow）图标进入设置页面。步骤2在General选项卡中，设置Addressoftheremotesite’sVPNgateway为，即mGuard1的WAN口地址，将Connectionstartup设置为“Initiate”，即client模式，将Local设置为“/24”，即mGuard2的LAN口连接的网段，将Remote设置为“/24”，即mGuard1的LAN口连接的网段4.4配置并测试IPsecVPN连接步骤3在Authentication选项卡中，在LocalX.509certificate后选择本地证书mguard2（即前面导入机器证书使设置的Shortname），点击Remotecertificate后面的文件夹图标，导入对方（即mGuard1）的安全证书CJSYmGuard1.pem，点击“Upload”。步骤4在mGuard1和mGuard2上保存所做的所有的修改。4.4配置并测试IPsecVPN连接2.测试VPN连接；在PC2上输入“CMD”，打开命令提示符窗口，输入ping验证能否建立V