套用
1)用於政府、企事業單位總部與分支機構內部聯網(Intranet-VPN)
2)適用於商業合作夥伴之間的網路互聯(Extranet-VPN) VPN的功能。
功能
1)通過隧道(Tunnel)或虛電路(VirtualCircuit)實現網路互聯
2)支持用戶安全管理
3)能夠進行網路監控、故障診斷。
特點
1)建網快速方便用戶只需將各網路節點採用專線方式本地接入公用網路,並對網路進行相關配置即可
2)降低建網投資由於VPN是利用公用網路為基礎而建立的虛擬專網,因而可以避免建設傳統專用網路所需的高額軟硬體投資
3)節約使用成本用戶採用VPN組網,可以大大節約鏈路租用費及網路維護費用,從而減少企業的運營成本 4)網路安全可靠實現VPN主要採用國際標準的網路安全技術,通過在公用網路上建立邏輯隧道及網路層的加密,避免網路數據被修改和盜用,保證了用戶數據的安全性及完整性
5)簡化用戶對網路的維護及管理工作大量的網路管理及維護工作由公用網路服務提供商來完成
服務
1)根據用戶的需求提供VPN組網方案
設備選型
網路設計。
2)專線接入CHINANET,為用戶提供VPN公用網路基礎
DDN
FrameRelay
DSL
3)安裝調試,根據用戶的具體需求,可以選擇以下兩種配置方案:
建立IP Tunel(邏輯隧道)方式
IP Tunel (邏輯隧道)與數據加密相結合方式。
業務優勢
VPN不但是一種產品,更是一種服務。 VPN通過公眾網路建立私有數據傳輸通道,將遠程的分支辦公室、商業夥伴、移動辦公人員等連線起來。可減輕企業的遠程訪問費用負擔,節省開支,並且可提供安全的端到端的數據通訊方式。 VPN兼備了公眾網和專用網的許多特點,將公眾網可靠的性能、擴展性、豐富的功能與專用網的安全、靈活、高效結合在一起,可以為企業和服務提供商帶來以下益處:
(1) 顯著降低了用戶在網路設備的接入及線路的投資;
(2) 採用遠程訪問的公司提前支付了購買和支持整個企業遠程訪問基礎結構的全部費用;
(3) 減小用戶網路運維和人員管理的成本;
(4) 網路使用簡便,具有可管理性、可擴展性;
(5) 公司能利用無處不在的 INTERNET 通過單一網路結構為分支機構提供無縫和安全的連線;
(6) 能加強與用戶、商業夥伴和供應商的聯繫;運營商、 ISP 和企業用戶都可從中獲益。
安全防範
企業限制用戶VPN虛擬專網訪問可以幫助企業執行安全與BYOD政策,同時減少風險。
為了防止員工有更改設定的機會,關鍵一點就是要能夠預配置鎖定VPN參數。預先採取這些積極的措施能夠將網路管理員從每次追趕流氓員工以及當網路被攻破的時候加固網路中解救出來
良好屬性
不管部署哪種架構,我們有很多配置選項可用於鎖定VPN虛擬專網平台及其提供的功能。所有VPN虛擬專網部署應該具備下面這些特性:
身份驗證和訪問控制:SSL VPN使用SSL/TLS證書來對端點進行身份驗證,以創建一個加密通道,然後通常還會提供一個web界面,支持密碼或多因素方法(令牌、客戶端證書或一次性密碼或代碼)的傳統身份驗證。IPSecVPN通常預配置了網關和客戶端之間的身份驗證選項,遠程用戶可以提供用戶名和密碼、令牌代碼等來驗證身份。
驗證終端設備安全和可信度:在過去幾年,VPN產品逐漸增加了終端設備安全評估功能。很多VPN現在可以確定終端設備的作業系統、補丁修復水平、瀏覽器版本和安全設定,以及是否安裝了反惡意軟體(還有部署了什麼簽名版本)。
機密性和完整性:SSL VPN支持分組密碼和流加密算法,包括3DES、RC4、IDEA和AES等。IPSec VPN只支持分組密碼進行加密。這兩種類型的VPN都支持哈希密碼進行完整性驗證,並且都有不同的方法來檢測數據包篡改和重放攻擊—通過序列號和哈希或訊息身份驗證。
安全
取決於滲透測試期間所檢查的VPN的類型,有不同的流程可以遵循。不管使用哪種VPN類型,基本的測試步驟包括:
偵查:決定使用的VPN類型和VPN進程監聽的連線埠。這可以通過連線埠掃描工具如Nmap做到。根據不同的VPN類型,服務有時候監聽在UDP連線埠500上(IPSec),TCP連線埠1723,TCP連線埠443(SSL VPN),UDP連線埠1194(OpenVPN)或者其他非默認的連線埠上。
溢出:在成功的識別出VPN關聯哪個連線埠後,可以通過Ike掃描工具確定具體的廠商和守護進程的版本。然後檢查該廠商是否包含任何已有的CVE漏洞,可以被Metasploit框架中的已有exploit或者新寫的exploit利用。
認證:監聽傳入連線的守護進程必須正確檢查客戶遞交的口令。不要只是依賴於用戶名、密碼和使用安全證書來提高VPN服務的整體安全。應該有恰當的密碼政策確保強密碼和證書一起使用來限制暴力攻擊。