如何识别VPN网络
创始人
2024-05-09 10:00:46
0

当网络管理员开始配置基于IPSec的VPN时,需要密切关注IPSec标准中的身份验证,以便能够支持远程的接入。在三种支持IPSec的IKE(Internet Key Exchange)规范验证类型中,只有基于数字鉴定的验证能够支持远程用户的安全接入,而数字鉴定需要企业网支持公共密钥架构(PKI,Public Key Infrastructure)。

实际上,能在其企业的IT基础设施内部拥有完整的PKI和数字鉴定的组织很少。但是,企业网络拥有大量已安装的用户验证系统,它们是以其他一些技术为基础的,如RSA的SecurID卡,或者是通过RADIUS服务器访问的用户/密码数据库。实际上,可以利用这些认证机制实现IPsec。

CRACK用不对称认证

适当改变IPSec的目的是使远程接入的用户更容易使用基于IPsec的产品,这种改变最困难的领域在于终端用户的验证。在XAUTH(eXtended Authentication)、混合验证(Hybrid Authentication)和CRACK(Challenge/Response Authentication of Cryptographic Key)这三个验证系统中,CRACK是最新的,它允许不对称形式的验证。

通过CRACK协议对IKE添加一个新的验证方法,保留了IKE原有的安全性能。这是存在于CRACK和XAUTH和混合验证之间的主要差异。CRACK的一个重要目标是不必为可用性而牺牲安全性。

CRACK验证

将对称的VPN验证方法改为不对称的验证方法的实现方法是,将PKI用于VPN服务器,而将传统认证方法(LAM )用于VPN客户,这是CRACK的主要属性。

CRACK认证过程

当VPN服务器和终端用户开始其验证对话时,用户表明他需要使用CRACK,如果VPN服务器支持CRACK,它就会通过出示其数字鉴定的验证来做出响应。这种对话提供了VPN服务器到终端用户的明确验证。

许多VPN厂商在他们的产品中提供了“微型PKI”,它能为服务器发放鉴定,或者能够使用Windows 2000 Server的简单PKI产品。

一旦服务器对用户进行了验证,那么对服务器进行验证就是用户的责任了。在CRACK体系中,用户对服务器的鉴定采用LAM。CRACK可支持任何LAM,包括简单的用户名/密码对、询问/响应标记、时间标记,如SecurID等。CRACK允许终端用户和VPN服务器之间任意长的对话,这一点能够支持一些重要的特征,例如,改变标记卡上的个人识别码等。

只有当用户进行了完全的鉴定之后,才产生了IKE的安全联合,然后,建立了VPN隧道。

CRACK可以使远程接入的用户能够使用LAM,它是第一个能够保持IKE互验性能的提案。在远程接入VPN时,与传统的IPSec VPN相比,网络管理员对CRACK具有同样的信心。

【编辑推荐】

  1. 一样的VPN但不一样的安全防护
  2. ERP远程安全接入得益于SSL VPN

相关内容

热门资讯

如何允许远程连接到MySQL数... [[277004]]【51CTO.com快译】默认情况下,MySQL服务器仅侦听来自localhos...
如何利用交换机和端口设置来管理... 在网络管理中,总是有些人让管理员头疼。下面我们就将介绍一下一个网管员利用交换机以及端口设置等来进行D...
施耐德电气数据中心整体解决方案... 近日,全球能效管理专家施耐德电气正式启动大型体验活动“能效中国行——2012卡车巡展”,作为该活动的...
20个非常棒的扁平设计免费资源 Apple设备的平面图标PSD免费平板UI 平板UI套件24平图标Freen平板UI套件PSD径向平...
德国电信门户网站可实时显示全球... 德国电信周三推出一个门户网站,直观地实时提供其安装在全球各地的传感器网络检测到的网络攻击状况。该网站...
为啥国人偏爱 Mybatis,... 关于 SQL 和 ORM 的争论,永远都不会终止,我也一直在思考这个问题。昨天又跟群里的小伙伴进行...
《非诚勿扰》红人闫凤娇被曝厕所... 【51CTO.com 综合消息360安全专家提醒说,“闫凤娇”、“非诚勿扰”已经被黑客盯上成为了“木...
2012年第四季度互联网状况报... [[71653]]  北京时间4月25日消息,据国外媒体报道,全球知名的云平台公司Akamai Te...