力量二:SSL VPN的两大突破
SSL VPN在今年出现了两个重大突破。首先,在去年美国微软公司宣布,成功收购了在VPN和远程安全接入产品方面具有领先优势的专业厂商Whale公司之后,微软在今年的Windows Vista系统中就推出了新的VPN协议----安全套接字隧道协议SSTP(Secure Socket Tunneling Protocol)。
据悉,新的SSTP协议以SSL为基础,它将会出现在即将到来的Windows Longhron Server Beta3以及Windows Vista SP1中。微软的安全专家表示,SSTP将会用来替代PPTP和L2TP协议,以提高VPN访问的灵活性。
其实很多企业用户在使用PPTP和L2TP协议进行VPN连接的时候,都会遇到过VPN连接不能正常工作的情况,很多时候是因为防火墙或者NAT路由器没有开放PPTP GRE或者L2TP ESP的端口。对于用户来说,这样的VPN连接体验肯定是不好的。企业用户希望的是VPN连接就像IE连接一样好用,而SSTP就是为了解决这样的问题而出现的。
据微软的工程师介绍,为了避开防火墙或者NAT对VPN连接的影响,SSTP通过HTTPS(SSL)建立VPN隧道,大部分防火墙是允许出方向的SSL访问通过的。但是SSTP并不支持站点到站点的VPN,只适合于客户端到站点的远程访问连接。
此外,作为SSTP协议的支持者,王景辉为记者描述了在一个标准的SSTP协议中,进行VPN连接的七个步骤:
第一,客户端通过Internet和服务器建立TCP连接,这个连接是通过TCP端口443进行的。假定客户端的IP地址是100.100.100.1,服务器的IP地址是200.200.200.1。
第二,当这个TCP会话开始之初,将进行SSL协商。通过SSL协商过程,客户端将获取并验证服务器的证书(如果验证失败,连接将终止)。在这个过程中,服务器并不验证客户端的身份。
第三,客户端将通过加密的SSL会话,往服务器发送HTTPS请求。
第四,通过HTTPS会话,SSTP协议将开始运作,客户端将发送SSTP控制数据包,在客户端和服务器上开启SSTP状态机,然后将在PPP层建立链路通信。
第五,在PPP会话(这个会话建立于SSTP over HTTPS之上)的初始将进行PPP验证,验证的方法取决于验证算法,一般情况下此时服务器将验证客户端的身份,而客户端对服务器的身份验证是可选的。
第六,PPP验证结束后,SSTP将在客户端和服务器通过VPN连接接口进行通信,该接口将使用“内部IP”,比如客户端为192.168.1.2,服务器为192.168.1.1。这个IP地址是在RRAS服务器上进行配置,用来访问公司的内部网络。
第七,客户端和服务器通过SSTP进行VPN通信,发送数据包。假设客户端(192.168.1.2)需要发送一个数据包到服务器(192.168.1.1),此时SSTP将提交此数据包到SSL层进行加密,然后SSL层添加新的数据包头部(源地址为100.100.100.1,目的地址为200.200.200.1),通过Internet连接接口将数据包发往服务器。
其实在很多方面,SSTP和其他VPN协议一样,都将通过在服务器上的RRAS(路由以及远程存取服务)进行配置。目前,SSTP通讯默认使用TCP 443端口。SSTP在IPv6上的信道也将被支持。
据微软透露,Vista和Longhorn都已经在系统中安装了IPv6,并默认启用。而多因素认证,比如智能卡或者SecurID令牌,也和RRAS远程存取策略一样,受到支持。而连接系统管理工具包(CMAK)则可以为SSTP VPN连接建立不同的配置文件。
而王景辉的看法是,SSTP协议集成了对NAP的支持,同时也支持IPv6。此外,SSTP使用的是单通道的HTTPS连接,相比于传统的多通道实现,有更好的网络利用率,以及更佳的负载均衡性能。不过他也认为,目前SSTP还不是一个标准,将来肯定还有一段路需要走。
SSL VPN的另一大突破,就是迎来了“点对点”(Site2Site)的时代。以SSL为基础的点对点VPN技术最早出现在今年的RSA大会上。应该说,新技术打破了长久以来只能通过IPSec才能实现的两点间安全访问的唯一方式,为企业用户提供了一个更加灵活的点对点安全接入模式,确保了“将应用延展到网络”的可能性。
Array Networks的首席技术官徐乃丁博士在接受记者采访时表示,传统的IPSec VPN一直是点对点VPN的唯一选择,但这种方法已不能满足现在商业环境下的企业需求----即如何使两个基于不同网络和IP地址规则的企业间打通一个隧道,以及如何在两点间实现基于角色和特定应用访问的安全控制,一直是IPSec VPN无法实现的缺憾。
相比之下,新的点对点SSL VPN技术为用户、主机、任意两个或者更多站点之间的网络建立独立的双向加密通道,而企业的网管则不用担心内网的安全问题。同时,网络管理员可以在一个地点实现对全局用户安全访问权限的设置与控制,不再需要为同一用户定义多个访问控制策略,同时也可以不再考虑在核心交换器、SSL VPN装置和接入层交换器上设定和维持访问控制列表(ACL)。无疑,这种技术大大提高了管理效率,节约了企业的管理成本。
