Monthly Archives: 九月 2015

IPSec VPN 与SSL VPN简介

Posted on 2015/09/07 by 王 淑娟

VPN(Virtual Private Network)虚拟专用网,指在公共网络(如Internet)上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司,尤其跨越国家的公司,可以通过VPN接入总部网络。VPN利用了现有的公共网络资源,从而节省了公司租用运营商跨省、跨海专线的费用。分支机构网络通过VPN接入总部后,就好比与总部网络接入同一个局域网,可访问总部网络能访问的各项资源。另外,为保证数据不在网络(尤其是公共网络)上被窃取,通过VPN技术实现数据加密传送。需要澄清的一点是,VPN技术有多种,并非所有的VPN标准均具有高安全性。

主流开源VPN技术:

IPSec VPN

IPSec (IP SECURITY)是为实现VPN 功能而最普遍使用的协议。通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。IPSec 不是一个单独的协议,它给出了应用于IP 层上网络数据安全的一整套体系结构。该体系结构包括认证头协议(Authentication Header,简称为AH)、封装安全负载协议(EncapsulatingSecurity Payload,简称为ESP)、密钥管理协议(Internet Key Exchange,简称为IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等体之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。

在具体的使用中,Linux实现使用IPSec的软件是:Free S/WAN http://www.freeswan.org/ 。FreeS/WAN不支持NAT(Network Address Translation,网络地址翻译)和IP地址伪装用于加密通道通信。

SSL VPN

IPSec VPN和SSL VPN是两种不同的VPN架构,IPSec VPN是工作在网络层的,提供所有在网络层上的数据保护和透明的安全通信,而SSL VPN是工作在应用层(基于HTTP协议)和TCP层之间的,从整体的安全等级来看,两者都能够提供安全的远程接入。但是,IPSec VPN技术是被设计用于连接和保护在信任网络中的数据流,因此更适合为不同的网络提供通信安全保障,而SSL VPN则更适合应用于远程分散移动用户的安全接入。

一般说来,SSL VPN相对于后者部署和实施成本低。在设计上,IPSec VPN是一种基础设施性质的安全技术。这类VPN的真正价值在于,它们尽量提高IP环境的安全性。可问题在于,部署IPSec需要对基础设施进行重大改造,以便远程访问。好处就摆在那里,但管理成本很高。IPSec安全协议方案需要大量的IT技术支持,包括在运行和长期维护两个方面。在大的企业通常有几个专门的员工为通过IPSec安全协议进行的VPN远程访问提供服务。IPSec VPN最大的难点在于客户端需要安装复杂的软件,而且当用户的VPN策略稍微有所改变时,VPN的管理难度将呈几何级数增长。SSL VPN则正好相反,客户端不需要安装任何软件或硬件,使用标准的浏览器,就可通过简单的SSL安全加密协议,安全地访问网络中的信息。SSL VPN避开了部署及管理必要客户软件的复杂性和人力需求;SSL在Web的易用性和安全性方面架起了一座桥梁,目前对SSL VPN公认的好处是:

简单。它不需要配置,可以立即安装、立即生效。客户端不需要麻烦的安装,直接利用浏览器中内嵌的SSL协议就行;

兼容性。传统的IPSec VPN对客户端采用的操作系统版本具有很高的要求,不同的终端操作系统需要不同的客户端软件,而SSL VPN则完全没有这样的麻烦。

因此,SSL VPN强调的优势其实主要集中在VPN客户端的部署和管理上,我们知道SSL VPN一再强调无需安装客户端,主要是由于浏览器内嵌了SSL协议,也就是说是基于B/S结构的业务时,可以直接使用浏览器完成SSL的VPN建立。

OpenVPN 是一个基于 OpenSSL 库的应用层 VPN 实现。OpenVPN的优点是支持多种常用应用系统。目前版本支持Linux。 Windows 2000/XP and higher。 OpenBSD。 FreeBSD。 NetBSD。 Mac OS X。 and Solaris。支持多种客户端连接模式。可以通过GUI 便捷的操作OpenVPN 工作在OSI layer 2 或 3 使用标准的 SSL/TLS 协议。 可以通过certificates 或smart cards 认证。加密强度较高,不易在传输通路上被人劫持破解信息资讯。OpenVPN的缺点是使用SSL应用层加密,传输效率要低于IPSec传输的VPN软件
摘自
http://network.51cto.com/art/201209/357940.htm Continue reading

Posted in Windows | Leave a comment

家用路由器被爆安全漏洞 1200万设备面临风险

Posted on 2015/09/06 by 朱 峰

Check Point公司发现了一个普遍存在的家用路由器安全漏洞,被称为Misfortune Cookie,该漏洞可能允许攻击者获取对数百万设备的控制权。 Continue reading

Posted in 网络安全, 计算机网络 | Tagged , , | Leave a comment

【转载】[原创]DIY install livecd 解决 gentoo 无法在 LSI 1068E SAS RAID 安装的问题

Posted on 2015/09/05 by 李 伟斌

原文地址:http://www.linuxsir.org/bbs/thread364385.html 1. 事情起因 事情缘起于我的一个客户,这个客户由于项目需要,购买了一台组装的2U服务器。确认服务器的配置的过程中,我也给了客户一些参考的建议,没想到这成为了麻烦的源头。 服务器的配置简单如下:处理器:INTEL XEON 5520@2.26GHZ *2(一共8核16线程);内存:KINGSTON DDR3/1333 ECC REG 4GB*2(一共8GB);硬盘:SEAGATE SAS 10Krpm 300GB*2(做RAID1);主板:SUPERMICRO X8DTL-3(LSI 1068E RAID Controler onboard & 8*SAS ports)。机箱电源:千际2U+七盟550W/2U 问题就出在这个主板的LSI 1068E SAS RAID控制器上了,本来我自信满满,认为自己见多识广,做过的RAID已经很多,原没把这个RAID控制器放在心上,没想到就是这个1068E让我重新意识到自己还有多无知。 拿到机器之后,我当然还是安装自己最喜欢的gentoo。先是拿自己PNY 8G U盘插上(我在U盘上量产了一个逻辑USB CDROM,里面是gentoo amd64 mini install cd),按下电源开关,Ctrl+M进入RAID BIOS配置,轻松搞定RAID1配置(LSI RAID配置网上很多文章,有兴趣的可以找来看),重启,然后……认不出我的U盘…… 这等小事自然难不住我,拿出我的USB CDROM,放入真正的mini install … Continue reading

Posted in Linux, 操作系统 | Tagged , , , , | Leave a comment