我们都知道,由于VPN(虚拟专用网络)传输的是私有信息,VPN用户对数据的安全性都比较关心。 目前VPN主要采用四项技术来保证安全,这四项技术分别是隧道技术(Tunneling)、加解密技术(Encryption & Decryption)、密钥管理技术(Key Management)、使用者与设备身份认证技术(Authentication)。
1.隧道技术:
隧道技术是VPN的基本技术类似于点对点连接技术,它在公用网建立一条数据通道(隧道),让数据包通过这条隧道传输。隧道是由隧道协议形成的,分为第二、三层隧道协议。第二层隧道协议是先把各种网络协议封装到PPP中,再把整个数据包装入隧道协议中。这种双层封装方法形成的数据包靠第二层协议进行传输。第二层隧道协议有L2F、PPTP、L2TP等。L2TP协议是目前IETF的标准,由IETF融合PPTP与L2F而形成。
第三层隧道协议是把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。第三层隧道协议有VTP、IPSec等。IPSec(IP Security)是由一组RFC文档组成,定义了一个系统来提供安全协议选择、安全算法,确定服务所使用密钥等服务,从而在IP层提供安全保障。
2.加解密技术:
加解密技术是数据通信中一项较成熟的技术,VPN可直接利用现有技术。
3.密钥管理技术:
密钥管理技术的主要任务是如何在公用数据网上安全地传递密钥而不被窃取。现行密钥管理技术又分为SKIP与ISAKMP/OAKLEY两种。SKIP主要是利用Diffie-Hellman的演算法则,在网络上传输密钥;在ISAKMP中,双方都有两把密钥,分别用于公用、私用。
4.使用者与设备身份认证技术:
使用者与设备身份认证技术最常用的是使用者名称与密码或卡片式认证等方式。
堵住安全漏洞
安全问题是VPN的核心问题。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的,可以保证企业员工安全地访问公司网络。
但是,如果一个企业的VPN需要扩展到远程访问时,就要注意,这些对公司网直接或始终在线的连接将会是黑客攻击的主要目标。因为,远程工作员工通过防火墙之外的个人计算机可以接触到公司预算、战略计划以及工程项目等核心内容,这就构成了公司安全防御系统中的弱点。虽然,员工可以双倍地提高工作效率,并减少在交通上所花费的时间,但同时也为黑客、竞争对手以及商业间谍提供了无数进入公司网络核心的机会。
但是,企业并没有对远距离工作的安全性予以足够的重视。大多数公司认为,公司网络处于一道网络防火墙之后是安全的,员工可以拨号进入系统,而防火墙会将一切非法请求拒之其外;还有一些网络管理员认为,为网络建立防火墙并为员工提供VPN,使他们可以通过一个加密的隧道拨号进入公司网络就是安全的。这些看法都是不对的。
在家办公是不错,但从安全的观点来看,它是一种极大的威胁,因为,公司使用的大多数安全软件并没有为家用计算机提供保护。一些员工所做的仅仅是进入一台家用计算机,跟随它通过一条授权的连接进入公司网络系统。虽然,公司的防火墙可以将侵入者隔离在外,并保证主要办公室和家庭办公室之间VPN的信息安全。但问题在于,侵入者可以通过一个被信任的用户进入网络。因此,加密的隧道是安全的,连接也是正确的,但这并不意味着家庭计算机是安全的。
黑客为了侵入员工的家用计算机,需要探测IP地址。有统计表明,使用拨号连接的IP地址几乎每天都受到黑客的扫描。因此,如果在家办公人员具有一条诸如DSL的不间断连接链路(通常这种连接具有一个固定的IP地址),会使黑客的入侵更为容易。因为,拨号连接在每次接入时都被分配不同的IP地址,虽然它也能被侵入,但相对要困难一些。一旦黑客侵入了家庭计算机,他便能够远程运行员工的VPN客户端软件。因此,必须有相应的解决方案堵住远程访问VPN的安全漏洞,使员工与网络的连接既能充分体现VPN的优点,又不会成为安全的威胁。在个人计算机上安装个人防火墙是极为有效的解决方法,它可以使非法侵入者不能进入公司网络。
当然,还有一些提供给远程工作人员的实际解决方法:
* 所有远程工作人员必须被批准使用VPN;
* 所有远程工作人员需要有个人防火墙,它不仅防止计算机被侵入,还能记录连接被扫描了多少次;
* 所有的远程工作人员应具有入侵检测系统,提供对黑客攻击信息的记录;
* 监控安装在远端系统中的软件,并将其限制只能在工作中使用;
* IT人员需要对这些系统进行与办公室系统同样的定期性预定检查;
* 外出工作人员应对敏感文件进行加密;
* 安装要求输入密码的访问控制程序,如果输入密码错误,则通过Modem向系统管理员发出警报;
* 当选择DSL供应商时,应选择能够提供安全防护功能的供应商。
现在最为流行的SSL VPN是怎么样的呢?
IPSEC VPN的安全性建立在隧道技术的基础上。隧道间传送密文,在两端是明文。
SSL VPN 的安全性主要建立在SSL协议的基础上,利用PKI的证书体系完成秘密传输。
SSL具备很强的灵活性,因而广受欢迎,如今几乎所有浏览器都内建有SSL功能。它正成为企业应用、无线接入设备、Web服务以及安全接入管理的关键协议。
SSL高效实现认证加密
SSL协议层包含两类子协议——SSL握手协议和SSL记录协议。它们共同为应用访问连接(主要是HTTP连接)提供认证、加密和防篡改功能。SSL能在TCP/IP和应用层间无缝实现Internet协议栈处理,而不对其他协议层产生任何影响。SSL的这种无缝嵌入功能还可运用类似Internet应用,如Intranet和Extranet接入、应用程序安全访问、无线应用以及Web服务。
SSL能基于Internet实现安全数据通信:数据在从浏览器发出时进行加密,到达数据中心后解密;同样地,数据在传回客户端时也进行加密,再在Internet中传输。它工作于高层,SSL会话由两部分组成:连接和应用会话。在连接阶段,客户端与服务器交换证书并协议安全参数,如果客户端接受了服务器证书,便生成主密钥,并对所有后续通信进行加密。在应用会话阶段,客户端与服务器间安全传输各类信息,如认证卡号、股票交易数据、个人健康状况这类敏感或机密数据。
SSL安全功能组件包括三部分:认证,在连接两端对服务器或同时对服务器和客户端进行验证;加密,对通信进行加密,只有经过加密的双方才能交换信息并相互识别;完整性检验,进行信息内容检测,防止被篡改。保证通信进程安全的一个关键步骤是对通信双方进行认证,SSL握手子协议负责这一进程处理:客户端向服务器提交有效证书,服务器采用公共密钥算法对证书信息进行检验,以确认终端用户的合法性。
在发展初期,很多采纳SSL的传统网络应用,如电子商务并不具备客户端认证功能。这类功能在SSL协议之外,通过一些组合信息,如姓名/认证卡号结合或其他客户端提供的数据(如口令)来实现的。如今很多企业在数据中心采纳SSL,主要是针对新型应用实现客户端认证功能。SSL VPN即是应终端用户附加认证而设。客户端认证能让服务器在协议功能范围内确认用户身份,同时客户端也可运用同样技术对服务器进行认证。
SSL VPN控制功能强大
相对于传统的IPSec VPN,SSL能让公司实现更多远程用户在不同地点接入,实现更多网络资源访问,且对客户端设备要求低,因而降低了配置和运行支撑成本。很多企业用户采纳SSL VPN作为远程安全接入技术,主要看重的是其接入控制功能。
SSL VPN提供增强的远程安全接入功能。IPSec VPN通过在两站点间创建隧道提供直接(非代理方式)接入,实现对整个网络的透明访问;一旦隧道创建,用户PC就如同物理地处于企业LAN中。这带来很多安全风险,尤其是在接入用户权限过大的情况下。SSL VPN提供安全、可代理连接,只有经认证的用户才能对资源进行访问,这就安全多了。SSL VPN能对加密隧道进行细分,从而使得终端用户能够同时接入Internet和访问内部企业网资源,也就是说它具备可控功能。另外,SSL VPN还能细化接入控制功能,易于将不同访问权限赋予不同用户,实现伸缩性访问;这种精确的接入控制功能对远程接入IPSec VPN来说几乎是不可能实现的。
SSL VPN基本上不受接入位置限制,可以从众多Internet接入设备、任何远程位置访问网络资源。SSL VPN通信基于标准TCP/UDP协议传输,因而能遍历所有NAT设备、基于代理的防火墙和状态检测防火墙。这使得用户能够从任何地方接入,无论是处于其他公司网络中基于代理的防火墙之后,或是宽带连接中。IPSec VPN在稍复杂的网络结构中难于实现,因为它很难实现防火墙和NAT遍历,无力解决IP地址冲突。另外,SSL VPN能实现从可管理企业设备或非管理设备接入,如家用PC或公共Internet接入场所,而IPSec VPN客户端只能从可管理或固定设备接入。随着远程接入需求的不断增长,远程接入IPSec VPN在访问控制方面受到极大挑战,而且管理和运行支撑成本较高,它是实现点对点连接的最佳解决方案,但要实现任意位置的远程安全接入,SSL VPN要理想得多。
应用优势
SSL VPN不需要复杂的客户端支撑,这就易于安装和配置,明显降低成本。IPSec VPN需要在远程终端用户一方安装特定设备,以建立安全隧道,而且很多情况下在外部(或非企业控制)设备中建立隧道相当困难。另外,这类复杂的客户端难于升级,对新用户来说面临的麻烦可能更多,如系统运行支撑问题、时间开销问题、管理问题等。IPSec解决方案初始成本较低,但运行支撑成本高。如今,已有SSL开发商能提供网络层支持,进行网络应用访问,就如同远程机器处于LAN中一样;同时提供应用层接入,进行Web应用和许多客户端/服务器应用访问.
本文列出了在使用 Windows 2000、Windows XP 或 Windows Server 2003 作为客户机,建立拨号连接或 VPN 连接时可能收到的错误代码。
VPN 连接的错误代码:
600
某操作处于挂起状态。
601
端口句柄无效。
602
端口已打开。
603
呼叫方缓冲区太小。
604
指定了错误的信息。
605
无法设置端口信息。
606
无法连接端口。
607
事件无效。
608
设备不存在。
609
设备类型不存在。
610
缓冲区无效。
611
路由不可用。
612
没有分配路由。
613
指定了无效的压缩。
614
缓冲区溢出。
615
找不到端口。
616
某异步请求处于挂起状态。
617
端口或设备已断开连接。
618
端口尚未打开。
619
端口已断开连接。
620
没有终结点。
621
无法打开电话簿文件。
622
无法加载电话簿文件。
623
找不到电话簿条目。
624
无法写入电话簿文件。
625
在电话簿中发现无效信息。
626
无法加载字符串。
627
找不到密钥。
628
端口已断开连接。
629
端口已由远程机器断开连接。
630
端口由于硬件故障已断开连接。
631
端口已由用户断开连接。
632
结构大小不正确。
633
端口已被使用或不是为远程访问拨出配置的。
634
无法在远程网络上注册您的计算机。
635
未知错误。
636
端口连接了错误的设备。
637
无法转换字符串。
638
请求已超时。
639
没有可用的异步网络。
640
出现 NetBIOS 错误。
641
服务器无法分配需要用来支持客户端的 NetBIOS 资源。
642
您的一个 NetBIOS 名称已在远程网络上注册。
643
服务器上的网卡失败。
644
您将无法接收弹出的网络信息。
645
内部身份验证错误。
646
不允许本帐户在此时间登录。
647
帐户已禁用。
648
密码已过期。
649
帐户没有远程访问权限。
650
远程访问服务器没有响应。
651
您的调制解调器(或其它连接设备)报告了一个错误。
652
无法识别来自该设备的响应。
653
在设备 .INF 文件段中找不到设备所需的宏。
654
在设备 .INF 文件段中的命令或响应引用了未定义的宏
655
在设备 .INF 文件段中找不到 宏。
656
在设备 .INF 文件段的 宏中包含未定义的宏
657
无法打开设备 .INF 文件。
658
设备 .INF 或媒体 .INI 文件中的设备名太长。
659
媒体 .INI 文件引用了未知设备名。
660
设备 .INF 文件中不包含任何命令的响应。
661
设备 .INF 文件中缺少一个命令。
662
试图设置设备 .INF 文件段中未列出的宏。
663
媒体 .INI 文件引用了未知设备类型。
664
无法分配内存。
665
端口不是为远程访问配置的。
666
您的调制解调器(或其它连接设备)不起作用。
667
无法读取媒体 .INI 文件。
668
连接已断开。
669
媒体 .INI 文件中的参数用法无效。
670
无法从媒体 .INI 文件中读取段名。
671
无法从媒体 .INI 文件中读取设备类型。
672
无法从媒体 .INI 文件中读取设备名。
673
无法从媒体 .INI 文件中读取用法。
674
无法从媒体 .INI 文件中读取最大连接 BPS 频率。
675
无法从媒体 .INI 文件中读取最大波载 BPS 频率。
676
线路忙。
677
是某人而不是调制解调器应答。
678
没有应答。
679
无法检测载波。
680
没有拨号音。
681
设备报告了常见错误。
682
写入 SECTIONNAME 时出错
683
写入 DEVICETYPE 时出错
684
写入 DEVICENAME 时出错
685
写入 MAXCONNECTBPS 时出错
686
写入 MAXCARRIERBPS 时出错
687
写入用法时出错
688
写入 DEFAULTOFF 时出错
689
读取 DEFAULTOFF 时出错
690
清空 INI 文件时出错
691
由于域上的用户名和/或密码无效而拒绝访问。
692
端口或连接的设备硬件故障。
693
错误,不是二进制宏
694
错误,找不到 DCB
695
错误,状态机器没有开始
696
错误,状态机器已经开始
697
错误,响应环不完整
698
设备 .INF 文件中的响应键名不符合所需格式。
699
设备响应导致缓冲区溢出。
700
设备 .INF 文件中的扩展命令太长。
701
设备采用了 COM 驱动程序不支持的 BPS 频率。
702
意外地收到了设备响应。
703
错误的交互模式
704
错误,回拨号码不对
705
错误,无效的身份验证状态
706
写入 INITBPS 时出错
707
X.25 诊断指示。
708
帐户已过期。
709
在域上更改密码时出错。
710
与您的调制解调器通信时检测到序列溢出错误。
711
RasMan 初始化失败。检查事件日志。
712
双向传输端口正在初始化。请等待几秒钟再重拨号。
713
没有活动的 ISDN 线路可用。
714
没有足够的 ISDN 通道可用于实现此调用。
715
电话线质量太差,发生太多错误。
716
远程访问 IP 配置无法使用。
717
静态远程访问 IP 地址池中无可用的 IP 地址。
718
PPP 超时。
719
PPP 已由远程机器终止。
720
未配置 PPP 控制协议。
721
远程 PPP 对等机不响应。
722
PPP 数据包无效。
723
包括前缀和后缀的电话号码太长。
724
IPX 协议无法在此端口拨出,因为此计算机是 IPX 路由器。
725
IPX 协议无法在此端口拨入,因为未安装 IPX 路由器。
726
IPX 协议不能同时在一个以上的端口上用于拨出。
727
无法访问 TCPCFG.DLL。
728
找不到与远程访问绑定的 IP 适配器。
729
除非安装 IP 协议,否则无法使用 SLIP。730
计算机注册未完成。
731
没有配置协议。
732
PPP 协商尚未聚合。
733
针对此网络协议的 PPP 控制协议在此服务器上不可用。
734
PPP 链接控制协议已终止。
735
服务器拒绝接受请求地址。
736
远程计算机终止了控制协议。
737
检测到环回。
738
服务器没有指派地址。
739
远程服务器无法使用由 Windows NT 加密的密码。
740
为远程访问配置的 TAPI 设备未能初始化,或未得到正确的安装。
741
本地计算机不支持加密。
742
远程服务器不支持加密。
743
远程服务器要求加密。
744
无法使用由远程服务器指派(原为分配)的 IPX 网络号。检查事件日志。
745
ERROR_INVALID_SMM
746
ERROR_SMM_UNINITIALIZED
747
ERROR_NO_MAC_FOR_PORT
748
ERROR_SMM_TIMEOUT
749
ERROR_BAD_PHONE_NUMBER
750
ERROR_WRONG_MODULE
751
回拨号码包含一个无效字符。号码中只允许有下列 18 个字符:0 到 9、T、P、W、(, )、-、@ 和空格
752
执行脚本时遇到语法错误。
753
无法中断连接,因为它是由多协议路由器创建的。
754
系统无法找到多重链接绑定。
755
因为这个项目已有一个自定义的拨号程序,因此系统不能做自动拨号。
756
已经拨了这个连接。
757
无法自动开始远程访问服务。详细情况请检查事件日志。
758
Internet 连接共享已经在连接上启用。
759
在更改现存的 Internet 连接共享设置时,出现了一个错误。
760
路由能力被启用时,出现了一个错误。
761
为连接启用 Internet 连接共享时,出现了一个错误。
762
为共享配置局域网时,出现了一个错误。
763
无法启用 Internet 连接共享。除了共享的连接外,还有一个以上 LAN 连接。
764
没有安装智能卡读取器。
765
无法启用 Internet 连接共享。一个已经用 IP 地址配置的 LAN 连接需要自动 IP 地址。
766
找不到证书。使用通过 IPSec 的 L2TP 协议的连接要求安装一个机器证书,它也叫作计算机证书。
767
无法启用 Internet 连接共享。所选的作为专用网络的 LAN 连接有不止一个配置的 IP 地址。在启用 Internet 连接共享之前,请用一个单一的 IP 地址重新配置 LAN 连接。
768
因为加密数据失败连接尝试失败。
769
无法连接到指定目标。
770
远程计算机拒绝连接尝试。
771
由于网络忙连接尝试失败。
772
远程计算机的网络硬件与呼叫请求的种类不兼容。
773
由于目的号码更改,连接尝试失败。
774
由于临时失败,连接尝试失败。请重新连接。
775
远程计算机的呼叫被阻。
776
由于远程计算机启用了“不要打扰”功能,调用不能连接。
777
由于远程计算机上的调制解调器(或其它连接设备)出现故障,连接尝试失败。
778
不能验证服务器的身份。
779
如果用这个连接拨出,您必须使用智能卡。
780
尝试的功能在这个连接上无效。
781
连接需要证书,但是没有找到有效的证书。需要更多协助,请单击“详细信息”,或在帮助和支持中心查找此错误号。
782
不能启用 Internet 连接共享 (ICS) 和 Internet 连接防火墙 (ICF),因为在此计算机上启用了路由和远程访问。要启用 ICS 或 ICF,首先要禁用路由和远程访问。有关路由和远程访问,ICS 或 ICF 的更多信息,请参阅帮助和支持。
783
无法启用 Internet 连接共享。选择的作为专用网络的 LAN 连接不存在,或者没有与网络连接。请在启用 Internet 连接共享之前确认 LAN 网卡已连接。
784
您在登录时不能用此连接拨号,因为它被配置为使用一个与智能卡上的名称不同的用户名。如果您想在登录时使用它,必须将其配置为使用智能卡上的用户名。
785
您在登录时不能用此连接拨号,因为它没有配置为使用智能卡。如果您想在登录时使用它,必须编辑此连接的属性使其使用智能卡。
786
L2TP 连接尝试失败,因为在您的计算机上没有有效的机器证书以进行安全身份验证。
787
L2TP 连接尝试失败,因为安全层不能身份验证远程计算机。
788
L2TP 连接尝试失败,因为安全层不能与远程计算机协商兼容的参数。
789
L2TP 连接尝试失败,因为安全层在初始化与远程计算机的协商时遇到一个处理错误。
790
L2TP 连接尝试失败,因为在远程计算机上的证书确认失败。
791
L2TP 连接尝试失败,因为没有找到此连接的安全策略。
792
L2TP 连接尝试失败,因为安全协商超时。
793
L2TP 连接尝试失败,因为在协商安全时发生一个错误。
794
此用户的帧协议 RADIUS 属性不是 PPP。
795
此用户的隧道类型 RADIUS 属性不正确。
796
此用户的服务类型 RADIUS 属性既不是帧也不是回拨帧。
797
不能建立到远程计算机的连接,因为没有找到调制解调器,或者调制解调器忙。需要更多协助,请单击“详细信息”,或在帮助和支持中心查找此错误号。
798
没有找到一个可以用于可扩展的身份验证协议的证书。
799
由于网络上发生 IP 地址冲突,因此不能启用 Internet 连接共享访问 (ICS)。ICS 要求主机被配置为用 192.168.0.1。请确认网络上没有其它客户端被配置为用 192.168.0.1。
800
不能建立 VPN 连接。VPN 服务器可能不能到达,或者此连接的安全参数没有正确配置。
801
此连接被配置成验证访问服务器的身份,但是 Windows 不能证实服务器发送的数字证书。
802
无法识别所提供的卡。请检查卡是否正确插入,是否插接紧密。
803
保存在会话 cookie 中的 PEAP 配置和当前的会话配置不匹配。
804
保存在会话 cookie 中的 PEAP 标识和当前标识不匹配。
805
您不能在登录时使用此连接拨号,因为它被配置成使用登录后的用户身份证。
900
路由器未运行。
901
接口已连接。
902
路由器不认得指定的协议标识符。
903
请求拨号接口管理器未运行。
904
此名称的接口已经与路由器一起注册了。
905
此名称的接口未与路由器一起注册。
906
接口未连接。
907
指定的协议正停止。
908
接口已连接所以不能删除。
909
接口凭据未设置。
910
此接口已经在连接过程中。
911
已经在进行这个接口上的路由选择信息更新。
912
接口配置无效。已有另一接口与远程路由器上的同一接口相连。
913
一个远程访问客户端试着通过只保留给路由器的端口进行连接。
914
一个请求拨号路由器试着通过只保留给远程访问客户端的端口进行连接。
915
具有此名称的客户端接口已经存在,而且已连接。
916
接口处于停用状态。
917
身份验证协议被远程对等机拒绝。
918
没有可用的身份验证协议。
919
远程计算机拒绝使用配置好的身份验证协议被进行身份验证。线路已断开。
920
远程帐户没有远程访问权限。
921
远程帐户已过期。
922
远程帐户已停用。
923
在一天中的这个时段中不允许远程帐户登录。
924
对远程对等机器的访问被拒绝,因为在域上的用户名和/或密码不正确。
925
没有路由选择许可的端口可让这个请求拨号接口使用。
926
端口已经中断连接,因为它处于非活动状态。
927
此时无法到达接口。
928
请求拨号服务处于暂停状态。
929
接口已经被系统管理员切断。
930
身份验证服务器未及时响应身份验证请求。
931
已经达到多重链接的连接可使用的最多端口数。
932
已经达到用户的连接时间限制。
933
已经达到支持的 LAN 接口的最大数目。
934
已经达到支持的请求拨号接口的最大数目。
935
已经达到支持的远程访问客户端的最大数目。
936
由于 BAP 策略,端口已经被断开。
937
因为此类型的另一个连接正在使用,传入的连接不能接受您的连接请求。
938
网络上没有找到 RADIUS 服务器。
939
从 RADIUS 身份验证服务器收到一无效的响应。请确保 RADIUS 服务器的区分大小写的机密密码设置正确。
940
此时您没有连接的权限。
941
您没有使用当前设备类型连接的权限。
942
您没有使用所选身份验证协议连接的权限。
943
此用户需要 BAP。
944
此时不允许接口连接。
945
保存的路由器配置与当前路由器不兼容。
946
RemoteAccess 检测到旧版的格式用户帐户不会被自动迁移。要手动迁移这些,运行 XXXX。
948
传输已经用路由器安装。
949
从 RADIUS 服务器的数据库里收到无效的签字长度。
950
从 RADIUS 服务器的数据包里收到无效的签字。
951
没从 RADIUS 服务器跟 EAPMessage 一起收到签字。
952
从 RADIUS 服务器收到带有无效长度或 ID 的数据包。
953
从 RADIUS 服务器收到带有无效长度的属性的数据包。
954
从 RADIUS 服务器收到无效的数据包。
955
身份验证器在来自 RADIUS 服务器的数据包里不相符。
