IPsec与SSL VPN技术对比:架构、安全与应用场景深度解析

本文深入对比IPsec与SSL VPN的技术差异,涵盖协议层工作原理、加密方式、安全强度及适用场景。IPsec提供网络层加密支持全协议访问,SSL VPN专注于应用层安全控制,两者在零信任架构下各有优势,企业需根据安全需求选择或组合部署。

IPsec vs. SSL VPNs: 差异解析

新技术占据头条,但VPN不会很快消失。在确定使用何种VPN类型时,速度和安全性是需要考虑的因素。

概述

为个人和站点提供对内部资源的安全远程访问是所有规模组织的优先事项。在COVID-19大流行之前,VPN是首选技术。此后,零信任网络访问、安全服务边缘和其他相关技术占据了远程访问的焦点,但VPN并未消失。事实上,VPN也支撑了一些较新的产品。这意味着何时部署IPsec与SSL VPN更好的问题仍然存在。

虽然两者都提供企业级安全并启用安全通信,但它们以不同方式实现——即在不同网络层执行加密和身份验证。这些差异直接影响应用和安全服务,应帮助组织做出部署决策。

简而言之,IPsec VPN保护在远程主机和位于私有网络边缘的IPsec网关之间交换的IP数据包。SSL VPN保护从远程用户到网关的应用流量流。换句话说,IPsec VPN将主机或网络连接到企业网络,而SSL VPN将最终用户的应用会话连接到受保护网络内的服务。

让我们深入看看IPsec与SSL VPN。

什么是IPsec及其工作原理?

互联网协议安全(IPsec)是一套协议和算法,用于保护通过互联网和公共网络传输的数据。它是保护IP网络流量的官方架构。

IPsec通过指定IP主机可以在OSI网络的第3层(网络层)加密和验证发送的数据的方式工作。

在VPN中,IPsec隧道加密在端点之间发送的所有网络流量,使远程用户的系统(VPN客户端)能够与VPN服务器后面的系统通信。

什么是SSL及其工作原理?

安全套接字层(SSL)是一种网络协议,用于加密在Web服务器和客户端之间传输的数据。SSL在2015年被弃用,并被传输层安全(TLS)取代。大多数现代网站和其他应用使用TLS,不支持SSL。

TLS在OSI模型的第4-7层运行。客户端和服务器之间的每个应用和通信流必须建立自己的TLS会话以进行加密和身份验证。

在VPN中,TLS加密在进程之间发送的网络数据流。注意,尽管SSL在技术上已过时,但SSL VPN——而不是TLS VPN或SSL/TLS VPN——仍然是首选术语。

什么是VPN?

虚拟专用网络(VPN)是虚拟的,因为它在一个不太安全的网络之上覆盖了一个更安全的网络。它通过加密流量和执行自己的访问控制来实现。VPN使组织能够定制如何保护其通信,当底层网络基础设施 alone 无法做到时。

使用VPN而不是具有内置安全性的实际专用网络的理由通常围绕可行性和成本。专用网络可能在技术上无法实现——例如,组织无法为每个移动工作者的位置构建专用专用网络。或者成本可能太高。虽然可以设置一个通过专用网络连接将远程工作者连接到WAN的网络,但成本高得令人望而却步。

两种最常见的VPN类型是远程访问VPN,使个人能够建立短期连接,和站点到站点VPN,用于长期互连站点。

  • 远程访问VPN:远程访问VPN使用公共电信基础设施(几乎总是互联网)为远程用户提供对其组织网络的安全访问。要使用远程访问VPN,远程用户计算机或移动设备上的VPN客户端连接到组织网络上的VPN网关。网关通常强制用户验证其身份,然后允许他们访问内部网络资源。
  • 站点到站点VPN:站点到站点VPN使用每个站点的网关安全连接两个站点的网络。站点到站点VPN通常将一个小分支连接到数据中心、网络中心或云环境。一个位置的端节点设备不需要VPN客户端来连接到另一个位置的资源;网关为所有处理加密和解密。大多数站点到站点VPN通过互联网连接。使用运营商MPLS云进行传输而不是公共互联网也很常见。尽管MPLS连接本身隔离了不同公司的流量,但注重安全的组织有时通过使用自己的VPN来分层附加安全来加强控制。

IPsec与SSL VPN:两种方法

VPN使用IPsec或TLS(SSL的后继者)来保护其通信链路。虽然IPSec和SSL VPN都提供企业级安全,但它们以根本不同的方式实现,差异是驱动部署决策的因素。

IPsec VPN:第3层安全

IPsec VPN支持第3层网络访问协议。因为这些VPN携带IP数据包,远程主机或远程站点网络似乎直接连接到受保护的私有IP网络。

IPSec VPN可以支持所有基于IP的应用和协议——包括TCP和用户数据报协议——分层在IP之上。对操作系统或应用来说,IPsec VPN链路看起来像任何其他IP网络链路。

SSL VPN:“第6.5层”安全

SSL VPN在网络的更高层运行。它们工作在第4层(传输层)之上,通常旨在创建应用层连接。然而,它们运行在实际应用层(第7层)之下,因此通常被认为在“第6.5层”运行。

SSL VPN不携带IP数据包,远程客户端对企业主机来说不像内部网络节点。客户端(通常内置在Web浏览器中以安全访问企业应用的Web UI)保护到SSL VPN网关的应用流量,该网关安全连接到目标企业应用。

混合层

一些VPN跨一个网络层工作以在较低层提供访问,这种操作称为隧道。例如,一些设备想要彼此以太网访问——第2层访问。隧道协议包括安全套接字隧道协议(SSTP)、点对点隧道协议(PPTP)和第2层隧道协议(L2TP)。SSTP、PPTP和L2TP mostly授予第2层访问并通过IPsec VPN运行。然而,有时平台支持通过隧道第3层流量——IP数据包——通过第5层及以上的SSL-VPN在站点之间设置SSL VPN。

IPsec VPN如何工作

IPsec VPN加密在远程网络或主机与位于企业私有网络边缘的IPsec网关之间交换的IP数据包。

站点到站点IPsec VPN使用网关将本地网络连接到远程网络,使整个站点的网络成为远程网络的附加。IPsec远程访问VPN使用远程主机上的专用网络客户端应用仅将该主机连接到远程网络。

IPsec VPN需要在远程计算机或网关上安装专用证书以控制加密并向远程网络验证主机或网关。

IPsec VPN的优缺点

IPsec over SSL VPN的主要优势是IPsec VPN将远程主机或站点直接放到目标IP网络上。这使得远程主机上的任何应用,或远程站点网络上的任何主机,能够到达目标网络上的任何主机。例如,IPsec VPN使用户能够使用专用厚客户端而不是Web界面连接到企业应用,一些传统应用没有Web界面。它们还使得在VPN会话中同时以交互方式使用多个应用成为可能;应用在网络级别不彼此隔离。

然而,IPsec VPN的优势也是其主要弱点:它使目标网络上的一切容易受到来自受损远程主机的横向攻击,就像受损节点在目标网络上一样。因此,使用IPsec VPN要求组织在目标网络中部署其他保护层,如防火墙、分段和零信任。

另一个关键优势是IPsec VPN依赖共享加密密钥并支持对称加密,使它们后量子就绪。SSL VPN使用Web标准的非对称加密(私钥/公钥对),并将需要升级到新算法以准备后量子环境。

操作化IPsec VPN

IPsec标准支持选择器——由客户端和网关实现的数据包过滤器——以增加安全性。选择器告诉VPN允许、加密或阻止到单个目标IP或应用的流量。实际上,大多数组织仍然授予远程主机和站点对整个子网的访问。这样,他们不必跟上为每个IP地址更改、新应用或用户访问权限更改创建和更新选择器的开销。为了使选择器的使用可管理,组织需要某种类型的应用,将IPsec VPN选择器管理集成到其整体访问管理平台中。

没有此类软件——或者即使有——IT必须解决IPsec VPN的几个方面以实现成功部署,包括寻址、流量分类和路由。

  • 寻址:IPsec隧道有两个地址。外部地址来自隧道开始的网络——例如,远程客户端。内部地址在受保护网络上并在网关分配。IT必须使用动态主机配置协议或其他IP地址管理工具来定义网关可以分配给从远程端进入的数据包的地址范围。IT还必须确保内部防火墙和其他网络安全系统(如果存在)允许到和从那些地址的流量,用于私有网络上所需的服务和主机。
  • 流量分类:决定从远程IP主机保护什么,然后设置IPsec选择器来保护那些东西需要时间配置和维护。例如,“站点A中的HR客户端应该能够到达数据中心子网B中的HR服务器”,必须映射到正确的用户和目标子网、服务器、端口甚至URL集,并随着服务、用户、网络和主机的更改而随时间维护。
  • 路由:添加IPsec VPN网关更改网络路由。网络工程师必须决定如何路由客户端流量到和从VPN网关。

SSL VPN如何工作

SSL VPN通过SSL网关将客户端应用(几乎总是Web浏览器或应用)连接到目标网络上的服务。它们依赖TLS来保护连接。它们不需要本地安装的证书。

优缺点

SSL VPN最适合以下场景:

  • 当对企业系统的访问受到严格控制时。
  • 当不需要Web界面之外的访问时。
  • 当安装证书不可行时,如业务合作伙伴桌面、公共信息亭计算机和个人家用计算机。

因为它们靠近应用层运行,SSL VPN容易过滤并对用户或组对单个应用、TCP端口和选定URL以及嵌入对象、应用命令和内容的访问做出决策。

SSL VPN依赖非对称加密。它们将需要升级到量子安全算法以保护它们免受能够破解当前公私钥对加密的下一代量子计算机的攻击。

操作化SSL VPN

SSL VPN使企业更容易实现细粒度访问控制。它们还将一些通常由应用服务器执行的访问控制工作卸载到VPN网关。此外,网关提供附加的保护层,使得可能对VPN会话实施不同或附加的访问控制。

为了可管理,SSL VPN访问控制策略必须镜像组织的整体访问策略,通常通过企业目录。否则,管理员将有很多额外工作保持VPN策略与用户访问权限更改和应用组合更改同步。

另一个重要考虑:实施新SSL VPN的组织应选择支持最新版本TLS的产品,以避免旧协议版本的弱点,使它们容易受到加密密钥破解和伪造的攻击。

IPsec与SSL VPN:哪种最适合您的组织?

需要在网关上实现每应用、每用户访问控制的组织应首先考虑SSL VPN。发现建立客户端证书太具挑战性的组织,或需要标准Web浏览器作为客户端软件的组织,也应查看SSL VPN。但考虑SSL VPN的组织必须理解它们将只能提供对Web应用的访问。

需要给予受信任用户和组对其内部网络整个段的广泛访问,或想要证书基于、共享秘密对称加密可用最高安全级别的公司,应首先考虑IPsec VPN。而想要提供对非Web应用访问的公司可能别无选择,只能使用IPsec VPN。

IPsec VPN有其他网络安全优势。它们对某些攻击更具抵抗力,其中包括中间人攻击。相比之下,SSL VPN容易受到这些攻击,即使TLS标准的进步使它们更具弹性。

IPsec VPN也更抵抗DoS攻击,因为它们在网络的较低层工作。SSL VPN容易受到与IPsec VPN相同的低层攻击,但也容易受到常见高层攻击,如TCP SYN洪水,填充会话表并瘫痪许多现成的网络堆栈。

同样重要的是要注意,这不一定是非此即彼的决定。许多组织采用IPsec和SSL VPN,因为每个解决略有不同的安全问题。然而,在实践中,由于购买、测试、安装、管理和维护两个VPN的费用,这可能不可行。

无论采用何种方法,公司将其VPN与现有访问控制模型完全集成,并由全面零信任架构覆盖,是重要的。

如何测试VPN实施

与任何其他安全产品一样,定期测试VPN。部署前,在非生产网络上测试VPN,然后在跨系统部署后定期测试。

VPN测试应解决以下问题:

  • VPN基础设施:测试VPN硬件、软件和云应用以及它们如何与系统和应用集成。即使最好的VPN也无法保护 against 不安全服务或应用的漏洞和攻击,因此也测试那些。
  • VPN加密算法和协议:VPN组件是否实现强加密算法?VPN系统是否使用最新算法?IPsec和SSL/TLS的实现有时缓慢弃用不安全算法,这可能启用某些类型的攻击,如使一些TLS实现容易受到攻击的Heartbleed漏洞。
  • VPN用户:人为因素是任何安全系统的关键方面。使用VPN的人是否理解它如何工作?他们能安全使用它吗?他们理解他们可能面临来自攻击者的威胁类型吗?所选VPN系统能承受恶意内部人员的攻击吗?

John Burke是Nemertes Research的CTO和研究分析师。Burke于2005年加入Nemertes,拥有近二十年的技术经验。他曾在IT的所有级别工作,包括最终用户支持专家、程序员、系统管理员、数据库专家、网络管理员、网络架构师和系统架构师。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次