VPN原理
    本节来说明VPN的工作原理。

1  虚拟专用网的组件
    VPN全称为Virtual Private Network，即虚拟专用网，其目的是为了实现建立私有的安全 通信通道，方便远程用户能够稳定、安全地连接至企 业内部网络，访问内部的资源。其基本工作原理如 图12-1所示。
    VPN主要包括以下组件：
    ●虚拟专用网( VPN)服务器：可以配置VPN服务器以提供对整个网络的访问，或限制仅可访 问作为VPN服务器的计算机的资源。
    ●VPN客户端：是获得远程访问VPN连接的个人用户或获得路由器到路由器VPN连接

图12-1 

 ●LAN、远程访问及隧道协议：应用程序使用LAN协议传输信息。远程访问协议用   于协商连接，并为通过广域网( WAN)连接发送的LAN协议数据提供组帧。隧道   协议是为了进行身份验证、加密及数据压缩。

隧道协议
    VPN客户端通过使用PPTP或L2TP隧道协议，可创建到VPN服务器的安全连接。 以下内容仅显示虚拟专用网可能的配置，实际工作实施和配置可能会有所不同。
    1．PPTP概述
    点对点隧道协议( PPTP)是一种VPN隧道协议。PPTP是点对点协议(PPP)酌扩展， 并协调使用PPP的身份验证、压缩和加密机制。PPTP的客户端支持内置于Windows .XP 中的远程访问客户端。
    Windows Server 2003支持PPTP的VPN服务器的实现。在系统初始安装时，PPTP将 与TCP/IP协议一同安装。根据运行“路由和远程访问服务器安装向导”时所做的选择，PPTP 可以配置为5个或128个PPTP端口。PPTP和“Microsoft点对点加密”(MPPE)提供了 对专用数据封装和加密的主要VPN服务。

  2．L2TP概述

L2TP是一个工业标准Internet隧道协议，它为通过面向数据包的介质发送的PPP帧提 供封装。与PPTP -样，L2TP也利用PPP的身份验证和压缩机制，但与PPTP不同的是， L2TP不采用“Microsoft点对点加密”(MPPE)方式来加密PPP帧，L2TP依赖于加密服务 的Internet协议安全性(IPSec)。基于L2TP的虚拟专用网连接是L2TP和IPSec的组合， L2TP和IPSec二者都必须被双方路由器所支持。
    3. IPSec概述
    IPSec即Internet协议安全性，是一种开放标准的框架结构，通过使用加密的安全服务 以确保在Internet协议(IP)网络上进行保密而安全的通信。
    IPSec是安全联网的长期方向，为防止专用网络和Internet攻击提供了主要防线。它通 过端对端的安全性来提供主动的保护，以防止专用网络与Internet的攻击。在通信中，只有 发送方和接收方才是唯一必须了解IPSec保护的计算机。
    IPSec通过数据包筛选及受信任通信的实施来防御网络攻击。通常，通信两端都需要 IPSec配置（称为IPSec策略）来设置选项与安全设置，以允许两个系统对如何保护它们之 间的通信达成协议。
    4．Pre-Shared Key概述
    Pre-Shared Key（预共享密钥）是一串用以验证L2TP/IPSec连接的Unicode字符，可 以配置“路由和远程访问”以验证支持预共享密钥的VPN连接。
    预共享密钥的优点是不要求公钥基础设施( PKI)的硬件和配置投资，而PKI对于使 用计算机证书进行L2TP/IPSec身份验证则是必需的。这样在远程访问服务器上配置预共享 密钥很简单，在远程访问客户端上配置预共享密钥也相对较容另。
    但是与证书不同，预共享密钥的起源和历史都无法确定。单个远程访问服务器对需要预 共享密钥以进行身份验证的所有L2TP/IPSec连接只能使用一个预共享密钥。因此，必须对 连接到使用预共享密钥的远程访问服务器的所有L2TPfIPSec VPN客户端发行同一预共享 密钥。所以，使用预共享密钥验证L2TP/IPSec连接被认为是一种相对较弱的身份验证方法。 如果需要一种长期、安全可靠的身份验证方法，则应考虑使用PKI。

12.1.3无线VPN
    1．关于无线VPN
    询问任何熟悉安全的IT专业人员有关在企业环境中使用无线网络的问题，他们都会告诉用 户：普通的AP安全措施并不能真正解决问题。无线通信的广播性质、日益高级的无线监听工 具和坡解无线AP传输数据的手段，都表明若不采用额外的措施，无线网络也将无法保证安全。
    通常的安全建议是：把无线AP放入企业内部的某一网段中，并将这一网段用防火墙保 护起来，防止内部网的其他部分与无线AP连接；然后采取的步骤是让所有的无线客户使用 虚拟专用网软件，这样的无线网络会更安全一些。同时，如果企业网络存在一个DMZ（半 军事化区，内部网络与外部互联网之间的半安全区域），就使用DMZ;如果没育DMZ，应 坚持使用原有的方法，使用单独的电缆隔离或者AP的虚拟网络，让数据在进入内部网之前通 过一个防火墙，只让这个通信停留在网络安全的一边。无线VPN认证简化过程如表12-1所示。

表12-1    

由表12-1可知，基于无线网络的VPN实际上就是传统的有线网络VPN的合理延伸。 通过无线接入点或无线路由器的中转，使得外部用户可以通过VPN连接到内部网络，从而 访问内部资源。作为一种安全策略，无线VPN可以有效地将原本透明的无线网络提升到一 个高安全的阶段。
    2．虚拟专用网和无线AP结合
    常见的有两种模式可以把虚拟专用网和无线AP结合起来。
    第一种模式：把AP放在Windows服务器的接口上，使用Windows内置的虚拟专用网 软件增加无线通信的覆盖范围。
    这种方法允许用户使用内置的Windows客户端软件以及L2TP和IPSec软件，为用户的 无线网络通信进行加密。这种技术也适用于 支持同样的内置或者免费的虚拟专用网客 户端软件的其他操作系统。这个方法的好处 是使用内置的软件，客户端软件的变化很 小，非常容易设置和应用，不需要增加额外 的服务器或者硬件成本。不足的是增加了现 有的服务器的额外负荷（根据提供服务的 AP的数量和使用这些AP的客户数量的不 同，负荷也有所不同），也可能导致服务器 执行其他的任务时效果不好。如果同一服务 器还提供防火墙功能，那么额外负荷可能会 需要使用其他的服务器或者采用不同的方 法，其拓扑原埋如图12-2所示。

    第二种模式：使用一个包含内置虚拟专用网网关服务的无线AP。
    一些网络设备公司目前提供一种单个机箱的解决方案，这种解决方案集成了AP和虚 拟专用网功能，使应用无线安全网络更加容易。这种预先封装在一起的两种功能结合的设 备很容易安装、设置、配置和管理，而且很容易强制规定政策，让每一个无线连接都使用 虚拟专用网完成连接。由于这种方法在使用的时候很容易选择，加密也更加合理了，避免 了802.1X加密为虚拟专用网连接增加的费用。这种方法的缺点是价格昂贵，购买新的机 器只能满足新的无线局域网子网的需求，在不更换硬件的情况下很难从一种无线技术升级 到另一种技术等。   还有一种方法是指定一台在DMZ（或者在自己的网段）的服务器，专门处理无线连接、VPN 网关需求以及防火墙信息，开启或关闭无线网段。这样，在其中增加一个虚拟专用网，不但可以 提高机密资料传输的安全性，也会使得日常网络通信在无线网络中就像在有线网络中一样安全。

12.2  无线VPN攻防实战
    一提到VPN，绝大多数公司管理员及用户的看法都是：VPN环境已经属于高级别 安全防护，足以保证企业内部信息通信的安全与稳定。而对于大多数中小型企业，为了便 于工作及都署，基本都是采用PPTP及强化的IPSec VPN，至于大型企业及分支众多的分店 型企业，则较多使用SSL VPN。作为无线领域的延伸，无线VPN在带来便捷的同时，也面 临着和有线网络VPN -样的威胁。下面分别以Windows Server 2003下的PPTP及IPSec VPN 为例，来进行安全威胁试验及分析。

12.2.1  攻击PPTP VPN
    对于采用PPTP验证的VPN，可以使用中间人攻击实现，在截获到VPN客户端登录 VPN服务器／设备的数据报文之后，就可以使用asleap进行坡解了。 圆扫描VPN设备。 心怀恶意的攻击者在对VPN设备进行攻击前，需要先对预攻击目标进行确认，这就需 要扫描来发现及识别目标。对于最常见的PPTP VPN，攻击者常会使用NMAP这款在命令提 示符下工作的扫描器来进行探测。当然，其图形化版本Zenmap也非常好用。Zenmap提供 了很好的界面帮助用户进行NMAP常见的扫描选项，并能够将结