PPTP VPN與L2TP/IPSec VPN的實(shí)現(xiàn)與安全測(cè)試

文/倪潔 徐志偉 李鴻志

PPTP VPN 微軟推出的第一個(gè)VPN 協(xié)議，支持?jǐn)?shù)據(jù)加密。但是安全級(jí)別較低，本文測(cè)試一下PPTP來實(shí)現(xiàn)物聯(lián)網(wǎng)傳輸層數(shù)據(jù)是否安全。PPTP 安全性相比之L2TP、IPSec 來說安全級(jí)別比較低。數(shù)據(jù)安全性低。

1 軟件 PPTP VPN實(shí)現(xiàn)與測(cè)試

1.1 PPTP VPN實(shí)現(xiàn)框架設(shè)計(jì)

PPTP VPN 的實(shí)現(xiàn)我們使用兩臺(tái)電腦來實(shí)現(xiàn)，一臺(tái)電腦裝有Windows sever2003，在這臺(tái)電腦上配置，把這臺(tái)電腦配置成VPN 服務(wù)器，提供給遠(yuǎn)程主機(jī)接入，協(xié)商機(jī)密機(jī)制。在Windows sever2003 上配置好服務(wù)器和遠(yuǎn)程訪問路由器，在Windows XP 上配置好VPN 連接客戶端。設(shè)置好密碼，在VPN 客戶端上就可以登錄了。

1.2 PPTP 配置實(shí)現(xiàn)與測(cè)試

PPTP VPN 在兩臺(tái)電腦上進(jìn)行配置，在Windows sever2003 上把它配置成一臺(tái)服務(wù)器和遠(yuǎn)程路由器，把Windows XP 電腦上配置客戶端，在Windows sever2003 上配置好PPTP協(xié)議，用戶賬號(hào)密碼，就可以進(jìn)行測(cè)試了。測(cè)試在客戶端上建立連接，然后通過wireshark軟件進(jìn)行抓包測(cè)試。PPP 包，數(shù)據(jù)進(jìn)行了加密處理，這兒抓包軟件抓包數(shù)據(jù)部分是亂碼，和前面測(cè)試的硬件VPN 不同，這的數(shù)據(jù)是加密了的，GRE 包如圖1所示。

2 軟件 L2TP/IPSec VPN實(shí)現(xiàn)與測(cè)試

圖1：GRE 包

圖2：ESP 加密數(shù)據(jù)

L2TP/IPSec VPN 實(shí)現(xiàn)采用一臺(tái)Windows sever2003 和 一 臺(tái)Windows XP 來 實(shí) 現(xiàn)，Windows sever2003 作為服務(wù)器Windows XP 作為遠(yuǎn)程接入客戶端。來連接Windows sever2003 服務(wù)器。由于L2TP/IPSec VPN 安全性好，所以用來解決物聯(lián)網(wǎng)傳輸層安全問題比較好。

2.1 L2TP/IPSec VPN實(shí)現(xiàn)整體框架設(shè)計(jì)

實(shí)驗(yàn)框架和PPTP 框架一樣，都是采用兩臺(tái)電腦來模擬VPN 服務(wù)器和VPN 客戶端。L2TP/IPSec VPN 的實(shí)現(xiàn)我們使用兩臺(tái)電腦來實(shí)現(xiàn)，一臺(tái)電腦裝有Windows sever2003，在這臺(tái)電腦上配置，把這臺(tái)電腦配置成VPN 服務(wù)器，提供給遠(yuǎn)程主機(jī)接入，協(xié)商機(jī)密機(jī)制。在Windows sever2003 上配置好服務(wù)器和遠(yuǎn)程訪問路由器，在Windows XP 上配置好VPN連接客戶端。設(shè)置好密碼，在VPN 客戶端上就可以登錄了。

2.2 L2TP/IPSec VPN配置實(shí)現(xiàn)與測(cè)試

L2TP/IPSec VPN在兩臺(tái)電腦上進(jìn)行配置，在Windows sever2003 上把它配置成一臺(tái)服務(wù)器和遠(yuǎn)程路由器，把windows xp 電腦上配置客戶端，在Windows sever2003 上配置好PPTP協(xié)議，用戶賬號(hào)密碼，就可以進(jìn)行測(cè)試了。測(cè)試在客戶端上建立連接，然后通過wireshark軟件進(jìn)行抓包測(cè)試。

IKE 1 階段，主模式（Main Mode）第一、二次協(xié)商加密算法、hash 算法、認(rèn)證方法、DH 組的選擇。加密算法：3DES-CBC。hash算法：SHA。認(rèn)證方式：psk。

IKE 1 階段，第三、四次DH 交換，IKE 1 階段第五、第六次，對(duì)通信實(shí)體和通信信道進(jìn)行認(rèn)證，數(shù)據(jù)已經(jīng)被加密，IPSec 建立過程ISAKMP（quick mode）

第二階段協(xié)商為數(shù)據(jù)提供保護(hù)的SA。協(xié)商IPSec 提議，交換新的臨時(shí)值，交換ID 信息，交換hash 值進(jìn)行認(rèn)證，IPSec 建立后發(fā)送ESP加密數(shù)據(jù)包，加密數(shù)據(jù)如圖2所示。

ESP SPI 固定不變，ESP Sequence 這個(gè)序號(hào)不斷變化，為了抗重播，防止數(shù)據(jù)被截獲，然后又偽造發(fā)送給客戶端或者服務(wù)端，這樣每條數(shù)據(jù)包有一個(gè)唯一的ESP Sequence,安全性提升，可以防重播。抓包是ESP 包，數(shù)據(jù)被進(jìn)行加密。保證了數(shù)據(jù)的安全性。

3 結(jié)論

本文主要是對(duì)VPN 物聯(lián)網(wǎng)傳輸層進(jìn)行安全測(cè)試，主要測(cè)試了PPTP、L2TP/IPsec VPN。并且采用了軟件VPN 來實(shí)現(xiàn)不同的方案，軟件VPN 本文采用Windows sever2003系統(tǒng)來搭建，測(cè)試可以清晰看到加密數(shù)據(jù)包，整個(gè)IPsec 建立過程，數(shù)據(jù)包的加密類型也很直觀看到，分析非常方便。可以用此技術(shù)來保證物聯(lián)網(wǎng)數(shù)據(jù)安全性，數(shù)據(jù)安全、隱私得到保護(hù)，不容易被破解。