基于SSL的虚拟专用网络
基于SSL的虚拟专用网络
基于安全套接层协议(Security Socket Layer-SSL)建立远程安全访问通道的虚拟专用网络技术。
像简单虚拟专用网络通过安装软件客户端的方式进行安全远程访问服务器虽然与基于硬件形式的相比更便于使用,但是直接通过浏览器就可以实现的远程安全访问虚拟专用网络将更加的便捷,更方便出差员工访问公司内部资源。
原理
SSL,Security Socket Layer,安全套接层。
SSL功能:数据加密,完整性校验。
可以认为 SSL 是运行在 HTTP 和 TCP 之间,加密基于 TCP 及以上的协议。使用浏览器访问网站(例如京东)时,实际就是通过拨号的方式。
SSL 协议包含两个子协议:记录协议和握手协议
记录协议,record protocol,用于实现数据加密<数据分片、压缩、哈希、加密>,类似 IPsec 里面的 ISAKMP 协议,是隧道建立的执行者。
握手协议,handshake protocol,用于实现隧道建立<版本、算法、数字证书认证、**交换>,类似 IPsec 里面的 ESP 协议,是数据安全的执行者。
SSL 隧道协商:
第一阶段:握手阶段
第二阶段:数据安全传输阶段
书签:OpenSSL,开源的 SSL 套件。
部署
server 使用 C7200 镜像,接口与 3600 不同。
虚拟专用网络由 pc 端拨号至 R2 server 端。
实验流程:
1、配置 IP 地址,保证直连联通;
2、R3 默认路由到 R2,R2 默认路由到 R1,电脑配置 IP 地址并且指默认路由到 R1;
3、R2 上部署 WEB v*n,R3 开启 HTTP SERVER;
4、电脑开启浏览器输入 https://100.1.12.2
R2:
aaa new-model //创建本地用户名密码并创建认证列表
aaa authentication login ssl local
username cisco password cisco
webv*n gateway v*nwg //定义 ssl v*n 网关
hostname ssl //创建进程
ip address 100.1.12.2 port 443 //定义公网地址及端口
http-redirect port 80 //定义跳转接口,80 自动跳转到 443,允许80登录
ssl encryption rc4-md5 //定义加密算法(对称算法 rc4,哈希算法 md5)
ssl trustpoint TP-self-signed-4279256517 //定义自签名证书
inservice //开启服务使配置生效
webv*n context sslcontext //定义策略
ssl authenticate verify all //开启认证功能
aaa authentication list ssl
gateway v*nwg
inservice
url-list “web-server” //定义内网地址和域名
heading “go to xxxxx-server” //链接文件夹名字
url-text “xxxxx.com” url-value “http://10.1.23.3” //链接文件名关联链接地址
exit
policy group policy1 //定义策略
url-list “web-server” //关联链接列表
banner “welcome to xxxxx”
exit
default-group-policy policy1
R3:
ip http server //开启 HTTP
ip http authentication local
username cisco privilege 15 password cisco
打开浏览器,输地址,但是由于浏览器版本或加密算法导致拨号失败,抓包查看交互过程:
修改加密规则后重新访问
web 中输入用户名密码等,即可进行访问服务器。