安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量

这篇具有很好参考价值的文章主要介绍了安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、SSL工作过程

1.SSL握手协议的第一阶段

2.SSL握手协议的第二阶段

3.SSL握手协议的第三阶段​编辑

4.SSL握手协议的第四阶段​编辑

二、SSL预主密钥有什么作用?

三、SSL VPN主要用于那些场景?

四、SSL VPN的实现方式有哪些?

1.虚拟网关

2.WEB代理

3.文件共享

4.端口转发

5.网络扩展

五、SSL VPN客户端安全要求有哪些?

1.主机检查

2.缓存清除

3. 认证授权

六、SSL VPN的实现,防火墙需要放行哪些流量?

七、SSL VPN 功能总结​


一、SSL工作过程

SSL(Secure Sockets Layer)是一种用于保护网络通信安全的协议。SSL的工作过程如下:

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

客户端发起连接请求:客户端向服务器发送连接请求,请求建立一个安全的SSL连接。

服务器响应:服务器接收到客户端的连接请求后,如果支持SSL协议,就会返回一个数字证书。数字证书包含了服务器的公钥以及其他相关信息,用于证明服务器的身份。

客户端验证服务器的证书:客户端会验证服务器返回的证书的有效性和合法性。验证过程包括检查证书的签名是否可信、证书是否过期、域名是否匹配等。如果验证失败,客户端会中止连接,或者提示用户关于证书不受信任的信息。

客户端生成随机数和密钥:客户端会生成一个随机数作为对称加密算法的密钥,并使用服务器的公钥对该密钥进行加密。

服务器解密密钥:服务器使用自己的私钥来解密客户端发来的密钥。

确立加密算法和参数:客户端和服务器根据各自支持的加密算法列表,选择一个适用的对称加密算法和参数,用于之后的数据加密。之后,客户端和服务器都知道使用同一个对称密钥进行通信。

建立SSL连接:客户端通过对称密钥加密算法加密一条消息,并发送给服务器。服务器收到消息后,使用对称密钥解密,确认连接建立成功。此后,客户端和服务器之间的通信将使用对称密钥进行加密和解密。

安全通信:客户端和服务器使用对称密钥进行加密和解密,保证通信的机密性和完整性。加密数据在传输过程中,即使被截获,也无法理解其中的内容。

1.SSL****握手协议的第一阶段

客户端首先发送 client hello 消息到服务端,服务端收到 client hello 信息后,再发送server hello消息到客户端。 安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

随机数: 32 位时间戳 +28 字节随机序列,用于计算摘要信息和预主密钥或主密钥的参数。

会话 ID :一次性会话 ID ,防止重放攻击。

2.SSL****握手协议的第二阶段

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

服务器的证书:包含服务端公钥的证书,用于客户端给服务端发送信息时加密。

server key exchange 服务端密钥交换:决定密钥交换的方式,比如 DH,RSA ,会包含密钥交换所需的一系列参数。

3.SSL握手协议的第三阶段

client key exchange客户端密钥交换:根据服务端随机数算出一个pre-master,发给服务器,服务器收到后根据pre-master密钥生成一个main-matser。

4.SSL握手协议的第四阶段

二、SSL预主密钥有什么作用?

预主密钥结合前面发的客户端随机数和服务器端随机数衍生出一个主密钥。然后主密钥会衍生出三个东西:共享密钥(对称加密的密钥);完整性的密钥(认证密钥);初始化向量。

SSL预主密钥(Pre-Master Secret)是在SSL/TLS握手过程中由客户端生成的一个随机数,用于协商会话密钥。它的作用有以下几个方面:

1.安全性:SSL预主密钥的生成是在客户端和服务器之间进行的,而不是通过网络传输。这样可以确保预主密钥在传输过程中不被窃听或篡改,提高了通信的安全性。
2.密钥协商:SSL握手过程中,客户端和服务器使用预主密钥来生成会话密钥(Session Key)。会话密钥是用于加密和解密数据的对称密钥。通过使用预主密钥,客户端和服务器可以协商出相同的会话密钥,从而实现安全的通信。
3.前向保密:预主密钥的生成过程中使用了随机数和其他密钥材料,这使得预主密钥具有前向保密性质。前向保密意味着即使在将来主密钥被泄漏,之前的会话仍然是安全的,因为会话密钥的生成是基于预主密钥,预主密钥不会被存储或传输,只在握手时生成。

附:预主密钥和主密钥的关系安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

三、SSL VPN主要用于那些场景?

SSL VPN是以SSL(Secure Sockets Layer)/TLS(Transport Layer Security)协议为基础,利用标准浏览器都内置支持SSL/TLS的优势,对其应用功能进行扩展的新型VPN。

有浏览器的设备就可以使用 SSL ,进而使用 SSL VPN ,不需要担心客户端问题,所以 SSL VPN 也能称之为无客户端VPN 。 SSL VPN 在 client to Lan场景下 特别有优势。

SSL VPN和IPsec VPN区别:安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

  • IPSec是网络层保证IP通讯而提供的协议族,以网络层为中心
  • SSL是套接字层保护HTTP通讯的协议,以应用层为中心

优势:安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

四、SSL VPN的实现方式有哪些?

1.虚拟网关

SSL VPN每个虚拟网关可以独立管理,可以配置各自的资源,用户、认证方式,访问控制以及管理员。 并且相互隔离。

2.WEB****代理

使用Web代理,用户只需标准的浏览器,终端不需安装任何客户端软件,就能够实现Web资源的安全访问,比如:内网网页浏览、Outlook Web Access和iNotes访问。

实现过程:

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

实现方式:

web-link :使用 activeX 控件方式,对页面进行请求

web 改写:将所请求页面上链接进行改写,其他内容不变。

实现结果:

实现对内网 web 资源的安全访问。

内网 web 资源只有私网地址,在不做 NAT 的情况下,可以通过 SSL VPN 实现对其的代理安全访问。

内网 web 资源只有私网地址,在做 NAT 的情况下,公网用户可以实现对其访问,但是 web 资源没有

使用安全传输协议, SSL VPN 可以实现对其 https 安全访问。

3.文件共享

文件共享主要是通过协议转换技术,将网络文件系统NFS(Network File System)转换成HTTPS(Hypertext Transfer Protocol Secure)协议,用户直接通过浏览器就能够创建和浏览目录,进行新建、下载、上传、修改、删除文件操作。

实现过程:

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

实现原理

  • 协议转换:无需客户端,直接通过浏览器访问转为内网文件共享的相应协议格式,使用activeX控件。

支持协议

  • SMB windows
  • NFS linux

4.端口转发

SSL协议只应用于浏览器,端口转发是SSL协议的应用扩展。端口转发在应用层控制用户可以访问的应用服务(比如Telnet、远程桌面、FTP(File Transfer Protocol)和Email)。

实现过程:

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络实现原理:安装activeX控件,本质是NAT过程。安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

提供内网TCP资源的访问,C/S资源

  • 提供丰富的静态端口的TCP应用

单端口单服务:telnet、SSH、MS、RDP、VNC
单端口多服务:notes
多端口多服务:outlook

  • 动态端口TCP应用
  • 提供端口的访问控制

自动安装运行一个 ActiveX控件,获取到管理端配置的端口转发资源列表(目的服务器IP、端口)。控件将客户端发起的TCP报文与资源列表进行比对,当发现报文的目的IP/Port与资源列表中的表项匹配,则截获报文,开启侦听端口(目的端口经过特定算法得出),并将目的地址改写为回环地址,转发到侦听端口。对该报文加密封装,添加私有报文头,将目的地址设为USG的IP地址,经由侦听端口发往USG。USG收到报文进行解密,发往真实的目的服务器端口。USG收到服务器的响应后,再加密封装回传给用户终端的侦听端口。

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

5.网络扩展

网络扩展功能是基于SSL协议进行的功能扩展,实现了对所有IP应用的支持,用户远程访问内网资源就像访问局域网一样方便。

在用户端安装网络扩展客户端后,客户端生成的虚拟网卡将截获的原始IP报文经过SSL协议封装后转发至虚拟网关,从而使用户的机器如同工作在企业内网一样,用户能够快速、安全地访问企业内网的所有资源(在没有进行ACL(Access Control List)访问控制限制的情况下)。安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

访问模式:
三种流量:去对方内网;去互联网;去本地局域网

全路由模式:三种流量都走隧道,代表本地不能访问互联网,也可通过隧道访问,也可访问本地局域网。
分离模式:对方内网流量走隧道,本地局域网流量走物理网卡,互联网流量不能走。意味着能访问对方内网,能访问本地局域网,不能访问互联网。
手动模式:对方内网流量走隧道,本地局域网流量和互联网流量走物理网卡。意味着都能访问,互联网走本地。

五、SSL VPN客户端安全要求有哪些?

终端安全是在请求内网主机上部署一个软件,通过该软件检查终端的安全性包括:主机检查、缓存清除、认证授权。

1.主机检查

  • 杀毒软件检查
  • 防火墙设置检查
  • 注册表检查
  • 端口检查
  • 进程检查
  • 操作系统检查

2.缓存清除

  • internet临时文件
  • 浏览器自动保存密码
  • cookie记录
  • 浏览器访问历史记录
  • 回收站和最近打开的文件
  • 指定文件或文件夹

3. 认证授权

  • vpndb的认证授权
  • 第三方服务认证授权
  • 数字证书的认证
  • 短信辅助认证

六、SSL VPN的实现,防火墙需要放行哪些流量?

1.SSL/TLS协议流量:SSL VPN 使用 SSL/TLS 协议来进行加密通信,因此防火墙需要允许相关的 SSL/TLS 流量通过。通常情况下,这些流量使用 TCP 端口号 443,可以通过防火墙的规则配置进行放行。
2.VPN控制流量:SSL VPN 需要使用一组专门的协议和端口来进行 VPN 连接的建立、终止和维护,如HTTPS、UDP等。具体取决于所采用的 SSL VPN 解决方案和配置方式,防火墙需要放行相关的控制流量,以便客户端可以与服务器端正确地进行握手和身份验证。
3.VPN数据流量:一旦 SSL VPN 连接建立成功,数据流量将通过 SSL/TLS 隧道进行传输。防火墙需要放行与 VPN 数据流量相关的端口和协议,以确保数据的正常传输。这些端口和协议也视具体的 SSL VPN 实现而有所不同,可以是TCP、UDP或其他协议。
4.认证和授权服务流量:在一些实现中,SSL VPN 可能需要与认证服务器、授权服务器或其他基础设施进行交互,例如LDAP、RADIUS等。防火墙需要放行与此相关的流量,以确保用户的身份验证和授权过程的正常进行。
5.可选的应用程序特定流量:某些 SSL VPN 实现可以支持特定的应用程序代理,允许用户在 VPN 连接上访问特定的应用程序或服务。如果你使用了这样的应用程序代理功能,防火墙可能需要放行该应用程序所使用的额外端口和协议。

需要注意的是,以上流量需根据具体的 SSL VPN 解决方案和部署配置来确定,可能会有差异。建议参考所使用的 SSL VPN 产品的文档或联系供应商以获取准确的配置要求。此外,为了确保安全性,仅放行必要的流量,并遵循最佳安全实践,如限制访问权限、强化身份验证等。

七、SSL VPN 功能总结

配置:安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

黑客学习资源推荐

最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

😝朋友们如果有需要的话,可以V扫描下方二维码联系领取~

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

1️⃣零基础入门

① 学习路线

对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

需要详细路线图的,下面获取
安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络
② 路线对应学习视频

同时每个成长路线对应的板块都有配套的视频提供:

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

2️⃣视频配套工具&国内外网安书籍、文档

① 工具

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

② 视频

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

③ 书籍

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

资源较为敏感,未展示全面,需要的下面获取
安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络 ### 3️⃣Python面试集锦
① 面试资料

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络

② 简历模板

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络文章来源地址https://www.toymoban.com/news/detail-823950.html

安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量,安全,ssl,网络
因篇幅有限,资料较为敏感仅展示部分资料,添加上方即可获取👆

------ 🙇‍♂️ 本文转自网络,如有侵权,请联系删除 🙇‍♂️ ------

到了这里,关于安全防御------SSL VPN篇_防范 ssl 隧道内部的攻击流量的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 【隧道篇 / SSL】(7.4) ❀ 02. 通过SSL VPN Web模式走对方宽带上网 ❀ FortiGate 防火墙

    【简介】SSL VPN Web模式下,只通过浏览器就可以访问远程内网,省去了安装客户端的烦恼,缺点的是支持的协议不多。FortiOS 7.4版本还支持走对方宽带上网。让我们来验证一下这个功能。   配置宽带 在配置SSL VPN之前,我们需要做一些准备工作。 ① 防火墙固件版本为7.4.2。 ②

    2024年01月24日
    浏览(41)
  • 【隧道篇 / SSL】(7.4) ❀ 01. 只允许国内IP通过SSL VPN访问内网 ❀ FortiGate 防火墙

    【简介】SSL VPN可以让公司员工远程访问公司内网的服务器,发现有些国外IP也在尝试登录SSL VPN,领导要求,只允许国内IP可以登录SSL VPN,如何解决这个问题?   SSL VPN配置条件 要想成功的配置SSL VPN,首先需要有一条可以远程访问的宽带,然后是验证用的用户名和密码,以及

    2024年01月19日
    浏览(45)
  • SSL VPN安全网关

    沃通SSL VPN安全网关是以现代密码技术为核心并具有物理安全保护措施的一体化硬件设备。产品遵循国家GM/T 0025 《SSL VPN 网关产品规范》集成了国产密码算法(SM1/SM2/SM3/SM4)和SSL、IPSec安全协议,并通过了相关权威资质认证,主要可应用于网络强身份认证与通信加密传输等业务

    2024年02月20日
    浏览(34)
  • 如何在SSL/TLS流量中检测恶意软件和攻击行为?

    随着互联网的普及和云计算技术的发展, SSL/TLS 加密通信已经成为保护网络数据安全和隐私的必备手段之一. 但是, 恶意软件 (如病毒、木马等) 和各种攻击方法仍在不断演变以利用 SSL/TLS 通信的安全漏洞获取敏感信息或破坏系统功能. 因此, 对 SSL/TLS 流量的监测和分析成为了保障

    2024年02月20日
    浏览(41)
  • 实验篇(7.2) 17. 站对站安全隧道 - FortiGate作为SSL客户端(SSL) ❀ 远程访问

    【简介】虽然常用的站到站的连接用的是IPsec VPN,但是在某些特殊情况下,UDP500或4500端口被阻断,IPsec VPN无法连接,那么还有其它办法实现站到站的连接吗?SSL VPN也可以的。   实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务器,用来对集团总部进行管理。 OldM

    2024年02月09日
    浏览(56)
  • MySQL安全性:用户认证、防范SQL注入和SSL/TLS配置详解

    MySQL作为广泛使用的关系型数据库管理系统,安全性至关重要。在本篇技术博客中,我们将深入探讨MySQL的用户认证方式、防范SQL注入攻击的方法以及SSL/TLS加密的配置。 MySQL支持多种用户认证方式,其中两种常见方式是caching_sha2_password和mysql_native_password。 1.1 caching_sha2_passwor

    2024年02月02日
    浏览(45)
  • 实验篇(7.2) 07. 通过安全隧道访问指定网站 (FortiClient-SSL) ❀ 远程访问

    【简介】通过前面的实验,我们已经了解了SSL VPN的隧道模式。FortiClient客户端拨号后,访问服务器IP的流量,会通过安全隧道到达远端防火墙,并访问DMZ接口下的服务器。那如果我想让更多的访问走安全隧道,但是又不确定是哪些IP地址,这个有办法吗?    实验要求与环境

    2024年02月04日
    浏览(45)
  • Web 安全之 SSL 剥离攻击详解

    目录 SSL/TLS简介 SSL 剥离攻击原理 SSL 剥离攻击的影响 SSL 剥离攻击的防范措施 小结 SSL 剥离攻击(SSL Stripping Attack)是一种针对安全套接层(SSL)或传输层安全性(TLS)协议的攻击手段,攻击者利用了客户端和服务器之间的安全协议协商过程中的弱点,通过改变客户端与服务器

    2024年04月25日
    浏览(29)
  • 实验篇(7.2) 06. 通过安全隧道访问远端内网服务器 (FortiClient-SSL) ❀ 远程访问

    【简介】直接映射服务器到公网,没有验证不安全;通过Web浏览器访问远程内网服务器,有验证也安全,但是支持的协议太少。那有没有即安全,又能支持所有协议的访问方法呢?我们来看看SSL VPN的隧道模式。    实验要求与环境 OldMei集团深圳总部部署了域服务器和ERP服务

    2024年02月06日
    浏览(45)
  • SSL VPN 与 IPsec VPN

    安全套接层(Secure Sockets Layer) 网际协议安全(Internet Protocol Security) 封装位置: IPSEC和SSL两种不同的加密协议可以加密数据包,以防止中间黑客劫持数据。但两者的加密位置不同。 IPSEC在网络层工作,即包装原始数据的网络层: SSL VPN在传输层工作,包装应用信息 IPSEC和SSL对比

    2024年02月08日
    浏览(38)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包