王 謙

(安徽新聞出版職業(yè)技術學院包裝工程系,安徽合肥 2 30601)

基于OpenVPN技術的校園VPN系統(tǒng)設計

王 謙

(安徽新聞出版職業(yè)技術學院包裝工程系,安徽合肥 2 30601)

針對校園網(wǎng)安全的實際需要,提出了適合中等規(guī)模校園網(wǎng)的VPN協(xié)議選取和設計方案,并完成了與防火墻相結(jié)合的OpenVPN實現(xiàn)。

OpenVPN;路由

VPN是采用隧道技術以及加密、身份認證等方法,在共用網(wǎng)絡上建立專用網(wǎng)絡的技術。之所以稱為虛擬網(wǎng)主要是因為整個VPN網(wǎng)絡的任意兩個結(jié)點之間的連接并沒有傳統(tǒng)專網(wǎng)建設所需的點到點的物理鏈路,而是架構(gòu)在公用網(wǎng)絡服務商ISP所提供的網(wǎng)絡平臺之上的邏輯網(wǎng)絡。用戶的數(shù)據(jù)是通過ISP在公共網(wǎng)絡(Internet)中建立的邏輯隧道(Tunnel),即點到點的虛擬專線進行傳輸?shù)?。通過相應的加密和認證技術來保證用戶內(nèi)部網(wǎng)絡數(shù)據(jù)在公網(wǎng)上安全傳輸,從而真正實現(xiàn)網(wǎng)絡數(shù)據(jù)的專有性[1]。將VPN技術應用于校園網(wǎng),可以突破校園專用網(wǎng)的地域性限制,優(yōu)化校園網(wǎng)的管理和應用,滿足師生在校園外訪問校園網(wǎng)資源的要求。師生員工可以使用該系統(tǒng)進入校園網(wǎng),并以校園網(wǎng)內(nèi)部用戶身份進行訪問。本文針對校園網(wǎng)安全的實際需要,提出了適合中等規(guī)模校園網(wǎng)絡的VPN協(xié)議選取和設計方案,并完成了與防火墻相結(jié)合的OpenVPN實現(xiàn)。

1 VPN協(xié)議選取

目前廣泛使用的VPN實現(xiàn)主要是基于PPTP和IPSec協(xié)議的VPN方案?；赑PTP協(xié)議的VPN的優(yōu)點是簡單易用、兼容性好,缺點是具有安全隱患,而且當網(wǎng)絡上存在防火墻或地址轉(zhuǎn)換設備時,PPTP VPN可能不能正常連接;IPSec VPN的優(yōu)越性在于它的安全性、互操作性,但是管理復雜且不支持多協(xié)議。SSL VPN是采用SSL(Security Socket Layer)協(xié)議來實現(xiàn)遠程接入的一種新型VPN技術。OpenVPN通過使用SSL/TLS協(xié)議,實現(xiàn)OSI 2層及3層安全網(wǎng)絡擴展,但它與常見的SSL VPN只能通過瀏覽器使用不同,它適用范圍非常廣泛,包括遠程訪問,站點到站點的VPN等,幾乎可以實現(xiàn)IPSec VPN的全部功能,同時它通過TLS/SSL加密保證了數(shù)據(jù)傳輸?shù)陌踩?并通過數(shù)據(jù)壓縮提高數(shù)據(jù)傳輸速度。和PPTP VPN相比,OpenVPN支持從NA T設備后的連接,并且支持H TTP代理,對動態(tài)地址支持很好,配置簡單易用,方式多樣。目前,OpenV PN提供了Window s,Solaris,Linux,BSD等多種操作系統(tǒng)的客戶端,具有較好的可移植性,遠遠超過了IPSec V PN實現(xiàn)對不同操作系統(tǒng)的支持[2]。因此,在本系統(tǒng)設計中,選擇了以OpenVPN技術為基礎的VPN方案,既保證了數(shù)據(jù)的安全和數(shù)據(jù)傳輸速度,又易于安裝使用。在系統(tǒng)平臺的選擇上,客戶端和服務器端均可選用目前流行的Linux或Window s操作系統(tǒng)。

1.1 OpenVPN虛擬網(wǎng)卡

在數(shù)據(jù)傳輸?shù)倪^程中,OpenVPN使用虛擬網(wǎng)卡進行數(shù)據(jù)傳輸,虛擬網(wǎng)卡的使用是OpenVPN實現(xiàn)其SSL VPN功能的關鍵,其使用的驅(qū)動是Tun/tap驅(qū)動程序。

Tun/tap驅(qū)動程序中包含兩個部分,一部分是字符設備驅(qū)動,還有一部分是網(wǎng)卡驅(qū)動部分。利用網(wǎng)卡驅(qū)動部分接收來自TCP/IP協(xié)議棧的數(shù)據(jù)包并發(fā)送或者反過來將接收到的數(shù)據(jù)包傳給協(xié)議棧處理;而字符驅(qū)動部分則將數(shù)據(jù)包在內(nèi)核與用戶空間傳送,模擬物理鏈路的數(shù)據(jù)接收和發(fā)送。Tun/tap設備提供的虛擬網(wǎng)卡驅(qū)動,從tcp/ip協(xié)議棧的角度而言,它與真實網(wǎng)卡驅(qū)動并沒有區(qū)別。從驅(qū)動程序的角度來說,它與真實網(wǎng)卡的不同表現(xiàn)在tun/tap設備獲取的數(shù)據(jù)不是來自物理鏈路,而是來自用戶空間,Tun/tap設備驅(qū)動通過字符設備文件來實現(xiàn)數(shù)據(jù)從用戶區(qū)的獲取。發(fā)送數(shù)據(jù)時tun/tap設備也不是發(fā)送到物理鏈路,而是通過字符設備發(fā)送至用戶區(qū),再由用戶區(qū)程序通過其他渠道發(fā)送[3]。

Tun設備使用的模式為路由模式,如同虛擬的點對點裝置,由于連線后才決定VPN雙方的連線路徑,因此Tun驅(qū)動所處理的是OSILayer3的工作。而Tap設備使用的模式為網(wǎng)橋模式,如同虛擬的Ethernet網(wǎng)卡,所處理的是OSILayer2的工作。

由于Tun/tap所處理的是OSILayer2和Layer3的部分,因此很容易結(jié)合上層安全機制。同時也給OpenVPN提供了建立隧道的兩種基本類型:路由IP隧道和橋接以太網(wǎng)隧道。

1.2 OpenVPN加密與認證

OpenVPN是一種基于SSL的開源VPN技術。SSL是一個介于H TTP層及TCP層的安全協(xié)議。傳輸?shù)膬?nèi)容是經(jīng)過加密的。OpenVPN使用SSL/TLS的握手協(xié)議來完成身份認證,在身份認證的同時,雙方也實現(xiàn)了會話密鑰的交換。

OpenVPN使用OpenSSL庫加密及驗證,所有加密都由OpenSSL庫處理。它能夠使用任何OpenSSL支持的算法,提高連接的安全性。同時OpenSSL的硬件加速也提高了OpenVPN的性能。OpenVPN缺省采用Blow fish算法給隧道數(shù)據(jù)加密,如果想采用其他加密算法,可以在配置文件中加入--cipher選項,如--cipher DES-EDE3-CBC將選擇Trip le-DES算法進行加密。

OpenVPN中的會話認證采用TLS/SSL協(xié)議中的RSA/DHE來實現(xiàn)。會話認證的握手過程要交換4個消息(圖1)[4]。會話認證結(jié)束后,OpenVPN就成功建立了VPN隧道。

1.3 OpenVPN的UDP/TCP通信

OpenVPN所有的通信都基于一個單一的IP端口,指定給OpenVPN的官方端口為1194[2]。如果想修改端口號,可以修改配置文件中port 1194語句,把端口號修改為所需值。默認情況下,OpenVPN使用UDP協(xié)議,UDP效率更高,因為它的信息頭更小,不包含TCP提供的那種內(nèi)建的確認檢查信息包,不會像TCP那樣增加額外的負載,性能較好些。但它也支持TCP協(xié)議。如果防火墻阻塞UDP傳輸,就需要使用TCP協(xié)議,在配置文件中使用p roto udp語句。

圖1 OpenVPN會話認證過程

1.4 V PN與防火墻的結(jié)合

VPN服務器的主要作用就是通過遠程接入VPN來為遠程用戶提供接入服務,這需要考慮VPN服務器與防火墻的配置問題。由于VPN服務器可以放置在網(wǎng)絡的不同位置,如可以跟防火墻并行放置,也可以放置在防火墻前端或防火墻后端等。若放在防火墻前端或后端,VPN服務器處在校園內(nèi)外數(shù)據(jù)交換的主干通道上,校園內(nèi)外網(wǎng)絡數(shù)據(jù)的交換都需要通過VPN服務器來處理,若校園內(nèi)外數(shù)據(jù)交換比較頻繁的話,則會給VPN服務器性能帶來較大的壓力。而如果將VPN服務器放置在防火墻前端,還需要更改防火墻配置,這影響了防火墻的安全保護功能。因此,在具體的設計過程中,將VPN服務器與防火墻并行,普通的內(nèi)外網(wǎng)數(shù)據(jù)交換從防火墻走,而通過VPN請求的數(shù)據(jù)則從VPN服務器走,以降低V PN服務器的數(shù)據(jù)處理壓力,提高VPN服務器性能。另外,在VPN服務器上進行的訪問規(guī)則的配置,只對VPN請求有效,不會影響到其它的網(wǎng)絡訪問。具體的網(wǎng)絡拓撲結(jié)構(gòu)如圖2所示。

圖2 網(wǎng)絡結(jié)構(gòu)圖

遠程訪問用戶建立VPN連接之后,防火墻的安全策略仍然對遠程用戶有效,對原有的網(wǎng)絡安全沒有影響。

2 系統(tǒng)實現(xiàn)

2.1 系統(tǒng)安裝準備工作

在VPN服務器端安裝OpenVPN軟件包,加載TUN/TAP內(nèi)核模塊。VPN Server中安裝雙網(wǎng)卡,eth0對外,IP:218.22.46.141 eth1對內(nèi),IP:192.168.0.13,內(nèi)網(wǎng)地址:192.168.0.0/16。VPN Server中安裝lzo,lzo-devel,M ysql,OpenVPN。創(chuàng)建一個tun設備,使用OpenVPN包自帶的腳本生成根證書,并生成創(chuàng)建和簽發(fā)服務器和客戶端使用的證書。

2.2 服務器端路由和訪問規(guī)則的設置

根據(jù)VPN系統(tǒng)方案的設計,遠程用戶通過VPN服務器,僅在訪問校園內(nèi)網(wǎng)以及一些特殊的外部地址如圖書館萬方數(shù)據(jù)庫鏡像資源時必須走VPN專用隧道,在服務器端配置文件中添加路由。使用Open-VPN必須修改路由表[5]。

Linux服務器端路由設置:

#push“redirect-gateway”;不重定位網(wǎng)關

push“dhcp-op tion DNS 192.168.0.1”;遠程連接客戶端的域名服務由VPN服務器提供

當客戶端連接VPN服務器時,由VPN服務器為客戶端添加路由,將校園網(wǎng)IP范圍和特殊公網(wǎng)的IP范圍增加到客戶端VPN路由表中,客戶端按照此路由表進行訪問。路由添加如下:

push“route 192.168.0.0 255.255.0.0”;增加客戶端VPN路由-校園網(wǎng)IP范圍

push“route 210.45.242.0 255.255.255.0”;增加客戶端VPN路由-特殊的公網(wǎng)IP范圍

push“route 210.45.210.0 255.255.255.0”;增加客戶端VPN路由-特殊的公網(wǎng)IP范圍

由于已在服務器端增加了客戶端訪問的路由,客戶端配置文件中路由可省略

Linux服務器端Ip tables訪問規(guī)則:

-A POSTROU TING-s 10.0.0.0/255.255.255.0-o eth0-j SNA T--to-source 192.168.0.13

來自客戶端的數(shù)據(jù)路由至校園網(wǎng)

-A POSTROU TING-s 10.0.0.0/255.255.255.0-d!192.168.0.0/255.255.0.0-j MASQUERADE

目標IP為非校園網(wǎng)的數(shù)據(jù)路由至公網(wǎng)

2.3 使用PAM插件

在選用OpenVPN技術作為VPN實現(xiàn)方面,為簡化證書的管理,身份認證方式采用的是用戶名+密碼,安裝pam_mysql-0.7RC1[2],同時,Linux服務器端需要添加語句

2.4 Linux+php+M ysql設計用戶管理模塊

數(shù)據(jù)庫采用M ysql,在數(shù)據(jù)庫服務器上創(chuàng)建數(shù)據(jù)庫表vpnuser,表結(jié)構(gòu)如圖3。編程實現(xiàn)客戶端的密碼修改及新增用戶注冊程序。

圖3 vpnuser表結(jié)構(gòu)

2.5 客戶端登陸

對于Linux客戶端,用如下命令啟動 VPN:openvpn--config client.conf

對于Window s客戶端,將OpenVPN官方網(wǎng)站中客戶端軟件下載安裝后,其自帶的GUI工具會裝在系統(tǒng)托盤里。用鼠標右鍵單擊圖標,再點菜單里的connect,輸入用戶名和密碼即可。

3 實驗結(jié)果

在實驗中,使用兩臺機器百兆物理網(wǎng)絡連接,其中一臺Pentium4 3.0GHz機器上運行CentOS 5.2,作為OpenVPN服務器,另一臺作為客戶端。Open-VPN采用TLS協(xié)議用于密鑰交換,Blow fish算法作數(shù)據(jù)加密。實測當走VPN隧道用FTP傳輸一個預先壓縮的大文件時,收/發(fā)傳輸速度最大達到了8.8MB/s,而不走VPN服務器的最大傳輸速率為9MB/s。實驗證明,OpenVPN的加密算法對數(shù)據(jù)傳輸?shù)挠绊懖淮?且在傳輸過程中并未出現(xiàn)掉線現(xiàn)象,性能較好。

4 總結(jié)

使用OvpnVPN技術建立的VPN系統(tǒng),在調(diào)試成功并投入運行階段后,用戶反映良好。它實用性強,成本低,適用于中等規(guī)模的校園網(wǎng)。

[1]徐家臻,陳莘萌.基于IPSec與基于SSL的vpn的比較與分析[J].計算機工程與設計,2004,25(4):586-588.

[2]OpenVPNTM 2.0 HOW TO[EB/OL].http://openvpn.net/how to.htm l.2005,Sep tember.

[3]肖凌,李之棠,梅松.一種基于虛擬網(wǎng)卡的Window sVPN體系結(jié)構(gòu)研究[J].小型微型計算機系統(tǒng),2007,28(9):1586-1590.

[4]郭學超,翟正軍.OpenVPN體系安全性研究[J].科學技術與工程,2007,7(8):1742-1745.

[5]程克勤,于博,周健,等.基于OpenVPN接入系統(tǒng)的設計與實現(xiàn)[J].廈門大學學報(自然科學版),2007,46(sup2):199-201.

Design of Campus VPN System Based on Open VPN Technology

WANG Qian
(Department of Packaging Engineering,Anhui News Publishing Vocational College,Hefei230601,China)

According to the needs of campus network security,this paper proposes the selection and design of VPN protocol which is suitable to themedium scale campus network,and discusses the implementation of the combination of the OpenVPN and firewall system.

OpenVPN;Route

TP393

A

1009-9735(2010)05-0036-03

2010-05-20

2008年安徽省教育廳自然科學基金項目(KJ2008B112)。

王謙(1975-),女,安徽合肥人,安徽新聞出版職業(yè)技術學院副教授,碩士,研究方向:網(wǎng)絡安全、軟件工程。