Play Together 国际网络加速器 :安全性和可靠性
3.安全性和可靠性
3.1。出色的安全性和可靠性,优于硬件
Play TogetheR
什么是硬件VPN产品?
请注意,今天市场上几乎所有的硬件VPN都不是纯硬件。实际上,它们几乎是软件程序。您是否有经验打开任何Cisco路由器的顶盖?您可以看到Cisco路由器上的内部设备与当今的计算机几乎相同。主要区别仅在于CPU的架构。为了降低制造成本,思科和其他VPN供应商采用比计算机更便宜的CPU,如MIPS,ARM和PowerPC。桌面计算机和硬件VPN路由器之间存在任何更重要的差异。您可以通过从Internet或书籍泄露的某些信息来分析Cisco路由器的内部机制。Cisco VPN路由器和其他制造商的路由器正在其设备上运行软件操作系统。在操作系统上,路由和VPN会话管理软件也正在处理VPN通信。实际上,几乎所有重要流程都是在当今市场上现有的硬件VPN产品上实现为软件而非硬件。你可以向这样的硬件公司询问一些朋友。
硬件ASIC和软件程序之间加密强度没有差异
必须提到的是,一些昂贵的VPN路由器硬件产品,例如Cisco VPN集中器,具有用于加密和解密数据包的ASIC(专用集成电路)。有人误解了ASIC的加密处理比软件程序的处理更安全。但这绝对是错误的。加密和解密的结果在ASIC和软件之间完全相同。并且在加密的软件处理方面没有任何弱点,因为无论是在ASIC还是软件上,所有密码算法都是真正相同的。例如,思科的ASIC加密处理单元实现了AES-256,这是美国政府发布的标准密码规范。AES-256也作为软件代码实现,两者的优势完全相同。
Play Together比旧版硬件VPN产品更安全
可以毫不夸张地说,Play Together的安全强度优于传统硬件VPN。如您所知,Cisco Systems和其他传统VPN供应商隐藏了他们的软件和ASIC代码,因此任何人都可以在代码的内部步骤是否真的安全,以及他们是否在产品中实施秘密后门以允许任何知道秘密的人(例如,他们的政府或他们自己)在没有客户许可的情况下进入客户的私人网络。任何人都可以证明存在这样的安全风险。由于所有内部软件代码都是在硬件IC中编写的,因此我们无法对其进行任何逆向工程。这些事实可以说传统硬件VPN对客户没有一定的安全性。
在传统的VPN硬件产品中,操作系统层的开发者和VPN层的开发者是同一个供应商。这个角色将是至关重要的安全问题。在任何代码中,都必须存在一些未知漏洞。操作系统层比系统中的VPN层非常大且复杂。然后,将来会在操作系统层而不是VPN层中发现更多漏洞。他们的封闭和专用操作系统完全在他们的手上。因此,除非他们决定修复并向所有现有用户分发补丁,否则每个人都会受到影响,但用户无需做任何事情。这种情况非常危险。
为什么Play Together比硬件供应商的VPN更安全的两个原因
与硬件VPN产品相比,SoftEther VPN可以说比硬件产品更安全,更好。有两个原因。首先,自2010年以来,Play Together的重要部分现已作为开源软件发布。然后,Play Together的开发者无法在软件上实现任何后门。这是不可能的,因为如果开发人员这样做,任何分析开源代码的人都会注意到已实现的后门程序。因此,在存在后门或某些恶意代码的可能性中,Play Together比其他封闭供应商的硬件VPN产品更安全。
其次,Play Together可以在许多操作系统上运行,例如Windows,Linux,FreeBSD,Solaris和Mac OS X.今天,这些操作系统非常受欢迎,所以如果在操作系统上发现易受攻击的弱点,那么有人会分析它并发布补丁代码进行发布。在标准情况下,主要开发人员将尽可能快地向所有人发布和分发修补程序补丁。您了解Windows Update系统和Linux分发更新计划。Play Together的优势在于它与操作系统层完全分离。然后,可以在操作系统层中解决操作系统中发现的所有安全问题。如果用户使用Play Together,则用户不会有开发人员不愿意修复操作系统安全问题的风险。
关于在Play Together的操作系统上打开TCP / IP端口
为了在服务器计算机上运行Play Together,您必须在特定的TCP / IP端口上接受传入的VPN连接。通常,端口号是TCP 443(HTTPS端口)。
今天的操作系统具有良好的软件防火墙功能。它可以防止任何数据包到达任何TCP / IP端口。默认情况下,防火墙功能始终处于打开状 因此,互联网攻击者和病毒的任何攻击都无法被动。您必须只打开最小的TCP / IP端口才能接受VPN服务器上的VPN会话。这是非常安全的,没有理由说使用Windows或Linux进行VPN是危险的。
3.2。基于Internet标准协议
Play Together通过Internet在该软件的通信功能的各个方面采用Internet标准协议。
VPN隧道协议的上层
用于隧道的Play Together协议符合HTTPS(HTTP over SSL)协议。HTTP是当今最常用的Web浏览协议。HTTPS是确保HTTP安全性的扩展。您可以每天在Internet上使用SSL。世界上没有比HTTPS更安全的协议。
VPN隧道协议的中间层
支持SSL 3.0和TLS 1.0。用户可以选择使用哪种协议。SSL是安全套接字层协议。TLS是传输层安全协议。它们都被广泛应用于互联网,尽管每个人都在进行密码学科学和工业的无情分析,但安全性和可靠性已经证明了几十年。
VPN隧道协议的下层
VPN隧道协议的较低层是根据TCP / IP(因特网协议上的传输控制协议),其是因特网标准协议之一。Play Together可以同时使用IPv4和IPv6。
3.3。支持许多密码标准
Play Together使用密码算法保护VPN隧道免受Internet上的攻击者和信息窃贼的攻击。用户可以选择要使用的密码算法。RC4速度更快但强度不是那么好。AES256速度较慢但实际上非常完美。
加密和欺骗算法
可以在Play Together VPN中指定以下密码算法。所有这些都是国际标准。
RC4(128位)
AES128(128位)
AES256(256位)
DES(56位)
三重DES(168位)
RC4是流算法,其他是块算法。
3.4。建立在OpenSSL之上
Play Together中加密,解密和认证的核心引擎基于OpenSSL。OpenSSL是最着名和最权威的开源软件库,广泛用于需要安全性的各种用途。没人能说OpenSSL并不比其他东西更安全。
这是Play Together的优势。OpenSSL是公共安全实施的良好尝试,而Play Together则从中受益。其他传统VPN供应商开发自己的加密软件代码并在其产品上使用它,因为他们不想使用开源。根据密码学的常识,可以说封闭的加密代码比打开的密码弱得多。
毋庸置疑,Play Together不使用OpenSSL进行修改,以确保安全性的完整性。
3.5。防止中间人攻击
“中间人攻击中的人”(如中间人攻击中的人所知)是众所周知的通过互联网攻击加密会话的方法。可以防止中间攻击通过客户端验证服务器的证书。Play Together具有检查功能。所有VPN服务器在X.509证书对象中都有自己的RSA密钥和对应的RSA公钥。每次VPN客户端连接到VPN服务器时,每次VPN客户端都可以检查VPN服务器ID的有效性。如果出现任何问题,VPN会话将立即终止。中间攻击者没有空间。
SSL服务器验证可检测并阻止中间人攻击中的人员。
目标VPN Server提供不受信任的SSL证书时,安全警报弹出窗口。
3.6。用户验证方法
为确保安全性,仅加密是不够的。用户身份验证也是强制性的,以防止来自未知数的入侵。Play Together VPN有多种用户身份验证选项。它适用于从非常小的使用到大型的情况,例如拥有数千名员工的企业。
Play Together VPN支持外部服务器用户认证方式。
普通密码验证
最简单的方法是普通密码验证。在此方法中,VPN Server上的虚拟HUB在其中具有用户数据库。用户数据库具有多个用户和用户的密码。密码由SHA算法进行散列以确保安全性。管理员可以在数据库上创建大量用户。每个用户都有不同的密码。没有人知道用户ID和密码的正确组合可以连接到虚拟HUB。
使用Radius和Active Directory进行身份验证
普通密码验证简单,适用于某些目的。但是,如果一家公司拥有大量员工并希望所有员工都连接VPN服务器,那么在虚拟HUB上定义每个用户是不方便的。这样的公司已经有一个外部用户认证数据库。一家公司使用UNIX有Radius用户认证服务器。公司使用Windows具有Active Directory或NT域控制器服务器。可以配置Play Together VPN Server,以便将身份验证过程中继到此类外部用户身份验证数据库。如果管理员采用此方法,则无需为虚拟HUB上的每个员工创建每个用户。它必须减少烦恼的任务。还有另一个好处。如果用户更改了他或她的密码,然后将更改连接VPN服务器所需的密码。这意味着公司可以强制员工使用特定的密码安全性来防止任何来自外部攻击者的密码推测攻击。
由于Play Together符合Radius标准协议的原因,如果实现该机制的认证服务器与Radius协议兼容,则可以使用任何现代用户认证机制,例如一次性密码令牌。
外部用户身份验证支持RADIUS和Active Directory。
RSA证书认证为PKI高达4096bits
密码身份验证机制无法为特定需求提供足够的安全性。因为用户可能会忘记密码,所以有些用户会记住密码或邮件上的记事本。然后会增加密码泄漏的风险。
另一种替代解决方案是使用PKI(公钥基础结构)。PKI使用RSA(Rivest,Shamir和Adleman)证书文件及其私钥文件。这种方式也是国际标准。
如果指定用户使用PKI,则用户不需要输入任何密码。相反,用户必须拥有私钥。私钥可以保存在硬盘和安全令牌上。
RSA证书身份验证易于使用。
支持PKI的智能卡和USB令牌
将PKI与智能卡或USB令牌一起使用是最安全的方法。智能卡和USB令牌可防止用户泄露私钥,因为此类设备始终需要PIN号才能访问内部私钥。而且,任何时候,任何人都无法从这样的设备中读出私钥。设备只能对给定的挑战随机数进行签名。这种机制非常安全,没有人可以破坏这种安全性。如果采用这种方法,则承诺提供最高的安全性。请注意,并非所有智能卡和令牌都支持Play Together。可以在Web上找到支持的设备列表。
支持与PKCS#11兼容的任何智能卡或USB令牌。
分组用户
可以对管理员在虚拟HUB上定义的所有用户对象进行分组。可以创建组,组可以容纳多个用户。将安全策略或数据包过滤策略定义为一组多个用户非常方便。
3.7。包过滤
您可以在VPN服务器的虚拟HUB上设置数据包过滤规则。规则数量最多可以放置4096个条目。包过滤功能也称为“访问列表”。
任何过滤规则条目都具有行为字段的定义,以确定是否丢弃或传递与规则匹配的分组。在条目的其余部分中,您可以为IPv4和IPv6数据包指定匹配模式。匹配模式不仅可以是IP地址和掩码,还可以是TCP和UDP端口号范围以及TCP标志。您还可以指定数据包的源或目标的用户名或组名。
您可以重定向通过虚拟HUB传输的任何HTTP连接请求数据包,这些数据包在访问列表的规则上匹配。例如,员工尝试访问被访问列表中列入黑名单的禁止网站。Virtual Hub数据包过滤器将自动将“伪造”HTTP响应数据包响应到客户端Web浏览器。客户端浏览器将响应数据包视为来自目标服务器的重定向请求。然后,客户端用户将看到管理员指定的URL。(例如,带有可怕生气脸图片的警告页面。)
访问列表在VPN服务器的GUI管理工具上易于配置。
您可以指定深层IP,TCP,UDP或其他数据包标头值来定义匹配条件。
3.8。安全政策
通过包过滤功能可以满足许多限制用户动作的要求。但是在某些特殊情况下,您需要更复杂的规则来丢弃来自用户或通过VPN隧道连接的其他站点的有害数据包。
例如,远程访问VPN用户应发送DHCP请求数据包,但不得发送任何DHCP响应数据包以确保以太网段的稳定性。另一个例子是系统管理员由于安全原因想要检测和丢弃任何ARP中毒数据包。仅通过包过滤不能满足这些要求。因此,Play Together Server具有良好的安全策略功能。
安全策略是值的设置列表,其确定是否可以传递特定有害分组或必须如下丢弃。可以在VPN Server上的用户对象和组对象上应用安全策略。
可以在用户对象或组对象上设置安全策略。
过滤有害的DHCP数据包
通过VPN隧道,任何用户都可以默认将有害的DHCP数据包发布到以太网段。如果用户向网络发送恶意和伪造的DHCP响应数据包,而另一个用户正在等待DHCP响应以确定其IP地址,则请求用户将采用错误的IP地址。这会混淆整个网络。然后,安全策略可以限制用户可以发送的DHCP数据包的类型。
DHCP欺骗和IP地址执行
您可以在当代市场上找到一些产生DHCP欺骗功能的以太网交换机,以强制客户端计算机只分配DHCP服务器指定的IP地址。Play Together的Virtual Hub实现了完全相同的功能。
在VPN用户端禁止任何行为作为网桥和路由器
由于Play Together隧道是完全虚拟化的二层以太网网线,因此远程访问VPN用户可以在用户侧设置路由器或网桥。对于熟练的用户来说,在他们的家中很容易。在他们家中的任何开玩笑的用户都可以通过VPN会话对公司的局域网做一些恶作剧,这不是一个好的情况。因此,安全策略可以将任何行为限制为VPN客户端上的桥接或路由。
禁止任何具有重叠MAC地址和IP地址的数据包
如果用户具有IP地址(例如,192.168.3.2),而另一个用户在单个以太网段上具有相同的IP地址,则会很麻烦。不仅麻烦,它还可能存在安全风险,因为不正确的用户可以拥有IP地址,并且还可以发送强制使用正确IP地址的IP地址。所以必须禁止这种行为。此安全策略不仅可以用于IP地址,还可以用于MAC地址。
减少广播数据包
如果通过VPN在单个以太网段上连接数百台计算机,则默认情况下将增加广播包的数量。在这种情况下,请启用此策略以阻止除ARP,DHCP和ICMPv6之外的所有广播数据包。
隐私过滤模式
由此策略设置的用户也无法与此策略设置的任何其他用户进行通信。此策略方便管理员允许用户仅访问中央服务器的情况,但出于安全原因,不允许用户相互通信。
防止MAC和IP地址表泛滥攻击
VPN服务器上的虚拟HUB具有FDB的MAC地址。它还有IP地址表。但是一些恶意VPN客户端用户可能会在数据包的源字段中发送随机MAC地址或IP地址,以用于DoS攻击(拒绝服务攻击)。它将消耗VPN Server的宝贵资源,尤其是RAM的容量。因此,请使用此安全策略来限制与用户的VPN会话相关的MAC地址和IP地址的最大数量。
带宽限制
带宽限制可以以bps(每秒位数)为单位应用于VPN会话,以将整个带宽保存到Internet。上传(客户端到服务器)和下载(服务器到客户端)都可以单独指定为限制值。
用户并发多次登录的限制
默认情况下,用户可以同时使用多个VPN会话连接到VPN Server。但您可以通过此安全策略限制每个用户的最大并发登录数。
IPv6安全策略
您还可以通过发送IPv6数据包的VPN限制用户的行为。IPv6中有几个新概念而不是IPv4,因此需要专用于IPv6的特定安全策略。Play Together VPN Server完全用于IPv6安全实施。
3.9。VPN会话上的数据包监视器
监控功能是针对虚拟集线器中流动的所有数据包的分门功能。该功能可由其VPN网络的网络管理员使用。因此,默认情况下禁用此功能,但管理员可以根据需要启用它。
监控功能用于VPN客户端和以太网窃听软件,如Wireshark,Ethereal,tcpdump或IDS(例如snort)。
故障排除目的
您可以使用监视功能进行故障排除,因为您可以捕获和分析VPN Server中传输的任何数据包。
3.10。包记录器
通过虚拟服务器上的虚拟HUB流出的所有数据包都可以记录为VPN Server硬盘上的日志文件。但是如果您将所有数据包记录到磁盘上进行记录,则磁盘很快就会满了。然后,Play Together VPN Server具有过滤功能,用于确定要记录的数据包类型。您可以选择是否必须记录整个数据包的有效负载,或者只记录重要的数据包标头。由于软件处理,所有数据包都将被记录而不会丢失。
此功能不仅可用于故障排除,还可用作此类案例的证据,如果用户对公司采取某些非法行动。通过启用日志记录,您可以通过VPN监视员工与文件服务器和数据库服务器之间的所有通信。
数据包记录设置屏幕。
3.11。HTTP URL记录器
基于HTTP的流量将对HTTP标头进行“深度分析”。HTTP连接请求数据包上的每个目标URL都将使用目标URL的明文记录在数据包记录文件中。系统管理员可以保留使用VPN Server的员工的HTTP访问日志,以便审核VPN Server的使用情况。
数据包日志的一个例子。
您可以看到以太网,IP,TCP / UDP数据包标头值和HTTP请求标头的标头。
3.12。虚拟HUB管理员委派
VPN服务器可以拥有大量虚拟HUB。并且整个VPN Server的管理员可以委托某人作为虚拟HUB的适当管理员,并可以将其角色委托给他。
在这种情况下,整个VPN服务器的管理员指定专用于特定虚拟HUB的管理密码,并将密码告知某人要委派的密码。然后,委派人员可以访问和管理虚拟HUB。但他仍然无法在同一台服务器上管理其他虚拟HUB。安全功能和数据库(例如用户对象和数据包过滤规则)在虚拟集线器之间完全分开。
3.13。高可用和稳定的背景计划
一旦VPN服务器进程启动,SoftEther VPN Server服务应该在24h / 365d之后持续不断地运行。为了开发Play Together VPN服务器的代码集,我们付出了非常小心的努力,特别是防止内存泄漏和可能性崩溃。目前发布的SoftEther VPN Server程序被认为没有重要的错误。
但是,如果在Play TogetherVPN Server的进程中出现问题,它将自动重启。为防止配置数据丢失,VPN会话的所有配置数据和统计信息将定期自动保存在磁盘上。如果进程突然停止,则将自动调用恢复任务,并尽可能恢复最后的状态。