中国移动IBMVPN安全配置手册模板.doc

密 级： 文档编号： 项目代号： 中国移动IBM VPN安全配置手册 Version 1.0 中国移动通信 二零零四年十二月 拟 制: 审 核: 批 准: 会 签: 标准化: 版本控制 版本号 日期 参与人员 更新说明 分发控制 编号 读者 文档权限 和文档关键关系 1 创建、修改、读取 负责编制、修改、审核 2 同意 负责本文档同意程序 3 标准化审核 作为本项目标标准化责任人，负责对本文档进行标准化审核 4 读取 5 读取 目 录 1 IBM VPN概述 5 1.1 介绍 5 1.2 分类及其工作原理 5 1.3 功效和定位 6 1.4 特点和不足 7 2 IBM VPN布署标准及适用环境 8 2.1 适用环境 8 2.2 安全布署标准 8 3 IBM VPN安全管理和配置 10 3.1 服务器安全策略 10 3.2 日志审计及监控 10 3.3 密码策略管理 13 3.4 过滤器管理和配置 15 3.4.1 建立过滤器 15 3.4.2 设置mni使用过滤器 22 3.5 认证方法和隧道协议 23 1 IBM VPN概述 1.1 介绍 支持多平台环境IBM WebSphere Everyplace Connection Manager（WECM）无线网关是一个分布式、可扩展、高可靠性、多用途UNIX通讯平台。它能够经过无线网络、局域网(LAN)或广域网（WAN）为IP、短消息（SMS）和无线应用协议（WAP）用户端提供优化、安全数据访问功效。 1.2 分类及其工作原理 WECM方案是一个用户端/服务器架构，WECM用户端软件wireless client需要安装在无线终端设备，如笔记本电脑或PDA上。Wireless client软件现在支持Win98/Me//XP/NT、WinCE、PocketPC 和PalmOS等操作系统。WECM服务器软件wireless gateway可运行在IBM RS/6000AIX平台上。用户鉴权信息保留在同一台RS/6000LDAP（Lightway Directory Access Protocol）数据库上。 无线终端设备连接到GPRS后，开启wireless client用户端软件，经过UDP 8889端口，穿过GMCC防火墙，连接GMCC机房WECM wireless gateway，wireless gateway向LDAP请求用户鉴权，成功后，wireless client和wireless gateway建立一条VPN通道。全部终端设备上应用全部能够经这条VPN通道访问企业现有系统。 在wireless client和wireless gateway建立VPN通道时，wireless gateway会从计划IP地址中动态分配一个逻辑IP地址给wireless client，而全部应用全部使用这个IP地址作为应用IP地址。Wireless client将数据包进行压缩，用3DES或AES加密后传到wireless gateway上。Wireless gateway对应用用户端数据包进行解压缩、解密后，把数据包按应用IP地址发送到企业应用服务器上。反过来，企业应用服务器数据包先经过wireless gateway进行压缩和加密，传到wireless client上。Wireless client把数据包解压缩、解密后，交给应用用户端程序。 1.3 功效和定位 在IBM提供无线安全VPN方案中，关键利用了WECM移动接入服务功效。在该方案中，WECM由以下三个组件组成： l 服务器网关程序（Everyplace Wireless Gateway） l 用户端程序（Everyplace Wireless Client） l 管理员程序（Everyplace Wireless Gatekeeper） Everyplace Wireless Gateway WECM无线网关提供移动接入服务功效。经过用户认证及数据加密功效，确保数据从用户端到服务器端到端数据安全。并经过对数据包压缩、优化实现对无线网络适应，确保数据快速传输。 Everyplace Wireless Client IBM Everyplace Wireless Client软件运行在用户端移动设备上，并提供了一个功效完善接口来实现和Everyplace无线网关之间通讯。 在用户经过认证和Everyplace无线网关建立了连接后，WECM为该用户分配一个逻辑 IP地址。使用由用户端移动设备操作系统提供标准TCP/IP，IP应用程序将能够在无线网络上运行。Everyplace Wireless Client和WECM无线网关结合，将为无线网络通讯带来更强功效、愈加好性能及更高安全性。不管在支持IP协议还是不支持IP协议网络中，Everyplace Wireless Gateway全部使用标准IP路由，以确保在移动设备和应用程序服务器间建立连续端到端TCP会话。 WECM用户端支持移动终端环境包含：MS PocketPC，WinCE，WinME，Win2K，WinXP，Win98，PalmOS等。 Everyplace Wireless Gatekeeper IBM Everyplace Wireless Gatekeeper提供了一个基于Java技术用于管理WECM无线网关及无线资源管理控制台。 利用Everyplace Wireless Gatekeeper提供管理接口，您能够方便地实现远程定义或设置无线网关、注册用户及无线设备、统计用户登录情况及跟踪控制情况、实施路径管理等操作。管理及配置数据将被存放在一个LDAP（Lightweight Directory Access Protocol）注册服务器中。 能够设置多个Everyplace Wireless Gatekeeper管理员，并将管理任务和权限依据业务需要分配给这些管理员。假如您使用WECM无线网关只需要支持WAP用户，您还能够将Everyplace Wireless Gatekeeper配置为只显示和WAP相关资源数据，以简化管理过程。 Gatekeeper和服务器网关经过安全SSL机制建立连接。 1.4 特点和不足 WECM无线网关将无线及有线数据访问集成在一起，能够有效地为移动用户提供数据和应用。现有应用经过TCP/IP接口能够很轻易地扩展到多种无线或有线通讯环境。WECM为方便用户应用开发而隐藏了网络技术实现及接口细节，但提供了用户认证及数据安全性功效，如数据压缩、加密及优化等。WECM含有以下特点及优势： l 使您能够经过无线或有线网络向移动用户提供电子商务服务。 l 提供了一个经济划算为移动用户提供网络服务处理方案。 l 使您能够使用统一工业标准接口将各类无线网络集成在一起。 l 含有高度安全性，支持双向用户认证及数据加密。 l 使您能够经过压缩数据及缩减数据包头来降低网络响应时间，降低数据超载率。 l 能够自动保持或恢复网络拨号连接以确保数据有效传输。 l 提供了一个用Java技术建立用户接口，使您能够方便地在多平台环境下安装和配置无线网关。 2 IBM VPN布署标准及适用环境 2.1 适用环境 WECM在服务器和用户端软件全部对不一样网络开发了不一样网络适配器模块，能够支持多个有线和无线网络。对GPRS和WLAN网络支持没有问题。在WLAN上还能够作为WLAN安全方案以处理WLAN安全问题。同时WECM上有一个会话管理数据库，存放了全部连接会话。这么能够使用户能够使用GPRS网络安全连接企业应用服务器，在有带宽更高网络，如WLAN或有线以太网时候，用户自己从GPRS切换到这些网络，用户所访问应用不会中止。 WECM尤其适合以下方面应用： l 无线安全VPN方案 l 在不一样无线、有线网络之间无缝切换，应用不中止 l WAP网关 2.2 安全布署标准 就WECM工作原理而言，经过WECM传输数据是安全，全部进行传输数据全部需要经过服务器和用户端加密后才进行传输，能够有效预防嗅探器程序窃取网络传输数据，所以WECM安全布署能够省略数据传输安全考虑。 那么，我们对系统安全布署考虑关键集中在服务器平台安全、用户帐号安全、和预防蠕虫或病毒数据攻击方面。 ² 由VPN软件工作原理可知，WECM服务器必需布署在DMZ区内，也就是说其含有外部IP，能为外网访问，所以怎样确保服务器安全应该摆在首要位置。 ² 用户帐号安全也一样不能忽略，堡垒往往最轻易从内部攻破，怎样制订一个适宜，轻易操作密码策略能够大大降低用户密码被破解概率，降低用户密码泄露带来不安全隐患。 ² 病毒和蠕虫数据攻击也不可小看，它们发送垃圾数据包不仅占用网络带宽，造成网络速度下降，而且大量频繁垃圾数据造成服务器CPU不停进行加解密操作，严重情况下使CPU满载而不能为其它用户提供正常服务。 3 IBM VPN安全管理和配置 3.1 服务器安全策略 要确保VPN系统安全，首先要确保运行VPN服务服务器安全，服务器基础策略以下： l VPN服务器在DMZ内，含有公网IP，轻易遭受外界攻击，所以在外层防火墙设置方面应该使用最严格策略，只对外部网络开放服务端口UDP 8889，不许可外部IP直接登录服务器 l 在内部网络上，也应该加以设置，应该只许可特定管理IP直接访问VPN服务器TCP 9555管理端口及23端口，对于其它IP也只开放UDP 8889端口 l 对于需要移动环境下管理服务器情况，可先经由wecm client经过UDP 8889端口连接VPN服务器，再经过WECM平台内部IP来登录进行管理。这么话要经过双重认证才能登录服务器进行管理，最大程度确保了服务器安全。 3.2 日志审计及监控 WECM日志以文件形式或数据库形式进行存放（通常情况下，我们使用文件来统计日志），能够借助日志来监控系统安全情况。 WECM日志类型和缺省文件名以下： l 消息日志：存放单个WECM消息，缺省路径是/var/adm/wg.log l 帐户日志：存放帐户统计，比如MNI、WAP用户机或SMS用户机帐户统计，因为帐户日志显示已传送包数和寻址信息，所以她提供了确定什么活动正在WECM上发生有效措施，当它配置成使用文件形式时，缺省路径是/var/adm/wg.acct l 跟踪日志：全部传输到和接收至Client包数据全部可存放在移动式访问服务跟踪文件中。缺省路径是/var/adm/wg.trace 当WECM发生问题时，请首先检验消息日志文件以获取错误消息。能够经过指定消息类型来控制所统计具体信息等级： ² 调试：用于问题分析数据 ² 错误：相关需要对其采取方法意外事件消息 ² 日志：常规参考消息 ² 状态：状态信息（如包速率、字节速率和系统装入）转储 ² TCP-Lite：相关使用TCP-Lite传输数据消息 ² 跟踪：仅和IP相关数据包十六进制转储 ² 跟踪数据：数据包十六进制转储 ² 警告：相关可能需要或不需要对其采取方法事件消息 帐户信息也能够经过设置来控制在MNI上统计帐户统计等级： ² 登录：当WECM client 建立和移动式访问服务连接时所发生事件 ² 注销：当WECM client和移动式访问服务断开连接时所发生事件 ² 连接：当WECM client和移动式访问服务上调制解调器协商拨号连接时所发生事件。再和移动式访问服务初始拨号会话中，将建立WECM client物理连接，然后建立登录。 ² 断开连接：当WECM client和移动式访问服务上调制解调器断开拨号连接时所发生事件。 ² 包：对每个包统计和记帐数据。缺省情况下，关闭此日志等级。 ² 会话：统计从登录到注销过程中会话连续时间数据。 ² 挂起：在此情况下统计数据：WECM client处于短挂起方法下且已断开物理连接，但仍然保持登录连接 跟踪日志：能够统计部分用户IP/PPP等级跟踪信息。缺省情况下，关闭跟踪。要开启跟踪，请显示期望跟踪用户属性，然后单击“帐户”选项卡上开启跟踪。要停止跟踪，请清除开启跟踪复选框 注：要查看跟踪日志，必需作为root用户登录。 3.3 密码策略管理 用户密码策略设置界面以下： 实际上，用户密码往往是系统安全大隐患，假如管理员能对用户密码进行策略性管理，能在很大程度上避免因用户密码泄露而发生安全问题。 WECM提供完善用户密码策略管理，能对用户密码进行以下策略管理,提议设置值以下： l Minimum alpha characters=0密码中必需存在字母字符（a-z，A-Z）最小数目：为0 l Minimum other characters=0密码中必需存在非字母字符（比如，0-9，#,$,&,%）最小数目：为0 l Minimum length=6 密码最小长度：6位 l Minimum different characters=0新密码中必需含有新字符最小数目，这些新字符在旧密码中不存在，当目录服务成就数据存放使用单向加密算法，比如安全散列算法（SHA），加密密码时，此配置是禁用：不限 l number of password before reuser=0用户不可重使用先前密码数目：不限 l Maximum age (days)=0用户密码最大寿命（以天为单位），当密码达成此寿命时，必需先更改密码然后才能成功连接：不限 l Minimum age (days)=0用户密码再能够更改前最小寿命（以天为单位）：不限 l Maximum repeated characters=0密码中字符能够反复最大次数：不限 l Number failed connection attempts before lock=20不正确密码尝试次数，在该次数后用户帐户将会锁定，假如超出此数目，则帐户锁定且用户无法登陆：不限 l Time before reuse(days)=0密码失效且必需更改前时间长度：不限 l Password can contain user ID=TRUE 密码在其字符串中能否包含用户标识：是 l Allow numeric first/last characters=TRUE 密码是否能够用数字字符开始或结束：是 l Allow password modification=TRUE 是否许可更改密码：是 3.4 过滤器管理和配置 在使用过程中，我们发觉，假如用户计算机感染了病毒或木马话，可能病毒和木马会对服务器一些端口发送大量无用数据，在这种情况下，就很有必需设置过滤器以过滤掉这些无用数据。 要对经过mni上数据包进行过滤，需要做两项工作：一，设置针对具体端口过滤器； 二设置mni使建立过滤器生效。下面将具体描述这两步工作过程 3.4.1 建立过滤器 假如想过滤某一端口TCP包，需要建立两个过滤器，一个过滤器过滤来自该端口包数据，另一个过滤器过滤到该端口包数据，两个过滤器建立方法类似，基础过程以下： l 点击Default Resources=>Add Resource=>Filter=>TCP l 在Description栏中添入过滤器描述，可随便填写，但最好能格式化，这么使其它管理员能一目了然该过滤器作用。比如，我们想建立一个屏蔽来自143端口TCP包过滤器，那么其名称最好为TCP-143 sport ， TCP表示要过滤TCP包，143则是端口号，sport表示包是起源于该端口。同理屏蔽去往143端口TCP包过滤器名称应该为TCP-143 dport。 Direction栏目中应该选中“From Mobility Client” Mode栏目中应该选中“Negative”表示严禁包经过 设置完成后点击“Next”按键进入下一步 l 假如想过滤来自端口包应该在Soruce port栏中添入端口号，我们想过滤143端口TCP包，则填入143端口号，然后点击“Next”按键进入下一步 同理想过滤去往端口包应该在Destination port栏中添入端口号，我们想过滤143端口TCP包，则填入143端口号，然后点击“Next”按键进入下一步 l 该界面无须设置，点击“Next”按键进入下一步 l 在该界面中选中“Default Resources”，点击“Next”按键进入下一步 l 该界面无须设置，点击“Finish”按键结束过滤器创建 l 接下来用一样方法创建过滤去往该端口TCP包过滤 3.4.2 设置mni使用过滤器 上一节中我们建立了两个过滤器来过滤143端口全部TCP包。建立完过滤器后mni还需要进行设置才能使用这两个过滤器。 l 点击Default Resources=>portalvpn=>Mobile access =>mn0=>Properties l 打开界面后点击“Security”标签进入安全设置，在该界面中，能够看我们刚建立两个过滤器没有并应用，只要在前面复选框中选上这两个过滤器，然后点击“Apply”按键，就能对143端口全部TCP包进行过滤拦截了。 3.5 认证方法和隧道协议 IBM-VPN全部配置属性全部保留在LDAP目录中。另外，全部用户认证全部是经过和IBM-VPN集成LDAP目录服务器进行验证。理论上能够使用其它外部目录服务器进行数据验证，但经测试存在很多问题有待处理。 和一般VPN不一样，在用户端和IBM-VPN服务器之间数据流不采取IPSEC隧道协议进行加密，这是和IBM-VPN应用环境相关，IBM-VPN关键应用领域是移动办公，最普便应用是用户经过GPRS拨号上网然后使用IBM-VPN，GPRS带宽不足以承载IPSEC隧道协议网络数据带宽，所以IBM-VPN使用是IBM企业自行开发IBM自己开发WLP（Wireless optimized Link Protocol）协议来实施VPN方案。WLP是网络架构第二层，即数据链路层。WLP在数据链路层上做了很多VPN通道优化工作，如TCP包头缩减、数据包压缩、TCP重传优化等方法，确保TCP/IP应用在GPRS网络上性能。所以在隧道协议方面，是没有设置选择。