中国移动IBMVPN安全配置手册.docx

密 级： 文档编号： 项目代号： 中国移动IBM VPN安全配置手册 Version 1.0 中国移动通信有限公司 二零零四年十二月 拟 制: 审 核: 批 准: 会 签: 标准化: 版本控制 版本号 日期 参与人员 更新说明 分发控制 编号 读者 文档权限 与文档的主要关系 1 创建、修改、读取 负责编制、修改、审核 2 批准 负责本文档的批准程序 3 标准化审核 作为本项目的标准化负责人，负责对本文档进行标准化审核 4 读取 5 读取 目 录 1 IBM VPN概述 5 1.1 简介 5 1.2 分类及其工作原理 5 1.3 功能与定位 6 1.4 特点与局限性 7 2 IBM VPN部署原则及适用环境 8 2.1 适用环境 8 2.2 安全部署原则 8 3 IBM VPN的安全管理与配置 10 3.1 服务器安全策略 10 3.2 日志审计及监控 10 3.3 密码策略管理 13 3.4 过滤器管理与配置 15 3.4.1 建立过滤器 15 3.4.2 设置mni使用过滤器 22 3.5 认证方式和隧道协议 23 1 IBM VPN概述 1.1 简介 支持多平台环境的IBM WebSphere Everyplace Connection Manager（WECM）无线网关是一个分布式、可扩展的、高可靠性、多用途的UNIX通讯平台。它可以通过无线网络、局域网(LAN)或广域网（WAN）为IP、短消息（SMS）和无线应用协议（WAP）的客户端提供优化、安全的数据访问功能。 1.2 分类及其工作原理 WECM方案是一个客户端/服务器的架构，WECM的客户端软件wireless client需要安装在无线终端设备，如笔记本电脑或PDA上。Wireless client软件目前支持Win98/Me/2000/XP/NT、WinCE、PocketPC 2002和PalmOS等操作系统。WECM的服务器软件wireless gateway可运行在IBM RS/6000的AIX平台上。用户鉴权信息保存在同一台RS/6000的LDAP（Lightway Directory Access Protocol）数据库上。 无线终端设备连接到GPRS后，启动wireless client客户端软件，通过UDP 8889端口，穿过GMCC防火墙，连接GMCC机房的WECM wireless gateway，wireless gateway向LDAP请求用户鉴权，成功后，wireless client和wireless gateway建立一条VPN通道。所有终端设备上的应用都可以经这条VPN通道访问企业现有的系统。 在wireless client和wireless gateway建立VPN通道时，wireless gateway会从规划的IP地址中动态分配一个逻辑IP地址给wireless client，而所有应用都使用这个IP地址作为应用IP地址。Wireless client将数据包进行压缩，用3DES或AES加密后传到wireless gateway上。Wireless gateway对应用客户端的数据包进行解压缩、解密后，把数据包按应用的IP地址发送到企业应用服务器上。反过来，企业应用服务器的数据包先经过wireless gateway进行压缩和加密，传到wireless client上。Wireless client把数据包解压缩、解密后，交给应用客户端程序。 1.3 功能与定位 在IBM提供的无线安全VPN方案中，主要利用了WECM的移动接入服务功能。在该方案中，WECM由以下三个组件组成： l 服务器网关程序（Everyplace Wireless Gateway） l 客户端程序（Everyplace Wireless Client） l 管理员程序（Everyplace Wireless Gatekeeper） Everyplace Wireless Gateway WECM无线网关提供移动接入服务功能。通过用户认证及数据加密功能，保证数据从客户端到服务器端到端的数据安全。并经过对数据包的压缩、优化实现对无线网络的适应，保证数据的快速传输。 Everyplace Wireless Client IBM Everyplace Wireless Client软件运行在客户端移动设备上，并提供了一个功能完善的接口来实现与Everyplace无线网关之间的通讯。 在用户经过认证与Everyplace无线网关建立了连接后，WECM为该用户分配一个逻辑的 IP地址。使用由用户端移动设备的操作系统提供的标准TCP/IP，IP应用程序将能够在无线网络上运行。Everyplace Wireless Client与WECM无线网关的结合，将为无线网络通讯带来更强的功能、更好的性能及更高的安全性。无论在支持IP协议还是不支持IP协议的网络中，Everyplace Wireless Gateway都使用标准IP路由，以保证在移动设备与应用程序服务器间建立持续的端到端TCP会话。 WECM客户端支持的移动终端环境包括：MS PocketPC2002，WinCE，WinME，Win2K，WinXP，Win98，PalmOS等。 Everyplace Wireless Gatekeeper IBM Everyplace Wireless Gatekeeper提供了一个基于Java技术用于管理WECM无线网关及无线资源的管理控制台。 利用Everyplace Wireless Gatekeeper提供的管理接口，您可以方便地实现远程定义或设置无线网关、注册用户及无线设备、记录用户登录情况及跟踪控制情况、执行路径管理等操作。管理及配置数据将被存储在一个LDAP（Lightweight Directory Access Protocol）注册服务器中。 可以设置多个Everyplace Wireless Gatekeeper管理员，并将管理任务和权限根据业务需要分配给这些管理员。如果您使用的WECM无线网关只需要支持WAP用户，您还可以将Everyplace Wireless Gatekeeper配置为只显示与WAP有关的资源数据，以简化管理过程。 Gatekeeper与服务器网关通过安全的SSL机制建立连接。 1.4 特点与局限性 WECM无线网关将无线及有线数据访问集成在一起，能够有效地为移动用户提供数据和应用。现有应用通过TCP/IP接口可以很容易地扩展到各种无线或有线通讯环境。WECM为方便用户应用开发而隐藏了网络技术实现及接口细节，但提供了用户认证及数据安全性功能，如数据的压缩、加密及优化等。WECM具有以下特点及优势： l 使您可以通过无线或有线网络向移动用户提供电子商务服务。 l 提供了一个经济划算的为移动用户提供网络服务的解决方案。 l 使您可以使用统一的工业标准接口将各类无线网络集成在一起。 l 具有高度的安全性，支持双向用户认证及数据加密。 l 使您可以通过压缩数据及缩减数据包头来减少网络响应时间，降低数据超载率。 l 能够自动保持或恢复网络拨号连接以保证数据的有效传输。 l 提供了一个用Java技术建立的用户接口，使您可以方便地在多平台环境下安装和配置无线网关。 2 IBM VPN部署原则及适用环境 2.1 适用环境 WECM在服务器和客户端软件都对不同网络开发了不同的网络适配器模块，可以支持多种有线和无线网络。对GPRS和WLAN网络支持没有问题。在WLAN上还可以作为WLAN的安全方案以解决WLAN的安全问题。同时WECM上有一个会话管理数据库，存放了所有连接的会话。这样可以使用户可以使用GPRS网络安全连接企业应用服务器，在有带宽更高的网络，如WLAN或有线以太网的时候，用户自己从GPRS切换到这些网络，用户所访问的应用不会中断。 WECM特别适合以下方面的应用： l 无线安全VPN方案 l 在不同无线、有线网络之间无缝切换，应用不中断 l WAP网关 2.2 安全部署原则 就WECM的工作原理而言，通过WECM传输数据是安全的，所有进行传输的数据都需要经过服务器和客户端的加密后才进行传输，可以有效的防止嗅探器程序窃取网络传输数据，所以WECM的安全部署可以省略数据传输安全的考虑。 那么，我们对系统安全部署的考虑主要集中在服务器的平台安全、用户帐号安全、以及防止蠕虫或病毒的数据攻击方面。 ² 由VPN软件的工作原理可知，WECM服务器必须部署在DMZ区内，也就是说其具有外部IP，能为外网访问，所以如何保证服务器的安全应该摆在首要位置。 ² 用户帐号的安全也同样不能忽视，堡垒往往最容易从内部攻破，如何制定一个合适的，容易操作的密码策略可以大大减少用户密码被破解的概率，减少用户密码泄露带来的不安全隐患。 ² 病毒和蠕虫的数据攻击也不可小看，它们发送的垃圾数据包不仅占用网络带宽，导致网络速度下降，而且大量频繁的垃圾数据导致服务器CPU不断进行加解密操作，严重的情况下使CPU满载而不能为其他用户提供正常服务。 3 IBM VPN的安全管理与配置 3.1 服务器安全策略 要保证VPN系统安全，首先要保证运行VPN服务的服务器的安全，服务器基本策略如下： l VPN服务器位于DMZ内，具有公网IP，容易遭受外界攻击，所以在外层防火墙设置方面应该使用最严格的策略，只对外部网络开放服务端口UDP 8889，不允许外部IP直接登录服务器 l 在内部网络上，也应该加以设置，应该只允许特定的管理IP直接访问VPN服务器的TCP 9555管理端口及23端口，对于其他IP也只开放UDP 8889端口 l 对于需要移动环境下管理服务器的情况，可先经由wecm client通过UDP 8889端口连接VPN服务器，再通过WECM平台内部IP来登录进行管理。这样的话要经过双重认证才能登录服务器进行管理，最大限度保证了服务器的安全。 3.2 日志审计及监控 WECM的日志以文件形式或数据库形式进行存储（一般情况下，我们使用文件来记录日志），可以借助日志来监控系统安全状况。 WECM的日志类型和缺省文件名如下： l 消息日志：存储单个WECM的消息，缺省路径是/var/adm/wg.log l 帐户日志：存储帐户记录，例如MNI、WAP客户机或SMS客户机的帐户记录，由于帐户日志显示已传送的包数以及寻址信息，因此他提供了确定什么活动正在WECM上发生的有效办法，当它配置成使用文件形式时，缺省路径是/var/adm/wg.acct l 跟踪日志：所有传输到和接收至Client的包数据都可存储在移动式访问服务跟踪文件中。缺省路径是/var/adm/wg.trace 当WECM发生问题时，请首先检查消息日志文件以获取错误消息。可以通过指定消息类型来控制所记录的详细信息的级别： ² 调试：用于问题分析的数据 ² 错误：关于需要对其采取措施的意外事件的消息 ² 日志：常规参考消息 ² 状态：状态信息（如包速率、字节速率和系统装入）的转储 ² TCP-Lite：关于使用TCP-Lite传输的数据的消息 ² 跟踪：仅与IP相关的数据包的十六进制转储 ² 跟踪数据：数据包的十六进制转储 ² 警告：关于可能需要或者不需要对其采取措施的事件的消息 帐户信息也可以通过设置来控制在MNI上记录的帐户记录级别： ² 登录：当WECM client 建立与移动式访问服务的连接时所发生的事件 ² 注销：当WECM client与移动式访问服务断开连接时所发生的事件 ² 连接：当WECM client与移动式访问服务上的调制解调器协商拨号连接时所发生的事件。再与移动式访问服务的初始拨号会话中，将建立WECM client的物理连接，然后建立登录。 ² 断开连接：当WECM client与移动式访问服务上的调制解调器断开拨号连接时所发生的事件。 ² 包：对每个包记录和记帐的数据。缺省情况下，关闭此日志级别。 ² 会话：记录从登录到注销过程中会话持续时间的数据。 ² 挂起：在此情况下记录的数据：WECM client处于短挂起方式下且已断开物理连接，但仍然保持登录连接 跟踪日志：可以记录个别用户IP/PPP级别的跟踪信息。缺省情况下，关闭跟踪。要启动跟踪，请显示希望跟踪的用户的属性，然后单击“帐户”选项卡上的启动跟踪。要停止跟踪，请清除启动跟踪复选框 注：要查看跟踪日志，必须作为root用户登录。 3.3 密码策略管理 用户密码策略设置界面如下： 实际上，用户的密码往往是系统安全的大隐患，如果管理员能对用户密码进行策略性管理，能在很大程度上避免因用户密码泄露而发生的安全问题。 WECM提供完善的用户密码策略管理，能对用户密码进行以下的策略管理,建议的设置值如下： l Minimum alpha characters=0密码中必须存在的字母字符（a-z，A-Z）的最小数目：为0 l Minimum other characters=0密码中必须存在的非字母字符（例如，0-9，#,$,&,%）的最小数目：为0 l Minimum length=6 密码最小长度：6位 l Minimum different characters=0新密码中必需的具有的新字符的最小数目，这些新字符在旧密码中不存在，当目录服务成就数据存储使用单向加密算法，例如安全散列算法（SHA），加密密码时，此配置是禁用的：不限 l number of password before reuser=0用户不可重使用的先前密码的数目：不限 l Maximum age (days)=0用户密码的最大寿命（以天为单位），当密码达到此寿命时，必须先更改密码然后才能成功连接：不限 l Minimum age (days)=0用户密码再可以更改前的最小寿命（以天为单位）：不限 l Maximum repeated characters=0密码中字符可以重复的最大次数：不限 l Number failed connection attempts before lock=20不正确的密码尝试次数，在该次数后用户帐户将会锁定，如果超过此数目，则帐户锁定且用户无法登陆：不限 l Time before reuse(days)=0密码失效且必须更改前的时间长度：不限 l Password can contain user ID=TRUE 密码在其字符串中能否包含用户标识：是 l Allow numeric first/last characters=TRUE 密码是否可以用数字字符开始或结束：是 l Allow password modification=TRUE 是否允许更改密码：是 3.4 过滤器管理与配置 在使用过程中，我们发现，如果客户的计算机感染了病毒或木马的话，可能病毒和木马会对服务器的某些端口发送大量无用数据，在这种情况下，就很有必要设置过滤器以过滤掉这些无用的数据。 要对经过mni上的数据包进行过滤，需要做两项工作：一，设置针对具体端口的过滤器； 二设置mni使建立的过滤器生效。下面将详细描述这两步工作的过程 3.4.1 建立过滤器 如果想过滤某一端口的TCP包，需要建立两个过滤器，一个过滤器过滤来自该端口的包数据，另一个过滤器过滤到该端口的包数据，两个过滤器的建立方法类似，基本过程如下： l 点击Default Resources=>Add Resource=>Filter=>TCP l 在Description栏中添入过滤器的描述，可随便填写，但最好能格式化，这样使其他管理员能一目了然该过滤器的作用。比如，我们想建立一个屏蔽来自143端口TCP包的过滤器，那么其名称最好为TCP-143 sport ， TCP表示要过滤TCP包，143则是端口号，sport表示包是来源于该端口的。同理屏蔽去往143端口TCP包的过滤器的名称应该为TCP-143 dport。 Direction栏目中应该选中“From Mobility Client” Mode栏目中应该选中“Negative”表示禁止包通过 设置完毕后点击“Next”按键进入下一步 l 如果想过滤来自端口的包应该在Soruce port栏中添入端口号，我们想过滤143端口的TCP包，则填入143端口号，然后点击“Next”按键进入下一步 同理想过滤去往端口的包应该在Destination port栏中添入端口号，我们想过滤143端口的TCP包，则填入143端口号，然后点击“Next”按键进入下一步 l 该界面无须设置，点击“Next”按键进入下一步 l 在该界面中选中“Default Resources”，点击“Next”按键进入下一步 l 该界面无须设置，点击“Finish”按键结束过滤器的创建 l 接下来用同样的方法创建过滤去往该端口TCP包的过滤 3.4.2 设置mni使用过滤器 上一节中我们建立了两个过滤器来过滤143端口的所有TCP包。建立完过滤器后mni还需要进行设置才能使用这两个过滤器。 l 点击Default Resources=>portalvpn=>Mobile access =>mn0=>Properties l 打开界面后点击“Security”标签进入安全设置，在该界面中，可以看我们刚建立的两个过滤器没有并应用，只要在前面的复选框中选上这两个过滤器，然后点击“Apply”按键，就能对143端口的所有TCP包进行过滤拦截了。 3.5 认证方式和隧道协议 IBM-VPN的所有配置属性都保存在LDAP目录中。另外，所有用户的认证都是通过与IBM-VPN集成的LDAP目录服务器进行验证的。理论上可以使用其他的外部目录服务器进行数据验证，但经测试存在诸多问题有待解决。 与普通VPN不同，在客户端和IBM-VPN服务器之间的数据流不采用IPSEC隧道协议进行加密，这是与IBM-VPN的应用环境有关，IBM-VPN的主要应用领域是移动办公，最普便的应用是用户通过GPRS拨号上网然后使用IBM-VPN，GPRS的带宽不足以承载IPSEC隧道协议的网络数据带宽，所以IBM-VPN使用的是IBM公司自行开发的IBM自己开发的WLP（Wireless optimized Link Protocol）协议来实施VPN方案的。WLP是网络架构的第二层，即数据链路层。WLP在数据链路层上做了很多VPN通道的优化工作，如TCP包头的缩减、数据包压缩、TCP重传优化等措施，保证TCP/IP应用在GPRS网络上的性能。所以在隧道协议方面，是没有设置选择的。