IPSec學習筆記

IPSec VPN

開放的安全架構結構，可以用來保證IP資料封包在網絡上傳輸的機密性、完整性和防重放

IPSec：internet protocol security

-源于IPv6

-IETF制定的一套安全保密性能架構

-建立在網絡層的安全保障機制

-引入多種加密算法、驗證算法和密鑰管理機制

-也具有配置複雜、消耗運算資源較多、增加延遲、不支援多點傳播等缺點

-IPSec VPN是利用IPSec隧道建立的VPN技術

IPSec核心功能：

機密性：對資料進行加密，確定資料在傳輸過程中不被其他人員檢視；

完整性：對接收到的資料包進行完整性驗證，以確定資料在過程中沒有被篡改

真實性：驗證資料源，以保證資料來自真實的發送者（IP封包頭内的源位址）；

防重放：防止惡意使用者通過重複發送捕獲到的資料包所進行的攻擊，即接收方會拒絕舊的或重複的資料包

DES和3DES加密算法存在安全隐患，建議優先使用AES、SM1或SM4算法；

MD5和SHA-1驗證算法存在安全隐患，建議優先使用SHA-2或SM3算法

通過AH和ESP這兩個安全協定來實作IP資料封包的安全傳送

IKE協定提供密鑰協商，建立和維護安全聯盟SA等服務

安全協定：

AH、ESP

AH（authentication header）封包頭驗證協定，主要提供完整性、真實性、防重放功能；然而，AH并不加密資料封包（機密性）。IP協定号=51。

ESP（encapsulating security payload）封裝安全載荷協定；除提供AH協定的所有功能外（但其完整性校驗不包括IP頭），還可提供對資料封包的加密功能。IP協定号=50。

IPSec封裝模式

傳輸模式：

在傳輸模式（Transport Mode）下，IPSec頭被插入到

但在所有傳輸層協定之前，或所有其它IPSec協定之前。

隧道模式

在隧道模式（Tunnel Mode）下，IPSec頭被插在原始IP頭之前，另外生成一個新的封包頭放到AH或ESP之前。

傳輸模式封裝結構：

ESP加密從ESP之後，不包括IP頭部；原因，IP頭加密後公網不識别，TTL等字段不識别

隧道模式封裝結構：

添加新的標頭

AH從新的報頭開始做整體的校驗

ESP從新的報頭之後插入ESP，對後面進行加密

加密點：PC

IPSec安全聯盟SA和IKE

安全聯盟：SA（security associate）

通信雙方結成盟友，互相信任親密無間，即達成約定

由一個（SPI，IP目的位址，安全協定号）三元組唯一辨別

決定了對封包進行何種處理：模式、協定、算法、密鑰、生存周期等

每個IPSec SA都是單向的

可以手工建立或通過IKE協商生成

SPD（security policy database）安全政策資料庫

SAD（security association database）

IKE：internet key exchange，網際網路密鑰交換

建立在ISAKMP定義上的架構上

基于UDP（端口号500）的應用層協定，可為資料加密提供所需的密鑰

使用DH算法，在不安全的網絡上安全地分發密鑰，驗證身份

定時更新SA和密鑰，實作完善的前向安全性（PFS）

向前保密：私鑰，洩露，就必然會導緻之前的資料被破解，那麼未來的資料呢？           

允許IPSec提供抗重播服務

簡化IPSec的使用和管理，大大簡化了IPSec的配置和維護工作

階段一：

在網絡上建立一個IKE SA，為階段2協商提供保護

分為主模式（main mode）和野蠻模式（aggressive mode）

階段二：

在階段1建立的IKE SA的保護下完成IPSec SA的協商

快速模式（quick mode）

對等體之間建立一個IKE SA完成身份驗證和密鑰資訊交換後，在IKE SA的保護下，根據配置的AH/ESP安全協定等參數協商出一對IPSec SA