IPSec VPN
開放的安全架構結構,可以用來保證IP資料封包在網絡上傳輸的機密性、完整性和防重放
IPSec:internet protocol security
-源于IPv6
-IETF制定的一套安全保密性能架構
-建立在網絡層的安全保障機制
-引入多種加密算法、驗證算法和密鑰管理機制
-也具有配置複雜、消耗運算資源較多、增加延遲、不支援多點傳播等缺點
-IPSec VPN是利用IPSec隧道建立的VPN技術
IPSec核心功能:
機密性:對資料進行加密,確定資料在傳輸過程中不被其他人員檢視;
完整性:對接收到的資料包進行完整性驗證,以確定資料在過程中沒有被篡改
真實性:驗證資料源,以保證資料來自真實的發送者(IP封包頭内的源位址);
防重放:防止惡意使用者通過重複發送捕獲到的資料包所進行的攻擊,即接收方會拒絕舊的或重複的資料包
DES和3DES加密算法存在安全隐患,建議優先使用AES、SM1或SM4算法;
MD5和SHA-1驗證算法存在安全隐患,建議優先使用SHA-2或SM3算法
通過AH和ESP這兩個安全協定來實作IP資料封包的安全傳送
IKE協定提供密鑰協商,建立和維護安全聯盟SA等服務
安全協定:
AH、ESP
AH(authentication header)封包頭驗證協定,主要提供完整性、真實性、防重放功能;然而,AH并不加密資料封包(機密性)。IP協定号=51。
ESP(encapsulating security payload)封裝安全載荷協定;除提供AH協定的所有功能外(但其完整性校驗不包括IP頭),還可提供對資料封包的加密功能。IP協定号=50。
IPSec封裝模式
傳輸模式:
在傳輸模式(Transport Mode)下,IPSec頭被插入到
但在所有傳輸層協定之前,或所有其它IPSec協定之前。
隧道模式
在隧道模式(Tunnel Mode)下,IPSec頭被插在原始IP頭之前,另外生成一個新的封包頭放到AH或ESP之前。
傳輸模式封裝結構:
ESP加密從ESP之後,不包括IP頭部;原因,IP頭加密後公網不識别,TTL等字段不識别
隧道模式封裝結構:
添加新的標頭
AH從新的報頭開始做整體的校驗
ESP從新的報頭之後插入ESP,對後面進行加密
加密點:PC
IPSec安全聯盟SA和IKE
安全聯盟:SA(security associate)
通信雙方結成盟友,互相信任親密無間,即達成約定
由一個(SPI,IP目的位址,安全協定号)三元組唯一辨別
決定了對封包進行何種處理:模式、協定、算法、密鑰、生存周期等
每個IPSec SA都是單向的
可以手工建立或通過IKE協商生成
SPD(security policy database)安全政策資料庫
SAD(security association database)
IKE:internet key exchange,網際網路密鑰交換
建立在ISAKMP定義上的架構上
基于UDP(端口号500)的應用層協定,可為資料加密提供所需的密鑰
使用DH算法,在不安全的網絡上安全地分發密鑰,驗證身份
定時更新SA和密鑰,實作完善的前向安全性(PFS)
向前保密:私鑰,洩露,就必然會導緻之前的資料被破解,那麼未來的資料呢?
允許IPSec提供抗重播服務
簡化IPSec的使用和管理,大大簡化了IPSec的配置和維護工作
階段一:
在網絡上建立一個IKE SA,為階段2協商提供保護
分為主模式(main mode)和野蠻模式(aggressive mode)
階段二:
在階段1建立的IKE SA的保護下完成IPSec SA的協商
快速模式(quick mode)
對等體之間建立一個IKE SA完成身份驗證和密鑰資訊交換後,在IKE SA的保護下,根據配置的AH/ESP安全協定等參數協商出一對IPSec SA