1、技术点详解-IPSec VPN基本原理其他话题: 技术点详解-双链路智能切换 技术点详解-互联网双出口的选择 技术点详解-同时访问VPN和互联网 技术点详解-SSL VPN 技术点详解-IPSec方案部署 技术点详解-IPSec穿越NAT 技术点详解-IPSec VPN基本原理 技术点详解-L2TP VPN 技术点详解-网络中的身份保护与信息保护 技术点详解-互联网应用如何穿越NAT 技术点详解-VPN远程访问概述 技术点详解-互联网访问控制 内部服务器如何提供访问服务 技术点详解局域网访问隔离 技术点详解局域网安全 商务领航与天翼的融合 访问互联网和LAN通信 信息通信网关部署 何以解中小公
2、司信息化之“忧”?IPSec VPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSec VPN的原理。IPSec VPN应用场景IPSec VPN的应用场景分为3种:1.Site-to-Site(站点到站点或者网关到网关):如弯曲评论的3个机构分布在互联网的3个不同的地方,各使用一个商务领航网关互相建立VPN隧道,公司内网(若干PC)之间的数据通过这些网关建立的IPSec隧道实现安全互联。2.End-to-End(端到端或者PC到PC): 两个PC之间的通信由两个PC之间的IPSec会话保护,而不是网关。3.End-to-Site(端到
3、站点或者PC到网关):两个PC之间的通信由网关和异地PC之间的IPSec进行保护。VPN只是IPSec的一种应用方式,IPSec其实是IP Security的简称,它的目的是为IP提供高安全性特性,VPN则是在实现这种安全特性的方式下产生的解决方案。IPSec是一个框架性架构,具体由两类协议组成:1.AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。2.ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整
4、性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。为什么AH使用较少呢?由于AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;另一方面AH由于提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT。当然,IPSec在极端的情况下可以同时使用AH和ESP实现最完整的安全特性,但是此种方案极其少见。IPSec封装模式介绍完IPSec VPN的场景和IPSec协议组成,再来看一下IPSec提供的两种封装模式(传输Transport模式和隧道Tunnel模式)上图是传输模式的封
5、装结构,再来对比一下隧道模式:可以发现传输模式和隧道模式的区别:1.传输模式在AH、ESP解决前后IP头部保持不变,重要用于End-to-End的应用场景。2.隧道模式则在AH、ESP解决之后再封装了一个外网IP头,重要用于Site-to-Site的应用场景。从上图我们还可以验证上一节所介绍AH和ESP的差别。下图是对传输模式、隧道模式合用于何种场景的说明。从这张图的对比可以看出:1.隧道模式可以合用于任何场景2.传输模式只能适合PC到PC的场景隧道模式虽然可以合用于任何场景,但是隧道模式需要多一层IP头(通常为20字节长度)开销,所以在PC到PC的场景,建议还是使用传输模式。为了使大家有个更
6、直观的了解,我们看看下图,分析一下为什么在Site-to-Site场景中只能使用隧道模式:如上图所示,假如发起方内网PC发往响应方内网PC的流量满足网关的爱好流匹配条件,发起方使用传输模式进行封装:1.IPSec会话建立在发起方、响应方两个网关之间。2.由于使用传输模式,所以IP头部并不会有任何变化,IP源地址是192.168.1.2,目的地址是10.1.1.2。3.这个数据包发到互联网后,其命运注定是杯具的,为什么这么讲,就由于其目的地址是10.1.1.2吗?这并不是根源,根源在于互联网并不会维护公司网络的路由,所以丢弃的也许性很大。4.即使数据包没有在互联网中丢弃,并且幸运地到达了响应方网
7、关,那么我们指望响应方网关进行解密工作吗?凭什么,的确没什么好的凭据,数据包的目的地址是内网PC的10.1.1.2,所以直接转发了事。5.最杯具的是响应方内网PC收到数据包了,由于没有参与IPSec会话的协商会议,没有相应的SA,这个数据包无法解密,而被丢弃。我们运用这个反证法,巧妙地解释了在Site-to-Site情况下不能使用传输模式的因素。并且提出了使用传输模式的充要条件:爱好流必须完全在发起方、响应方IP地址范围内的流量。比如在图中,发起方IP地址为6.24.1.2,响应方IP地址为2.17.1.2,那么爱好流可以是源6.24.1.2/32、目的是2.17.1.2/32,协议可以是任意
8、的,倘若数据包的源、目的IP地址稍有不同,对不起,请使用隧道模式。IPSec协商IPSec除了一些协议原理外,我们更关注的是协议中涉及到方案制定的内容:1.爱好流:IPSec是需要消耗资源的保护措施,并非所有流量都需要IPSec进行解决,而需要IPSec进行保护的流量就称为爱好流,最后协商出来的爱好流是由发起方和响应方所指定爱好流的交集,如发起方指定爱好流为192.168.1.0/2410.0.0.0/8,而响应方的爱好流为10.0.0.0/8192.168.0.0/16,那么其交集是192.168.1.0/2410.0.0.0/8,这就是最后会被IPSec所保护的爱好流。2.发起方:Init
9、iator,IPSec会话协商的触发方,IPSec会话通常是由指定爱好流触发协商,触发的过程通常是将数据包中的源、目的地址、协议以及源、目的端标语与提前指定的IPSec爱好流匹配模板如ACL进行匹配,假如匹配成功则属于指定爱好流。指定爱好流只是用于触发协商,至于是否会被IPSec保护要看是否匹配协商爱好流,但是在通常实行方案过程中,通常会设计成发起方指定爱好流属于协商爱好流。3.响应方:Responder,IPSec会话协商的接受方,响应方是被动协商,响应方可以指定爱好流,也可以不指定(完全由发起方指定)。4.发起方和响应方协商的内容重要涉及:双方身份的确认和密钥种子刷新周期、AH/ESP的组
10、合方式及各自使用的算法,还涉及爱好流、封装模式等。5.SA:发起方、响应方协商的结果就是曝光率很高的SA,SA通常是涉及密钥及密钥生存期、算法、封装模式、发起方、响应方地址、爱好流等内容。我们以最常见的IPSec隧道模式为例,解释一下IPSec的协商过程:上图描述了由爱好流触发的IPSec协商流程,原生IPSec并无身份确认等协商过程,在方案上存在诸多缺陷,如无法支持发起方地址动态变化情况下的身份确认、密钥动态更新等。随着IPSec出现的IKE(Internet Key Exchange)协议专门用来填补这些局限性:1.发起方定义的爱好流是源192.168.1.0/24目的10.0.0.0/8
11、,所以在接口发送发起方内网PC发给响应方内网PC的数据包,可以得以匹配。2.满足爱好流条件,在转发接口上检查SA不存在、过期或不可用,都会进行协商,否则使用当前SA对数据包进行解决。3.协商的过程通常分为两个阶段,第一阶段是为第二阶段服务,第二阶段是真正的为爱好流服务的SA,两个阶段协商的侧重有所不同,第一阶段重要确认双方身份的对的性,第二阶段则是为爱好流创建一个指定的安全套件,其最显著的结果就是第二阶段中的爱好流在会话中是密文。IPSec中安全性还体现在第二阶段SA永远是单向的:从上图可以发现,在协商第二阶段SA时,SA是分方向性的,发起方到响应方所用SA和响应放到发起方SA是单独协商的,这样做的好处在于即使某个方向的SA被破解并不会波及到另一个方向的SA。这种设计类似于双向车道设计。IPSec虽然只是5个字母的排列组合,但其所涉及的协议功能众多、方案又极其灵活,本期重要介绍IPSec的基本原理,在后续专栏还会继续介绍IPSec的其它方面知识。
©2010-2024 宁波自信网络信息技术有限公司 版权所有
客服电话:4008-655-100 投诉/维权电话:4009-655-100