ipsecvpn是VPN技術(shù)中一種點(diǎn)擊率很高的技術(shù)����。它還提供VPN和信息加密����。本專欄將介紹IPSecVPN的原理����。
IPSecVPN有三種應(yīng)用場景:
1.站點(diǎn)到站點(diǎn)(站點(diǎn)到站點(diǎn)或網(wǎng)關(guān)到網(wǎng)關(guān)):例如�����,這三個(gè)組織分布在互聯(lián)網(wǎng)的三個(gè)不同位置���,每個(gè)組織使用業(yè)務(wù)試點(diǎn)網(wǎng)關(guān)彼此建立VPN隧道�����,企業(yè)內(nèi)部網(wǎng)(多臺PC)之間的數(shù)據(jù)可以通過這些網(wǎng)關(guān)建立的IPSec隧道進(jìn)行安全互連。
2.端到端(端到端或PC到PC):兩臺PC之間的通信由兩臺PC之間的IPSec會話保護(hù),而不是由網(wǎng)關(guān)保護(hù)��。
3.端到站點(diǎn)(端到站點(diǎn)或PC到網(wǎng)關(guān)):網(wǎng)關(guān)和遠(yuǎn)程PC之間的通信受IPSec保護(hù)�。
VPN只是IPSec的一種應(yīng)用模式。IPSec實(shí)際上是IP安全的縮寫。其目的是為IP提供高安全性功能�。VPN是通過實(shí)現(xiàn)此安全功能而生成的解決方案����。IPSec是一種框架體系結(jié)構(gòu)��,由兩種類型的協(xié)議組成:
1��、Ah協(xié)議(認(rèn)證頭,較少使用):可同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)源確認(rèn)���、反重放等安全功能;ah通常使用摘要算法(單向散列函數(shù))MD5和SHA1來實(shí)現(xiàn)此功能。
2、ESP協(xié)議(廣泛使用):可同時(shí)提供數(shù)據(jù)完整性確認(rèn)、數(shù)據(jù)加密、防重放等安全功能��;ESP通常使用DES�����、3DES、AES等加密算法實(shí)現(xiàn)數(shù)據(jù)加密�,使用MD5或SHA1實(shí)現(xiàn)數(shù)據(jù)完整性�����。
為什么ah使用較少?因?yàn)閍h不能提供數(shù)據(jù)加密,所以所有數(shù)據(jù)都以明文傳輸�,而ESP提供數(shù)據(jù)加密�;其次��,ah不能跨越NAT�,因?yàn)樗峁┝藬?shù)據(jù)源確認(rèn)(一旦源IP地址更改�����,ah驗(yàn)證就會失?��。?���。當(dāng)然����,在極端情況下,IPSec可以使用ah和ESP實(shí)現(xiàn)最完整的安全功能��,但這種方案非常罕見���。
IPSec封裝模式
在介紹了IPSecVPN的場景和IPSec協(xié)議的組成之后���,我們來看看IPSec(傳輸模式和隧道模式)提供的兩種封裝模式��。
上圖顯示了傳輸模式的封裝結(jié)構(gòu)��,然后比較隧道模式:
傳輸模式和隧道模式之間的差異可以發(fā)現(xiàn):
1.傳輸方式在ah和ESP處理前后保持IP報(bào)頭不變,主要用于端到端應(yīng)用場景�����。
2.隧道模式封裝ah和ESP處理后的外部IP報(bào)頭���,主要用于點(diǎn)對點(diǎn)應(yīng)用場景���。
從上圖中�,我們還可以驗(yàn)證上一節(jié)介紹的ah和ESP之間的差異。下圖描述了傳輸模式和隧道模式適用于哪些場景����。
從這個(gè)數(shù)字的比較中可以看出:
1.隧道模式可應(yīng)用于任何場景
2.傳輸模式僅適用于PC到PC的場景
盡管隧道模式可以應(yīng)用于任何場景��,但隧道模式需要額外的IP報(bào)頭層(長度通常為20字節(jié)),因此建議在PC到PC場景中使用傳輸模式���。
為了讓妳有一個(gè)更直觀的理解,讓我們看看下面的圖來分析為什么隧道模式只能在站點(diǎn)到站點(diǎn)場景中使用:
如上圖所示���,如果發(fā)起方內(nèi)網(wǎng)PC發(fā)送到響應(yīng)方內(nèi)網(wǎng)PC的流量滿足網(wǎng)關(guān)的興趣流匹配條件,則發(fā)起方使用傳輸方式進(jìn)行封裝:
1.在發(fā)起方和響應(yīng)方之間建立IPSec會話���。
2.由于使用了傳輸模式,IP報(bào)頭不會改變��。IP源地址為192.1681.2����,目標(biāo)地址為10.11.2
3.當(dāng)這個(gè)數(shù)據(jù)包被發(fā)送到互聯(lián)網(wǎng)后,它的命運(yùn)注定是一個(gè)杯子�。為什么這么說�,因?yàn)樗哪繕?biāo)地址是10.1.2�����?這不是根本原因。根本原因是互聯(lián)網(wǎng)沒有維護(hù)企業(yè)網(wǎng)絡(luò)的路由�,因此很可能被丟棄�。
4.即使數(shù)據(jù)包沒有在互聯(lián)網(wǎng)上被丟棄��,并且幸運(yùn)地到達(dá)了響應(yīng)者網(wǎng)關(guān)���,我們是否期望響應(yīng)者網(wǎng)關(guān)對其進(jìn)行解密�����?哎呀,真的沒有好的證件����。數(shù)據(jù)包的目標(biāo)地址是intranetPC1.2的10.1�,因此直接轉(zhuǎn)發(fā)它���。
5.最重要的是����,響應(yīng)者的內(nèi)聯(lián)網(wǎng)PC收到了數(shù)據(jù)包。由于未參與IPSec會話的協(xié)商會議,且沒有相應(yīng)的SA,該數(shù)據(jù)包無法解密并被丟棄��。
我們使用這種反證法巧妙地解釋了在站點(diǎn)到站點(diǎn)的案例中無法使用傳輸模式的原因�����。提出了采用傳輸方式的充要條件:感興趣的流必須完全在發(fā)起方和響應(yīng)方的IP地址范圍內(nèi)����。例如�,在圖中,啟動器的IP地址為6.241.2����。響應(yīng)者的IP地址為2.171.2,則興趣流可以是源6.241.2/32。目的是2.171.2/32����,協(xié)議可以是任意的�����。如果數(shù)據(jù)包的源IP地址和目標(biāo)IP地址略有不同�����,對不起,請使用隧道模式。
IPSec協(xié)商
除了IPSec的一些協(xié)議原則外�����,我們更關(guān)注協(xié)議中與方案制定相關(guān)的內(nèi)容:
1.興趣流:IPSec是一種需要消耗資源的保護(hù)措施��。并非所有流量都需要IPSec處理�����,但需要IPSec保護(hù)的流量稱為興趣流。最終協(xié)商的興趣流是發(fā)起方和響應(yīng)方指定的興趣流的交集。例如���,發(fā)起者指定的興趣流是192.1681.0/24á10.0。0.0/8�����,而受訪者的利息流為10.00.0/8á192.168�����。0.0/16,則其交點(diǎn)為192.1681.0/24乘以10.0�。0.0/8��,這是受IPSec保護(hù)的最后一個(gè)興趣流。
2.啟動器:啟動器�����,IPSec會話協(xié)商的觸發(fā)器��。IPSec會話通常由指定的興趣流觸發(fā)����。觸發(fā)過程通常是將數(shù)據(jù)包中的源�����、目標(biāo)地址��、協(xié)議、源和目標(biāo)端口號與預(yù)先指定的IPSec興趣流匹配模板(如ACL)匹配�。如果匹配成功��,則它屬于指定的興趣流。指定的利息流僅用于觸發(fā)協(xié)商�。它是否受IPSec保護(hù)取決于它是否匹配協(xié)商興趣流���。然而����,在一般實(shí)現(xiàn)過程中�����,通常設(shè)計(jì)為發(fā)起方指定興趣流屬于協(xié)商興趣流。
3.響應(yīng)者:響應(yīng)者��,IPSec會話協(xié)商的接收者�����?�;貞?yīng)者是被動談判。響應(yīng)者可以指定興趣流�����,也可以不指定(完全由發(fā)起人指定)。
4.發(fā)起方與響應(yīng)方協(xié)商的內(nèi)容主要包括:雙方身份確認(rèn)和密鑰種子刷新周期����、ah/ESP組合模式及其各自算法��、興趣流、封裝模式等�。
5.Sa:發(fā)起方和響應(yīng)方協(xié)商的結(jié)果是高暴露的Sa���。SA通常包括密鑰和密鑰生存期����、算法���、封裝模式�����、發(fā)起方�����、響應(yīng)方地址��、興趣流等��。
我們以最常見的IPSec隧道模式為例來說明IPSec的協(xié)商過程:
上圖描述了由興趣流觸發(fā)的IPSec協(xié)商過程。原始IPSec沒有身份確認(rèn)和其他協(xié)商過程。該方案存在許多缺陷�����,如當(dāng)啟動器地址發(fā)生動態(tài)變化時(shí)��,無法支持身份確認(rèn)和密鑰動態(tài)更新��。帶IPSec的Ike(Internet密鑰交換)協(xié)議專門用于彌補(bǔ)這些缺點(diǎn):
1.發(fā)起方定義的興趣流為source192.1681.0/24purpose10.00.0/8,因此從發(fā)起方的內(nèi)聯(lián)網(wǎng)PC發(fā)送到響應(yīng)方的內(nèi)聯(lián)網(wǎng)PC的數(shù)據(jù)包可以在接口處進(jìn)行匹配。
2.如果滿足利息流條件,且轉(zhuǎn)發(fā)界面上SA不存在、到期或不可用�,則進(jìn)行協(xié)商�。否則���,當(dāng)前SA將用于處理數(shù)據(jù)包����。
3.談判過程通常分為兩個(gè)階段。第一階段是服務(wù)于第二階段���,第二階段是服務(wù)于利益流的真正SA。這兩個(gè)階段的重點(diǎn)是不同的���。第一階段主要是確認(rèn)雙方身份的正確性,第二階段是為興趣流創(chuàng)建指定的安全套件,最重要的結(jié)果是第二階段的興趣流是對話中的密文。
