ipsecvpn是VPN技術(shù)中一種點(diǎn)擊率很高的技術(shù)�����。它還提供VPN和信息加密�。本專欄將介紹IPSecVPN的原理����。
IPSecVPN有三種應(yīng)用場(chǎng)景:
1.站點(diǎn)到站點(diǎn)(站點(diǎn)到站點(diǎn)或網(wǎng)關(guān)到網(wǎng)關(guān)):例如,這三個(gè)組織分布在互聯(lián)網(wǎng)的三個(gè)不同位置�����,每個(gè)組織使用業(yè)務(wù)試點(diǎn)網(wǎng)關(guān)彼此建立VPN隧道�,企業(yè)內(nèi)部網(wǎng)(多臺(tái)PC)之間的數(shù)據(jù)可以通過(guò)這些網(wǎng)關(guān)建立的IPSec隧道進(jìn)行安全互連。
2.端到端(端到端或PC到PC):兩臺(tái)PC之間的通信由兩臺(tái)PC之間的IPSec會(huì)話保護(hù)�����,而不是由網(wǎng)關(guān)保護(hù)。
3.端到站點(diǎn)(端到站點(diǎn)或PC到網(wǎng)關(guān)):網(wǎng)關(guān)和遠(yuǎn)程PC之間的通信受IPSec保護(hù)��。
VPN只是IPSec的一種應(yīng)用模式�����。IPSec實(shí)際上是IP安全的縮寫(xiě)��。其目的是為IP提供高安全性功能���。VPN是通過(guò)實(shí)現(xiàn)此安全功能而生成的解決方案。IPSec是一種框架體系結(jié)構(gòu)����,由兩種類型的協(xié)議組成:
1、Ah協(xié)議(認(rèn)證頭��,較少使用):可同時(shí)提供數(shù)據(jù)完整性確認(rèn)�����、數(shù)據(jù)源確認(rèn)�、反重放等安全功能;ah通常使用摘要算法(單向散列函數(shù))MD5和SHA1來(lái)實(shí)現(xiàn)此功能�����。
2、ESP協(xié)議(廣泛使用):可同時(shí)提供數(shù)據(jù)完整性確認(rèn)�、數(shù)據(jù)加密、防重放等安全功能��;ESP通常使用DES��、3DES���、AES等加密算法實(shí)現(xiàn)數(shù)據(jù)加密�����,使用MD5或SHA1實(shí)現(xiàn)數(shù)據(jù)完整性����。
為什么ah使用較少�����?因?yàn)閍h不能提供數(shù)據(jù)加密���,所以所有數(shù)據(jù)都以明文傳輸��,而ESP提供數(shù)據(jù)加密���;其次�����,ah不能跨越NAT�,因?yàn)樗峁┝藬?shù)據(jù)源確認(rèn)(一旦源IP地址更改�����,ah驗(yàn)證就會(huì)失?���。?�。當(dāng)然����,在極端情況下,IPSec可以使用ah和ESP實(shí)現(xiàn)最完整的安全功能�,但這種方案非常罕見(jiàn)。
IPSec封裝模式
在介紹了IPSecVPN的場(chǎng)景和IPSec協(xié)議的組成之后����,我們來(lái)看看IPSec(傳輸模式和隧道模式)提供的兩種封裝模式����。
上圖顯示了傳輸模式的封裝結(jié)構(gòu)�����,然后比較隧道模式:
傳輸模式和隧道模式之間的差異可以發(fā)現(xiàn):
1.傳輸方式在ah和ESP處理前后保持IP報(bào)頭不變�,主要用于端到端應(yīng)用場(chǎng)景。
2.隧道模式封裝ah和ESP處理后的外部IP報(bào)頭���,主要用于點(diǎn)對(duì)點(diǎn)應(yīng)用場(chǎng)景���。
從上圖中,我們還可以驗(yàn)證上一節(jié)介紹的ah和ESP之間的差異���。下圖描述了傳輸模式和隧道模式適用于哪些場(chǎng)景�。
從這個(gè)數(shù)字的比較中可以看出:
1.隧道模式可應(yīng)用于任何場(chǎng)景
2.傳輸模式僅適用于PC到PC的場(chǎng)景
盡管隧道模式可以應(yīng)用于任何場(chǎng)景��,但隧道模式需要額外的IP報(bào)頭層(長(zhǎng)度通常為20字節(jié))����,因此建議在PC到PC場(chǎng)景中使用傳輸模式��。
為了讓妳有一個(gè)更直觀的理解����,讓我們看看下面的圖來(lái)分析為什么隧道模式只能在站點(diǎn)到站點(diǎn)場(chǎng)景中使用:
如上圖所示���,如果發(fā)起方內(nèi)網(wǎng)PC發(fā)送到響應(yīng)方內(nèi)網(wǎng)PC的流量滿足網(wǎng)關(guān)的興趣流匹配條件��,則發(fā)起方使用傳輸方式進(jìn)行封裝:
1.在發(fā)起方和響應(yīng)方之間建立IPSec會(huì)話�����。
2.由于使用了傳輸模式��,IP報(bào)頭不會(huì)改變�。IP源地址為192.1681.2�,目標(biāo)地址為10.11.2
3.當(dāng)這個(gè)數(shù)據(jù)包被發(fā)送到互聯(lián)網(wǎng)后,它的命運(yùn)注定是一個(gè)杯子���。為什么這么說(shuō),因?yàn)樗哪繕?biāo)地址是10.1.2�?這不是根本原因。根本原因是互聯(lián)網(wǎng)沒(méi)有維護(hù)企業(yè)網(wǎng)絡(luò)的路由��,因此很可能被丟棄。
4.即使數(shù)據(jù)包沒(méi)有在互聯(lián)網(wǎng)上被丟棄�����,并且幸運(yùn)地到達(dá)了響應(yīng)者網(wǎng)關(guān)���,我們是否期望響應(yīng)者網(wǎng)關(guān)對(duì)其進(jìn)行解密��?哎呀����,真的沒(méi)有好的證件�。數(shù)據(jù)包的目標(biāo)地址是intranetPC1.2的10.1,因此直接轉(zhuǎn)發(fā)它��。
5.最重要的是�����,響應(yīng)者的內(nèi)聯(lián)網(wǎng)PC收到了數(shù)據(jù)包���。由于未參與IPSec會(huì)話的協(xié)商會(huì)議����,且沒(méi)有相應(yīng)的SA,該數(shù)據(jù)包無(wú)法解密并被丟棄���。
我們使用這種反證法巧妙地解釋了在站點(diǎn)到站點(diǎn)的案例中無(wú)法使用傳輸模式的原因����。提出了采用傳輸方式的充要條件:感興趣的流必須完全在發(fā)起方和響應(yīng)方的IP地址范圍內(nèi)���。例如��,在圖中�,啟動(dòng)器的IP地址為6.241.2��。響應(yīng)者的IP地址為2.171.2���,則興趣流可以是源6.241.2/32�。目的是2.171.2/32�,協(xié)議可以是任意的。如果數(shù)據(jù)包的源IP地址和目標(biāo)IP地址略有不同��,對(duì)不起��,請(qǐng)使用隧道模式�����。
IPSec協(xié)商
除了IPSec的一些協(xié)議原則外�����,我們更關(guān)注協(xié)議中與方案制定相關(guān)的內(nèi)容:
1.興趣流:IPSec是一種需要消耗資源的保護(hù)措施�。并非所有流量都需要IPSec處理,但需要IPSec保護(hù)的流量稱為興趣流���。最終協(xié)商的興趣流是發(fā)起方和響應(yīng)方指定的興趣流的交集�。例如����,發(fā)起者指定的興趣流是192.1681.0/24á10.0。0.0/8�����,而受訪者的利息流為10.00.0/8á192.168�。0.0/16,則其交點(diǎn)為192.1681.0/24乘以10.0��。0.0/8�,這是受IPSec保護(hù)的最后一個(gè)興趣流�。
2.啟動(dòng)器:?jiǎn)?dòng)器��,IPSec會(huì)話協(xié)商的觸發(fā)器�����。IPSec會(huì)話通常由指定的興趣流觸發(fā)���。觸發(fā)過(guò)程通常是將數(shù)據(jù)包中的源�、目標(biāo)地址�、協(xié)議、源和目標(biāo)端口號(hào)與預(yù)先指定的IPSec興趣流匹配模板(如ACL)匹配�。如果匹配成功,則它屬于指定的興趣流�����。指定的利息流僅用于觸發(fā)協(xié)商�����。它是否受IPSec保護(hù)取決于它是否匹配協(xié)商興趣流�。然而,在一般實(shí)現(xiàn)過(guò)程中,通常設(shè)計(jì)為發(fā)起方指定興趣流屬于協(xié)商興趣流�����。
3.響應(yīng)者:響應(yīng)者��,IPSec會(huì)話協(xié)商的接收者���。回應(yīng)者是被動(dòng)談判���。響應(yīng)者可以指定興趣流����,也可以不指定(完全由發(fā)起人指定)�����。
4.發(fā)起方與響應(yīng)方協(xié)商的內(nèi)容主要包括:雙方身份確認(rèn)和密鑰種子刷新周期��、ah/ESP組合模式及其各自算法��、興趣流�、封裝模式等。
5.Sa:發(fā)起方和響應(yīng)方協(xié)商的結(jié)果是高暴露的Sa。SA通常包括密鑰和密鑰生存期����、算法、封裝模式��、發(fā)起方�、響應(yīng)方地址、興趣流等�����。
我們以最常見(jiàn)的IPSec隧道模式為例來(lái)說(shuō)明IPSec的協(xié)商過(guò)程:
上圖描述了由興趣流觸發(fā)的IPSec協(xié)商過(guò)程����。原始IPSec沒(méi)有身份確認(rèn)和其他協(xié)商過(guò)程。該方案存在許多缺陷��,如當(dāng)啟動(dòng)器地址發(fā)生動(dòng)態(tài)變化時(shí)�,無(wú)法支持身份確認(rèn)和密鑰動(dòng)態(tài)更新。帶IPSec的Ike(Internet密鑰交換)協(xié)議專門(mén)用于彌補(bǔ)這些缺點(diǎn):
1.發(fā)起方定義的興趣流為source192.1681.0/24purpose10.00.0/8����,因此從發(fā)起方的內(nèi)聯(lián)網(wǎng)PC發(fā)送到響應(yīng)方的內(nèi)聯(lián)網(wǎng)PC的數(shù)據(jù)包可以在接口處進(jìn)行匹配。
2.如果滿足利息流條件�,且轉(zhuǎn)發(fā)界面上SA不存在���、到期或不可用,則進(jìn)行協(xié)商�。否則,當(dāng)前SA將用于處理數(shù)據(jù)包�����。
3.談判過(guò)程通常分為兩個(gè)階段�。第一階段是服務(wù)于第二階段��,第二階段是服務(wù)于利益流的真正SA����。這兩個(gè)階段的重點(diǎn)是不同的。第一階段主要是確認(rèn)雙方身份的正確性�����,第二階段是為興趣流創(chuàng)建指定的安全套件��,最重要的結(jié)果是第二階段的興趣流是對(duì)話中的密文�����。
