IPSec實現
工作於TCP/IP第三層IP層上網絡數據安全地壹整套體系結構;包括網絡認證協議AH(Authentication Header,認證頭)、ESP(Encapsulating Security Payload,封裝安全載荷)、IKE(Internet Key Exchange,因特網密鑰交換又稱isakmp)和用於網絡認證及加密的壹些算法等。其中,AH協議和ESP協議用於提供安全服務,IKE協議用於密鑰交換。
整個IPSec VPN地實現基本簡化為兩個SA協商完成
SA(security association):是兩個通信實體經協商建立起來地壹種協議,它們決定了用來保護數據包安全地IPsec協議,轉碼方式,密鑰,以及密鑰地有效存在時間等等
IKE(isakmp)SA: 協商對IKE數據流進行加密以及對對等體進行驗證地算法(對密鑰地加密和peer地認證) 對等體之間只能存在壹個
第壹階段:建立ISAKMPSA協商的是以下信息:
1、對等體之間采用何種方式做認證,是預***享密鑰還是數字證書。
2、雙方使用哪種加密算法(DES、3DES)
3、雙方使用哪種HMAC方式,是MD5還是SHA
4、雙方使用哪種Diffie-Hellman密鑰組
5、使用哪種協商模式(主模式或主動模式)
6、協商SA的生存期
IPSec SA: 協商對對等體之間地IP數據流進行加密地算法? 對等體之間可以存在多個
第二階段:建立IPsecSA協商的是以下信息:
1、雙方使用哪種封裝技術,AH還是ESP
2、雙方使用哪種加密算法
3、雙方使用哪種HMAC方式,是MD5還是SHA
4、使用哪種傳輸模式,是隧道模式還是傳輸模式
5、協商SA的生存期
名詞解釋:
AH協議(IP協議號為51): 提供數據源認證、數據完整性校驗和防報文重放功能,它能保護通信免受篡改,但不能防止竊聽,適合用於傳輸非機密數據。AH的工作原理是在每壹個數據包上添加壹個身份驗證報文頭,此報文頭插在標準IP包頭後面,對數據提供完整性保護。可選擇的認證算法有MD5(Message Digest)、SHA-1(Secure Hash Algorithm)等。
ESP協議(IP協議號為50): 提供加密、數據源認證、數據完整性校驗和防報文重放功能。ESP的工作原理是在每壹個數據包的標準IP包頭後面添加壹個ESP報文頭,並在數據包後面追加壹個ESP尾。與AH協議不同的是,ESP將需要保護的用戶數據進行加密後再封裝到IP包中,以保證數據的機密性。常見的加密算法有DES、3DES、AES等。同時,作為可選項,用戶可以選擇MD5、SHA-1算法保證報文的完整性和真實性。
IPSec有兩種工作模式:
隧道(tunnel)模式: 用戶的整個IP數據包被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被封裝在壹個新的IP數據包中。通常,隧道模式應用在兩個安全網關之間的通訊。
傳輸(transport)模式: 只是傳輸層數據被用來計算AH或ESP頭,AH或ESP頭以及ESP加密的用戶數據被放置在原IP包頭後面。通常,傳輸模式應用在兩臺主機之間的通訊,或壹臺主機和壹個安全網關之間的通訊。
1. 數據認證
數據認證有如下兩方面的概念:
身份認證:身份認證確認通信雙方的身份。支持兩種認證方法:預***享密鑰(pre-shared-key)認證和基於PKI的數字簽名(rsa-signature)認證。
身份保護:身份數據在密鑰產生之後加密傳送,實現了對身份數據的保護。
2. DH
DH(Diffie-Hellman,交換及密鑰分發)算法是壹種公***密鑰算法。通信雙方在不傳輸密鑰的情況下通過交換壹些數據,計算出***享的密鑰。即使第三者(如黑客)截獲了雙方用於計算密鑰的所有交換數據,由於其復雜度很高,不足以計算出真正的密鑰。所以,DH交換技術可以保證雙方能夠安全地獲得公有信息。
3. PFS
PFS(Perfect Forward Secrecy,完善的前向安全性)特性是壹種安全特性,指壹個密鑰被破解,並不影響其他密鑰的安全性,因為這些密鑰間沒有派生關系。對於IPsec,是通過在IKE階段2協商中增加壹次密鑰交換來實現的。PFS特性是由DH算法保障的。
IKE的交換過程
IKE使用了兩個階段為IPsec進行密鑰協商並建立SA:
第壹階段,通信各方彼此間建立了壹個已通過身份認證和安全保護的通道,即建立壹個ISAKMP SA。第壹階段有主模式(Main Mode)和野蠻模式(Aggressive Mode)兩種IKE交換方法。
第二階段,用在第壹階段建立的安全隧道為IPsec協商安全服務,即為IPsec協商具體的SA,建立用於最終的IP數據安全傳輸的IPsec SA。
如圖2-1所示,第壹階段主模式的IKE協商過程中包含三對消息:
l 第壹對叫SA交換,是協商確認有關安全策略的過程;
l 第二對消息叫密鑰交換,交換Diffie-Hellman公***值和輔助數據(如:隨機數),密鑰材料在這個階段產生;
l 最後壹對消息是ID信息和認證數據交換,進行身份認證和對整個第壹階段交換內容的認證。
野蠻模式交換與主模式交換的主要差別在於,野蠻模式不提供身份保護,只交換3條消息。在對身份保護要求不高的場合,使用交換報文較少的野蠻模式可以提高協商的速度;在對身份保護要求較高的場合,則應該使用主模式。
IKE在IPsec中的作用
l 因為有了IKE,IPsec很多參數(如:密鑰)都可以自動建立,降低了手工配置的復雜度。
l IKE協議中的DH交換過程,每次的計算和產生的結果都是不相關的。每次SA的建立都運行DH交換過程,保證了每個SA所使用的密鑰互不相關。
l IPsec使用AH或ESP報文頭中的序列號實現防重放。此序列號是壹個32比特的值,此數溢出後,為實現防重放,SA需要重新建立,這個過程需要IKE協議的配合。
l 對安全通信的各方身份的認證和管理,將影響到IPsec的部署。IPsec的大規模使用,必須有CA(Certificate Authority,認證中心)或其他集中管理身份數據的機構的參與。
l IKE提供端與端之間動態認證。
IPsec與IKE的關系
圖 5 IPsec與IKE的關系圖
從圖2-2中我們可以看出IKE和IPsec的關系:
l IKE是UDP之上的壹個應用層協議,是IPsec的信令協議;
l IKE為IPsec協商建立SA,並把建立的參數及生成的密鑰交給IPsec;
l IPsec使用IKE建立的SA對IP報文加密或認證處理。
SSL VPN簡介
SSL VPN是以SSL協議為安全基礎的VPN遠程接入技術,移動辦公人員(在SSL VPN中被稱為遠程用戶)使用SSL VPN可以安全、方便的接入企業內網,訪問企業內網資源,提高工作效率。
SSL VPN技術優勢:
無客戶端的便捷部署
應用層接入的安全保護
企業延伸的效率提升
SSL協議從身份認證、機密性、完整性三個方面確保了數據通信的安全 。
SSL VPN實現私密性 完整性 不可否認 源認證
SSL VPN的特點:
采用B/S架構,遠程用戶無需安裝額外軟件,可直接使用瀏覽器訪問內網資源。
SSL VPN可根據遠程用戶訪問內網資源的不同,對其訪問權限進行高細粒度控制。
提供了本地認證、服務器認證、認證匿名和證書挑戰多種身份認證方式,提高身份認證的靈活性。
可以使用主機檢查策略。
緩存清理策略用於清理遠程用戶訪問內網過程中在終端上留下的訪問哼唧,加固用戶的信息安全。
PN類型詳解 PPTP VPN
PPTP:點對點隧道協議,壹種支持多協議虛擬專用網絡(VPN)的網絡技術,工作在第二層數據鏈路層。以同樣工作在第二層的點對點傳輸協議(PPP)為基礎,PPTP將PPP幀封裝成IP數據包,以便於在互聯網上傳輸並可以通過密碼驗證協議(PAP),可擴展認證協議(EAP)增加安全性。遠程用戶能夠通過安裝有點對點協議的操作系統訪問公司網絡資源。
PPTP VPN的實現需要:客戶機和服務器之間必須有聯通並且可用的IP網絡。
該VPN可在Windows、Linux環境下搭建,或者通過配置路由器來實現。
L2F:第二層轉發協議。 用於建立跨越公***網絡的安全隧道來將ISP POP連接到企業內部網關。這個隧道建立了壹個用戶與企業客戶網絡間的虛擬點對點連接。 L2F允許高層協議的鏈路層隧道技術,使得把原始撥號服務器的位置和撥號協議連接終止與提供的網絡訪問位置分離成為可能。
L2TP VPN
L2TP:二層隧道協議,結合PPTP與L2F兩種二層隧道協議的優點,為眾多公司接受。 L2TP擴展了PPP模型,它使用PPP來封裝用戶數據,允許多協議通過隧道傳送,作為安全性增強,L2TP與IPSec(Internet協議安全性)結合——L2TP/IPsec, L2TP基於UDP協議,因此L2TP不保證數據消息的可靠投遞,若數據丟失,不予重傳。
L2TP 的實現:與PPTP不同, PPTP要求網絡為IP網絡,L2TP要求面向數據包的點對點連接。
該VPN可在Windows、Linux環境下搭建,或者通過配置防火墻、路由器來實現。
MPLS VPN
MPLS:多協議標簽交換(MPLS)是壹種用於快速數據包交換和路由的體系,它為網絡數據流量提供了目標、路由地址、轉發和交換等能力。更特殊的是,它具有管理各種不同形式通信流的機制。
它提供了壹種方式,將IP地址映射為簡單的具有固定長度的標簽,用於不同的包轉發和包交換技術。
傳統的VPN是基於 PPTP L2TP等隧道協議來實現私有網絡間數據流在公網上的傳送。而LSP本身就是公網上的隧道,所以用MPLS來實現VPN有天然的優勢。
基於MPLS的VPN就是通過LSP將私有網絡的不同分支聯結起來,形成壹個統壹的網絡。基於MPLS的VPN還支持對不同VPN間的互通控制。
MPLSVPN網絡主要由CE、PE和P等3部分組成:
CE(Customer Edge):用戶網絡邊緣設備,可以是路由器 交換機 主機。
PE(Provider Edge):是服務商邊緣路由器,位於骨幹網絡。
P(Provider):是服務提供商網絡中的骨幹路由器
SSL工作Socket層,IPsec工作在網絡層.
SSL(安全套接層)是壹個du基於標準的加密協議,提供加密和身份zhi識別服務。daoSSL廣泛應用於在互聯網上提供加密的通訊。SSL最普通的應用是在網絡瀏覽器中通過HTTPS實現的。然而,SSL是壹種透明的協議,對用戶基本上是不可見的,它可應用於任何基於TCP/IP的應用程序。
? 通用路由封裝協議GRE(Generic Routing Encapsulation) 提供了 將壹種協議的報文封裝在另壹種協議報文中 的機制,是壹種 隧道封裝技術 。GRE可以 封裝組播數據 ,並可以 和IPSec結合使用 ,從而保證語音、視頻等組播業務的安全
? IPSec? 用於在兩個端點之間提供安全的IP通信,但只能加密並傳播單播數據,無法加密和傳輸語音、視頻、動態路由協議信息等組播數據流量
GRE屬於網絡層協議?IP協議號為47GRE的優點總結:
? GRE實現機制簡單,對隧道兩端的設備負擔小
? GRE隧道可以通過IPv4網絡連通多種網絡協議的本地網絡,有效利用了原有的網絡架構,降低成本
? GRE隧道擴展了跳數受限網絡協議的工作範圍,支持企業靈活設計網絡拓撲
? GRE隧道可以封裝組播數據,和IPSec結合使用時可以保證語音、視頻等組播業務的安全
? GRE隧道支持使能MPLS LDP,使用GRE隧道承載MPLS LDP報文,建立LDP LSP,實現MPLS骨幹網的互通
? GRE隧道將不連續的子網連接起來,用於組建實現企業總部和分支間安全的連接
? GRE屬於網絡層協議?IP協議號為47
GRE的優點總結:
? GRE實現機制簡單,對隧道兩端的設備負擔小
? GRE隧道可以通過IPv4網絡連通多種網絡協議的本地網絡,有效利用了原有的網絡架構,降低成本
? GRE隧道擴展了跳數受限網絡協議的工作範圍,支持企業靈活設計網絡拓撲
? GRE隧道可以封裝組播數據,和IPSec結合使用時可以保證語音、視頻等組播業務的安全
? GRE隧道支持使能MPLS LDP,使用GRE隧道承載MPLS LDP報文,建立LDP LSP,實現MPLS骨幹網的互通
? GRE隧道將不連續的子網連接起來,用於組建,實現企業總部和分支間安全的連接
隧道接口
? GRE隧道是通過隧道兩端的 Tunnel接口 建立的,所以需要在隧道兩端的設備上分別配置 Tunnel接口 。對於GRE的Tunnel接口,需要指定其協議類型為GRE、源地址或源接口、目的地址和Tunnel接口IP地址
? 隧道接口(tunnel接口) 是為實現報文的封裝而提供的壹種點對點類型的虛擬接口 與loopback接口類似 都是壹種 邏輯接
? GRE隧道接口包含 源地址 、 目的地址 和 隧道接口IP地址 和 封裝類型
? Tunnel的源地址:配置報文傳輸協議中的源地址。
? 當配置地址類型時,直接作為源地址使用
? 當配置類型為源接口時,取該接口的IP地址作為源地址使用
Tunnel的目的地址 :配置報文傳輸協議中的目的地址
? Tunnel接口IP地址 :為了在Tunnel接口上啟用動態路由協議,或使用靜態路由協議發布Tunnel接口,需要為Tunnel接口分配IP地址。Tunnel接口的IP地址可以不是公網地址,甚至可以借用其他接口的IP地址以節約IP地址。但是當Tunnel接口借用IP地址後,該地址不能直接通過tunnel口互通,因此在借用IP地址情況下,必須配置靜態路由或路由協議先實現借用地址的互通性,才能實現Tunnel的互通。
L2TP基本概念:
L2TP(Layer 2 Tunneling Protocol) VPN是壹種用於承載PPP報文的隧道技術,該技術主要應用在遠程辦公場景中為出差員工遠程訪問企業內網資源提供接入服務。
L2TP VPN的優點:
身份驗證機制,支持本地認證,支持Radius服務器等認證方式
多協議傳輸,L2TP傳輸PPP數據包,PPP本身可以傳輸多協議,而不僅僅是IP可以在PPP數據包內封裝多種協議
計費認證地址分配
可在LAC和LNS兩處同時計費,即ISP處(用於產生賬單)及企業網關(用於付費及審計)。L2TP能夠提供數據傳輸的出入包數、字節數以及連接的起始、結束時間等計費數據,可根據這些數據方便地進行網絡計費
LNS可放置於企業網的USG之後,對遠端用戶地址進行動態分配和管理,可支持私有地址應用
不受NAT限制穿越,支持遠程接入,靈活的身份驗證及時以及高度的安全性,L2TP協議本身並不提供連接的安全性,但它可以依賴於PPP提供的認證(CHAP、PAP等),因此具有PP所具有的所有安全特性。
L2TP和PPTP區別:
L2TP:公有協議、UDP1701、支持隧道驗證,支持多個協議,多個隧道,壓縮字節,支持三種模式
PPTP:私有協議、TCP1723、不支持隧道驗證,只支持IP、只支持點到點
PPTP:
點對點隧道協議(PPTP)是由包括Microsoft和3com等公司組成的PPTP論壇開發的,壹種點對點隧道協議,基於拔號使用的PPP協議使用PAP或CHAP之類的加密算法,或者使用Microsoft的點對點加密算法MPPE。
L2TP:
第二層隧道協議(L2TP)是IETF基於L2F(Cisco的2層轉發協議)開發的PPTP後續版本,是壹種工業標準Internet隧道協議。
兩者的主要區別主要有以下幾點:
PPTP只能在兩端間建立單壹隧道,L2TP支持在兩端點間使用多隧道,這樣可以針對不同的用戶創建不同的服務質量
L2TP可以提供隧道驗證機制,而PPTP不能提供這樣的機制,但當L2TP或PPTP與IPSec***同使用時,可以由IPSec提供隧道驗證,不需要在第二層協議上提供隧道驗證機制
PPTP要求互聯網絡為IP網絡,而L2TP只要求隧道媒介提供面向數據包的點對點連接,L2TP可以在IP(使用UDP),FR,ATM,x.25網絡上使用
L2TP可以提供包頭壓縮。當壓縮包頭時,系統開銷(voerhead)占用4個字節,而PPTP協議下要占用6個字節