|
了解IPsec
迫切需要在大型公共WAN(主要是Internet)上安全地傳輸數(shù)據(jù)包。解決方案是開發(fā)許多網(wǎng)絡(luò)協(xié)議����,其中IPsec是部署最多的協(xié)議之一。它可以從以下事實(shí)中獲益:無需對附加的同行進(jìn)行任何更改即可輕松調(diào)整����。在本文中,我們將研究IPsec的概述�����,其部署技術(shù)及其工作原理�����。
IPsec簡介
IPsec是相關(guān)協(xié)議的框架,用于保護(hù)網(wǎng)絡(luò)或分組處理層的通信��。它可用于保護(hù)對等體之間的一個(gè)或多個(gè)數(shù)據(jù)流�。IPsec支持?jǐn)?shù)據(jù)機(jī)密性,完整性���,原始身份驗(yàn)證和反重放。它由兩個(gè)主要協(xié)議組成�����。
認(rèn)證頭(AH)
在此協(xié)議中����,對IP報(bào)頭和數(shù)據(jù)有效負(fù)載進(jìn)行哈希處理。從該哈希中����,構(gòu)建新的AH頭,其附加到分組��。這個(gè)新數(shù)據(jù)包通過路由器傳輸頭部和有效負(fù)載的路由器傳輸����。兩個(gè)哈希都需要完全匹配。即使單個(gè)位發(fā)生更改,AH標(biāo)頭也不會匹配�。
封裝安全負(fù)載(ESP)
這是一種為數(shù)據(jù)包提供加密和完整性的安全協(xié)議。在標(biāo)準(zhǔn)IP頭之后添加ESP�。由于它包含標(biāo)準(zhǔn)IP標(biāo)頭,因此可以使用標(biāo)準(zhǔn)IP設(shè)備輕松路由��。這使得它向后兼容IP路由器�����,甚至那些不是設(shè)計(jì)用于IPsec的設(shè)備����。ESP在IP分組層執(zhí)行。它包含六個(gè)部分�,其中兩個(gè)部分僅被認(rèn)證(安全參數(shù)索引,序列號)���,而其余四個(gè)部分在傳輸期間被加密(有效載荷數(shù)據(jù)����,填充��,填充長度和下一個(gè)標(biāo)題)�����。它支持多種加密協(xié)議,由用戶決定選擇哪一種����。
加密技術(shù)
IPsec有兩種加密模式。兩種模式都有自己的用途����,應(yīng)根據(jù)解決方案謹(jǐn)慎使用����。
隧道模式
這會加載有效負(fù)載和標(biāo)頭。當(dāng)數(shù)據(jù)包的目標(biāo)不同于安全終止點(diǎn)時(shí)����,將使用隧道模式下的IPsec。此模式的最常見用途是在網(wǎng)關(guān)之間或從終端站到網(wǎng)關(guān)之間�。網(wǎng)關(guān)充當(dāng)主機(jī)的代理。因此�,當(dāng)數(shù)據(jù)包的來源與提供安全性的設(shè)備不同時(shí),使用隧道模式���。
運(yùn)輸方式
在此加密模式下��,僅加密每個(gè)數(shù)據(jù)包的數(shù)據(jù)部分�。此模式適用于終端站之間或終端站與網(wǎng)關(guān)之間。
它是如何工作的
IPsec使用隧道���。我們定義敏感或有趣的數(shù)據(jù)包安全地通過隧道發(fā)送����。通過定義隧道的特性����,定義了敏感數(shù)據(jù)包的安全保護(hù)措施。IPsec提供多種技術(shù)和加密模式����。但它的工作可以分為五個(gè)主要步驟。簡要概述如下:
有趣的交通啟動(dòng)
需要監(jiān)控的敏感流量被認(rèn)為是有趣的�����。在確定流量之后��,在對等體的配置界面上實(shí)施安全策略����。例如����,在Cisco路由器中���,訪問列表可用于通過加密映射集來決定有關(guān)數(shù)據(jù)包的加密���。可以將列表分配給策略�����,指出如果允許分組���,則必須加密它們,否則發(fā)送未加密的數(shù)據(jù)分組�����。當(dāng)此流量通過IPsec客戶端時(shí)���,將觸發(fā)IKE第一階段���。
IKE第一階段
在該步驟中����,首先驗(yàn)證IPsec對等體�����,從而保護(hù)對等體的身份�����。然后����,在對等體之間協(xié)商Internet密鑰交換(IKE)安全關(guān)聯(lián)(SA)策略。這導(dǎo)致雙方都擁有共享秘密匹配密鑰�����,這有助于IKE第二階段�����。此外�,在這個(gè)階段,建立了一個(gè)安全隧道�����,通過該隧道將發(fā)生第二階段的信息交換。該階段有兩種操作模式
主模式:發(fā)起者和接收者之間有三種交換���。在第一次交換中��,交換算法和哈希�����。第二個(gè)交換機(jī)負(fù)責(zé)使用Diffie-Hellman交換的幾代共享秘密密鑰�����。最后一次交換是為了驗(yàn)證對方的身份����。所有這三個(gè)交換都是雙向的�����。
積極模式:此模式下的交換較少���。所有必需的信息都被擠壓�,使其使用起來更快��。唯一的麻煩是在有安全通道使這種模式易受攻擊之前共享信息�。
IKE第二階段
此階段通過IKE SA協(xié)商IPsec SA參數(shù)的信息。這里也分享IPsec策略�����,然后建立IPsec SA����。此階段只有一種模式(快速模式)。它交換nonce提供重播保護(hù)����。這些nonce生成新的共享密鑰材料。如果IPsec的生存期到期�,則可以重新協(xié)商新的SA。
數(shù)據(jù)傳輸
這里數(shù)據(jù)通過IPsec隧道安全可靠地傳輸����。使用IPsec SA中的指定加密對發(fā)送的數(shù)據(jù)包進(jìn)行加密和解密。
隧道終止
隧道可以通過刪除或超時(shí)終止�。超過指定的時(shí)間(秒)或指定的字節(jié)數(shù)將通過隧道時(shí)發(fā)生超時(shí)。
|
