随着GRE和L2TP的广泛应用,企业可以方便的用较低成本实现总部分部之间的互联互通,但是随着使用增多,信息泄漏的情况也随之增多,究其原因,无论是GRE还是L2TP,建立的隧道都没有任何安全加密措施,总部分部之间的消息在GRE隧道或L2TP隧道中都是明文传输,机密信息很容易就被第三方获取。于是性价比更高的安全的互联互通解决方案出现了:IPSec(IP Security)。作为新一代的VPN技术,IPSec可以在Internet上建立安全稳定的专用线路。与GRE和L2TP相比,IPSec更加安全,能够保证总部分部之间消息的安全传输。
IPSec不是一个单一的技术,而是一整套安全技术的合集。IPSec通过 AH(Authentication Header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷),实现了即便消息被截获了也没人能看懂,被篡改了也能及时发现。
IPSec在一方传递消息之前,先使用加密算法和加密密钥,将消息改头换面,该过程称为加密。另一方收到消息后,使用相同的加密算法和加密密钥,逆向将消息恢复为真实面貌,该过程称为解密。而消息在传递过程中绝不以真相示人,令窃密者一无所获。
当总部分部需要互通消息时,双方事先协商好相同的加密算法和加密密钥,假设总部要向分部发布信息“今晚八点,楼下撸串”,总部通过算法处理文字,然后再将加密密钥“不带老婆”插入其中,加密后的信息最终变成“点八带下楼不晚串老今婆撸”这样的一段消息,然后传递出去。即使该消息在路上被分部人员的老婆截获,也不会发现任何蛛丝马迹。而分部收到消息后,使用相同的算法和解密密钥“不带老婆”,便可将消息恢复成原始的信息“今晚八点,楼下撸串”。
总部分部使用相同的密钥来加密和解密,这种方式也叫对称加密算法,主要包括DES、3DES和AES。
报文验证,一方传递消息之前,先使用验证算法和验证密钥对消息进行处理,得到签名。然后将签名随消息一同发出去。另一方收到消息后,也使用相同的验证算法和验证密钥对消息进行处理,同样得到签名,然后比对报文中携带的签名,如果相同则证明该消息没有被篡改。
除了对消息的完整性进行验证,IPSec还可以对消息的来源进行验证,即验明消息的正身,保证消息来自真实的发送者。
通常情况下,验证和加密配合使用,加密后的报文经过验证算法处理生成签名。常用的验证算法有MD5和SHA系列。
IPSec的两种安全协议,AH只能用来验证,没有加密的功能,而ESP同时具有加密和验证的功能,AH和ESP可以单独使用也可以配合使用。
在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前。隧道模式使用新的报文头来封装消息,新IP头中的源/目的地址为隧道两端的公网IP地址,所以隧道模式适用于两个网关之间建立IPSec隧道,可以保护两个网关后面的两个网络之间的通信,是目前比较常用的封装模式。总部分部内部私网之间的信息经过加密和封装处理后,在外看来只是总部分部公开身份(公网IP地址),之间的通信,不会被人怀疑。
在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,传输模式不改变报文头,隧道的源和目的地址就是最终通信双方的源和目的地址,通信双方只能保护自己发出的消息,不能保护一个网络的消息。所以该模式只适用于两台主机之间通信,不适用于总部分部内部私网之间通信。
IPSec中通信双方建立的连接叫作安全联盟SA(Security Association),顾名思义,通信双方结成盟友,使用相同的封装模式、加密算法、加密密钥、验证算法、验证密钥,相互信任亲密无间。
安全联盟是单向的逻辑连接,为了使每个方向都得到保护,总部分部的每个方向上都要建立安全联盟。总部入方向上的安全联盟对应分部出方向上的安全联盟,总部出方向上的安全联盟对应分部入方向上的安全联盟,为了区分这些不同方向的安全联盟,IPSec为每一个安全联盟都打上了唯一的标识符,这个标识符叫作SPI(Security ParameterIndex)。
本文标题名为讲透实则只是通过一些例子将IPSEC VPN相关基础概念,通过深入浅出的方式使大家可以加深理解,如果真的要将复杂的IPSEC VPN彻底讲透,本文的内容还远远不够,如果需要对IPSEC VPN有更深入的了解,请联系蓝盟IT外包获取免费的咨询服务。
文/上海蓝盟 IT外包专家
中文
电话咨询
微信咨询
公众号
