详细技术要点:IPSec VPN的基本原理

发布者:上海IT外包来源:http://www.lanmon.net点击数:2905

IPSec VPN是一种在VPN技术中具有极高点击率的技术。它还提供了两种VPN和信息加密技术。本专栏将介绍IPSec VPN的原理。
IPSec VPN应用场景
详细技术要点--- IPSec VPN的基本原理
IPSec VPN有三种应用场景:
站点到站点(站点到站点或网关到网关):3个组织(如Bend Review)分布在Internet上的3个不同位置,每个组织使用商业导航网关相互建立VPN隧道,Intranet (多台PC)两者之间的数据通过这些网关建立的IPSec隧道安全地互连。
端到端(端到端或PC到PC):两台PC之间的通信由两台PC之间的IPSec会话保护,而不是网关。
端到端(端到端或PC到网关):两台PC之间的通信受网关和非现场PC之间的IPSec保护。
VPN只是IPSec的一种应用方法。 IPSec是IP Security的缩写。其目的是为IP提供高安全性功能。 VPN是通过实现此安全功能的方式生成的解决方案。 IPSec是一种框架体系结构,由两种类型的协议组成:
AH协议(Authentication Header):它可以提供安全功能,如数据完整性确认,数据源确认和反重放。 AH公共摘要算法(单向散列函数)MD5和SHA1实现此功能。
ESP(Encapsulated Security Payload):它可以提供安全功能,如数据完整性确认,数据加密和反重播。 ESP通常使用DES,3DES,AES和其他加密算法来加密数据。使用MD5或SHA1。实现数据完整性。
为什么AH少用?由于AH无法提供数据加密,因此所有数据在传输过程中都以明文形式传输,ESP提供数据加密。其次,AH提供数据源确认(如果源IP地址改变,AH检查失败),因此无法遍历NAT。当然,IPSec可以使用AH和ESP在极端情况下实现最完整的安全功能,但这种解决方案极为罕见。IPSec封装模式
本节介绍IPSec VPN方案和IPSec协议组件。让我们看一下IPSec提供的两种封装模式(传输传输模式和隧道隧道模式)。
详细技术要点--- IPSec VPN的基本原理
上图显示了传输模式的封装结构。让我们比较一下隧道模式:
详细技术要点--- IPSec VPN的基本原理
可以找到传输模式和隧道模式之间的区别:
在AH和ESP处理之前和之后,IP报头保持不变。它主要用于端到端的应用场景。
隧道模式在AH和ESP处理之后封装外部网络IP报头,主要用于站点到站点的应用场景。
从上图中我们还可以验证AH和ESP之间的差异,如上一节所述。下图显示了适用于传输模式和隧道模式的场景类型的说明。
详细技术要点--- IPSec VPN的基本原理
从这张图片的比较中,我们可以看到:
隧道模式可以应用于任何场景
传输模式只能适用于PC到PC场景
虽然隧道模式可以应用于任何场景,但隧道模式需要额外的IP头层(通常长度为20个字节),因此在PC到PC场景中,建议使用传输模式。
为了让每个人都有更直观的理解,让我们看看下图并分析为什么隧道模式只能在站点到站点场景中使用:
详细技术要点--- IPSec VPN的基本原理
如上图所示,如果发起方内网PC向响应内网PC发送的流量满足网关的兴趣流匹配条件,则发起方使用传输方式进行封装:
在发起者和响应者之间建立IPSec会话。
由于使用传输模式,因此IP报头没有变化。 IP源地址为192.168.1.2,目的地址为10.1.1.2。
数据包发送到互联网后,它的命运注定是一杯。为什么这是因为它的目的地址是10.1.1.2?这不是根本原因。根本原因是Internet不维护企业网络的路由,因此被丢弃。可能性很大。
即使数据包没有丢弃在互联网上并且幸运地到达响应者网关,我们是否期望响应者网关执行解密?为什么,没有好的凭证,数据包的目的地址是内网PC的10.1。 1.2,所以我直接转发了这件事。
最受欢迎的是响应的内联网PC接收数据包。由于没有参与IPSec会话的协商会议,因此没有相应的SA。该数据包不能被解密并被丢弃。
我们使用这种反证据方法巧妙地解释了为什么在站点到站点的情况下不能使用传输模式。并提出了使用传输模式的充分必要条件:兴趣流必须完全在发起者和响应者的IP地址范围内。例如,在图中,发起者IP地址是6.24.1.2,响应者IP地址是2.17.1.2,那么兴趣流可以是源6.24.1.2/32,目的地是2.17.1.2/32。如果数据包的源IP地址和目标IP地址略有不同,则协议可以是任意的。对不起,请使用隧道模式。IPSec协商
详细技术要点--- IPSec VPN的基本原理
除了一些协议原则,IPSec还更关注协议中涉及的协议的内容:
兴趣流:IPSec是一种消耗资源的保护措施。并非所有流量都需要IPSec来处理。需要IPSec保护的流量称为兴趣流。最后,协商的利息流是发起者和响应者指定的兴趣。流程,如发起者指定的兴趣流是192.168.1.0/24à10.0.0.0/8,响应者的兴趣流是10.0.0.0/8à192.168.0.0/16,那么交集是192.168.1.0 /24ßà10.0.0.0/8,这是最终将受到IPSec保护的感兴趣的流。
Initiator:Initiator,IPSec会话协商的触发方。 IPSec会话通常由指定的兴趣流触发。触发过程通常是数据包中的源,目标地址,协议以及源和目标端口号以及预先指定的IPSec。兴趣流匹配模板由ACL匹配,如果匹配成功,则属于指定的兴趣流。指定的兴趣流仅用于触发协商。是否受IPSec保护取决于协商兴趣流是否匹配。但是,在正常的实现过程中,通常设计发起者指定兴趣流属于协商兴趣流。
响应者:响应者,IPSec会话协商的接收者,响应者是被动协商,响应者可以指定兴趣流,或者可以指定(由发起者完全指定)。
发起者与响应者之间协商的内容主要包括:双方身份确认和密钥种子刷新周期,AH/ESP与各自使用的算法的组合,兴趣流,封装模式,类似。
SA:发起者和响应者之间协商的结果是具有高暴露的SA。 SA通常包括密钥和密钥生存期,算法,封装模式,发起者,响应者地址,兴趣流等。
我们以最常见的IPSec隧道模式为例来解释IPSec协商过程:
详细技术要点--- IPSec VPN的基本原理
上图描述了兴趣流触发的IPSec协商过程。本机IPSec没有身份确认等协商过程。该方案存在许多缺陷,例如在发起方地址动态变化的情况下的身份确认和密钥动态更新。 IPSec附带的IKE(Internet密钥交换)协议专门用于弥补这些缺点:
发起者定义的兴趣流是源192.168.1.0/24目的地10.0.0.8/8,因此发起者内联网PC发送到响应内联网PC的数据包可以匹配。如果SA不存在,过期或不可用,则将执行协商。否则,当前SA用于处理数据包。
谈判过程通常分为两个阶段。第一阶段是第二阶段。第二阶段是兴趣流的真实SA。这两个阶段是不同的。第一阶段主要证实了双方的身份。第二阶段是为感兴趣的流创建特定的安全套件。最重要的结果是第二阶段中的关注流是会话中的密文。
IPSec中的安全性也反映在SA的第二阶段始终是单向的:
详细技术要点--- IPSec VPN的基本原理
从上图可以看出,在协商第二阶段SA时,SA是定向的,并且发起者对响应者使用的SA和响应分别与发起者SA协商。这样做的好处是即使在某个方向上,SA也会破裂,并且不会影响另一个方向的SA。这种设计类似于双向车道设计。
虽然IPSec只是五个字母的组合,但它具有许多协议功能和极其灵活的解决方案。本期主要介绍IPSec的基本原理,并将在未来继续介绍IPSec的其他方面。
IT外包
>
400-635-8089
立即
咨询
电话咨询
服务热线
400-635-8089
微信咨询
微信咨询
微信咨询
公众号
公众号
公众号
返回顶部