了解IPsec
迫切需要在大型公共WAN(主要是Internet)上安全地传输数据包。解决方案是开发许多网络协议,其中IPsec是部署最多的协议之一。它可以从以下事实中获益:无需对附加的同行进行任何更改即可轻松调整。在本文中,我们将研究IPsec的概述,其部署技术及其工作原理。
IPsec简介
IPsec是相关协议的框架,用于保护网络或分组处理层的
通信。它可用于保护对等体之间的一个或多个数据流。IPsec支持数据机密性,完整性,原始身份验证和反重放。它由两个主要协议组成。
认证头(AH)
在此协议中,对IP报头和数据有效负载进行哈希处理。从该哈希中,构建新的AH头,其附加到分组。这个新数据包通过路由器传输头部和有效负载的路由器传输。两个哈希都需要完全匹配。即使单个位发生更改,AH标头也不会匹配。
封装安全负载(ESP)
这是一种为数据包提供加密和完整性的安全协议。在标准IP头之后添加ESP。由于它包含标准IP标头,因此可以使用标准IP设备轻松路由。这使得它向后兼容IP路由器,甚至那些不是设计用于IPsec的设备。ESP在IP分组层执行。它包含六个部分,其中两个部分仅被认证(安全参数索引,序列号),而其余四个部分在传输期间被加密(有效载荷数据,填充,填充长度和下一个标题)。它支持多种加密协议,由用户决定选择哪一种。
加密技术
IPsec有两种加密模式。两种模式都有自己的用途,应根据解决方案谨慎使用。
隧道模式
这会加载有效负载和标头。当数据包的目标不同于安全终止点时,将使用隧道模式下的IPsec。此模式的最常见用途是在网关之间或从终端站到网关之间。网关充当主机的代理。因此,当数据包的来源与提供安全性的设备不同时,使用隧道模式。
运输方式
在此加密模式下,仅加密每个数据包的数据部分。此模式适用于终端站之间或终端站与网关之间。
它是如何工作的
IPsec使用隧道。我们定义敏感或有趣的数据包安全地通过隧道发送。通过定义隧道的特性,定义了敏感数据包的安全保护措施。IPsec提供多种技术和加密模式。但它的工作可以分为五个主要步骤。简要概述如下:
有趣的交通启动
需要监控的敏感流量被认为是有趣的。在确定流量之后,在对等体的配置界面上实施安全策略。例如,在Cisco路由器中,访问列表可用于通过加密映射集来决定有关数据包的加密。可以将列表分配给策略,指出如果允许分组,则必须加密它们,否则发送未加密的数据分组。当此流量通过IPsec客户端时,将触发IKE第一阶段。
IKE第一阶段
在该步骤中,首先验证IPsec对等体,从而保护对等体的身份。然后,在对等体之间协商Internet密钥交换(IKE)安全关联(SA)策略。这导致双方都拥有共享秘密匹配密钥,这有助于IKE第二阶段。此外,在这个阶段,建立了一个安全隧道,通过该隧道将发生第二阶段的信息交换。该阶段有两种操作模式
主模式:发起者和接收者之间有三种交换。在第一次交换中,交换算法和哈希。第二个交换机负责使用Diffie-Hellman交换的几代共享秘密密钥。最后一次交换是为了验证对方的身份。所有这三个交换都是双向的。
积极模式:此模式下的交换较少。所有必需的信息都被挤压,使其使用起来更快。唯一的麻烦是在有安全通道使这种模式易受攻击之前共享信息。
IKE第二阶段
此阶段通过IKE SA协商IPsec SA参数的信息。这里也分享IPsec策略,然后建立IPsec SA。此阶段只有一种模式(快速模式)。它交换nonce提供重播保护。这些nonce生成新的共享密钥材料。如果IPsec的生存期到期,则可以重新协商新的SA。
数据传输
这里数据通过IPsec隧道安全可靠地传输。使用IPsec SA中的指定加密对发送的数据包进行加密和解密。
隧道终止
隧道可以通过删除或超时终止。超过指定的时间(秒)或指定的字节数将通过隧道时发生超时。
