IPSEC网络中的加密传输隧道
IPSEC方案
安全:私密性、完全性、不可否认性
防重放攻击、防中间人攻击
私密性:实现,对称加密算法、非对称加密算法(核心:用非对称加密算法传递对称加密算法的私钥)
对称:DES3DESAES,传递K,通过物理传递。
非对称:DiffieHellman算法用来传递公钥
RSA算法公钥加密私钥解密1000位以后的质数基本安全,
2000位以后的极为安全。
数字签名(私钥加密公钥解密)
两个功能使用需生成2个钥匙对。
完全性:hash算法。MD5SHA单向不可逆
输入不定长,输出定长。雪崩效应(原数据一旦更改,结果完全不同)。
防重放:MD5(原始数据+随机值)=MD5值
随机值检测:如果随机值是被用过的就抛弃。
不可否认性(认证):RSA,预同享MD5认证的原理
数字签名.
PKI体系(公然密钥体系,PublicKeyInfrastructure)是一种利用非对称加密技术为电子商务的展开提供一套安全基础平台的技术和规范。
采取证书管理公钥,通过第三方的可信任机构——CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户的身份。
IKE:用IPSec保护一个IP包之前,一定要先建立安全同盟(SA),
IPSec的安全同盟可以通过手工配置的方式建立。但是当网络中节点较多时,手工配置将非常困难,而且难以保证安全性。这时候就能够使用IKE(InternetKeyExchange)自动进行安全同盟建立与密钥交换的进程。Internet密钥交换(IKE)就用于动态建立SA,代表IPSec对SA进行协商。
IKE第一阶段:在安全的情况下交换密钥,在安全的情况下做认证,做传递双方之间的认证。蛮横模式容易遭受中间人攻击。
主模式:慢,安全蛮横模式:快,不安全跨厂商做第一阶段推荐蛮横模式。
IKE第一阶段协商进程:
协商IKE安全通道的各种参数。并建立ISAKMPSA。在主模式下,第一阶段需要发送6个包。需要协商sa信息,密钥交换,ID交换和验证。在蛮横模式下双方只发3个包。但缺点是直接把密钥等信息不加密直接发送给对方。
主模式:
蛮横模式:
两种模式的对照:
第二阶段:为数据部份提供服务。
Ike第二阶段协商进程:双方协商ipsecsa(交换集),主要包括了加密,Hash,安全协议,封装模式,存活时间,DH算法
其中终究要的为安全协议和封装模式
安全协议:
ESP:可以对全部ip包内容进行加密,比较适用于在公网。
ESP在传输模式的包封装:
ESP在隧道模式的包封装:
AH:是一种只对头部进行认证的协议,其实不存在对数据的加密,可以用于公司内网。
AH在传输模式下的包封装:
AH在隧道模式下的包封装:
两种模式的比较:
封装模式:
隧道模式:将封装上一个和原ip数据包头部相同的数据包。
传输模式:不对原来的ip数据包头部做改变,而是在ip头部以后插入一层ipsec包头。
Vpn隧道黑洞问题:当对方断开链接后,我方还处于SA有效期内,就造成了对方收不到包我方还向对方发送的情况。在ipsecvpn中使用了DPD来解决这个问题,其核心思想为采取空闲计时器机制,当收到1个ipsec包就重置计时器,如果在计时器到时时还未收到ipsec包,下次发送一个ipsec包给对方时就会先发顺次发5次DPD要求去检测对方的存活,如果没有收到对方的回应,则删除SA。
IPSEC路由是针对感兴趣流的路由。
NAT问题:企业在网络出口上通常会部署防火墙等装备,并在网络出口上实现NAT技术,由于NAT地址转换会将一个正常去网络的被匹配的ip包中的ip源,和ip目的和tcp/udp端口进行转换。
对源目ip改变:带来了一个问题,如果做了NAT,那末ipsec协商的IKE第一阶段主模式下会致使双方对照身份ID不匹配,致使了协商的失败。而IPSEC方案的主模式身份ID是默许配置的,不能修改。所以在NAT环境下,对致使ipsec没法建立。
这个问题的根本在于主模式下身份ID固定为ip,(有些厂商的主模式可能会有一些私有化的修改,可以改变主模式的身份ID,这个时候可使用主模式的其他认证方式,则不会有这个问题)。
解决方案:使用蛮横模式,蛮横模式默许可使用多种身份认证方式,如:IPV4_ADDR,FQDN,USER_FQDN,证书认证。在不使用ip的身份认证方式下,便可解决NAT所带来的ip转换问题。
数据传输可行性:
AH的传输模式:
AH的传输模式由于对原始IP包头进行了认证摘要,在NAT后,摘要信息改变,会致使认证失败。
AH的隧道模式:
AH的隧道模式一样有这个问题。在NAT后摘要的信息就会改变。
TCP的伪首部校验机制:
由于TCP有伪首部校验机制,致使TCP包头前的那个IP包头内容不能改变。
ESP的传输模式:
在NAT后全部帧的ip包头会产生改变,致使TCP伪首部校验失败,全部数据包将被抛弃。
ESP的隧道模式:
ESP的隧道模式会将原IP包头加密封装起来。NAT只是对新的IP包头进行修改,原IP包内容不会产生修改,不影响TCP伪首部校验。可以成功通讯。
对照:
多方案数据问题:
1.隧道协商进程中,IKE规定源和目的端口都一定要为UDP500,在多方案场景下源端口可能会在防火墙装备NAT后产生变化,从而致使IKE协商失败。
2.数据传输进程中,由于ESP在工作在网络层,没有传输层头部,从而没法进行NAT端口转换,致使数据传输失败。
解决方法:NATT技术
NATT技术:(1)在IKE协商和方案连接时允许源端口非UDP500端口。使用目的端口为UDP4500端口。
(2)NATT协议为ESP增加了UDP头部
