需求:
- 企業、組織、商家對專用網有強大的需求。
- 高性能、高速度和高安全性是專用網明顯的優勢。
- 物理專用網價格昂貴,物理架設實施有難度。傳統的通過租用專線或撥號網絡的方式越來越不適用(性價比較低)。
- TCP/IP協議簇本身的侷限性,不能保證信息直接傳輸的保密性(有安全缺陷)。
VPN定義:指依靠ISP或其他NSP在公用網絡基礎設施之上構建的專用的安全數據通信網絡,只不過這個專線網絡是邏輯上的而不是物理的。
虛擬:用戶不再需要擁有實際長途數據線路,而是使用公共網絡資源建立自己的私有網絡。
隧道技術:是指在隧道的兩端通過封裝以及解封裝技術在公網上建立一條數據通道,使用這條通道對數據報文進行傳輸。
業務分類:
1、接入VPN:適用基於Internet遠程訪問的VPN
適用於出差在外的員工,有遠程辦公需要的分支機構,實現對企業內部網絡資源進行安全地遠程訪問。
2、LAN-LAN VPN:爲了在不同局域網絡之間建立安全的數據傳輸通道(企業內部的分支機構)。
隧道技術比較:
|
隧道協議 |
保護範圍 |
使用場景 |
用戶身份認證 |
加密和驗證 |
|
GRE |
IP層及以上數據 |
Intranet VPN |
不支持 |
支持簡單的關鍵字驗證、校驗 |
|
L2TP |
IP層及以上數據 |
Access VPN Extranet VPN |
支持基於PPP的CHAP、PAP、EAP認證 |
不支持 |
|
IP sec |
IP層及以上數據 |
Intranet VPN Access VPN Extranet VPN |
支持與共享密鑰或證書認證、支持IKEv2的EAP認證 |
支持 |
|
Sangfor VPN |
IP層及以上數據 |
Intranet VPN Extranet VPN |
支持多種身份認證 |
支持 |
|
SSL VPN |
應用層特定數據 |
Access VPN |
支持多種身份認證 |
支持 |
IPsec提供的安全服務:機密性(加密解密)、完整性(數字簽名)、數據源鑑別(數字證書)
預防重放攻擊:一次性的隨機數(收到相同的隨機數,表明數據重放)
IPsec工作模式:
傳輸模式:
應用場景:經常用於主機與主機之間端到端通信的數據保護。
封裝方式:不改變原有的IP包頭,在原數據包頭後面插入IPsec包頭、將原來的數據封裝成被保護的數據。
隧道模式:
應用場景:經常用於私網與私網之間通過公網進行通信,建立安全VPN通道
封裝方式:增加新的IP(外網IP)頭部,其後是新的IPsec包頭,之後再將原來的整個數據包封裝。
IPsec通信協議:
AH(認證報頭):
AH提供的安全服務:
- 無連接數據完整性:哈希函數產生的校驗來保證;
- 數據源認證:通過在計算驗證碼時加入一個共享密鑰來實現;
- 抗重放攻擊:AH包頭中的序列號
AH不提供任何保密性服務:不加密所保護的數據包。加密所有整個數據包,易變字段除外
傳輸模式下的封裝:
隧道模式下的封裝:
ESP協議(封裝安全有效載荷)
ESP提供的安全服務:
- 無連接數據完整性(焊錫函數產生的校驗來保證)
- 數據源認證(通過在計算驗證碼時加入一個共享密鑰來實現;)
- 抗重放服務(隨機數)
- 數據保密(使用密碼算法加密IP數據包部分來實現)
- 有限的數據流保護(隧道模式下的保密服務提供)
ESP通常使用DES、 3DES、 AES等加密算法實現數據加密,使用MD5或SHA1來實現數據完整性認證
傳輸模式下封裝:
隧道模式下封裝:
|
安全特性 |
AH |
ESP |
|
協議號 |
51 |
50 |
|
數據完整性校驗 |
支持 |
支持(不驗證IP頭) |
|
數據源驗證 |
支持 |
支持 |
|
數據加解密 |
不支持 |
支持 |
|
抗重放服務 |
支持 |
支持 |
|
NAT-T(NAT穿越) |
不支持 |
支持 |
安全聯盟SA:通信對等體對某些要素的約定,通信的雙方符合SA約定的內容,就可以建立SA。
SA三元組:安全參數索引、目的IP地址、安全協議號。
背景:
用IPsec保護一個IP包之前,必須先建立安全聯盟。
IPSec的安全聯盟可以通過手工配置的方式建立。但是當網絡中節點較多時,手工配置將非常困難,而且難以保證安全性。這時就可以使用IKE( Internet Key Exchange)自動進行安全聯盟建立與密鑰交換的過程。 Internet密鑰交換( IKE)就用於動態建立SA,代表IPSec對SA進行協商
IKE:自動進行安全聯盟建立與密鑰交換的過程
用途:
- IKE爲IPsec協商生成密鑰,供AH/ESP加解密和驗證使用。
- 在IPSec通信雙方之間, 動態地建立安全關聯( SA: SecurityAssociation),對SA進行管理和維護。
IKE的工作過程:
第一階段:彼此間建立了一個已通過身份驗證和安全保護的通道,此階段的交換建立了一個ISAKMP安全聯盟。 任務:認證和密鑰交互
第一階段有兩種協商模式:
1、主模式協商
默認使用IP地址作爲身份標識,默認是傳遞自己的出口地址做身份標識,校驗對端的公網IP做對端身份標識。(自動生成雙方身份ID)
協商建立IKE安全通道所使用的參數:認證方式、加密方式、hash算法、申明所使用的的DH算法、密鑰有效時間、配置身份ID、對方的通信的地址
2、野蠻模式協商
可以使用用戶名或IP等作爲雙方身份標識,即可以手動設置身份ID
三個交互包:
1、第一個交互包發起方建議SA,發起DH交換
2、第二個交互包接收方接受SA
3、第三個交互包發起方認證接收方
對比
|
|
主模式 |
野蠻模式 |
|
消息交互 |
交互6個消息 |
交互3個消息 |
|
身份ID |
以IP地址作爲身份ID,自動生成本段身份ID和對端身份ID |
可以以多種形式(IP、字符串等)手動或自動的生成本端和對端的身份ID |
|
域共享密鑰 |
只能基於IP地址來確定預共享密鑰 |
基於ID信息(主機名和IP地址)來確定預共享密鑰 |
|
安全性 |
較高 前4個消息以明文傳輸,最後兩個消息加密,對對端身份進行了保護 |
較低 前2個消息以明文傳輸,最後一個消息進行加密,不保護對端身份 |
|
速度 |
較慢 |
較快 |
第二階段:用已經建立的安全聯盟爲IPsec協商安全服務,建立IPSec SA,產生真正可以用來加密數據流的密鑰。
協商參數:加密算法、hash算法、安全協議、封裝模式、存活時間、DH算法
當第一階段時間到期後:密鑰失效後,第二次密鑰和第一次密鑰有關係(繼承)
完美向前發生成獨立密鑰。