IPSec-VPN中隧道模式和傳輸模式區(qū)別_第1頁
IPSec-VPN中隧道模式和傳輸模式區(qū)別_第2頁
IPSec-VPN中隧道模式和傳輸模式區(qū)別_第3頁
IPSec-VPN中隧道模式和傳輸模式區(qū)別_第4頁
IPSec-VPN中隧道模式和傳輸模式區(qū)別_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

IPSecVPN基本原理IPSecVPN是目前VPN技術(shù)中點擊率非常高的一種技術(shù),同時提供VPN和信息加密兩項技術(shù),這一期專欄就來介紹一下IPSecVPN的原理。IPSecVPN應(yīng)用場景IPSecVPN應(yīng)用需求出差房工IPSecVPN的應(yīng)用場景分為3種:Site-to-Site(站點到站點或者網(wǎng)關(guān)到網(wǎng)關(guān)):如彎曲評論的3個機構(gòu)分布在互聯(lián)網(wǎng)的3個不同的地方,各使用一個商務(wù)領(lǐng)航網(wǎng)關(guān)相互建立VPN隧道,企業(yè)內(nèi)網(wǎng)(若干PC)之間的數(shù)據(jù)通過這些網(wǎng)關(guān)建立的IPSec隧道實現(xiàn)安全互聯(lián)。End-to-End(端到端或者PC到PC):兩個PC之間的通信由兩個PC之間的IPSec會話保護,而不是網(wǎng)關(guān)。End-to-Site(端到站點或者PC到網(wǎng)關(guān)):兩個PC之間的通信由網(wǎng)關(guān)和異地PC之間的IPSec進行保護。VPN只是IPSec的一種應(yīng)用方式,IPSec其實是IPSecurity的簡稱,它的目的是為IP提供高安全性特性,VPN則是在實現(xiàn)這種安全特性的方式下產(chǎn)生的解決方案。IPSec是一個框架性架構(gòu),具體由兩類協(xié)議組成:AH協(xié)議(AuthenticationHeader,使用較少):可以同時提供數(shù)據(jù)完整性確認、數(shù)據(jù)來源確認、防重放等安全特性;AH常用摘要算法(單向Hash函數(shù))乂口5和SHA1實現(xiàn)該特性。ESP協(xié)議(EncapsulatedSecurityPayload,使用較廣):可以同時提供數(shù)據(jù)完整性確認、數(shù)據(jù)加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法實現(xiàn)數(shù)據(jù)加密,使用MD5或SHA1來實現(xiàn)數(shù)據(jù)完整性。為何AH使用較少呢?因為AH無法提供數(shù)據(jù)加密,所有數(shù)據(jù)在傳輸時以明文傳輸,而ESP

提供數(shù)據(jù)加密;其次AH因為提供數(shù)據(jù)來源確認(源IP地址一旦改變,AH校驗失敗),所以無法穿越NAT。當然,IPSec在極端的情況下可以同時使用AH和ESP實現(xiàn)最完整的安全特性,但是此種方案極其少見。IPSec封裝模式介紹完IPSecVPN的場景和IPSec協(xié)議組成,再來看一下IPSec提供的兩種封裝模式(傳輸Transport模式和隧道Tunnel模式)IPSec的兩種應(yīng)用方式一傳輸模式田頭源、目的地址【P田頭源、目的地址【P數(shù)據(jù)

TCP/UDP/1CMPMDS/SHA工摘婆算法IP頭

源、目的地址AH認證頭摘要IP數(shù)據(jù)TCP/UDP/ICMP _ EncapsulatedSecurity

Payload

安金封裝舞荷IP頭

源.目的地址IP數(shù)捱TCP/UDP/1CMP源.目的地址IP頭

源、目的地址AH認證頭摘要IP數(shù)據(jù)TCP/UDP/ICMP _ EncapsulatedSecurity

Payload

安金封裝舞荷IP頭

源.目的地址IP數(shù)捱TCP/UDP/1CMP源.目的地址頭IP頭ESP1P數(shù)據(jù)

加密后密文埴充E5P摘要VDES/1DES/AES加密/MD5/SHA1摘要舞法IP加密后葭文上圖是傳輸模式的封裝結(jié)構(gòu),再來對比一下隧道模式:IPSec的兩種應(yīng)用方式——隧道模式外網(wǎng)IP頭外網(wǎng)IP頭海,目的地址IE內(nèi)網(wǎng)IP頭源、目的地址||源、目的地址1P病TCP/UDP/1CMP」MD5/占HR1摘要尊注AH認證良外網(wǎng)IP頭外網(wǎng)IP頭海,目的地址IE內(nèi)網(wǎng)IP頭源、目的地址||源、目的地址1P病TCP/UDP/1CMP」MD5/占HR1摘要尊注AH認證良摘要內(nèi)網(wǎng)1P頭

源.目的地址AuthenticationHeader,

驗證頭軍一IP數(shù)據(jù)TCP/UDP/ICMP1…,—//fncapsubtedSecurity

Payload

安叁封裝轉(zhuǎn)荷內(nèi)網(wǎng)IP頭源.目的地址IP數(shù)框TCP/UDP/ICMPDE5/1DES/AES加密,MD5/SHA1摘要算法外網(wǎng)IP頭源,目的地址ESP頭IP數(shù)據(jù) 加密后密文填充ESP摘要|Ps?-WkipMd,the.jDocunwcs-FWe即睜c?efD5e.?ip-QpenO..openQfflt^.mgn可以發(fā)現(xiàn)傳輸模式和隧道模式的區(qū)別:傳輸模式在AH、ESP處理前后IP頭部保持不變,主要用于End-to-End的應(yīng)用場景。隧道模式則在AH、ESP處理之后再封裝了一個外網(wǎng)IP頭,主要用于Site-to-Site的應(yīng)用場景。從上圖我們還可以驗證上一節(jié)所介紹AH和ESP的差別。下圖是對傳輸模式、隧道模式適用于何種場景的說明。

IPSec膻道模式和傳輸模式的適用場蹙PC與PC之間IPSec保護PC之間流量可使用傳輸模式,也可使用隧道模式PC與網(wǎng)關(guān)之間IPSec保護PC之間流H只靛使用屣道模式_從這張圖的對比可以看出:隧道模式可以適用于任何場景傳輸模式只能適合PC到PC的場景隧道模式雖然可以適用于任何場景,但是隧道模式需要多一層IP頭(通常為20字節(jié)長度)開銷,所以在PC到PC的場景,建議還是使用傳輸模式。為了使大家有個更直觀的了解,我們看看下圖,分析一下為何在Site-to-Site場景中只能使用隧道模式:Internet企業(yè)內(nèi)囑應(yīng)方2.17.1.26.24.1.2192.168.1.2【監(jiān)改會話源192.168.L2目的1<U.L2四配興趣麻對興趣就進行加密使用瞳道模式,問題迎刃而解;可以使用傳輸模式的充要條怦:Internet企業(yè)內(nèi)囑應(yīng)方2.17.1.26.24.1.2192.168.1.2【監(jiān)改會話源192.168.L2目的1<U.L2四配興趣麻對興趣就進行加密使用瞳道模式,問題迎刃而解;可以使用傳輸模式的充要條怦:我黑潦瘧{發(fā)起方、畤成方LP地址】如興趣浦為府議:IP/GRE/TCP/UDP源:6.24.1.2/32目的:2.17.1.2/32朦192.168.1.2目的10.1.1.2L0XU.'源.目的地址都“

是私有地址,因

為私網(wǎng)路由問/題,該數(shù)據(jù)包在入互聯(lián)網(wǎng)中植強肆..源192J68.L2目的101.1.2設(shè)數(shù)據(jù)包成功穿越了

互聯(lián)網(wǎng),因為目的地址,-是不是嘀應(yīng)方網(wǎng)關(guān)217A.2,所以酹放育并不進行解密,而是直接轉(zhuǎn)發(fā)給內(nèi)網(wǎng)PC /響應(yīng)方內(nèi)網(wǎng)PC因為沒有進行IPS8協(xié)商,所以密文數(shù)據(jù)無法解密而被PC丟棄如上圖所示,如果發(fā)起方內(nèi)網(wǎng)PC發(fā)往響應(yīng)方內(nèi)網(wǎng)PC的流量滿足網(wǎng)關(guān)的興趣流匹配條件,發(fā)起方使用傳輸模式進行封裝:IPSec會話建立在發(fā)起方、響應(yīng)方兩個網(wǎng)關(guān)之間。由于使用傳輸模式,所以IP頭部并不會有任何變化,IP源地址是192.168.1.2,目的地址是10.1.1.2。這個數(shù)據(jù)包發(fā)到互聯(lián)網(wǎng)后,其命運注定是杯具的,為什么這么講,就因為其目的地址是10.1.1.2嗎?這并不是根源,根源在于互聯(lián)網(wǎng)并不會維護企業(yè)網(wǎng)絡(luò)的路由,所以丟棄的可能性很大。即使數(shù)據(jù)包沒有在互聯(lián)網(wǎng)中丟棄,并且幸運地抵達了響應(yīng)方網(wǎng)關(guān),那么我們指望響應(yīng)方網(wǎng)關(guān)進行解密工作嗎?憑什么,的確沒什么好的憑據(jù),數(shù)據(jù)包的目的地址是內(nèi)網(wǎng)PC的10.1.1.2,所以直接轉(zhuǎn)發(fā)了事。最杯具的是響應(yīng)方內(nèi)網(wǎng)PC收到數(shù)據(jù)包了,因為沒有參與IPSec會話的協(xié)商會議,沒有對應(yīng)的SA,這個數(shù)據(jù)包無法解密,而被丟棄。我們利用這個反證法,巧妙地解釋了在Site-to-Site情況下不能使用傳輸模式的原因。并且提出了使用傳輸模式的充要條件:興趣流必須完全在發(fā)起方、響應(yīng)方IP地址范圍內(nèi)的流量。比如在圖中,發(fā)起方IP地址為6.24.1.2,響應(yīng)方IP地址為2.17.1.2,那么興趣流可以是源6.24.1.2/32、目的是2.17.1.2/32,協(xié)議可以是任意的,倘若數(shù)據(jù)包的源、目的IP地址稍有不同,對不起,請使用隧道模式。IPSec協(xié)商IPSec方案聚焦發(fā)起方響應(yīng)方確定IPSec會話所使用,?身份確認方式密朗協(xié)商方式及刷新周期-Ips《保護的流麗而汽槿流-Ips《保護的流麗而汽槿流I -- 「一^— :AH/ESP使用算法興趣流傳輪模式/隧道模式'IPSec會話發(fā)t喘點都為發(fā)起方f IPSecSiS'IPSec會話發(fā)t喘點都為發(fā)起方[IPSec會話響應(yīng)端融應(yīng)五發(fā)起方、響血所協(xié)商出所使用密鑰、言法、興趣流等內(nèi)容稱為發(fā)起方安全聯(lián)盟(SecurityAssociationSA)IPSec除了一些協(xié)議原理外,我們更關(guān)注的是協(xié)議中涉及到方案制定的內(nèi)容:興趣流:IPSec是需要消耗資源的保護措施,并非所有流量都需要IPSec進行處理,而需要IPSec進行保護的流量就稱為興趣流,最后協(xié)商出來的興趣流是由發(fā)起方和響應(yīng)方所指定興趣流的交集,如發(fā)起方指定興趣流為192.168.1.0/24沅0.0.0.0/8,而響應(yīng)方的興趣流為10.0.0.0/8已192.168.0.0/16,那么其交集是192.168.1.0/24BA10.0.0.0/8,這就是最后會被IPSec所保護的興趣流。發(fā)起方:Initiator,IPSec會話協(xié)商的觸發(fā)方,IPSec會話通常是由指定興趣流觸發(fā)協(xié)商,觸發(fā)的過程通常是將數(shù)據(jù)包中的源、目的地址、協(xié)議以及源、目的端口號與提前指定的IPSec興趣流匹配模板如ACL進行匹配,如果匹配成功則屬于指定興趣流。指定興趣流只是用于觸發(fā)協(xié)商,至于是否會被IPSec保護要看是否匹配協(xié)商興趣流,但是在通常實施方案過程中,通常會設(shè)計成發(fā)起方指定興趣流屬于協(xié)商興趣流。響應(yīng)方:Responder,IPSec會話協(xié)商的接收方,響應(yīng)方是被動協(xié)商,響應(yīng)方可以指定興趣流,也可以不指定(完全由發(fā)起方指定)。發(fā)起方和響應(yīng)方協(xié)商的內(nèi)容主要包括:雙方身份的確認和密鑰種子刷新周期、AH/ESP的組合方式及各自使用的算法,還包括興趣流、封裝模式等。SA:發(fā)起方、響應(yīng)方協(xié)商的結(jié)果就是曝光率很高的SA,SA通常是包括密鑰及密鑰生存期、算法、封裝模式、發(fā)起方、響應(yīng)方地址、興趣流等內(nèi)容。我們以最常見的IPSec隧道模式為例,解釋一下IPSec的協(xié)商過程:發(fā)起方Internet企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)IPSec隧道模式2響應(yīng)方2.17.1.2192168.L2源192,168.1.2目的10LL2■=四配興趣流源192.1S8.1.0/24目的10.0.0.0/8如果該聯(lián)趣流對成SA發(fā)起方Internet企業(yè)內(nèi)網(wǎng)企業(yè)內(nèi)網(wǎng)IPSec隧道模式2響應(yīng)方2.17.1.2192168.L2源192,168.1.2目的10LL2■=四配興趣流源192.1S8.1.0/24目的10.0.0.0/8如果該聯(lián)趣流對成SA已曼存在則無需1KE由商一階段SA二二二=二二——?興趣范明文協(xié)斶,5A協(xié)商條件;■SA不存在IKE一的段安全會話/隨道?.磐去多烏學維認?EA過期■SA不可用,人為原因由赫西對興趣流進行加密IKE講標二階段SA二二〉〈二IKE二階段安全會話?HHPSm會話/隧道 二二一——A1KE梅商報文——A興趣潦密文解密對解密后流?進行興趣流檢查源192,168.1.2目的10.1L2上圖描述了由興趣流觸發(fā)的IPSec協(xié)商流程,原生IPSec并無身份確認等協(xié)商過程,在方案上存在諸多缺陷,如無法支持發(fā)起方地址動態(tài)變化情況下的身份確認、密鑰動態(tài)更新等。伴隨IPSec出現(xiàn)的IKE(InternetKeyExchange)協(xié)議專門用來彌補這些不足:發(fā)起方定義的興趣流是源192.168.1.0/24目的10.0.0.0/8,所以在接口發(fā)送發(fā)起方內(nèi)網(wǎng)PC發(fā)給響應(yīng)方內(nèi)網(wǎng)PC的數(shù)據(jù)包,能夠得以匹配。滿足興趣流條件,在轉(zhuǎn)發(fā)接口上檢查SA不存在、過期或不可用,都會進行協(xié)商,否則使用當前SA對數(shù)據(jù)包進行處理。協(xié)商的過程通常分為兩個階段,第一階段是為第二階段服務(wù),第二階段是真正的為興趣流服務(wù)的SA,兩個階段協(xié)商的側(cè)重有所不同,第一階段主要確認雙方身份的正確性,第二階段則是為興趣流創(chuàng)建一個指定的安全套件,其最顯著的結(jié)果就是第二階段中的興趣流在會話中是密文。IPSec中安全性還體現(xiàn)在第二階段SA永遠是單向的:IPSec瞳道模式交企業(yè)闖發(fā)內(nèi)網(wǎng)PC192.168.L2響應(yīng)方發(fā)起方Internetf.內(nèi)網(wǎng)PC10.1.1.2發(fā)掘方二、 ;陶應(yīng)萬6.24.1.2 2.17.1.2企業(yè)內(nèi)IV源192.168,1.2IPSec瞳道模式交企業(yè)闖發(fā)內(nèi)網(wǎng)PC192.168.L2響應(yīng)方發(fā)起方Internetf.內(nèi)網(wǎng)PC10.1.1.2發(fā)掘方二、 ;陶應(yīng)萬6.24.1.2 2.17.1.2企業(yè)內(nèi)IV源192.168,1.2目的1。1口IKE1辦商二附股SA-左靛方一〉響應(yīng)無二>U二使用單向隧道設(shè)計實現(xiàn)更好的安全性解密興理流檢查源10X1.2邨派J巡H興趣淹進行加密源10A.1.2目的192.16&1.2

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論