前情回顾
- 前面介绍的GRE隧道协议,可以字LAN之间通过Internet建立隧道,实现网络间资源共享,但是GRE隧道协议不能实现加密功能,传输的数据不受加密保护,为了实现在隧道间传输数据包收到加密保护,需要使用IPSec隧道协议
什么是LAN
VPN提供的安全服务有哪些方面
- 机密性
- 完整性(即传输的数据不被修改)
- 验证服务
VPN可以在哪些层上实现
- 链路层,例如:点对点隧道协议(PPTP)
- 二层转发,例如:二层转发协议(L2FP)、二层隧道协议(L2TP)
- 网络层,例如:IP安全协议(IPSec)
- 传输层,例如:安全套接字协议(SSL)
IPSec隧道协议
简介
- 一种开放标准的安全框架结构
- 基于AH、ESP等安全协议的基础上网络层隧道协议
使用特性
- 在两台设备之间开始传递数据之前,他们之间通过协商,建立安全联盟(SA)搭建传递数据的安全通道,采用的协议方法可以是手工配置或者采用标准的IKE(Internet Key Exchange)协议方式
IPsec中的两个安全协议
- 鉴别首部AH协议,提供源点身份鉴别和数据完整性检查,但是不提供保密
- ESP除了提供AH那两种特性外海提供了保密功能
常用术语
对等体:参与Ipsece的设备亦或者其他设备,例如网关路由器、计算机
安全联盟
安全参数索引
安全联盟生命周期
交换集
加密映射条目
IPSec连接过程
IPSec启动
- 一个对等体向两一个对等体发送需要保护的数据流量时,则IPSec进程自动启动,也可以通过手动启动
建立管理连接(IKE SA)
- 启动IPSec进程后,首要做的事情就是建立IKE安全联盟,即建立管理连接,在这个阶段完成的主要任务如下:
策略协商
- 确认采用什么样的加密方法(AES-256,AES-192等等),采用 什么样的完整性检查方法(SHA1、MD5),采用什么样的验证方法(KerberosV5、证书或预共享秘钥),采用什么样的创建秘钥方法(DH Group14、DH Group2等)
验证身份
交换参数并创建管理秘钥
- IKE的一个主要特征就是不在网络上传递秘钥,只在网络传递创建秘钥需要的相关参数,然后由通信双方计算机依据交换的相关参数分别产生相同管理秘钥,管理秘钥主要用于对管理连接中交换的数据加密和解密。
建立数据连接(IPSec SA)
- 完成IKE安全联盟建立之后,可以创建IPSec数据连接,在这个阶段主要任务:
策略协商
- 去顶IpSec采用什么安全协议(AH、ESP等)、完整性与验证方法采用什么样的散列方法(MD5、SHA1等),采用什么样的加密方法(AES-256,AES-192等等)
创建会话秘钥
将SA、秘钥以及安全参数索引SPI应用于驱动程序
- SPI是每对SA的标志符、每对SA有唯一的SPI值
传输数据
IPSec配置
- IPSec配置是为了建立IPSec安全联盟
两种方式
- 手工配置IPSec安全联盟,手工配置的不需要IKE介入,加密秘钥由管理员手工设置,但是需要指定更多的参数,安全性低
- 通过IKE协商创建配置IPSec安全联盟,这里面的加密秘钥是由IKE产生,但是需要对IKE参数进行配置,加密秘钥可以定期自动协商更新,安全性较高
IPSec配置过程中主要有以下任务
- 创建加密访问列表
- 定义变换集
- 创建加密映射条目
- 将加密映射条目应用到接口上
- 配置默认生命周期
- 监视和维护IPSec
