網際網路協議安全IPSec

大雄45發表於2022-10-21
導讀 IPSec 可為通訊兩端裝置提供安全通道,比如用於兩個路由器之間以建立點到點 VPN,以及在防火牆和 Windows 主機之間用於遠端訪問 VPN等。

IPSec(網際網路協議安全)是一個安全網路協議套件,用於保護網際網路或公共網路傳輸的資料。IETF在 1990 年代中期開發了 IPSec 協議,它透過 IP網路資料包的身份驗證和加密來提供 IP 層的安全性。

IPSec簡介

IPSec 可為通訊兩端裝置提供安全通道,比如用於兩個路由器之間以建立點到點 VPN,以及在防火牆和 Windows 主機之間用於遠端訪問 VPN等。IPSec可以實現以下四項功能:

  1. 資料機密性:IPSec傳送方將包加密後再透過網路傳送,可以保證在傳輸過程中,即使資料包遭擷取,資訊也無法被讀取。
  1. 資料完整性:IPSec可以驗證IPSec傳送方傳送過來的資料包,以確保資料傳輸時沒有被改變。若資料包遭篡改導致檢查不相符,將會被丟棄。
  1. 資料認證:IPSec接受方能夠鑑別IPSec包的傳送起源,此服務依賴資料的完整性。
  1. 防重放:確保每個IP包的唯一性,保證資訊萬一被擷取複製後不能再被重新利用,不能重新傳輸回目的地址。該特性可以防止攻擊者擷取破譯資訊後,再用相同的資訊包獲取非法訪問權。

IPSec 不是一個協議,而是一套協議,以下構成了 IPSec 套件:

AH協議

AH(Authentication Header)指一段報文認證程式碼,確保資料包來自受信任的傳送方,且資料沒有被篡改,就像日常生活中的外賣封條一樣。在傳送前,傳送方會用一個加密金鑰算出AH,接收方用同一或另一金鑰對之進行驗證。然而,AH並不加密所保護的資料包,無法向攻擊者隱藏資料。

網際網路協議安全IPSec網際網路協議安全IPSec

ESP協議

ESP(Encapsulating Security Payload)向需要保密的資料包新增自己的標頭和尾部,在加密完成後再封裝到一個新的IP包中。ESP還向資料包頭新增一個序列號,以便接收主機可以確定它沒有收到重複的資料包。

SA協議

安全關聯(SA)是指用於協商加密金鑰和演算法的一些協議,提供AH、ESP操作所需的引數。最常見的 SA 協議之一是網際網路金鑰交換 (IKE),協商將在會話過程中使用的加密金鑰和演算法。

網際網路協議安全IPSec網際網路協議安全IPSec

IPSec 是如何工作的?

IPSec 的工作方式涉及五個關鍵步驟,如下:

網際網路協議安全IPSec網際網路協議安全IPSec

  1. 主機識別:主機識別資料包是否需要保護,使用 IPSec 進行傳輸時,這些資料包流量會自己觸發安全策略。主機還會檢查傳入的資料包是否正確加密。
  1. IKE 階段 1:主機使用 IPSec 協商將用於安全通道的策略集,雙方驗證完成後,在它們之間建立一個安全通道,用於協商 IPSec 電路加密或驗證透過它傳送的資料的方式。
  1. IKE 階段 2:透過安全通道進行,在該通道中,兩臺主機協商在會話中使用的加密演算法型別,主機還同意並交換雙方計劃用於進出流量的加密和解密金鑰。
  1. IPSec 傳輸:透過新建立的 IPSec 加密隧道交換資料,之前設定的 IPSec SA 用於加密和解密資料包。
  1. IPSec 終止:當主機之間的會話超時或通訊完成時,通訊雙方之間的隧道在空閒時間達到一定值後會自動刪除。
IPSec 模式

IPSec 有兩種不同的執行方式:隧道模式和傳輸模式。兩者之間的區別在於 IPSec 如何處理資料包報頭。 在隧道模式下加密和驗證整個 IP資料包(包括 IP 標頭和有效負載),並附加一個新的報頭,如下圖所示。通常,隧道模式應用在兩個安全閘道器之間的通訊。

網際網路協議安全IPSec網際網路協議安全IPSec

隧道模式 在傳輸模式下,IPSec 僅加密(或驗證)資料包的有效負載,但或多或少地保留現有的資料包頭資料。通常,傳輸模式應用在兩臺主機之間的通訊,或一臺主機和一個安全閘道器之間的通訊。

IPSec傳輸模式和隧道模式的區別在於:

  1. 從安全性來講,隧道模式優於傳輸模式。它可以完全對原始IP資料包進行驗證和加密。隧道模式下可以隱藏內部IP地址、協議型別和埠。
  1. 從效能來講,隧道模式因為有一個額外的IP頭,所以它將比傳輸模式佔用更多頻寬。
  1. 從場景來講,傳輸模式主要應用於兩臺主機或一臺主機和一臺VPN閘道器之間通訊;隧道模式主要應用於兩臺VPN閘道器之間或一臺主機與一臺VPN閘道器之間的通訊。
IPSec 如何在 VPN 中使用?

VPN本質上是在公共網路上實現的專用網路。VPN 通常用於企業,使員工能夠遠端訪問其公司網路。按照VPN協議分類,常見的VPN種類有:IPSec、SSL、GRE、PPTP和L2TP等。其中IPSec是通用性較強的一種VPN技術,適用於多種網路互訪的場景。 IPSec 通常用於保護 VPN的安全。VPN在使用者的計算機和VPN伺服器之間建立了一個專用網路,而IPSec協議實現了一個安全的網路,保護VPN資料不受外部訪問。

網際網路協議安全IPSec網際網路協議安全IPSec

透過IPSec VPN可以在主機和主機之間、主機和網路安全閘道器之間或網路安全閘道器(如路由器、防火牆)之間建立安全的隧道連線。其協議主要工作在IP層,在IP層對資料包進行加密和驗證。可以使用兩種 IPSec 模式設定 VPN:隧道模式和傳輸模式。

IPSec VPN與SSL VPN

SSL VPN是採用SSL/TLS協議來實現遠端接入的一種輕量級VPN技術,包括伺服器認證、客戶認證、SSL鏈路上的資料完整性和SSL鏈路上的資料保密性。SSL VPN提供安全、可代理連線,只有經認證的使用者才能對資源進行訪問。SSL VPN能對加密隧道進行細分,從而使得終端使用者能夠同時接入Internet和訪問內部企業網資源,也就是說它具備可控功能。

網際網路協議安全IPSec網際網路協議安全IPSec

IPSec VPN和SSL VPN 都可以實現企業級安全遠端訪問,但它們以不同的方式提供。IPSec工作在網路層,即把原始資料包網路層及以上的內容進行封裝;SSL VPN工作在傳輸層,封裝的是應用資訊。

網際網路協議安全IPSec網際網路協議安全IPSec

IPSec和SSL的具體區別:

網際網路協議安全IPSec網際網路協議安全IPSec

自1998年正式頒佈以來,IPSec經過了二十多年的發展,其設計初衷是在網路層建立一套通用的安全機制,保護所有IP網路通訊的安全。相比位於傳輸層和應用層的安全協議,IPSec可以提供較為廣泛和通用的安全保護。由於位於網路層,IPSec對上層協議是透明的,不需要修改上層協議就可以使用。但IPSec也存在著一定的限制,在某些情況下,其不可以進行直接的端到端通訊(即傳輸模式)。另外,IPSec配置複雜性較高,相比其他 VPN 協議要求更高。

原文來自: https://www.linuxprobe.com/internet-protocol-security-ipsec.html


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2907281/,如需轉載,請註明出處,否則將追究法律責任。

相關文章