目录
虚拟专用网(VPN)
专用网(PN)
虚拟专用网(VPN)
本身总部网络是一个专用网络,外部不能连接,为了让远程客户、合作伙伴、分支机构成为专用网络中的一部分,通过总部的边缘路由器 用internet相连。
即在公共网络上,实现专用网络!
VPN的功能
- 数据机密性保护,数据实际在公网传输,不能被专用网以外的人获取
- 数据完整性认证
- 数据源身份认证,数据是否来自专用网内的用户
- 防重放攻击
- 访问控制,哪些用户可以接入vpn专用网
IP安全(IPsec)
传输模式
IPsec的传输(transport)模式.IPSEC包有主机构建和解析
IPsec的隧道(tunneling)模式。主机和路由器间的ip包是普通ip包,ipsec由路由器构建及解析。
适用于vpn
两个IPsec协议
安全关联(SA)
安全关联SA,可以认为是 网络层的连接,就像tcp连接,但是位于网络层。且是单工,如果要双工,就必须建立两个SA。
什么是面向连接?如tcp,就是两端要维护关于连接状态 的信息。IPsec是面向连接
安全关联主要参数:
- 安全参数索引(SPI):32位SA唯一标识(ID)
- 加密密钥、认证密钥
- 密码算法标识
- 序列号(32位) • 抗重放攻击
- 抗重播窗口 • 接收方使用滑动窗口检测恶意主机重放数据报
- 生存周期 • 规定SA的有效使用周期
- 运行模式:传输模式或隧道模式
- IPSec隧道源、目的地址
下图例子:要加密记录加密算法、用到的秘钥,要验证完整性记录校验方法
- IPsec端点将SA状态保存在安全关联数据库SAD (security association database)中
- 在处理IPsec数据报时,定位这些信息 对于n个销售人员,1个分支机构的VPN,总部的 路由器R1的SAD中存储2 + 2n条SAs。 2是分支机构与总部双工,所以是两个SA连接。2n是n个销售人员和总部双工,所以2n个连接
- 当发送IPsec数据报时,R1访问SAD,确定如何 处理数据报
- 当IPsec数据报到达R2 ,R2检验IPsec数据报中的SPI , 利用SPI检索SAD ,处理数据报
R1访问SAD,确定如何 处理数据报:
- 先通过选择符搜索SPD,找匹配的SP
- 再找SP指向的SA
IPsec数据报
ESP认证,用MAC认证,如MD5
传输
隧道
数据报处理过程
看一下最常用的 隧道ESP过程。以下图为例,总部向分支机构发送 IPsec包
R1: 将原IP数据报转换为IPsec数据报
- 检索SPD,确定处理策略
- 检索SAD,确定SA
- 在原IP数据报(包括原IP首部域!)后面附加“ESP尾部”.
- 利用SA定义的算法与密钥,加密上述结果.
- 在加密结果前面附加“ESP头”,创建“enchilada”.
- 针对整个enchilada,利用SA定义的算法与密钥,创建报 文认证码MAC;
- 在enchilada后面附加MAC,构成载荷(新IP数据报载荷);
- 构造全新的IP头,包含所有经典的IPv4首部字段;
- 将新IP头附加在载荷的前面
R2: 解封IPsec数据报
- 从原始IP数据报中提取选择符,并搜索SPD,确 定处理策略 。丢弃或转入系统IP协议栈进行后继处理
- 判断是否为IPsec数据报
- 从头部提取,并检索SAD
- 若找不到SA,则触发IKE或丢弃包;
- 若找到,则根据SA解封数据报,得到原始IP数据报