计网学习笔记二十二(网络安全). IP安全 vpn

目录

虚拟专用网(VPN)

专用网(PN)

虚拟专用网(VPN)

IP安全(IPsec)

传输模式

两个IPsec协议

安全关联(SA)

IPsec数据报

数据报处理过程

SA的建立和密钥管理


虚拟专用网(VPN)

专用网(PN)

计网学习笔记二十二(网络安全). IP安全 vpn

虚拟专用网(VPN)

计网学习笔记二十二(网络安全). IP安全 vpn

本身总部网络是一个专用网络,外部不能连接,为了让远程客户、合作伙伴、分支机构成为专用网络中的一部分,通过总部的边缘路由器 用internet相连。

即在公共网络上,实现专用网络!

计网学习笔记二十二(网络安全). IP安全 vpn

VPN的功能

  •  数据机密性保护,数据实际在公网传输,不能被专用网以外的人获取
  •  数据完整性认证
  •  数据源身份认证,数据是否来自专用网内的用户
  •  防重放攻击
  •  访问控制,哪些用户可以接入vpn专用网

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

IP安全(IPsec)

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

传输模式

IPsec的传输(transport)模式.IPSEC包有主机构建和解析

计网学习笔记二十二(网络安全). IP安全 vpn

IPsec的隧道(tunneling)模式。主机和路由器间的ip包是普通ip包,ipsec由路由器构建及解析。

适用于vpn

计网学习笔记二十二(网络安全). IP安全 vpn

两个IPsec协议

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

安全关联(SA)

安全关联SA,可以认为是  网络层的连接,就像tcp连接,但是位于网络层。且是单工,如果要双工,就必须建立两个SA。

什么是面向连接?如tcp,就是两端要维护关于连接状态 的信息。IPsec是面向连接

计网学习笔记二十二(网络安全). IP安全 vpn

安全关联主要参数:

  •  安全参数索引(SPI):32位SA唯一标识(ID)
  •  加密密钥、认证密钥
  •  密码算法标识
  •  序列号(32位) • 抗重放攻击
  •  抗重播窗口 • 接收方使用滑动窗口检测恶意主机重放数据报
  •  生存周期 • 规定SA的有效使用周期
  •  运行模式:传输模式或隧道模式
  •  IPSec隧道源、目的地址

下图例子:要加密记录加密算法、用到的秘钥,要验证完整性记录校验方法

  • IPsec端点将SA状态保存在安全关联数据库SAD (security association database)中
  •  在处理IPsec数据报时,定位这些信息 对于n个销售人员,1个分支机构的VPN,总部的 路由器R1的SAD中存储2 + 2n条SAs。 2是分支机构与总部双工,所以是两个SA连接。2n是n个销售人员和总部双工,所以2n个连接
  • 当发送IPsec数据报时,R1访问SAD,确定如何 处理数据报
  • 当IPsec数据报到达R2 ,R2检验IPsec数据报中的SPI , 利用SPI检索SAD ,处理数据报

计网学习笔记二十二(网络安全). IP安全 vpn

R1访问SAD,确定如何 处理数据报:

  • 先通过选择符搜索SPD,找匹配的SP
  • 再找SP指向的SA

计网学习笔记二十二(网络安全). IP安全 vpn

IPsec数据报

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

ESP认证,用MAC认证,如MD5

计网学习笔记二十二(网络安全). IP安全 vpn

传输

计网学习笔记二十二(网络安全). IP安全 vpn

隧道

计网学习笔记二十二(网络安全). IP安全 vpn

数据报处理过程

看一下最常用的 隧道ESP过程。以下图为例,总部向分支机构发送 IPsec包

计网学习笔记二十二(网络安全). IP安全 vpn

R1: 将原IP数据报转换为IPsec数据报

  •  检索SPD,确定处理策略
  •  检索SAD,确定SA
  •  在原IP数据报(包括原IP首部域!)后面附加“ESP尾部”.
  •  利用SA定义的算法与密钥,加密上述结果.
  •  在加密结果前面附加“ESP头”,创建“enchilada”.
  •  针对整个enchilada,利用SA定义的算法与密钥,创建报 文认证码MAC;
  •  在enchilada后面附加MAC,构成载荷(新IP数据报载荷);
  •  构造全新的IP头,包含所有经典的IPv4首部字段;
  •  将新IP头附加在载荷的前面

R2: 解封IPsec数据报

  • 从原始IP数据报中提取选择符,并搜索SPD,确 定处理策略 。丢弃或转入系统IP协议栈进行后继处理
  • 判断是否为IPsec数据报
  • 从头部提取,并检索SAD
  •  若找不到SA,则触发IKE或丢弃包;
  •  若找到,则根据SA解封数据报,得到原始IP数据报

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

SA的建立和密钥管理

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

计网学习笔记二十二(网络安全). IP安全 vpn

上一篇:美区ID


下一篇:隧道技术