HCIP-IPsec

  |   0 评论   |   0 浏览

基本概念

IPSec

IPSec协议族是IETF(Internet Engineering Task Force)制定的一系列协议,它为IP数据包提供了高质量的、可互操作的、基于密码学的安全性。特定的通信双方在IP层通过加密与数据源认证等方式,来保证数据报在网络上传输时的私有性、完整性、真实性和防重放。

IPSec通过认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)这两个安全协议来实现上述目标。因特网密钥交换协议IKE(Internet Key Exchange)为IPSec提供自动协商交换密钥、建立和维护安全联盟的服务,以简化IPSec的使用和管理。

IPSec安全协议

IPSec协议中的AH协议定义了认证的应用方法,提供数据源认证和完整性保证;ESP协议定义了加密和可选认证的应用方法,提供数据可靠性保证。

  • AH认证头协议:提供数据源认证、数据完整性校验和报文防重放功能。发送端对IP头的不变部分和IP净荷进行离散运算,生成一个摘要字段。接收端根据接收的IP报文,对报文重新计算摘要字段,通过摘要字段的比较,判别报文在网络传输期间是否被篡改。
  • ESP封装安全载荷协议:除提供AH认证头协议的所有功能之外,还可对IP报文净荷进行加密。ESP协议允许对IP报文净荷进行加密和认证、只加密或者只认证,ESP没有对IP头的内容进行保护。

IPSec对等体

IPSec用于在两个端点之间提供安全的IP通信,通信的两个端点被称为IPSec对等体。
image.png

安全联盟

SA(Security Association)安全联盟定义了IPSec通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。

IPSec协议的封装模式

  • 传输模式:在IP报文头和上层协议报文头之间插入一个IPSec报文头(AH或ESP)。在这种模式下,原IP报文头不变,只是IP协议字段被改为AH或ESP,并重新计算IP报文头校验和。传输模式适用于两台主机,或者是一台主机和一个安全网关之间的通讯。
    image.png
  • 隧道模式:在原始IP报文头外封装一个IPSec报文头(AH或ESP),然后在最外层封装新的IP报文头,原IP报文被当作有效载荷的一部分受到IPSec的保护。隧道模式一般用在两个安全网关之间。在一个安全网关被加密的报文,只有到达另一个安全网关才能够被解密。
    image.png

认证算法与加密算法

  • IPSec可以使用MD5(Message Digest 5)、SHA-1(Secure Hash Algorithm)、SHA-2三种认证算法。MD5算法的计算速度比SHA-1算法快,而SHA-1算法的安全强度比MD5算法高,SHA-2算法相对于SHA-1来说,加密数据位数的上升增加了破解的难度,使得安全性能要远远高于SHA-1。
  • IPSec可以使用DES、3DES(Triple Data Encryption Standard)和AES(Advanced Encryption Standard)三种加密算法。其中,AES使用128bit、192bit或256bit密钥长度的加密算法对明文进行加密。

IKE协商方式建立IPSec隧道

IKE

IKE协议建立在Internet安全联盟和密钥管理协议ISAKMP(Internet Security Association and Key Management Protocol)定义的框架上,IKE为IPSec提供了一套在不安全的网络上安全地分发密钥、验证身份、建立IPSec
SA的过程,简化了IPSec的管理和使用。

IKE版本

IKE支持IKEv1和IKEv2两个版本:

  • IKEv1:使用了两个阶段为IPsec进行密钥协商,其中第一阶段交换和密钥协商定义了两种模式:主模式(Main Mode)和野蛮模式(Aggressive Mode)。野蛮模式能够更快的创建IKE SA,但没有主模式安全;主模式只能采用IP地址方式标识对等体,而野蛮模式可以采用IP地址方式或者名称方式标识对等体。
  • IKEv2:定义了三种交换,能够比IKEv1更快的创建IKE SA。

IKE安全机制

  • DH(Diffie-Hellman)交换及密钥分发:Diffie-Hellman算法是一种公开密钥算法。通信双方在不传送密钥的情况下通过交换一些数据,计算出共享的密钥。加密的前提是交换加密数据的双方必须要有共享的密钥。IKE的精髓在于它永远不在不安全的网络上直接传送密钥,而是通过一系列数据的交换,最终计算出双方共享的密钥。即使第三者(如黑客)截获了双方用于计算密钥的所有交换数据,也不足以计算出真正的密钥。
  • 完善的前向安全性PFS(Perfect Forward Secrecy):PFS是一种安全特性,指一个密钥被破解,并不影响其他密钥的安全性,因为这些密钥间没有派生关系。IPSec第二阶段的密钥是从第一阶段的密钥导出的,当第一阶段IKE密钥被窃取后,攻击者将可能收集到足够的信息来导出第二阶段IPSec SA的密钥,PFS通过执行一次额外的DH交换,保证第二阶段密钥的安全。
  • 身份验证:身份验证指确认通信双方的身份,包括预共享密钥(Pre-shared key)验证和数字证书验证。Pre-shared
    key验证是指验证字用来作为一个输入产生密钥,通信双方采用共享的密钥,通过对报文进行摘要计算和匹配,判断二者的共享密钥是否相同,如果相同,则验证通过,否则验证失败。数字证书验证是指通信双方按约定的算法将报文进行摘要计算,信息发送方用自己的私人密钥对报文摘要进行加密,生成数字签名。信息接收方使用信息发送方的公开密钥对数字签名进行解密,与原始计算的报文摘要进行匹配,如果计算结果相同,则验证通过,否则验证失败。

虚拟隧道接口建立IPSec隧道

IPSec虚拟隧道接口是一种三层逻辑接口,可以支持动态路由协议,所有路由到IPSec虚拟隧道接口的报文都将进行IPSec保护。

IKE协商方式建立的IPSec隧道通过ACL识别待加解密流量,这种情况下流量使用IPSec加解密与路由选路没有关联关系。为了增强网络规划的可扩展性,可以使用虚拟隧道接口流量的IPSec保护功能,通过虚拟隧道接口配置IPSec保护,将IPSec加解密和隧道接口的路由选择进行集成,同时也降低了网络维护成本。其中,虚拟隧道接口可以为GRE隧道接口或IPSec隧道接口。

采用Efficient VPN策略建立IPSec隧道

Efficient VPN

IPSec Efficient VPN技术以其高度的安全性、可靠性以及灵活多变性成为企业构建其VPN网络的首选。分支与总部之间建立IPSec隧道时,必须在分支上进行完整的IPSec及其他网络资源配置。在包含数百个站点的大型网络场景中,大量的分支将使IPSec的配置和维护非常复杂。

Efficient VPN方案将IPSec及其它相应配置集中在Efficient VPN Server端,当Remote端配置好建立安全联盟所需的基本参数时,Remote端发起协商并与Server端建立起IPSec隧道,然后Server端将IPSec的其它相关属性及其他网络资源“推送”给Remote端,简化了分支的IPSec和其他网络资源的配置和维护。

Efficient VPN运行模式

  • Client模式:Remote设备通过IPSec Efficient VPN配置接入总部,自动向Server端申请IP地址和其他网络资源,包括DNS域、DNS服务器地址、WINS服务器地址和推送的ACL资源等,并通过DHCP协议向Remote端PC用户设置总部服务器资源。Remote端自动启用NAT转换功能,Remote端子网内的PC用户发送访问报文,Remote端对匹配推送的ACL资源的报文做源地址NAT转换后,报文通过IPSec隧道接入总部;对不匹配推送的ACL资源的报文不做源地址NAT转换,报文不通过IPSec隧道,而接入Internet。
  • Network模式:与Client模式不同的是,分支和总部IP地址已统一规划,Remote端不会向Server端申请IP地址,不自动启用NAT功能。
  • Network-plus模式:是Network模式和IP地址推送的组合。分支和总部IP地址已统一规划,但Remote端会向Server端申请IP地址,Remote端获取的IP地址只用于总部对分支进行Ping、Telnet等管理维护功能,不对保护的数据流做NAT转换。

Efficient VPN License

如果需要使用Efficient VPN功能,请联系华为办事处申请并购买如下License:

  • AR150&160&200系列:AR150&160&200安全业务增值包
  • AR1200系列:AR1200安全业务增值包
  • AR2200系列:AR2200安全业务增值包
  • AR3200系列:AR3200安全业务增值包