IPSEC VPN 基础知识讲解

IPsecVPN基础知识与实践樊磊Email:lei.fan@opi-corp.com目录VPN的基本概念以及分类加密学原理VPN的加密算法VPN的概念以及工作原理IPSecVPN技术IPSecVPNTroubleshootingTCPMSSVPN的基本概念以及分类IPsec简单介绍：什么是VPN?1.VPN的最初概念，使服务提供商能够利用共同的物理基础设施，实施模拟客户网站之间的点对点连接2.虚拟专用网络,把在不同物理地点的用户,虚拟的连接在一起VPN模型1.覆盖模型(Overla)FR（帧中继）和ATM提供了模拟专用网络客户，SP不参与客户的路由。SP只提供在第2层虚电路接入服务，这被称为执行的覆盖模式。2.点对点模型(Peer-to-Peer)在客户路由器和服务提供商之间交换路由信息以及数据，整个提供商是负责核心传输。5Overla模型Peer-to-Peer模型VPN的类型1.GRE-----最简单的VPN,没有任何的加密和保护机制,只是提供一个VPN的连通性2.VPDN-----PPPOE/PPTP/L2TP虚拟个人拨号网络3.MPLS-----企业级的网络,也是只提供连通性,是为了不同的企业提供有偿的连通性,把不同的分支机构通过ISP连接起来4.IPsec-----免费的,只需要申请上网费用,可以在Internet里建立一个安全的通道,适合企业级a.remoteVPN-----远程拨号b.L2L(Lan-to-Lan)-----站点到站点把当前的网络做了扩展a.支持企业拨号b.支持防火墙远程拨号c.支持小型的家庭办公用户拨号d.支持移动用户拨号IPsec的协议IPsecVPN的由来IPv6多数人认为IPv6是为了IP地址不够用而设计的,其实是一个很大的错误,推出它是为了:1.IP地址不够用2.由于IPv4非常不安全(比如IP地址欺骗,2层的ARP攻击等等)-----到了IPv6已经取消了ARP,不仅扩展了地址空间,而且还保证了IP地址的安全性,其中最重要的是在IPv6里提出了IPsecVPN希望以后IPv6的网络都是IPsecVPN这样做的但是由于IPv6一直没有大范围的实现,所以就把他集成到IPv4里,形成了IPsecVPNIPv6思想是想把它集成到内核里,而IPv4需要装软件IPsec的优点优点:1.私秘性Confidentiality2.数据完整性Dataintegrity3.源认证Authentication4.可以避免重放攻击Replaydetection加密学原理安全的定义：•1)源认证-----源可信•2)完整性-----传输过程中没被改过•3)私秘性-----加密使别人看不到•4)不可否认性-----确定不是别人给的密码学算法常用的对称算法一、DES二、3DES三、AES密码学算法•非对称密钥算法汇总：公钥和私钥有一个公钥/私钥对当一个新用户加入到网络中，会自动产生一对密钥，一个公钥，一个私钥，私钥自己保留，公钥传递到网络中特点：•公钥加密--yes---私钥解密•私钥加密--yes---公钥解密•公钥加密--no--公钥解密•私钥加密--no--私钥解密1.公钥加密，私钥解密：要传递给对方文件，用对方的公钥加密，所以只有对方的私钥可以解密，保证在网络中传递没有任何人可以改变，安全性，加密2.私钥加密，公钥解密:做数字签名用，为了使别人都能看到密码学算法•非对称密码学特点优点：a.使用非对称密码技术时，用一个密钥加密的东西只能用另一个密钥来解密-----密钥的增长是线性增长的，可以接受b.非对称加密是安全的c.因为不必发送密钥给接受者，所以非对称加密不必担心密钥被中途截获的问题d.需要分发的密钥数目和参与者的数目一样e.非对称密码技术没有复杂的密钥分发问题f.非对称密钥技术不需要事先在各参与者之间建立关系以交换密钥g.非对称密码技术支持数字签名和不可否认性缺点：a.非对称加密速度相对较慢b.非对称加密会造成密文变长注：公钥不安全，任何人都有可能利用对方的公钥加密数据密码学算法各取所长：•这两个算法各有所长和弱点，所以现代密码系统都在努力做到适当的使用这两类算法以利用它们的长处，同时避开它们各自的缺点•比较一下对称和非对称密码技术，会发现，在每个领域，如果一类算法比较脆弱，那么另一个算法就会比较强，所以各取所长结合两种解决方案密码学算法在Internet上广泛使用的思想：理想的解决方案该解决方案必须是安全的a.加密的速度必须快-----对称密钥加密得到的密文必须紧凑b.该解决方案必须能够适应参与者数目很多的情况-----非对称密钥该解决方案必须能够抗密钥窃听攻击该解决方案一定不能要求事先在参与者之间建立某种关系该解决方案必须支持数字签名和不可否认性密码学算法密码学算法•到目前为止,源认证和完整性的问题还没有得到解决,只是加密的流程很完美了IPsecVPN基本概念•通过增加一个新的头部,提供了网络层的安全性•提供的是IP的安全性•IP头部不加密,后面的数据全部加密，如果IP头部被加密路由器将无法查询路由•在IP头部和数据之间加入新的头部•在IPv6中IPsec是强制性的两个概念(1)两个概念(2)两个概念(3)IPsecVPN基本概念•IPSEC的两种保护模式1.Transportmode不产生新的IP头部,要求原IP包可在INTERNET路由,要求通信点和加密点为同一IP2.Tunnelmode产生新的可路由IP头,可解决不同私有网络之间跨越INTERNET数据包的加密传送IPsecVPN基本概念SA-安全联盟•“安全联盟”（IPSec术语，常常简称为SA）是构成IPSec的基础•SA是两个通信实体经协商建立起来的一种协定。它们决定了用来保护数据包安全的IPSec协议、转码方式、密钥以及密钥的有效存在时间等等任何IPSec实施方案始终会构建一个SA数据库（SADB），它包含每个活动安全关联的参数。•SA是单向的如果两个主机（比如A和B）正在通过ESP进行安全通信，那么主机A就需要有一个SA，即SA(out)，用来处理外发的数据包；另外还需要有一个不同的SA，即SA(in)，用来处理进入的数据包。主机A的SA(out)和主机B的SA(in)将共享相同的加密参数（比如密钥）•SA还是“与协议相关”的每种协议都有一个SA。如果主机A和B同时通过AH和ESP进行安全通信，那么每个主机都会针对每一种协议来构建一个独立的SAIPsecVPN基本概念SPD-安全策略数据库SPD存储了策略定义，他们决定了如何处理两个IPSec对等体之间的所有IP数据流：入站和出站的。该数据库定义了各种选择符，以标识需要IPSec的分组。这些选择符如下：1、目的IP地址2、源IP地址3、名称4、数据敏感性等级5、传输层协议6、源和目的端口IPsecVPN基本概念•IPSEC的组成部分1).ESP（负载安全封装）协议2).验证包头（AH）协议3).Internet密钥交换（IKE）协议AH协议号51.ESP协议号50.ESPandAHHeader–ESPallowsencryptionandauthenticatestheoriginalpacket.–AHauthenticatesthewholepacket(includingtheheader)anddoesnotallowencryption.ESPProtocol–Providesconfidentialitywithencryption–ProvidesintegritywithauthenticationIPsecVPN基本概念IKE介绍•IKE负责在两个IPsec对等体间协商一条IPsec隧道的协议•协商协议参数•交换公共密钥•对双方进行认证•在交换后对密钥进行管理IPsecVPN基本概念IKE的三个组成部分•SKEME：提供为认证目的使用公开密钥加密的机制（定义一种密钥交换方式）•Oakley：提供在两个IPSEC对等体间达成相同加密密钥的基本模式的机制（对多模式的支持，例如对新的加密技术。并没有具体的定义，交换什么样的信息）•ISAKMP：定义了消息交换的体系结构，包括两个IPSEC对等体间分组形式和状态转变（定义封装格式和协商包交换的方式）IPsecVPN基本概念IPsecVPN基本概念•两个大的阶段：Phase1、ISAKMPSA建立一个安全通道认证对方，然后在安全通道内对第二阶段的IPSEC相应的策略进行协商阶段1主要提供验证,你到底是谁,有密钥/数字证书/peer的密钥等等,要交换一个密钥Phase2、使用ESP或AH来保护IP数据流，以协商并确定IPSecSAIPsecVPN基本概念•IKE的三个模式•Site-to-SiteIPsecVPNOperationsFiveStepsofIPsecStep1:InterestingTrafficStep2:IKEPhase1IKEPolicy–NegotiatesmatchingIKEtransformsetstoprotectIKEexchangeDiffie-HellmanKeyExchangeAuthenticatePeerIdentity•Peerauthenticationmethods:–Presharedkeys–RSAsignatures–RSAencryptednoncesStep3:IKEPhase2–NegotiatesIPsecsecurityparameters,IPsectransformsets–EstablishesIPsecSAs–PeriodicallyrenegotiatesIPsecSAstoensuresecurity–Optionally,performsanadditionalDiffie-HellmanexchangeIPsecTransformSets–Atransformsetisacombinationofalgorithmsandprotocolsthatenactasecuritypolicyfortraffic.Step4:IPsecSession–SAsareexchangedbetweenpeers.–Thenegotiatedsecurityservicesareappliedtothetraffic.Step5:TunnelTermination–Atunnelisterminatedbyoneofthefollowing:•ByanSAlifetimetimeout•Ifthepacketcounterisexceeded–IPsecSAisremoved•Ipsec应用IPsecVPN应用•RouterLan-to-LanIPsecVPN应用•动态vs静态cryptomapIPsecVPN应用•IPsecoverGREIPsecVPN应用•GREoverIPsecIPsecVPN应用IPsecVPN应用•RRIIPsecVPN应用IPsecVPN应用•VPN的访问控制列表IPsecVPN应用•ISAKMPkeepaliveIPsecVPN应用•HA高可用性VPN（链路备份）IPsecVPN应用•RemoteaccessVPNIPsecVPN应用•EZVPNIPsecVPN应用•DMVPNIPsecVPN应用IPsecVPN应用•DMVPNIPsec-VPN简单Troubleshooting•没有Debug的情况a)理解VPN触发过程1.包进入VPN设备，检查对方通讯点的路由，路由引导流量出适当接口2.包在出接口过程中撞击上MAP3.流量匹配上MAP的ACL（感兴趣流），触发加密4.发起和PEER的IKE协商，VPN设备检查去往PEER的路由IPsec-VPN简单Troubleshooting•b)可能的错误1.nologgingconsole2.缺少去往对方通讯点的路由，或者没有引导对出接口3.正确的接口下没有map4.MAP配置的ACL错误，不能够匹配上感兴趣流。5.缺少对方peer（加密点）的路由6.由于N