VpM概述
2.1.1 VPM需求背景
企业、组织、商家等对专用网有强大的需求。
高性能、高速度和高安全性是专用网明显的优势。
物理专用网价格高昂,物理架设实施有难度。传统的通过租用专线或拨号网络的方式越来越不适用。(性价比较低)
TCP/IP 协议簇本身的局限性,不能保证信息直接传输的保密性。TCP/IP协议在设计之初是基于可信环境的,没有考虑安全问题,所以在TCP/IP协议簇本身存在许多固有的安全缺陷
核心技术:隧道技术
2.1.2 VPM分类
按业务类型
Client-LAN
LAN-LAN
2.1.3 VPM常用技术
隧道:是在公共通信网络上构建的一条数据路径,可以提供与专用通信线路等同的连接特性。
隧道技术: 是指在隧道的两端通过封装以及解封装技术在公网上建立一条数据通道,使用这条通道对数据报文进行传输。隧道是由隧道协议构建形成的。隧道技术是VPM技术中最关键的技术。
主流加密算法分为:
对称加密算法
IDEA
(International Data Encryption Algorithm)国际数据加密算法,使用 128 位**提供非常强的安全性
des/3des
DES加密采用的是分组加密的方法,使用56位**加密64位明文,最后产生64位密文。
3DES用两个**对数据进行3次加密/解密运算。
RC系列
包括RC2、RC4、RC5、RC6算法,其中RC4是序列密码算法,其他三种是分组密码算法。
AES
AES为分组密码,分组密码也就是把明文分成一组一组的,每组长度相等,每次加密一组数据,直到加密完整个明文。
高级加密标准,是下一代的加密算法标准,速度快,安全级别高,在21世纪AES 标准的一个实现是 Rijndael 算法;
非对称加密算法(公钥加密算法)
…
其他非对称加密算法
ECC
椭圆曲线加密
RSA
由 RSA 公司发明,是一个支持变长**的公共**算法,需要加密的文件块的长度也是可变的,非对称算法
RABIN
Elgamal
Elgamal由Taher Elgamal于1985年发明,其基础是Diffie-Hellman**交换算法,后者使通信双方能通过公开通信来推导出只有他们知道的**
PKI(公开**体系,Public Key Infrastructure)是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。
PKI 技术采用证书管理公钥,通过第三方的可信任机构——CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户的身份。
目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
其核心元素是数字证书,核心执行者是CA认证机构。
数字证书是一般包含:
用户身份信息
用户公钥信息
身份验证机构数字签名的数据
2.2.1 IPSEC协议簇安全框架
IPSec协议族
传输模式(transport)
两种工作模式
隧道模式( Tunnel)
两个通信保护
鉴别头(AH, Authentication Header)
协议
封装安全载荷(ESP. Ecapsuating scurty Pylod)
IPSec协议族
**交换管理
阶段1 (两种基本模式)
主模式
协议(IKE)
阶段2 (Quick mode)
野蛮模式
两个数据库
安全策略数据库SPD (Security Poliy Database)
安全关联数据库SAD (Security Asocition
Database)
解释域DOl(Domain of Interpretation)
2.2.2 IPSEC工作模式
隧道模式(Tunnel mode)
主要应用场景:经常用于私网与私网之间通过公网进行通信,建立安全v*n通道。封装方式:增加新的IP(外网IP)头,其后是ipsec包头,之后再将原来的整个数据包封装。
传输模式(Transport mode)
主要应用场景:经常用于主机和主机之间端到端通信的数据保护。
封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据。
2.2.3 IPSEC通信协议
AH(Authentication Header,认证报头):
AH提供的安全服务:
AH不提供任何保密性服务:它不加密所保护的数据包。
不论是传输模式还是隧道模式下,AH提供对数据包的保护时,它保护的是整个IP数据包(易变的字段除外,如IP头中的TTL和TOS字段)。
ESP(Encapsulating Security Payload,封装安全有效载荷):
保密服务通过使用密码算法加密 IP 数据包的相关部分来实现。
数据流保密由隧道模式下的保密服务提供。
ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性认证。
2.2.4 IPSEC建立阶段
安全联盟SA
安全参数索引 目的IP地址 安全协议号
IKE协商阶段
IKE经过两个阶段为IPSec进行**协商并建立安全联盟:
第一阶段交换:通信各方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,即ISAKMP SA(也可称为IKE SA)。第一阶段交换有两种协商模式:
主模式协商
野蛮模式协商
第二阶段交换:用已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,产生真正可以用来加密数据流的**,IPSec SA用于最终的IP数据安全传送。
IKE 阶段2
双方协商IPSec安全参数,称为变换集transform set,包括:
加密算法
Hash算法
安全协议
封装模式
存活时间
数据传输阶段
数据传输阶段是通过AH或者ESP通信协议进行数据的传输。
数据传输建立在网络层。
DPD:死亡对等体检测(Dead Peer Detection),检查对端的ISAKMP SA是否存在。当v*n隧道异常的时候,能检测到并重新发起协商,来维持v*n隧道。
DPD主要是为了防止标准IPSEC出现“隧道黑洞”。
DPD只对第一阶段生效,如果第一阶段本身已经超时断开,则不会再发DPD包。
因此出现了NAT-T用来解决标准IPSec v*n只能同时进行一个v*n连接的问题,NAT-T允许多个IPSec v*n同时连接,出现了NAT-T的技术。
(1)NAT-T协议运用在IPSec v*n中,在IKE协商和v*n连接时,允许源端口为非UDP 500端口,使用目的端口是UDP4500端口。
(2)NAT-T协议为ESP增加了UDP头部,从而解决了数据传输过程经过防火墙后无法进行端口复用的问题
2.2.5 IPSEC v*n应用场景
WebAgent:用于SANFOR DLAN互联时,分支与移动用户寻找总部的地址,从而建立 v*n连接。
WEBAGENT有如下几种的填写方式:
-
IP:端口,如123.123.123.123:4009
适用于总部v*n设备有固定公网IP地址的环境 -
IP1#IP2:端口,如123.123.123.123#221.221.221.221:4009
适用于总部v*n设备有多条固定IP的线路,且需要做v*n的线路备份的环境 -
网址的形式,如webagent.sanfor.com.cn/webagent/123.php
适用于总部v*n设备没有固定公网IP的环境,如ADSL线路
4.域名:端口形式,如www.sanfor.com:4009
适用于总部已存在动态域名指向他们出口的公网IP的环境
最基本的三步曲
1、寻址:与谁建立连接(找到目标) ——寻址(WebAgent原理、WebAgent设置)
2、认证:身份验证(提交正确、充分的信息)—账号密码、Dkey、硬件鉴权、第三方认证。
3、策略:(下发)选路策略、权限策略、v*n路由策略、安全策略(移动用户)、v*n专线(移动用户)、分配虚拟IP