IPsec的基础知识

IPsec的基础知识
了解IPsec
迫切需要在大型公共WAN（主要是Internet）上安全地传输数据包。

解决方案是开发许多网络协议，其中IPsec是部署最多的协议之一。

它可以从以下事实中获益：无需对附加的同行进行任何更改即可轻松调整。

在本文中，我们将研究IPsec的概述，其部署技术及其工作原理。

IPsec简介
IPsec是相关协议的框架，用于保护网络或分组处理层的通信。

它可用于保护对等体之间的一个或多个数据流。

IPsec支持数据机密性，完整性，原始身份验证和反重放。

它由两个主要协议组成。

认证头（AH）
在此协议中，对IP报头和数据有效负载进行哈希处理。

从该哈希中，构建新的AH头，其附加到分组。

这个新数据包通过路由器传输头部和有效负载的路由器传输。

两个哈希都需要完全匹配。

即使单个位发生更改，AH标头也不会匹配。

封装安全负载（ESP）
这是一种为数据包提供加密和完整性的安全协议。

在标准IP头之后添加ESP。

由于它包含标准IP标头，因此可以使用标准IP设备轻松路由。

这使得它向后兼容IP路由器，甚至那些不是设计用于IPsec的设备。

ESP在IP分组层执行。

它包含六个部分，其中两个部分仅被认证（安全参数索引，序列号），而其余四个部分在传输期间被加密（有效载荷数据，填充，填充长度和下一个标题）。

它支持多种加密协议，由用户决定选择哪一种。

加密技术
IPsec有两种加密模式。

两种模式都有自己的用途，应根据解决方案谨慎使用。

隧道模式
这会加载有效负载和标头。

当数据包的目标不同于安全终止点时，将使用隧道模式下的IPsec。

此模式的最常见用途是在网关之间或从终端站到网关之间。

网关充当主机的代理。

因此，当数据包的来源与提供安全性的设备不同时，使用隧道模式。

运输方式
在此加密模式下，仅加密每个数据包的数据部分。

此模式适用于终端站之间或终端站与网关之间。

它是如何工作的
IPsec使用隧道。

我们定义敏感或有趣的数据包安全地通过隧道发送。

通过定义隧道的特性，定义了敏感数据包的安全保护措施。

IPsec提供多种技术和加密模式。

但它的工作可以分为五个主要步骤。

简要概述如下：
有趣的交通启动
需要监控的敏感流量被认为是有趣的。

在确定流量之后，在对等体的配置界面上实施安全策略。

例如，在Cisco路由器中，访问列表可用于通过加密映射集来决定有关数据包的加密。

可以将列表分配给策略，指出如果允许分组，则必须加密它们，否则发送未加密的数据分组。

当此流量通过IPsec客户端时，将触发IKE第一阶段。

IKE第一阶段
在该步骤中，首先验证IPsec对等体，从而保护对等体的身份。

然后，在对等体之间协商Internet密钥交换（IKE）安全关联（SA）策略。

这导致双方都拥有共享秘密匹配密钥，这有助于IKE第二阶段。

此外，在这个阶段，建立了一个安全隧道，通过该隧道将发生第二阶段的信息交换。

该阶段有两种操作模式
主模式：发起者和接收者之间有三种交换。

在第一次交换中，交换算法和哈希。

第二个交换机负责使用Diffie-Hellman交换的几代共享秘密密钥。

最后一次交换是为了验证对方的身份。

所有这三个交换都是双向的。

积极模式：此模式下的交换较少。

所有必需的信息都被挤压，使其使用起来更快。

唯一的麻烦是在有安全通道使这种模式易受攻击之前共享信息。

IKE第二阶段
此阶段通过IKE SA协商IPsec SA参数的信息。

这里也分享IPsec策略，然后建立IPsec SA。

此阶段只有一种模式（快速模式）。

它交换nonce提供重播保护。

这些nonce生成新的共享密钥材料。

如果IPsec的生存期到期，则可以重新协商新的SA。

数据传输
这里数据通过IPsec隧道安全可靠地传输。

使用IPsec SA中的指定加密对发送的数据包进行加密和解密。

隧道终止
隧道可以通过删除或超时终止。

超过指定的时间（秒）或指定的字节数将通过隧道时发生超时。