我们在网络中,一个信息的传递,是需要多个协议的过滤才能完成整个传递过程。那么其中也需要特殊的安全协议来保证信息的安全。现在我们就来为大家介绍一下IPsec协议,Cisco的IPsec(Internet Protocol Security)套件的IOS实现是一个基于开放标准的框架,它提供给管理员各种安全IP网络通信的工具。
IPsec框架是一套IETF标准,它们用于非安全网络中数据安全传输,比如Internet。IPsec协议提供了网络层的安全通信协议,以及交换身份验证和安全性协议管理信息的机制。IPsec套件是用于解决IPv4的一些基本的安全缺陷。IPv4是用于一个数据包交换网络环境中运行有或没有操作系统的计算机之间共享信息。可以这样说,在70年代TCP/IP开发出来时,安全性的重要性还比不上数据包准确传输。然而,随着全球网络的大量系统数以百万计计算机之间的TCP/IP数据交换支持的增长,这些对安全性的攻击成为了关注点。
IPsec协议对抗安全性攻击
目前有三种主要的IP安全性攻击。其中有两个是针对于有全局唯一IP地址的互相独立的主机间的IP数据传输。第一个是IP欺骗。为了保证收到的信息是可信的,信息的来源也必须是可信的。IP数据包发送是逐跳式(Hop-by-Hop)处理的。如果一个攻击者知道网络拓扑结构,他就能够让一个系统失效和伪装或“欺骗”它的身份。因为大多数IP安全规范都是围绕主机的IP地址的,IP欺骗对于需要安全地交换数据的网络管理员是很大的问题。
会话劫持(Session hijacking)是比IP欺骗更高级别的攻击。这时攻击者会失效所欺骗的主机并伪装活跃的网络会话。这是一个比伪装主机IP地址更狡猾的攻击,因为它的成功运行也依赖于软件攻击。
第三种攻击流量嗅探(Traffic Sniffing)是包交换网络所特有的,在包交换网络中所有的数据包对于所有连接到传输介质的网络节点都是可见的。不管是什么样的传输介质,路由器、交换机和防火墙对通过这些网关的数据包都有可见权。而这使得这些设备可以很好地应付被支过滤IP流量,同时这使它们成为收集IP数据包并提取数据内容的最佳位置。
IPsec协议细节
为了解决这些攻击,IETF开发了一些不同的协议标准定义。这些标准提供了四个基本的服务:
1. 数据传输加密:原始主机能够在数据包传输前对其进行加密;
2. 数据完整性验证:接收主机能够对每一个用来保证原始数据传输被接收而发送的数据包进行验证;
3. 数据来源验证:原始主机能够标记数据包,使得接收者能够对它们进行验证;
4. 数据状态完整性:原始和接收主机都能够标记数据包,所以任何数据流的重传输都可以被检测和拒绝(也就是Anti-replay);
IPsec协议使用许多不同的安全性协议来支持它们的服务。从一般层次上,这些协议可以分成两个不同分组:数据包协议和服务协议。数据包协议用以提供数据安全性服务。其中有两种IPsec数据包协议:认证报头(Authentication Header,AH)和封装安全载荷(Encapsulating Security Payload,ESP)。而服务协议有很多种,但其中主要的一种是Internet密钥交换协议(Internet Key Exchange Protocol,IKE)。