IPsec是专门用来解决IPv4 的一些基础安全性问题的。为了解决这些问题,它实现了四个服务:数据传输加密、数据完整性验证、数据源认证和数据状态完整性。为了实现这些服务,IPsec VPN引入了许多协议。在本篇文章中,您将学习到实现IPsec安全性的协议。
十五年前虚拟专用网对于大多数企业来说还是个很新的概念。但在今天,任意重要的安全和路由相关产品中都含有标准的VPN功能,这项技术愈来愈成为企业运作的一个基本需求。众所周知,大多数协议和应用程序在因特网上是通过明文传输的,通过VPN使用加密的数据在公共网上传输可以防止被黑客嗅探到敏感的数据并且可以帮助企业遵守数据隐私权。
早期的VPN产品需要在接入本地网络的远程客户机上安装自己的客户端,现在有很多产品依然如此。这种加密方式和支持的协议使它们要么是个很好的选择要么是个很糟的选择,因为他们很容易被泄露出去。比如,点到点隧道协议曾一致被用来作为VPN解决方案,但是它并没有提供足够的安全因为通过GRE隧道加密不够强而且通过MS-CHAP验证太简单。
今天,基于IPsec的VPNs成为了一种标准。使用因特网安全协议和其他相关协议,他们能够提供足够的安全性和加密措施用来保证会话是安全的并且被适当的加密过。
另外,较广范围的应用程序和数据的移动性为SSLVPN和移动设置VPNs铺平了道路,随着企业拓宽了员工接入敏感数据所使用的设备范围,他们同样扩大了传输数据的应用程序的数量。SSLVPN可以用来保护所有这些应用程序。
企业比以往有更多的选择来保护自己敏感的数据并同时开启远程访问和遵从数据隐私权。曾一度有人问:“是用IPsec还是SSL?”但是很多企业发现他们不是互相排斥的。当被考虑作为一个大规模远程访问方案时,每项技术都有自己的优势。
IPsec VPN
IPsec VPN框架是一个IETF 标准套件,它能够在不安全的网络中实现安全的数据传输,如Internet。IPsec VPN提供了一些在网络层实现安全通信的协议,以及一个用于交换身份和安全性协议管理信息的机制。IPsec套件是专门用来解决IPv4 的一些基础安全性问题的。
为了解决这些漏洞,IETF已经开发了不同的协议标准定义。这些标准实现了以下四个基本服务:
数据传输加密:发起的主机能够在传输之前对数据包进行加密。
数据完整性验证:接收的主机能够验证每一个到达的数据包,保证所传输的原始数据已经成功接收。
数据源认证:发起的主机能够给数据包添加标记,这样接收者能够认证这些数据。
数据状态完整性:发起和接收的主机都能够给数据包添加标记,这样数据流的任何重复传输都可以被检测和拒绝(这就是所谓的抗重放)。
IPsec VPN简介
IPsec VPN工作在OSI Layer 3。
IPsec VPN能够在远程位置与企业网络之间实现一个安全通道。
IPsec VPN需要使用安装在主机上的客户端和位于中央的硬件。
持续的IPsec VPN配置维护和帐号管理可能需要很大工作量。
用户拥有完整的内部网络功能。
IPsec VPN的访问控制比较宽松。
IPsec VPN专门对VoIP、多媒体和网络层传输进行了优化。
IPsec VPN使用了许多不同的安全性协议来实现这些服务。在底层,这些协议可以分成两类:数据包协议和服务协议。数据包协议用于实现数据安全性服务。这里有两种IPsec数据包协议:Authentication Header (AH)和Encapsulating Security Payload (ESP)。此外还有许多服务协议,但是其中最主要的一个是Internet Key Exchange protocol (IKE)。
下面是IPsec VPN实现中通常会使用的协议简要概述:
Authentication Header:AH定义在IETF RFC 2402,它支持IPsec数据验证、认证和完整性服务。它不支持数据加密。AH一般是单独实现的,但是它也可以与ESP一起实现。AH只有当我们需要保证交换数据双方安全时才会使用。
Encapsulating Security Payload:ESP定义在IETF RFC 2406,它支持IPsec数据加密、验证、认证和完整性服务。ESP可以单独实现,也可以与AH一起实现。AH头是预先设置在IP数据包的数据有效内容位置的,而ESP则将IP数据包的整个数据部分封装到一个头和尾上。
Internet Security Association and Key Management Protocol (ISAKMP):这些协议提供了实现IPsec VPN服务协商的框架和过程。ISAKMP定义在IETF RFC 2408。IKE定义在IETF RFC 2409。ISAKMP定义了创建和删除认证密钥和安全关联(SA)的模式、语法和过程。IPsec节点会使用SA来跟踪不同IPsec节点之间协商的各个方面的安全性服务政策。
Internet Key Exchange:IKE是 Oakley密钥判定协议和SKEME密钥交换协议的混合物。IKE协议负责管理IPsec VPN节点的ISAKMP中的IPsec安全关联。IKE协议可以被ISAKMP使用; 但是它们并不相同。IKE是建立IPsec节点之间IPsec连接的机制。
作者:SearchEnterpriseWAN.com