IPSec VPN通信知识讲解

IPSecVPN第一节：IPSecVPN架构什么是IPSec？IPSec不是一个单独的协议，它给出了应用于网络层数据安全的一整套解决方案。IPSec模块框架如下：模块名具体协议分类封装模式传输模式-Transport隧道模式-Tunnel安全协议认证头协议-AH安全载荷协议-ESP因特网秘钥交换协议交换协议版本1-IKEv1交换协议版本2-IKEv2安全联盟安全联盟-IKESA安全联盟-IPSecSA通信点与加解密点通信点加解密点加解密点通信点G0/0/0G0/0/0G0/0/1G0/0/1VPN隧道第二节：封装模式封装模式是指将IPSec头部插入到原始IP报文中，以实现对报文的认证和加密。封装模式有传输模式和隧道模式两种。什么是封装模式？传输模式：传输模式下，原始数据包的源IP头部被保留，在源IP头部和IP数据之间插入IPSec头部。封装模式源IP头部IP数据源IP头部IPSec头部IP数据隧道模式：隧道模式下，生成新的IP头部，在新的IP头部和原始数据包之间插入IPSec头部。封装模式源IP头部IP数据新IP头部IPSec头部源IP头部IP数据从安全性来讲，隧道模式优于传输模式，因为隧道模式加密了整个原始数据包。从性能上来讲，传输模式优于隧道模式，因为传输模式没有增加新的IP头部。从部署场景来讲：1）传输模式多用于内网VPN或特定场景，例如GRE。2）隧道模式多用于互联网VPN。传输模式与隧道模式的对比第三节：安全协议IPSec使用AH和ESP两种网络层协议来提供认证或加密等安全服务。什么是安全协议？IP协议号51。仅支持认证功能，不支持加密功能。完整性验证范围为整个IP报文，包括IP头部，所以AH协议无法支持NAT穿越。传输模式与隧道模式，使用AH协议执行数据包封装如下图：认证头协议-AH源IP头部TCP/UDP/ICMP源IP头部AH头部TCP/UDP/ICMPData原始数据包Data新IP头部AH头部源IP头部TCP/UDP/ICMPData隧道模式传输模式认证范围认证范围认证头协议-AH-数据包结构分析下一头部负载长度保留安全参数索引（SPI）序列号认证数据字段长度含义下一头部8bit表示AH报文头后面的负载类型负载长度8bit保留字段16bitSPI32bit用于唯一标识IPSec安全联盟序列号32bit唯一地标识每一个数据包，用于防止重放攻击认证数据长度为32bit的整数倍，通常为96bit该字段包含数据完整性校验值ICV，用于接收方进行完整性校验安全载荷协议-ESPIP协议号50。同时支持认证和加密功能。传输模式中，ESP无法有效保护源IP头部。传输模式与隧道模式，使用ESP协议执行数据包封装如下图：源IP头部TCP/UDP/ICMP源IP头部ESP头部TCP/UDP/ICMPData原始数据包Data新IP头部ESP头部源IP头部TCP/UDP/ICMPData隧道模式传输模式加密范围加密范围ESP尾部ESP认证认证范围ESP尾部ESP认证安全载荷协议-ESP安全参数索引（SPI）序列号负载数据填充字段（0~255字节）填充长度下一头部认证数据ESP头部ESP尾部加密部分认证部分ESP认证字段长度含义下一头部8bit表示AH报文头后面的负载类型负载长度8bit保留字段16bit填充字段-填充字段与填充长度、填充算法有关填充长度-填充字段与填充长度、填充算法有关SPI32bit用于唯一标识IPSec安全联盟序列号32bit唯一地标识每一个数据包，用于防止重放攻击认证数据长度为32bit的整数倍，通常为96bit该字段包含数据完整性校验值ICV，用于接收方进行完整性校验从表中可以看出两个协议各有优缺点，在安全性要求高的场景中可以考虑联合使用AH协议和ESP协议。一般多厂商混合环境，建议使用ESP协议。AH协议对比ESP协议安全特性AHESP协议号5150数据完整性校验支持，整个数据包支持，传输模式不验证源IP头部数据源认证支持支持数据加密不支持支持防重放支持支持NAT-地址穿越不支持支持第四节：因特网秘钥交换协议因特网秘钥交换协议，定义了IPSecVPN设备之间的协商过程。因特网秘钥交换协议是IPSec解决方案的核心。协议分为两个版本，IKEv1和IKEv2。什么是因特网秘钥交换协议？第4.1节：IKEv1IKEv1协议有三大组成部分：1）SKEME，定义如何通过DH实现秘钥交换。2）Oakley，提供了IPSec对各种算法的支持。3）ISAKMAP，定义了消息交换的体系结构，阶段一和阶段二。IKEv1整体协商流程分为两个阶段，阶段一和阶段二。因特网秘钥交换协议版本1-IKEv1阶段一的主要任务1）协商并建立IKESA2）生成对称秘钥3）认证对端为了完成阶段一的任务，提供了两种可选模式：主模式和野蛮模式。阶段一所有协商流量均工作在UDP_500端口。IKEv1协商流程：阶段一Mainmode。该模式定义通过六个包，三次交互来完成阶段一协商，以下为简要的协商过程：1）IKEPhase1MessagesType1-2协商管理流量的保护方案2）IKEPhase1MessagesType3-4生成对称秘钥，建立IKESA3）IKEPhase1MessagesType5-6认证对端IKEv1阶段一协商模式：主模式发起方发送一个包含SA有效载荷的数据包Sai。该参数用于协商保护管理流量的具体参数，如图。应答方基于Sar字段回复所挑选的协商结果。数据包为明文交互主模式1-2数据包协商内容发起方应答方1.CI，SAi（明文）2.CI，Cr，SAr（明文）Policy10加密：AES256验证：SHA2-256DH组：10认证：PSK秘钥有效期：一天Policy10加密：AES256验证：SHA2-256DH组：10认证：PSK秘钥有效期：一天发起方应答方第三次和第四次交换用于交换与密钥相关的信息。参数X，Y，Ni，Nr都是DH算法产生对称密钥的必要元素。注意，这里产生的密钥仅用于针对管理流量。第三和第四次交换完成后，产生一条双向的IKE安全关联。数据包为明文交互。主模式3-4数据包协商内容发起方应答方1.Ci，SAi（明文）2.Ci，Cr，SAr（明文）发起方应答方3.Ci，Cr，X，Ni（明文）4.Ci，Cr，Y，Nr（明文）达夫·赫尔曼算法-DHdh-group1表示协商时采用768-bit的DH组，dh-group2表示协商时采用1024-bit的DH组，以此类推。发起方应答方1.双方均产生密钥对发起方应答方公钥私钥公钥私钥应答方公钥发起方私钥+DH算法2.双方共享公钥3.生成新的密钥发起方公钥应答方私钥+DH算法3.生成新的密钥4.使用新的密钥来提供私密性、完整性功能默认情况下，基于DH算法产生的密钥，有效期为一天。到期后会产生新的密钥，但新密钥和旧密钥之间存在推算关系，即新密钥来自于旧密钥。激活PFS，到期后产生的新密钥，将和旧密钥没有任何关系，提高密钥安全性。完美的前向保密技术-PFS第五次和第六次交换主要用于认证对等体。同时从第五个数据包开始，传输将被执行加密和完整性校验。认证通过，即进入下一阶段协商。主模式5-6数据包协商内容发起方应答方1.Ci，SAi（明文）2.Ci，Cr，SAr（明文）发起方应答方3.Ci，Cr，X，Ni（明文）4.Ci，Cr，Y，Nr（明文）5.Ci，Cr，IDr，HASHi（密文）6.Ci，Cr，IDr，HASHr（密文）AggressiveMode该模式定义通过三个包，三次交互来完成一阶段协商，以下为简要的协商过程：1）IKEPhase1MessagesType1-2

用于协商管理流量的保护方案，生成对称密钥，建立IKESA，发起方认证响应方。2）IKEPhase1MessagesType3

响应方认证发起方。IKEv1阶段一协商模式：野蛮模式安全性，主模式优于野蛮模式。速度上，野蛮模式优于主模式。从部署场景来讲：1）主模式适用于两边设备的公网IP固定、且要实现设备之间点到点的环境。2）野蛮模式适用于公网IP不固定，例如拨号网络，或采用域名建立连接的环境。主模式对比野蛮模式第二阶段的主要任务：1）协商并建立IPSecSA2.为完成以上任务，只有“快速模式-QM”可供选择。阶段二所有协商流量均工作在UDP_500端口，由第一阶段的IKESA提供保护。阶段二完成协商后，若只有一条感兴趣流，则产生两条单向的IPSecSA：1）一条用于发送加密数据。2）一条用于接收加密数据。3）实际通信数据均由协商的封装协议执行封装。IKEv1协商流程：阶段二Quicklymode。该模式定义通过三个包，三次交互来完成阶段二协商，以下为简要的协商过程：1）IKEPhase1MessagesType1发起方发送本端的安全参数和身份认证信息2）IKEPhase1MessagesType3响应方发送确认的安全参数和身份认证信息并生成新的密钥3）IKEPhase1MessagesType5确认信息，协商结束IKEv1阶段二协商模式：快速模式第一次和第二次交换用于协商数据传输的保护提案。数值Ni2和Nr2用于生成新的密钥，加密数据流量的密钥。数据包为密文交互。快速模式1-2数据包协商内容发起方应答方1.Ci，SAi（明文）2.Ci，Cr，SAr（明文）发起方应答方3.Ci，Cr，X，Ni（明文）4.Ci，Cr，Y，Nr（明文）5.Ci，Cr，IDr，HASHi（密文）6.Ci，Cr，IDr，HASHr（密文）7.Ci，SAi，Ni2，{IDi，IDr}，Hash18.Ci，SAr，Ni2，{IDi，IDr}，Hash2IKEv1升级后的公有版本，RFC5996定义。不兼容IKEv1。IKEv2整体协商流程分为两个阶段，初始包交换和创建子SA。因特网密钥交换协议版本2-IKEv2正常情况下，IKEv2只需要经过四个包，两次交换的初始包交换，即可完成隧道协商并建立隧道。初始包交换的两次交换，可细分为两个阶段：1）IKE_SA_INIT交换：第一和第二个包，完成IKEv2SA参数的协商以及密钥交换。2）KE_AUTH交换：第三和第四个包，完成对等体的身份认证以及IKESA/IPSecSA的创建注：以上四个包类似于IKEv1的第一阶段。IKEv2协商流程：初始包交换如果要求建立的IPSecSA大于一对时，每一对SA只需额外增加1次交换，也就是2条消息就可以完成。这一过程统称为“创建子SA”。IKEv2协商流程：创建子SA用于传递控制信息，例如错误信息或者通告信息。IKEv2的通知交换第五节：安全联盟安全联盟是两台IPSecVPN设备之间的协商结果。例如：1）对等体间使用何种协议2）需要保护的数据流