IPSec应用分析
目前建造虚拟专用网依据的主要国际标准有IPSec、L2TP、PPTP、L2F、SOCKS等。各种标准的侧重点有所不同,其中IPSec是由IETF正式定制的开放性IP 安全 标准,是虚拟专网的基础。实际上,IPV6版本就将IPSec作为其组成部分,而L2TP协议草案中也规定它(L2TP标准)必须以IPSec为安全基础。
目前,采用IPSec标准的 科学 技术已经基本成熟,得到国际上几乎所有主流网络和安全供应商的鼎力支持,并且正在不断丰富完善。可以断定,IPSec将成为未来相当一段时间内企业构筑科学的主流标准,因此企业在构造科学基础设施 时应该首先考虑IPSec标准。
IPSec 的优势
IPSec(IP Security)是IETF IPSec工作组为了在IP层提供通信安全而制订的一整套协议标准,IPSec的结构文档RFC2401定义了IPSec的基本结构,所有具体的实施方案均建立在它的基础之上。
IPSec的主要特征在于它可以对所有IP级的通信进行加密和认证,正是这一点才使IPSec可以确保包括远程登录、客户/ 服务器 、电子邮件、文件传输及Web访问在内多种应用程序的安全。尽管现在发行的许多Internet应用软件中已包含了安全特征。例如,Netscape Navigator和Microsoft Internet Explorer支持保护互联网通信的安全套层协议(SSL),还有一部分产品支持保护Internet上信用卡交易的安全电子交易协议(SET)。然而,科学需要的是网络级的安全功能,这也正是IPSec所提供的。下面为IPSec的一些优点:
IPSec在传输层之下,对于应用程序来说是透明的。当在广域网出口处安装IPSec时,无需更改用户或服务器系统中的软件设置。即使在终端系统中执行IPSec,应用程序一类的上层软件也不会被影响。
IPSec对终端用户来说是透明的,因此不必对用户进行安全机制的培训。如果需要的话,IPSec可以为个体用户提供安全保障,这样做就可以保护企业内部的敏感信息。
IPSec的原理
IPSec包括安全协议部分和密钥协商部分,安全协议部分定义了对通信的各种保护方式;密钥协商部分则定义了如何为安全协议协商保护参数,以及如何对通信实体的身份进行鉴别。IETF的IPSec工作组已经制定了12个RFC,对IPSec的方方面面都进行了定义,但其核心由其中的三个最基本的协议组成。即:认证协议头(AH)、安全加载封装(ESP)和互联网密匙管理协议(IKMP)。
认证协议头(AH)协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。AH认证整个IP头,不过由于AH不能加密数据包所加载的内容,因而它不保证任何的机密性。
安全加载封装(ESP)协议通过对数据包的全部数据和加载内容进行全加密,来提供数据保密性、有限的数据流保密性,数据源认证,无连接的完整性,以及抗重放服务。和AH不同的是,ESP认证功能不对IP数据报头中的源和目的以及其它域认证,这为ESP带来了一定的灵活性,但也导致了它的弱点。
在IPSec中,AH和ESP是两个独立的协议,可以仅使用其中一个协议,也可以两者同时使用。大部分的应用实例中都采用了ESP或同时使用ESP和AH,但对于某些仅需要保证完整性的应用(如股市行情的发送),也可仅使用AH。
IPSec支持预共享密钥和自动协商两种密钥管理方式。预共享密钥管理方式是指管理员使用自己的密钥手工设置每个系统。这种方法在小型网络环境和有限的安全需要时可以工作得很好。自动协商管理方式则能满足其它所有的应用要求。使用自动协商管理方式,通讯双方在建立安全连接(SA)时可以动态地协商本次会话所需的加密密钥和其它各种安全参数,无须用户的介入。
IPSec使用Internet密钥交换(IKE)协议实现安全协议的自动安全参数协商,可协商的安全参数包括数据加密及鉴别算法、加密及鉴别的密钥、通信的保护模式(传输或隧道模式)、密钥的生存期等,这些安全参数的总体称之为安全关联(SA)。
IPSec协议族使用IKE密钥交换协议来进行密钥以及其它安全参数的协商。IKE通过两个阶段的协商来完成安全关联(SA)的建立,第一阶段,由IKE交换的发起方发起一个主模式交换或野蛮模式交换,交换的结果是建立一个名为ISAKMP SA的安全关联;第二阶段可由通信的任何一方发起一个快捷模式的消息交换序列,完成用于保护通信数据的IPSec SA的协商。
设计IPSec是为了给IP数据报提供高质量的、可互操作的、基于密码学的安全性。因此,IPSec协议中涉及各种密码算法,具体的加密和认证算法的选择因IPSec的实现不同而不同,但为了保证互操作性,IPSec中规定了每个IPSec实现要强制实现的算法。
IPSec规范中要求强制实现的加密算法是CBC模式的DES和NULL算法,而认证算法是HMAC-MD5、HMAC-SHA-1和NULL认证算法。必须强调指出的是,高强度的密码算法是国家专控商品,至今美国仍实行对加密长度超过128位的加密算法的出口限制。
我国颁布的《中华人民共和国商用密码管理条例》中规定,“商用密码技术属于国家秘密。国家对商用密码产品的科研、生产、销售和使用实行专控管理。”,“任何单位或者个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制的或者境外生产的密码产品”,因此在选择科学产品时,应采用经过国家密码管理机构认可的产品。
IPSec的实现方式
IPSec的一个最基本的优势是它可以在各种网络访问设备、主机服务器和工作站上完全实现,从而使其构成的安全通道几乎可以延伸至网络的任意位置。在网络端,可以在路由器、防火墙、代理网关等设备中实现科学网关;在客户端,IPSec架构允许使用基于纯软件方式使用普通Modem的PC机和工作站。IPSec通过两种模式在应用上提供更多的弹性:传输模式和隧道模式。
传送模式通常当通讯发生在主机(客户机或服务器)之间时使用。传输模式使用原始明文IP头,AH或ESP被插在IP头之后但在所有的传输层协议之前。由于没有对原始IP头进行加密,因此传输模式不能抗数据流量分析。
隧道模式通常当通讯双方中有任一方是关联到多台主机的网络访问接入装置时使用。在隧道模式下,AH或ESP被插在原始IP头之前,同时生成一个新的IP头,并用自己的地址作为源地址加入到新的IP头。当隧道模式用于用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。
【编辑推荐】
Window7电脑密码忘了怎么办
与以往的系统一样,Win7忘记了登陆帐户密码也是件非常麻烦的事,对于普通用户来说,要想无密解锁是较困难的,以双系统为例,没有安装双系统则可以进入pe中解决。 Win7忘记登陆密码问题解析:一、进入双系统的另一个系统或pe中,或由于cmd在系统目录,文件更改首先要获得文件所有权。 1.一次展开:“D:\windows\system32”(假设Win7安装在D盘)→右击“”→选择“权限”→“高级”→“所有者”。 2.将当前系统下管理员帐号设置为所有者,如果没有当前帐号在列表,则单击“其他账户”,新建一个帐户。 单击“确定”返回权限设置窗口→点击“添加”→将当前管理员帐户添加到列表,并将账户对该文件读取权限设置为“完全控制”。 二、操作同第一步,设置当前账户对“”权限为完全控制→将“”重命名为“”→“”重命名为“”。 三、如果是以administrator账户登录的就不用这一步了,否则重启登录Win7→在登录界面单击右下角的“轻松访问”按钮→在打开的窗口勾选“启动讲述人”,此时启动的就是cmd窗口了,即以system身份开启的,拥有管理员权限。 在cmd中键入下面的命令开启administrator账户,重启即可使用administrator:net user administrator /active:yes 解释:强制开启administrator账户net user administrator 123/add 解释:强制将用户administrator密码改为123四、若出现administrator账户无法使用的用户,则新创建一个同权限用户:1.重启登录Win7→在登录界面单击右下角的“轻松访问”按钮→在打开的窗口勾选“启动讲述人”→启动cmd窗口。 2.重启,进入admin账户即可。
游戏服务器被攻击了,怎么办?在线等
游戏服务器不管是个人的还是企业的,被攻击都是,很常见的,在所难免的。 特别是游戏新上线时,都要承受的住哪些外来压力,玩家突然猛增,被攻击等等。 像这类的攻击,就需要进行防御了,使用一些带有防御攻击的高防服务器,这样可以防御掉大部分的攻击。 因为现在的IDC针对这类攻击提供专门的防御方面的服务。 所以有需要的防御功能的服务器可以直接租用高防服务器。
SD-WAN路由器和防火墙如何?
SD-WAN 路由器不需要位于防火墙后面,但如果安全策略要求,则可以。 分支机构中的 WAN 路由器通常直接连接到传输,而不是位于单独的防火墙设备后面。 当在 WAN 边缘路由器的传输物理接口上配置隧道时,默认情况下,WAN 边缘路由器的物理接口仅限于有限数量的协议。 默认情况下,除了 DTLS/TLS 和 IPsec 数据包外,还允许 DHCP、DNS、ICMP 和 HTTPs 本机数据包进入接口。 默认情况下,用于底层路由的 SSH、NTP、STUN、NETCONF 和 OSPF 和 BGP 本地数据包处于关闭状态。 建议禁用不需要的任何内容并最小化您允许通过接口的本机协议。
此外,请注意,如果防火墙位于 WAN 边缘路由器的前面,则防火墙无法检查大多数流量,因为防火墙会看到用于 WAN 边缘路由器数据平面连接的 AES 256 位加密 IPsec 数据包和用于 WAN 的 DTLS/TLS 加密数据包边缘控制平面连接。 但是,如果使用防火墙,则需要通过打开防火墙上所需的端口来适应 SD-WAN 路由器的 IPsec 和 DTLS/TLS 连接。 如果需要应用NAT,推荐一对一的NAT,尤其是在数据中心站点。 其他 NAT 类型可以在分支机构使用,但对称 NAT 可能会导致与其他站点的数据平面连接出现问题,因此在部署时要小心。
请注意,对于直接互联网流量和 PCI 合规性用例,iOS XE SD-WAN 路由器支持其自己的原生完整安全堆栈,其中包括应用程序防火墙、IPS/IDS、恶意软件保护和 URL 过滤。 这种安全堆栈支持消除了在远程站点部署和支持额外安全硬件的需要。 vEdge 路由器支持其自己的基于区域的防火墙。 这两种路由器类型都可以与 Cisco Umbrella 集成作为安全互联网网关 (SIG),以实现基于云的安全性。
发表评论