基于IPsec的虚拟专用网在Linux上的实现---安装配置.docVIP

基于IPsec的虚拟专用网在Linux上的实现--安装配置篇 Unix_guo?2000-12-28 14:17:19 原理篇 1. 前言 随着Internet的不断发展，由于其方便快捷，很多大公司和政府部门或民间组织都用它来传输数据，这些单位的各个部门往往都是跨地区的，相隔很远，如果全部用自己的专线，其价格非常昂贵。于是利用Internet这样的公共网络来传输私有数据就可以节省大量费用。但是这样的后果就是非常不安全，在Internet上，数据随时可能会被不怀好意的网络入侵者窃取或修改，因此，数据在传输过程中必须被加密，接收方和发送方通过一个虚拟的安全隧道来传输信息，这就是虚拟专用网技术。如果是在TCP或UDP层加密，那么通过截取IP层的数据同样可以获得机密信息，在IP层使用加密和认证就非常安全了，这就是IPsec(IP安全体系结构)技术。目前利用IPsec来实现VPN(虚拟专用网)成为一种发展趋势。 2. IP协议的安全体系结构 IPv4的包本身没有提供任何安全保护，黑客可以通过信息包探测、IP电子欺骗、连接截获、replay攻击(是一种不断发相同序列号的包使系统崩溃的攻击方法)等方法来攻击。因此，我们收到的数据包存在着以下危险：并非来自合法的发送者; 数据在传输过程中被人修改; 数据内容已被人窃取(想想如果是军事机密等重要信息的话，这是致命的)。IPsec的目的就是为了实现数据传输的完整性(源地址验证和保证数据没有被修改)和机密性(没有被人看过)以及提供一定程度的对replay攻击的保护。IPsec可用它为IP及其上层协议(TCP和UDP等)提供安全保护。 RFC2401规定了IPsec的基本结构，它利用认证头标(AH)和封装化安全净荷(ESP)来实现数据的认证和加密。前者用来实现数据的完整性，后者用来实现数据的机密性。同时对数据的传输规定了两种模式：传送模式和通道模式。在传送模式中，IP头与上层协议头之间嵌入一个新的IPsec头(AH或ESP); 在通道模式中，要保护的整个IP包都封装到另一个IP数据包里，同时在外部与内部IP头之间嵌入一个新的IPsec头。两种IPsec头都可以同时以传送模式和通道模式工作。图1 说明了分别在两种模式下的IP包。 原始的数据包 传送模式受保护 的数据包 通道模式受保护 的数据包 图1 处于传送和通道模式下的受IPsec保护的数据包 IPsec是由四大组件组成，它们是因特网密钥交换进程、IPsec进程本身、安全联盟数据库和安全策略数据库。 IPsec中有两个重要的数据库，分别是安全联盟数据库SAD和安全策略数据库SPD。SAD中的每一个元组是一个安全联盟SA，它是构成IPsec的基础，是两个通信实体经协商建立起来的一种协定，它决定了用来保护数据包安全的IPsec协议、转码方式、密钥以及密钥的有效存在时间等。SPD中的每一个元组是一条策略，策略是指应用于数据包的安全服务以及如何对数据包进行处理，是人机之间的安全接口，包括策略定义、表示、管理以及策略与IPsec系统各组件间的交互。两个数据库联合使用。对于发送方，每个SPD的元组都有指针指向相关的SAD的元组。如果一个SPD的元组没有指向适合发送包的SA，那么将会创建新的SA或SA束，并将SPD的元组和新的SA元组链接起来。对于接收方，通过包头信息包含的IP目的地址、IP安全协议类型(AH或ESP)和SPI(安全参数索引)在SAD中查找对应的SA。SA中其他字段为序列号、序列号溢出标志、Anti-replay 窗口、AH认证算法和密钥、ESP加密算法和密钥及初始化矩阵、ESP认证算法及密钥等等。 因特网密钥交换(IKE)是IPsec最为重要的部分，在用IPsec保护一个IP包之前，必须先建立一个SA，IKE用于动态建立SA。IKE代表IPsec对SA进行协商，并对SAD数据库进行填充。RFC2409所描述的IKE是一个混合型的协议，它建立在由Internet安全联盟和密钥管理协议(ISAKMP)定义的一个框架上，见RFC2408。IKE使用了两个阶段的ISAKMP。第一阶段建立IKE安全联盟，第二阶段利用这个既定的安全联盟，为IPsec协商具体的安全联盟。 IPsec进程本身就是用来实现整个IPsec的守护进程，用户可以通过和这个进程打交道来管理自己的安全策略，实现适合自己需要的网络安全。当然，每个开发组织的源代码不一样，用户管理的界面和方式就不一样，但是它们都必须遵守RFC的规范，最终的目的都应该是差不多的。通常，IPsec的源代码是嵌入到内核IP层源代码中的，也有人提出在其层次在IP之上，TCP之下，两种方式都可以。 3. 虚拟专用网 虚拟专用网(VPN)是专用网的扩展，它的通信两端之间