IPSec VPN初步
目录

VPN

  • site-to-site: 点对点
  • GRE: tunnel
  • IPSec VPN
  • MPLS VPN: MPLS技术,骨干网络

  • remote access: 网络外访问

  • IPSec VPN
  • VPDN: PPTP, L2TP, PPPoE
  • SSL VPN

GRE

GRE struct Ethernet SA DA Type New IP SA DA Proto TOS GRE IP SA DA Proto TOS TCP/UDP SRC DST

IP头部和IP负载没有加密。

IPSec

特点:

  • 加密传输层以上
  • 完整性验证
  • 来源验证

IPSec没有定义加密和hash函数:

  • hash函数: MD5,SHA-1;容易遭受中间人攻击,通过“加盐”可以加强(HMAC)
  • 加密算法:
  • 对称(密钥相同): DES, 3DES,AES(WPA2), RC4; 密钥不安全
  • 非对称(密钥不同): RSA,DH, ECC; 可以使用数字签名,加密慢,密文变长
  • 结合对称和非对称: 对称密钥每次随机产生,用于加密正文。初始双方持有非对称密钥,用于加密随机产生的对称密钥。

封装协议:

  • ESP协议: IP协议号50。只保护IP负载数据,不保护IP头部。加密、完整性、源认证。
  • AH协议: IP协议号51。完整性,源认证,不加密。

封装模式:

  • Transport Mode:IP头部不变,IP负载加密,在之前插入ESP头部。IP必须可以路由。
IPSec1 struct Ethernet SA DA Type IP SA DA Proto TOS IPSec(ESP/AH) TCP/UDP SRC DST DATA
  • Tunnel Mode: IP头部和IP负载加密,在IP头部之前增加新IP头部和ESP头部。
IPSec2 struct Ethernet SA DA Type New IP SA DA Proto TOS IPSec(ESP/AH) IP SA DA Proto TOS TCP/UDP SRC DST DATA

发表评论