IP包本身没有任何安全特性,攻击者很容易伪造IP包的地址、修改包内容、重播以前的包以及在传输途中拦截并查看包的内容。因此,我们收到的IP数据报源地址可能不是来自真实的发送方;包含的原始数据可能遭到更改;原始数据在传输中途可能被其它人看过。
IPSec 是IETF(因特网工程任务组)于1998年11月公布的IP安全标准,其目标是为IPv4和IPv6提供透明的安全服务。IPSec在IP层上提供数据源地验证、无连接数据完整性、数据机密性、抗重播和有限业务流机密性等安全服务。各种应用程序可以享用IP层提供的安全服务和密钥管理,而不必设计和实现自己的安全机制,因此减少密钥协商的开销,也降低了产生安全漏洞的可能性。
IPSec可保障主机之间、网络安全网关(如路由器或防火墙)之间或主机与安全网关之间的数据包的安全。
使用IPSec可以防范以下几种网络攻击。
(1)Sniffer:IPSec对数据进行加密对抗Sniffer,保持数据的机密性。
(2)数据篡改:IPSec用密钥为每个IP包生成一个消息验证码(MAC),该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改,接收方都能够检测。保证了数据的完整性。
(3)身份欺骗:IPSec的身份交换和认证机制不会暴露任何信息,依赖数据完整性服务实现了数据起源认证。
(4)重放攻击:IPsec防止了数据包被捕获并重新投放到网上,即目的地会检测并拒绝老的或重复的数据包;它通过与AH或ESP一起工作的序列号实现。
(5)拒绝服务攻击:IPSec依据IP地址范围、协议、甚至特定的协议端口号来决定哪些数据流需要受到保护,哪些数据流可以被允许通过,哪些需要拦截。
IPSec规范中包含大量的RFC文档,其中最重要的是在1998年11月发布的,它们是安全体系结构(IPSEC)概述RFC2401、包身份验证扩展(Authentication Header ,AH)到IPv4和IPv6的描述2402、包加密扩展(Encapsulating Security Payload ,ESP)到IPv4和IPv6的描述2406和Internet密钥交换(Internet Key Exchange ,IKE)协议2409。
IPSec对于IPv4是可选使用的,对于IPv6是强制使用的。安全特征作为扩展报头实现,它跟在主IP报头后面。身份验证的扩展报头称作身份验证报头(AH头),加密报头称封装安全性有效载荷报头(ESP)。
IPSec安全体系结构如图12.1所示:
图12.1 IPSec安全体系结构
安全体系结构:包含了一般的概念、安全需求、定义和定义IPSec的技术机制;
封装安全载荷:覆盖了为了包加密(可选身份验证)与ESP的使用相关的包格式和常规问题;
验证头:包含使用AH进行包身份验证相关的包格式和一般问题;
加密算法:描述各种加密算法如何用于ESP中;
验证算法:描述各种身份验证算法如何用于AH中和ESP身份验证选项;
密钥管理:密钥管理的一组方案,其中IKE是默认的密钥自动交换协议,IKE适合为任何一种协议协商密钥,并不仅限于IPSec的密钥协商,协商的结果通过解释域(IPSec DOI)转化为IPSec所需的参数;
解释域:彼此相关各部分的标识符及运作参数;
策略:决定两个实体之间能否通信,以及如何进行通信。策略的核心由三部分组成:安全关联SA、SAD、SPD。SA表示了策略实施的具体细节,包括源/目的地址、应用协议、Spi(安全策略索引)、所用算法/密钥/长度;SAD为进入和外出包处理维持一个活动的SA列表;SPD决定了整个系统的安全需求。策略部分是唯一尚未成为标准的组件。