| IPSec概述 |
|
| IPSec (Internet协议安全)是一个工业标准网络安全协议,为 IP 网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec有两个基本目标:1) 保护IP数据包安全;2) 为抵御网络攻击提供防护措施。 |
| IPSec结合密码保护服务、安全协议组和动态密钥管理三者来实现上述两个目标,不仅能为企业局域网与拨号用户、域、网站、远程站点以及Extranet之间的通信提供强有力且灵活的保护,而且还能用来筛选特定数据流。IPSec基于一种端-对-端的安全模式。这种模式有一个基本前提假设,就是假定数据通信的传输媒介是不安全的,因此通信数据必须经过加密,而掌握加解密方法的只有数据流的发送端和接收端,两者各自负责相应的数据加解密处理,而网络中其他只负责转发数据的路由器或主机无须支持IPSec。该特性有助于企业用户在下列方案中成功地配置IPSec: |
| 局域网:C/S模式,对等模式 |
| 广域网:路由器-对-路由器模式,网关-对-网关模式 |
| 远程访问:拨号客户机,专网对Internet的访问 |
| 1) 纵深防御 |
| 众所周知,网络攻击常常可能导致系统崩溃以及敏感数据的外泄,因此数据资源必须受到足够的保护,以防被侦听,篡改,或非法访问。 |
| 常规网络保护策略有使用防火墙、安全路由器(安全网关)以及对拨号用户进行身份认证等。这些措施通常被称为“边界保护”,往往只着重于抵御来自网络外部的攻击,但不能阻止网络内部的攻击行为。 |
| 用户认证等的访问控制法,单纯依赖用户名和口令,也不足以抵御大多数网络攻击。例如,一台主机由多个用户共享,往往会发生人不在了,而机器却仍处于登录状态的情况,从而导致系统出现不安全因素。访问控制法最大的缺陷是一旦用户帐号被窃,根本无法阻止攻击者盗取网络资源。 |
| 还有一种比较少见的保护策略是物理级保护,就是保护实际的网络线路和网络访问节点,禁止任何未经授权的使用。但这种保护方式,当数据需要从数据源通过网络传输到目的地时,无法做到保证数据的全程安全。 |
| IPSec采用端-对-端加密模式,其基本工作原理是:发送方在数据传输前(即到达网线之前)对数据实施加密,在整个传输过程中,报文都是以密文方式传输,直到数据到达目的节点,才由接收端对其进行解密。IPSec对数据的加密以数据包而不是整个数据流为单位,这不仅更灵活,也有助于进一步提高IP数据包的安全性。通过提供强有力的加密保护,IPSec可以有效防范网络攻击,保证专用数据在公共网络环境下的安全性。 |
| 一个完善的企业安全计划,应该是多种安全策略的有机组合,将IPSec与用户访问控制、边界保护以及物理层保护相结合,可以为企业数据通信提供更高层次的纵深防护。 |
| 2) 用IPSec抵御网络攻击 |
| 网络攻击者要破译经过IPSec加密的数据,即使不是完全不可能,也是非常困难的。根据不同类别数据对于保密需求的不同,IPSec策略中有多种等级的安全强度可供选择。使用IPSec可以显著地减少或防范前面谈到过的几种网络攻击。 |
| Sniffer:Sniffer可以读取数据包中的任何信息,因此对抗Sniffer,最有效的方法就是对数据进行加密。IPSec的封装安全载荷ESP协议通过对IP包进行加密来保证数据的私密性。 |
| 数据篡改:IPSec用密钥为每个IP包生成一个数字检查和,该密钥为且仅为数据的发送方和接收方共享。对数据包的任何篡改,都会改变检查和,从而可以让接收方得知包在传输过程中遭到了修改。 |
| 身份欺骗,盗用口令,应用层攻击:IPSec的身份交换和认证机制不会暴露任何信息,不给攻击者有可趁之机,双向认证在通信系统之间建立信任关系,只有可信赖的系统才能彼此通信。 |
| 中间人攻击:IPSec结合双向认证和共享密钥,足以抵御中间人攻击。 |
| 拒绝服务攻击:IPSec使用IP包过滤法,依据IP地址范围、协议、甚至特定的协议端口号来决定哪些数据流需要受到保护,哪些数据流可以被允许通过,哪些需要拦截。 |
| 3) 第三层保护的优点 |
| 通常IPSec提供的保护需要对系统做一定的修改。但是IPSec在IP传输层即第三层的“策略执行”(Strategic Implementation)几乎不需要什么额外开销就可以实现为绝大多数应用系统、服务和上层协议提供较高级别的保护;为现有的应用系统和操作系统配置IPSec几乎无须做任何修改,安全策略可以在Active Directory里集中定义也可以在某台主机上进行本地化管理。 |
| IPSec策略在ISO参考模型第三层即网络层上实施的安全保护,其范围几乎涵盖了TCP/IP协议簇中所有IP协议和上层协议,如TCP、UDP、ICMP,Raw(第255号协议)、甚至包括在网络层发送数据的客户自定义协议。在第三层上提供数据安全保护的主要优点就在于:所有使用IP协议进行数据传输的应用系统和服务都可以使用IPSec,而不必对这些应用系统和服务本身做任何修改。 |
| 运作于第三层以上的其他一些安全机制,如安全套接层SSL,仅对知道如何使用SSL的应用系统(如Web浏览器)提供保护,这极大地限制了SSL的应用范围;而运作于第三层以下的安全机制,如链路层加密,通常只保护了特定链路间的数据传输,而无法做到在数据路径所经过的所有链路间提供安全保护,这使得链接层加密无法适用于Internet或路由Intranet方案中的端对端数据保护。 |
| 4) 基于策略的安全保护 |
| 加密技术作为一种强有力的安全保护措施,一方面它能给予数据通信以全方位的保护,另一方面也会大幅增加管理开销。IPSec基于策略的管理则有效地避免了这一缺陷。IPSec组策略用于配置IPSec安全服务(IPSec不必在API或操作系统中配置),这些策略为大多数现有网络中不同类别的数据流提供了各种级别的保护。针对个人用户、工作组、应用系统、域、站点或跨国企业等不同的安全要求,网络安全管理员可以配置多种 IPSec 策略以分别满足其需求。例如Windows 2000的“IPSec策略管理”,既可以在Active Directory中为域成员集中定义IPSec策略,也可以为非域成员定义IPSec本地计算机策略。 |