浅谈IPsec的工作原理及优缺点
什么是IPsec?
IPsec(IP安全性)是一套协议,旨在确保IP网络上数据通信的完整性,机密性和身份验证。虽然IPsec标准的灵活性已引起商业市场的兴趣,但由于其复杂性,导致识别协议存在若干问题,与其他安全系统一样,维护不良很容易导致关键系统故障。
IPsec可用于三个不同的安全域:虚拟专用网络、应用程序级安全性和路由安全性。目前,IPsec主要用于VPN,当在应用程序级安全性或路由安全性中使用时,IPsec不是一个完整的解决方案,必须与其他安全措施结合才能发挥其有效作用。
IPsec操作
IPsec有两种操作模式:传输模式和隧道模式。在传输模式下运行时,源主机和目标主机必须直接执行所有加密操作,加密数据通过使用L2TP(第2层隧道协议)创建的单个隧道发送,数据(密文)由源主机创建,并由目标主机检索,这种操作模式建立了端到端的安全性。
在隧道模式下运行时,除源和目标主机外,特殊网关还会执行加密处理。在这里,许多隧道在网关之间串联创建,建立了网关到网关的安全性。使用这些模式中的任何一种时,重要的是为所有网关提供验证数据包是否真实的能力以及在两端验证数据包的能力,必须丢弃任何无效的数据包。
IPsec中需要两种类型的数据包编码(DPE):身份验证标头(AH)和封装安全负载(ESP)DPE。这些编码为数据提供网络级安全性,AH提供数据包的真实性和完整性,通过密钥散列函数(也称为MAC(消息验证代码))可以进行验证,此标题还禁止非法修改,并可选择提供反重放安全性。AH可以在多个主机,多个网关或多个主机和网关之间建立安全性,所有这些都实现了AH ,ESP标头提供加密,数据封装和数据机密性。通过对称密钥提供数据机密性。
在通过各种隧道和网关的过程中,会向数据包添加额外的标头,在每次通过网关时,数据报都包含在新的标头中。此标头中包含安全参数索引(SPI),SPI指定最后一个系统用于查看数据包的算法和密钥,此系统中的有效负载也受到保护,因为将检测到数据中的任何更改或错误,从而导致接收方丢弃数据包。标头应用于每个隧道的开头,然后在每个隧道的末尾进行验证和删除,这种方法可以防止不必要的开销累积。
IPsec的一个重要部分是安全关联(SA),SA使用AH和ESP中携带的SPI编号来指示哪个SA用于数据包,还包括IP目标地址以指示端点:这可以是防火墙,路由器或最终用户。安全关联数据库(SAD)用于存储所有使用的SA,SAD使用安全策略来指示路由器应该对数据包执行的操作,三个例子包括完全丢弃数据包,仅丢弃SA,或替换不同的SA。正在使用的所有安全策略都存储在安全策略数据库中。
IPsec的缺点
在某些情况下,不可以进行直接的端到端通信(即传输模式)。举一个简单示例,其中H1和H2是一个直接隧道上的两个主机,H1使用防火墙称为FW1。
在大型分布式系统或域间环境中,多样化的区域安全策略实施可能会给端到端通信带来严重的问题。在上面的示例中,假设FW1需要检查流量内容以进行入侵检测,并且在FW1设置策略以拒绝所有加密流量以强制执行其内容检查要求。然而,H1和H2构建直接隧道而不了解防火墙及其策略规则的存在。因此,所有流量将被FW1丢弃,该场景显示每个策略满足其相应的要求,而所有策略一起可能导致冲突。
IPsec最大的缺点之一是其复杂性,虽然IPsec的灵活性使其受欢迎,但它也导致了混乱,安全专家指出“IPsec包含太多选项和太多的灵活性”。IPsec的大部分灵活性和复杂性可能归因于IPsec是通过委员会流程开发的,由于委员会的政治性质,标准中经常添加额外的功能,选项和灵活性,以满足标准化机构的各个派系,这一过程与高级加密标准(AES)的开发中使用的标准化过程形成鲜明对比,后者是1998年到期的数据加密标准的替代。
将此与NIST [国家标准与技术研究院]为AES的发展所采取的方法进行比较是有益的,而不是委员会,NIST组织了一次竞赛,几个小组各自创建了自己的提案,并且在撰写本文时,已经有一个消除阶段,剩下的五个候选人中的任何一个都会比任何一个委员会做出的标准要好得多。
此外,IPsec的大部分文档都很复杂且令人困惑,没有提供概述或介绍,也没有确定IPsec的目标,用户必须组装这些部件并尝试理解可能被描述为难以阅读的文档。为了说明用户必须忍受的挫败感,请考虑ISAKMP规范,这些规范缺少关键解释,包含许多错误并且在不同位置自相矛盾。
然而,尽管IPsec可能并不完美,但与其他安全协议相比,它被认为是一项重大改进。例如,考虑流行的安全系统安全套接字层,虽然SSL广泛部署在各种应用程序中,但它本身就受到限制,因为它在传输/应用程序层上使用,需要修改任何想要包含使用SSL能力的应用程序。由于IPsec用于第3层,因此只需要对操作系统进行修改,而不是对使用IPsec的应用程序进行修改。
IPsec是否过于复杂和令人困惑?
IPsec包含所有最常用的安全服务,包括身份验证,完整性,机密性,加密和不可否认性。但是,IPsec的主要缺点是其复杂性和相关文档的混乱性质,尽管存在各种缺点,但许多人认为IPsec是可用的最佳安全系统之一。希望在未来的IPsec修订版中能够证明可以得到相当大的改进,并且可以解决与架构相关的问题。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:niceseo99@gmail.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。
评论