最後更新: 2016-02-17
介紹
IPsec = Internet Protocol Security, 它是在 IP Layer 上運行的
功能:
- authenticating
- encrypting each IP packet
網路形式:
- host-to-host (Transport mode)
- network-to-host (Tunnel mode)
- network-to-network (Tunnel mode)
Authentication Header (Protocol 51) [MD5, SHA1] <-- 較少使用, 因為沒有加密
EncapsulatingSecurity Payload (Protocol 50) [DES, 3DES, AES]
Internet Key Exchange
兩端的網絡設備必須就SA(security association)達成一致
* SA 是單向的 (好處: 某個方向的SA被破解並不會波及到另一個方向的SA)
* 每一種協議(AH, ESP)一個獨立的SA
Manual
IKE <--- 密鑰管理協議
有過期的情況
它一共有兩個 Mode
- Transport mode
- Tunnel mode
Transport mode (payload of the IP packet is usually encrypted)
IP | AH | Data IP | ESP | Data | ESP-T IP | AH | ESP Data | ESP-T
ESP-T = md5 (ESP Header + Ency. Data)
Tunnel mode (entire IP packet is encrypted) * supports NAT traversal.
IP | AH | IP | Data IP | ESP | IP | Data | ESP-T IP | AH | ESP | IP | Data | ESP-T
Initiator -> Responder
第一階段
主要確認雙方身份的正確性(第一階段,協商創建一個通信信道(ISAKMP SA))
Diffie-Hellman
hash: 選擇MD5 或SHA
加密: DES, 3DES, AES-128, AES-192 或 AES-256
第二階段
則是為興趣流創建一個指定的安全套件(二階段,使用已建立的ISAKMP SA 建立IPsec SA)
使用哪種IPSec 協議:AH 或ESP