网络攻防学习笔记 Day23
IPv4 没有对报文源进行认证,无法确保接收到的 IP 包是 IP 包头中源地址所指出的源端实体发出的;IPv4 也没有对报文内容进行认证,无法确保报文在传输过程中的完整性没有受到破坏。
IPv4 报文没有使用加密机制,因此攻击者很容易窃听到 IP 数据包并提取出其中的应用数据。
利用 IPv4 协议没有带宽控制的缺陷,进行数据包风暴攻击来消耗网络带宽、系统资源,从而导致拒绝服务攻击。
为了解决 IPv4 存在的安全问题,IETF 设计了一套端到端的确保 IP 通信安全的机制,称为 IPsec(IP Security)。在 IPv6 中,IPsec 是必须支持的,但在 IPv4 中,则是可选的。IPsec 提供三种功能:认证、加密和密钥管理。
IPsec 操作的基础是应用于每一个从源端到目的端传输的 IP 包上的安全策略。IPsec 安全策略主要由两个交互的数据库、安全关联数据库(Security Association Database,SAD)和安全策略数据库(Security Policy Database,SPD)来确定。
当要将 IP 包发送出去时,或者接收到 IP 包时,首先要查找 SPD 来决定如何进行处理。存在 3 种可能的处理方式:丢弃(Discard)、通过(Bypass)、保护(Protect)。
IPsec 有两种运行模式:传输模式(Transport Mode)和隧道模式(Tunnel Mode)。AH 协议和 ESP 协议都支持这两种模式,因此有 4 种可能的应用组合:传输模式的 AH、隧道模式的 AH、传输模式的 ESP、隧道模式的 ESP。
传输模式为上层协议提供安全保护,因此保护的对象是 IP 包的载荷,如 TCP、UDP 等传输层协议报文,或者 ICMP 协议报文,甚至是 AH 或 ESP 协议报文(在嵌套情况下)。一般来说,传输模式只用于两台主机之间的端到端安全通信。
与传输模式不同的是,隧道模式保护整个 IP 包。为实现这一目标,在把 AH 或 ESP 域添加到 IP 包中后,整个包加上安全域被作为带有新外部 IP 首部的新“外部”IP 包的载荷。
通常情况下,只要 IPsec 一方是安全网关(如防火墙)或路由器,应该使用隧道模式。
IPsec 隧道模式下的数据包有两个 IP 首部:内部首部和外部首部。内部首部由路由器背后的主机创建,它指出了 IP 通信的最终目的地;外部首部由提供 IPsec 的设备(可能是主机,也可能是路由器)创建,它指出了 IPsec 的终点。
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/991f77ff44a00026155763a13】。文章转载请联系作者。
评论