详解IP安全：IPSec协议簇 - AH协议 - ESP协议 - IKE协议

最新推荐文章于 2024-08-10 17:45:17 发布

程序员小强_

最新推荐文章于 2024-08-10 17:45:17 发布

阅读量807

点赞数 11

文章标签： tcp/ip 安全网络协议

本文链接：https://blog.csdn.net/dzqxwzoe/article/details/137142323

版权

IP安全概述

IPSec协议簇

IPSec的实现方式

AH（Authentication Header，认证头）

ESP（Encapsulating Security Payload，封装安全载荷）

IKE（Internet Key Exchange，因特网密钥交换）

IKE的两个阶段

IP安全概述

大型网络系统内运行多种网络协议（TCP/IP、IPX/SPX和NETBEUA等），这些网络协议并非为安全通信设计。而其IP协议维系着整个TCP/IP协议的体系结构，除了数据链路层外，TCP/IP的所有协议的数据都是以IP数据报的形式传输的。

TCP/IP协议族有两种IP版本：版本4（IPv4）和版本6（IPv6），IPv6是IPv4的后续版本，IPv6简化了IP头，其数据报更加灵活，同时IPv6还增加了对安全性的考虑。

目前占统治地位的是IPv4，IPv4在设计之初没有考虑安全性，IP数据包本身并不具备任何安全特性，导致在网络上传输的数据很容易受到各式各样的攻击：比如伪造IP包地址、修改其内容、重播以前的包以及在传输途中拦截并查看包的内容等。因此，通信双方不能保证收到IP数据报的真实性。

IPSec协议簇

为了加强因特网的安全性，从1995年开始，IETF着手制定了一套用于保护IP通信的IP安全协议（IP
Security,IPSec）。IPSec是IPv6的一个组成部分，是IPv4的一个可选扩展协议。IPSec弥补了IPv4在协议设计时缺乏安全性考虑的不足。

IPSec定义了一种标准的、健壮的以及包容广泛的机制，可用它为IP以及上层协议（比如TCP或者UDP）提供安全保证。IPSec的目标是为IPv4和IPv6提供具有较强的互操作能力、高质量和基于密码的安全功能，在IP层实现多种安全服务，包括访问控制、数据完整性、机密性等。
IPSec通过支持一系列加密算法如DES、三重DES、IDEA和AES等确保通信双方的机密性。

IPSec协议簇中主要包括三个协议：IKE/AH/ESP

IKE（Internet Key Exchange，因特网密钥交换）：IKE协议是一种基于UDP的应用层协议，它主要用于SA协商和密钥管理。
AH协议（Authentication Header，验证头）：可以证明数据的起源地、保障数据的完整性以及防止相同数据包在因特网重播。
ESP协议（Encapsulating Security Payload，封装安全载荷）：具有所有AH的功能，还可以利用加密技术保障数据机密性。

AH虽然可以保护通信免受窜改, 但并不对数据进行变形转换, 数据对于黑客而言仍然是清晰的。为了有效地保证数据传输安全,
ESP进一步提供数据保密性并防止窜改。也就是说，AH提供数据的可靠性和完整性，但机密性由ESP保护。虽然AH和ESP都可以提供身份认证，但它们有2点区别：
ESP要求使用高强度的加密算法，会受到许多限制。多数情况下，使用AH的认证服务已能满足要求，相对来说，ESP开销较大。
同时有两套不同的安全协议意味着可以对IPSec网络进行更细粒度的控制，选择安全方案可以有更大的灵活度。

IPSec的实现方式

IPSec的实现方式有两种：传输模式和隧道模式，都可用于保护通信。

传输模式用于两台主机之间，保护传输层协议头，实现端到端的安全性。
当数据包从传输层传送给网络层时，AH和ESP会进行拦截，在IP头与上层协议之间需插入一个IPSec头。当同时应用AH和ESP到传输模式时，应该先应用ESP，再应用AH。

传输模式的封包如下所示

隧道模式用于主机与服务器，或者服务器与服务器之间，保护整个IP数据包，将整个IP数据包进行封装（称为内部IP头），然后增加一个IP头（称为外部IP头），并在内部与外部IP头之间插入一个IPSec头。

隧道模式的封包如下所示

IPSec可在终端主机、网关/路由器或者两者中同时进行实施和配置。至于IPSec在网络什么地方配置，则由用户对安全保密的要求来决定。
在需要确保端到端的通信安全时，在主机实施显得尤为有用。然而，在需要确保网络一部分的通信安全时，在路由器中实施IPSec就显得非常重要。

AH（Authentication Header，认证头）

AH为IP报文提高能够数据完整性校验和身份验证，还具备可选择的重放攻击保护，但不提供数据加密保护。
AH不对受保护的IP数据报的任何部分进行加密，除此之外，AH具有ESP的所有其他功能。 AH和ESP同时保护数据，在顺序上，AH在ESP之后，AH格式如图：

头部（8位）表示AH后的载荷类型，传输模式下是6（TCP）或17（UDP），隧道模式下是5 （TCP）或41（UDP）。
载荷长度（8位）是整个AH的长度减2，长度以32为单位。保留（16）位是保留字段，全为0。
安全参数索引（32位）与外部IP头的目的地址一起对报文进行身份验证和完整性校验，序列号（32位）是一个单向递增的计数器，提供抗重播能力。验证数据的长度由具体的验证算法决定。

对AH的处理分成2部分：

对发送的数据包添加AH头
对收到的含有AH的数据包进行还原

ESP（Encapsulating Security Payload，封装安全载荷）

ESP为IP报文提供数据完整性校验、身份验证、数据加密以及重放攻击保护等。除了AH提供的所有服务外，还提供机密性服务。
ESP可在传输模式以及隧道模式下使用。ESP头可以位于IP头与上层协议之间，或者用它封装整个IP数据报。ESP头的格式：

安全参数索引（32位）用于标识处理数据包的安全关联。序列号（32位）与AH类似，提供抗重放攻击。填充项（0~255位），长度由具体加密算法决定。
填充长度（8位）：接收端可以恢复的数据载荷的真实长度。下一头部（8位）：表示受ESP保护的载荷的类型。
在传输模式下可能是6（TCP）或17（UDP），在隧道模式下可能是5（IPv4）或41（IPV6）

AH和ESP可以单独使用，也可以同时使用。AH和ESP同时使用时，报文会先进行ESP封装，再进行AH封装；IPsec解封装时，先进行AH解封装，再进行ESP解封装。

IKE（Internet Key Exchange，因特网密钥交换）

整个IKE协议规范主要由3个文档定义：RFC2407、RFC2408和RFC2409

RFC2407定义了因特网IP安全解释域
RFC2408描述了因特网安全关联和密钥管理协议（Internet Security Association and Key Manangement Protocol，ISAKMP）
RFC2409描述了IKE协议如何利用Oakley，SKEME和ISAKMP进行安全关联的协商

以下文本来自于华为官网：

IKE协议属于一种混合型协议，它综合了ISAKMP（Internet Security Association and Key Management
Protocol）、Oakley协议和SKEME协议这三个协议。其中，ISAKMP定义了IKE
SA的建立过程，Oakley和SKEME协议的核心是DH（Diffie-
Hellman）算法，主要用于在Internet上安全地分发密钥、验证身份，以保证数据传输的安全性。IKE SA和IPSec
SA需要的加密密钥和验证密钥都是通过DH算法生成的，它还支持密钥动态刷新。

IKE的两个阶段

IKE的第一阶段——主模式交换和积极模式交换

第一阶段的主要任务是建立IKE SA，为后面的交换提供一个安全通信信道。
使用主模式交换和积极模式交换。这两种模式都可以建立SA，两者的区别在于积极模式只用到主模式一半的消息，因此积极模式的协商能力受到限制的，而且它不提供身份保护。但是积极模式可以有一些特殊用途，比如远程访问等。
另外如果发起者已经知道响应者的策略，利用积极模式可以快速的建立IKE SA。

主模式和积极模式都允许4中不同的验证方法：

预共享密钥
DSS数字签名
RSA数字签名
交换加密

IKE的第二阶段——快速模式交换

快速模式交换主要是为通信双方协商IPSec SA的具体参数，并生成相关密钥。 IKE
SA通过数据加密、消息验证来保护快速模式交换。快速模式交换和第一阶段交换相互关联，来产生密钥材料和协商IPSec的共享策略。快速模式交换的信息由IKE
SA保护，即除了ISA KMP报头外，所有的载荷都需要加密，并且还要对消息进行验证。

学习网络安全技术的方法无非三种:

第一种是报网络安全专业，现在叫网络空间安全专业，主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习，多媒体技术，信息检索、舆情分析等。

第二种是自学，就是在网上找资源、找教程，或者是想办法认识一-些大佬，抱紧大腿，不过这种方法很耗时间，而且学习没有规划，可能很长一段时间感觉自己没有进步，容易劝退。

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

第三种就是去找培训。

接下来，我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础？这是一个争议比较大的问题，有的人会建议先学编程，而有的人会建议先学计算机基础，其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说，学习编程或者计算机基础对他们来说都有一定的难度，并且花费时间太长。

第一阶段：基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分，俗话说：基础不劳，地动山摇

第二阶段：web渗透

学习基础时间：1周 ~ 2周：

① 了解基本概念：（SQL注入、XSS、上传、CSRF、一句话木马、等）为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透，学一学案例的思路，每一个站点都不一样，所以思路是主要的。
③ 学会提问的艺术，如果遇到不懂得要善于提问。

配置渗透环境时间：3周 ~ 4周：

① 了解渗透测试常用的工具，例如（AWVS、SQLMAP、NMAP、BURP、中国菜刀等）。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景，懂得基本的使用，推荐在Google上查找。

渗透实战操作时间：约6周：

① 在网上搜索渗透实战案例，深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试，推荐DWVA，SQLi-labs，Upload-labs，bWAPP。
③ 懂得渗透测试的阶段，每一个阶段需要做那些动作：例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入，寻找绕过waf的方法，制作自己的脚本。
⑤ 研究文件上传的原理，如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用（IIS、Nignix、Apache）等，参照：上传攻击框架。
⑥ 了解XSS形成原理和种类，在DWVA中进行实践，使用一个含有XSS漏洞的cms，安装安全狗等进行测试。
⑦ 了解一句话木马，并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限，Google关键词：提权

以上就是入门阶段