利用IPSEC建立安全的网络通讯

5.1   Internet协议安全性概述

“Internet 协议安全性 (IPSec)”是一种开放标准的框架结构，通过使用加密的安全服务以确保在 Internet 协议 (IP) 网络上进行保密而安全的通讯。Microsoft® Windows® 2000、Windows XP 和 Windows Server 2003 家族实施 IPSec 基于的是“Internet 工程任务组 (IETF)”IPSec 工作组开发的标准。

IPSec 是安全联网的长期方向。它通过端对端的安全性来提供主动的保护以防止专用网络与 Internet 的攻击。在通信中，只有发送方和接收方才是唯一必须了解 IPSec 保护的计算机。在 Windows XP 和 Windows Server 2003 家族中，IPSec 提供的功能可用于保护工作组、局域网计算机、域客户端和服务器、分支机构（可能在物理上为远程机构）、Extranet 以及漫游客户端之间的通讯。

5.2   IPSEC的工作原理

证书服务工作于应用层，必须依赖于应用程序的支持。而IPSEC工作于网络层，与应用程序无关，也就是说不管是什么样的应用程序，当它的数据通过IP层时都会得得保护。

IPSEC是安全联网的长期方向。它为防止专用网络和 Internet 攻击提供了主要防线。

IPSec 有两个目标：

l   保护 IP 数据包的内容。

l   通过数据包筛选及受信任通讯的实施来防御网络攻击。

这两个目标都是通过使用基于加密的保护服务、安全协议与动态密钥管理来实现的。这个基础为专用网络计算机、域、站点、远程站点、Extranet 和拨号用户之间的通信提供了既有力又灵活的保护。它甚至可以用来阻碍特定通讯类型的接收和发送。

尽管基于加密的更强大的安全措施对于完全保护通讯是必需的，但是也大大增加了管理开销。为降低开销，IPSec 采用了基于策略的管理。

IPSec 策略（而不是应用程序接口 (API)）用来配置 IPSec 安全服务。这些策略可为多数现有网络中的多数通信类型提供各种级别的保护。

可使用 Microsoft® Windows® XP 和 Windows Server 2003 家族中提供的“IP 安全策略管理”控制台来通过 Active Directory® 为计算机（对于域成员）或在本地计算机（对于不属于域的计算机）上定义 IPSec 策略。

IPSEC的默认策略有：

l   Clinet IPSecdataIPSec

l   Server IPSecdataIPSecdata

l   Secure server IPSecdata

IPSec IP IP IP IP IPSec IPSec

l   局域网 (LAN) 客户端/服务器与对等。

l   广域网 (WAN) 路由器对路由器以及网关对网关。

l   远程访问 拨号客户端以及从专用网络访问 Internet。

通常，两端都需要 IPSec 配置（称为 IPSec 策略）来设置选项与安全设置，以允许两个系统对如何保护它们之间的通讯达成协议。

5.3   IPSEC的安全性

在您的组织中部署 IPSec 之前，请考虑下列安全问题：

l  3DES 和运行 Microsoft® Windows® 2000 的计算机

l  身份验证方法

l  防火墙数据包筛选

l  受保护的通信

l  Diffie-Hellman 小组

l  IPSEC的工作模式

5.3.1 3DES和运行Windows 2000计算机

IPSec 策略允许选择强加密算法 3DES ，该算法提供的加密性能强于 DES ，具有较高的安全性。运行 Windows 2000 的计算机必须安装“ 高级加密数据包” 或“Service Pack 2” （或更高版本）才能执行 3DES 算法。如果运行 Windows 2000 的计算机接收 3DES 设置，但尚未安装“ 高度加密包” 或“Service Pack 2” （或更高版本），则 3DES 设置将被设置为安全性较低的 DES 以提供一定程度的通信保密，而并非阻止整个通信。但是，如果您的环境中的计算机并不都支持使用 3DES ，作为折衷选择，您应该仅使用 DES 。运行 Windows XP 和 Windows Server 2003 家族的计算机支持 3DES 且不需要安装“ 高级加密数据包” 。

5.3.2身份验证方法

如果企业中的计算机是 Active Directory® 域中的一部分，则 IPSec 主模式身份验证可以使用默认的身份验证方法 (Kerberos V5) 完成。不必为 Intranet 通信部署公钥证书。然而，运行 Windows XP Home Edition 的计算机不支持 Kerberos V5 身份验证方法。此外，如果您有连接到 Internet 的计算机，建议不要使用 Kerberos V5 作为身份验证方法。在使用 Kerberos 进行身份验证时，在主模式协商期间，每个 IPSec 对等端都以非加密的格式将其计算机标识发送到另外一台对等端。在主模式协商的身份验证阶段，直至对整个标识负载加密之后，计算机标识才会被加密。攻击者可发送一个“Internet 密钥交换 (IKE)” 数据包，该数据包会导致响应的 IPSec 对等端暴露其计算机标识和域成员。因此，为保护连接到 Internet 的计算机，建议使用第二种身份验证方法—证书身份验证。

也可以通过一个预共享密钥来提供第三种身份验证方法。但要获得增强的安全性，不推荐使用预共享密钥身份验证，相对来说它是一种比较弱的身份验证方法。此外，预共享密钥以明文方式存储。预共享密钥的身份验证方法是出于互操作性的目的并遵循 IPSec 标准。建议只将预共享密钥用于测试。

5.3.3防火墙数据包筛选

对于防火墙、安全网关、路由器或连接到 Internet 并为外围网络（也叫网络隔离区或 DMZ ）提供数据包筛选性能的任何其他服务器或设备，必须在该计算机上启用特殊筛选来确保允许将使用 IPSec 保护的数据包转发给该外围网络上的计算机。通常，防火墙或其他设备应该允许下列通信类型通过：

l 用于 IPSec 封装式安全措施负载 (ESP) 通信的 IP 协议 ID 50 (0x32)。

l 用于 IPSec 身份验证报头 (AH) 通信的 IP 协议 ID 51 (0x33)。

l  用于“Internet 密钥交换 (IKE)” 协商通信的 UDP 端口 500 (0x1F4) 。

大部分数据包筛选软件都允许通过更特定的通信。可为以下内容分别定义单独的数据包筛选器：入站通信（入站筛选器）、出站通信（出站筛选器）和每个接口。此外，还可为外围网络上的 IPSec 计算机指定 IP 地址。

5.3.4受保护的通信

IPSEC 使用AH 和ESP 来保证传输数据的机密性和真实可靠。

l  身份验证报头 (AH) 可对整个数据包（IP 报头与数据包中的数据负载）提供身份验证、完整性与抗重播保护。但是它不提供保密性，即它不对数据进行加密。数据可以读取，但是禁止修改。AH 使用加密哈希算法签名数据包以求得完整性。

l   封装式安全措施负载 (ESP) 不仅为 IP 负载提供身份验证、完整性和抗重播保护，还提供机密性。传输模式中的 ESP 不对整个数据包进行签名。只对 IP 负载（而不对 IP 报头）进行保护。ESP 可以独立使用，也可与 AH 组合使用。

与对每个数据包进行加密与解密相比，验证每个数据包的哈希所消耗的 CPU 相对较少。如果性能问题是主要的考虑事项，则可使用 AH 来保护大部分通信。需要保密时，可使用 ESP 。例如，可使用 AH 保护 Intranet 上的通信，使用 ESP 保护通过 Internet 发送的通信。

5.3.5Diffie-Hellman 小组

Diffie-Hellman （使用 Diffie-Hellman 小组 1 、2 或 2048 ）小组用来确定密钥交换过程中使用的基本素数的长度。组 2048 （高）比组 2 （中）更强（更安全），而组 2 强于组 1 （低）。组 1 提供 768 位的密钥强度；组 2 提供 1,024 位的密钥强度；组 2048 提供 2,048 位的密钥强度。

将强 Diffie-Hellman 小组和较长的密钥长度结合使用可以提高确定密钥的计算难度。

以下是在运用Diffie-Hellman 小组时的一些注意事项：

l 为了获得增强的安全性，请不要使用 Diffie-Hellman 小组 1。为获得最佳安全性，请尽可能使用组 2048。当需要保证与 Windows 2000 和 Windows XP 的互操作性时，请使用组 2。

l Diffie-Hellman 小组 2048 仅随 Windows Server 2003 家族一起提供。

5.3.6IPSEC的工作模式

IPSEC 隧道模式。

IPSec IPSec IP AH ESP IP IP TCP TCP TCP UDP UDP UDP ICMP ICMP ICMP

使用 IPSec 隧道模式时，IPSec 对 IP 报头和负载进行加密，而传输模式只对 IP 负载进行加密。通过将其当作 AH 或者 ESP 负载，隧道模式提供对整个 IP 数据包的保护。使用隧道模式时，会通过 AH 或 ESP 报头与其他 IP 报头来封装整个 IP 数据包。外部 IP 报头的 IP 地址是隧道终结点，封装的 IP 报头的 IP 地址是最终源地址与目标地址。

IPSec 隧道模式对于保护不同网络之间的通信（当通信必须经过中间的不受信任的网络时）十分有用。隧道模式主要用来与不支持 L2TP/IPSec 或 PPTP 连接的网关或终端系统进行相互操作。可以在下列配置中使用隧道模式：

l  网关到网关

l  服务器到网关

l  服务器到服务器

5.4   IPSEC的配置

5.4.1企业背景

Internet

IPSEC Internet HOSTA HOSTB  客户端通过网络访问创建的FTP站点。如下图所示： 登录到HOSTA ，单击“开始”，然后单击“运行”按钮，在运行中输入“MMC ”，打开微软管理控制台，最大化控制台根窗口。

5.4.2配置步骤

l   没有IPSEC 保护下的FTP 通信

l   IPSEC FTP 5.4.2.1 没有IPSEC保护下的FTP通信

1、客户端需要从服务器上下载一些有关turboc2的资源，所以管理员首先在服务器上为之创建了一个FTP站点。如下图所示：

 

2、

3、以下是通过网络监视器捕捉到的网络流量。

4、由捕获的流量中我们可以清楚的看到FTP通信时的用户名和口令，所以没有IPSEC保护下的FTP通信是不安全的。

5.4.2.2 在IPSEC保护下的FTP通信

1、

2、

 

 

3、

4、 在对话框中，确认选择“IP 安全策略管理”，单击“添加”并选择“本地计算机”按默认设置完成IPSEC 的添加。

5 、IPSEC 启动后，会打开一个管理控制台，里面有一些预定义的策略。

6、右击“IP安全策略”，选择“管理IP筛选器表和筛选器操作”。

7 、在这里我们创建一个新的针对FTP访问的IP筛选器，其源地址为“任何地址”，目标地址为“本地IP”，端口号分别为20和21。如下图所示：

 

 

在“添加/删除插件”对话框中，单击“添加”按钮。在控制台1的单中，单击“添加/删除插件”。