5. 網絡層安全IPSec

5.1 IPSec協議

（1）前面使用Outlook進行數字簽名和數字加密是應用層實現的安全。安全套接字實現的安全是在應用層和傳輸層之間插入了一層來實現數據通信安全。而IPSec是網絡層實現的安全。不需要應用程序的支持，只要配置通信雙方的安全規則，傳輸層的數據傳輸單元就會被加密後封裝到網絡層，實現數據通信安全。IPSec工作在OSI模型的網絡層。

（2）IPSec主要的兩個協議

　　①鑒別首部（Authentication Header, AH）協議：提供源點鑒別和數據完整性，但不能保密。AH協議的功能都包含在ESP協議中，因此不再使用AH協議。

　　②封裝安全有效載荷

5.2 安全關聯

（1）IPSec協議的IP數據報（簡稱IPSec數據報），可以在兩個主機之間、兩個路由器之間或一個主機和一個路由器之間發送。但發送IPSec數據報之前，源實體和目的實體之間必須創建一條網絡邏輯連接，即安全關聯（Security Association， SA）。

（2）安全關聯的狀態信息（以Client到Web服務器的安全關聯SA1為例）

　　①源點（Client的IP）和終點（Web服務器的地址）

　　②一個32位的連接標識符，稱為安全參數索引（Security Parameter Index， SPI）

　　③所使用的加密類型（如DES）、加密密碼

　　④完整性檢查類型（例如，使用報文摘要MD5的報文鑒別碼MAC）

　　⑤鑒別使用的密鑰（比如指定身份驗證密鑰為abc）

【註意】要實現安全通信，Web服務器與Client發送IPSec數據報之前，也要建立一條安全關聯SA。

5.3 實戰：在Windows系統上配置IPSec實現安全通信

（1）實驗環境：Win2003Web(192.168.80.20)和WinXP(192.168.80.50)

（2）IPSec（IP安全策略）規則的主要組成

　　①篩選器：定義SA的條件，如源地址、目標地址、協議和端口號等

　　②篩選器動作（允許、拒絕和加密通信）：只有“協商安全”才需要指明加密算法和完整性算法，以及身份驗證方法

　　③身份驗證方法（Kerberos、數字證書、共享密鑰）：默認使用Kerberos來驗證，這是為域中的計算機準備的身份驗證方法。共享密鑰則要求通信雙方要使用相同的密鑰（可自定義，如abc123）

（3）在Win2003虛擬機上創建IP安全策略

　　①運行“secpol.msc”（也可以從管理工具中找到）打開“本地安全策略”→“IP安全策略”→“創建IP安全策略”。（註意，Windows可以有多個IP安全策略，但同一時間只有一個生效，在“本地安全設置”中有三個默認的IP安全策略，他們是針對加入域的計算機預設的，這裏我們要創建自己的IP安全策略）

　　②新增“篩選器”：名稱為toWindowsXP，源地址為我的IP、目標地址為192.168.80.50、協議為任意，並選中該篩選器。

　　③設置toWindowsXP篩選器的操作：安全措施為協商安全，並設定數據完整性和加密算法以及新密鑰的生成時間。同時勾選“接受不安全的通訊，但總是用IPSec響應”（這意味著只允許進行安全通信）和勾選“使用會話密鑰完全向前保密”（意味著通信過程中生成的新的會話密鑰就不會使用以前用過的會話密鑰）

　　④將身份驗證方法修改為“預共享密鑰”，如abc123。（可編輯默認的Kerberos來達到修改驗證方法的目的）。

　　⑤最後右擊創建好的“WebIPSec”，並點擊“指派”使策略生效。

（4）在WinXP虛擬機上創建IP安全策略

　　①參照Win2003上操作添加篩選器，目標地址填寫192.168.80.20，也就是Win2003Web的地址。

　　②按同樣的方法創建篩選器操作和指定身份驗證方法（預共享密鑰也應設為abc123）

　　③指定新創建的IP安全策略，然後ping 192.168.80.20（註意，第一個響應是Negotiating IP Security，即協商IP安全，說明Win2003返回的ICMP響應數據包是經過IPSec策略加密通信的）

5.4 實戰：查看安全關聯和加密數據包

（1）XP上查看安全關聯：運行“mmc” →“文件”→“添加/刪除管理單元”→添加“獨立管理單元”並選中“IP安全監視器”

（2）Win2003上抓包分析IPSec數據包的格式

　　①IPSec數據包格式

　　　　A.當使用ESP（封裝安全有效載荷）時，網絡層IP數據包的首部的協議字段變為50。當目標主機檢查到協議字段為50時，就知道在IP首部後面緊接著是ESP首部。

　　　　B.在ESP首部中，有標誌一個安全關聯的安全參數索引SPI（32位）和序號（32位）。同時，在原IP數據報後面增加了兩個字段，即ESP尾部和ESP鑒別碼（MAC）。

　　　　C.ESP尾部和傳輸層報文（IP的數據報）一起加密，因此攻擊者無法得知所使用的傳輸層協議（它在IP數據報的數據部分中）

　　　　D.SA指明的算法和密鑰，對“ESP首部+傳輸層報文段（或IP數據報）+ESP尾部”生成報文鑒別碼MAC。

　　②抓包分析IPSec數據包

第10章 網絡安全（4）_網絡層安全IPSec