IPsec 中的新增功能
Solaris 10 8/07:從此發(fā)行版開始��,IPsec 以隧道模式全面實(shí)現(xiàn)隧道�����,并且支持隧道的實(shí)用程序有所修改��。
-
IPsec 在虛擬專用網(wǎng)絡(luò) (virtual private network, VPN) 中以隧道模式實(shí)現(xiàn)了隧道。在隧道模式下����,IPsec 支持位于一個(gè) NAT 后的多個(gè)客戶機(jī)。在隧道模式下����,IPsec 可與其他供應(yīng)商提供的 IP-in-IP 隧道實(shí)現(xiàn)方式交互使用。IPsec 繼續(xù)以傳輸模式支持隧道����,所以它與早期的 Solaris 發(fā)行版兼容。
-
創(chuàng)建隧道的語法已得到簡(jiǎn)化����。為了管理 IPsec 策略,擴(kuò)展了 ipsecconf 命令���。對(duì)管理 IPsec 策略而言�,ifconfig 命令已過時(shí)�。
-
從此發(fā)行版起,刪除了 /etc/ipnodes 文件�����。可使用 /etc/hosts 文件來配置網(wǎng)絡(luò) IPv6 地址�����。
Solaris 10 1/06:從此發(fā)行版開始��,IKE 與 NAT 遍歷支持完全兼容�����,如 RFC 3947 和 RFC 3948 中所述�。IKE 操作使用加密框架中的 PKCS #11 庫(kù)����,從而提高了性能。
加密框架為使用 metaslot 的應(yīng)用程序提供了 softtoken 密鑰庫(kù)����。IKE 使用 metaslot 時(shí),可以選擇在磁盤上�、已連接的板上或在 softtoken 密鑰庫(kù)中存儲(chǔ)密鑰。
IPsec 介紹
IPsec 通過驗(yàn)證包、加密包或同時(shí)執(zhí)行這兩種操作來保護(hù) IP 包��。IPsec 在 IP 模塊內(nèi)部執(zhí)行�,剛好在應(yīng)用層之下。因此��,Internet 應(yīng)用程序可以直接利用 IPsec����,而不必配置自身以使用 IPsec。若使用得當(dāng)���,IPsec 是保證網(wǎng)絡(luò)通信安全的有效工具��。
IPsec 保護(hù)涉及五個(gè)主要組件:
-
安全協(xié)議-IP 數(shù)據(jù)報(bào)保護(hù)機(jī)制�����。authentication header(驗(yàn)證頭) (AH) 對(duì) IP 包進(jìn)行簽名并確保完整性���。數(shù)據(jù)報(bào)的內(nèi)容沒有加密��,但是可以向接收者保證包的內(nèi)容尚未更改����,還可以向接收者保證包已由發(fā)送者發(fā)送�����。encapsulating security payload, ESP(封裝安全有效負(fù)荷)對(duì) IP 數(shù)據(jù)進(jìn)行加密�,因此在包傳輸過程中會(huì)遮蔽內(nèi)容�����。ESP 還可以通過驗(yàn)證算法選項(xiàng)來確保數(shù)據(jù)的完整性�。
-
安全關(guān)聯(lián)數(shù)據(jù)庫(kù) (Security associations database, SADB)-將安全協(xié)議與 IP 目標(biāo)地址和索引號(hào)進(jìn)行關(guān)聯(lián)的數(shù)據(jù)庫(kù)。索引號(hào)稱為 security parameter index, SPI(安全參數(shù)索引)�����。這三個(gè)元素(安全協(xié)議���、目標(biāo)地址和 SPI)會(huì)唯一標(biāo)識(shí)合法的 IPsec 包�。此數(shù)據(jù)庫(kù)確保到達(dá)包目的地的受保護(hù)包可由接收者識(shí)別。接收者還可使用數(shù)據(jù)庫(kù)中的信息解密通信����、檢驗(yàn)包未曾受到更改、重新組裝包并將包發(fā)送到其最終目的地����。
-
密鑰管理-針對(duì)加密算法和 SPI 生成和分發(fā)密鑰。
-
安全機(jī)制-用于保護(hù) IP 數(shù)據(jù)報(bào)中的數(shù)據(jù)的驗(yàn)證和加密算法����。
-
安全策略數(shù)據(jù)庫(kù) (Security policy database, SPD)-用于指定要應(yīng)用到包的保護(hù)級(jí)別的數(shù)據(jù)庫(kù)。SPD 過濾 IP 通信來確定應(yīng)該如何處理包�����。包可能被廢棄��,可以毫無阻礙地進(jìn)行傳送���,或者也可以受到 IPsec 的保護(hù)����。對(duì)于外發(fā)包���,SPD 和 SADB 確定要應(yīng)用的保護(hù)級(jí)別�。對(duì)于傳入包,SPD 幫助確定包的保護(hù)級(jí)別是否可接受����。如果包受 IPsec 保護(hù),將在對(duì)包進(jìn)行解密和驗(yàn)證之后參考 SPD���。
調(diào)用 IPsec 時(shí)�����,IPsec 將安全機(jī)制應(yīng)用于發(fā)往 IP 目標(biāo)地址的 IP 數(shù)據(jù)報(bào)。接收者使用其 SADB 中的信息來檢驗(yàn)到達(dá)的包是否合法并對(duì)其進(jìn)行解密����。應(yīng)用程序也可以調(diào)用 IPsec,以便在每個(gè)套接字級(jí)別將安全機(jī)制應(yīng)用于 IP 數(shù)據(jù)報(bào)���。
請(qǐng)注意�,套接字的行為不同于端口:
-
每個(gè)套接字的 SA 覆蓋其在 SPD 中的相應(yīng)端口項(xiàng)���。
-
另外�,如果端口上的套接字為連接狀態(tài),且隨后對(duì)此端口應(yīng)用 IPsec 策略���,則使用此套接字的通信不受 IPsec 保護(hù)�。
當(dāng)然����,將 IPsec 策略應(yīng)用于端口之后,在此端口上打開的套接字將受 IPsec 策略保護(hù)�。
IPsec RFC
Internet 工程任務(wù)組 (Internet Engineering Task Force, IETF) 已經(jīng)發(fā)布了許多介紹 IP 層安全體系結(jié)構(gòu)的互聯(lián)網(wǎng)信息文檔和標(biāo)準(zhǔn) (Requests for Comment, RFC)。所有 RFC 均受 Internet 協(xié)會(huì)版權(quán)保護(hù)���。有關(guān)指向 RFC 的鏈接�����,請(qǐng)參見 http:///����。以下 RFC 列表包含更為常見的 IP 安全參考:
-
RFC 2411�,"IP Security Document Roadmap",1998 年 11 月
-
RFC 2401�����,"Security Architecture for the Internet Protocol",1998 年 11 月
-
RFC 2402���,"IP Authentication Header"��,1998 年 11 月
-
RFC 2406��,"IP Encapsulating Security Payload (ESP)"����,1998 年 11 月
-
RFC 2408�����,"Internet Security Association and Key Management Protocol (ISAKMP)"����,1998 年 11 月
-
RFC 2407�,"The Internet IP Security Domain of Interpretation for ISAKMP",1998 年 11 月
-
RFC 2409���,"The Internet Key Exchange (IKE)"���,1998 年 11 月
-
RFC 3554���,"On the Use of Stream Control Transmission Protocol (SCTP) with IPsec",2003 年 7 月 [未在 Solaris 10 發(fā)行版中實(shí)現(xiàn)]
IPsec 術(shù)語
IPsec RFC 定義許多用于識(shí)別何時(shí)在系統(tǒng)上實(shí)現(xiàn) IPsec 的術(shù)語���。下表列出了 IPsec 術(shù)語��,提供了常用的首字母縮寫詞并定義了每個(gè)術(shù)語�����。有關(guān)在密鑰協(xié)商中使用的術(shù)語的列表��,請(qǐng)參見表 22–1�。
表 19–1 IPsec 術(shù)語�、首字母縮寫詞和用法
|
IPsec 術(shù)語
|
首字母縮略詞
|
定義
|
|
Security association(安全關(guān)聯(lián))
|
SA
|
網(wǎng)絡(luò)中兩個(gè)節(jié)點(diǎn)之間的唯一連接。此連接由三個(gè)元素定義:安全協(xié)議���、安全參數(shù)索引和 IP 目標(biāo)�����。IP 目標(biāo)可以是 IP 地址或套接字�����。
|
|
Security associations database(安全關(guān)聯(lián)數(shù)據(jù)庫(kù))
|
SADB
|
包含所有活動(dòng)的安全關(guān)聯(lián)的數(shù)據(jù)庫(kù)���。
|
|
Security parameter index(安全參數(shù)索引)
|
SPI
|
安全關(guān)聯(lián)的索引值�。SPI 是可以將具有相同 IP 目標(biāo)和安全協(xié)議的 SA 區(qū)分開來的 32 位的值�。
|
|
Security policy database(安全策略數(shù)據(jù)庫(kù))
|
SPD
|
確定外發(fā)包和傳入包是否具有指定的保護(hù)級(jí)別的數(shù)據(jù)庫(kù)。
|
|
Key exchange(密鑰交換)
|
|
生成非對(duì)稱加密算法的密鑰的過程�。兩種主要方法是 RSA 協(xié)議和 Diffie-Hellman 協(xié)議。
|
|
Diffie-Hellman protocol(Diffie-Hellman 協(xié)議)
|
DH
|
一種涉及密鑰生成和密鑰驗(yàn)證的密鑰交換協(xié)議��。通常稱為經(jīng)過驗(yàn)證的密鑰交換���。
|
|
RSA protocol(RSA 協(xié)議)
|
RSA
|
一種涉及密鑰生成和密鑰分發(fā)的密鑰交換協(xié)議�����。此協(xié)議以其三個(gè)創(chuàng)建者 Rivest���、Shamir 和 Adleman 命名。
|
|
Internet Security Association and Key Management Protocol(Internet 安全關(guān)聯(lián)和密鑰管理協(xié)議)
|
ISAKMP
|
用于建立 SA 屬性格式以及協(xié)商�、修改和刪除 SA 的通用框架�。ISAKMP 是處理 IPsec SA 的 IETF 標(biāo)準(zhǔn)。
|
IPsec 包流
圖 19–1 顯示了當(dāng)已經(jīng)在外發(fā)包上調(diào)用 IPsec 時(shí)��,作為 IP datagram(IP 數(shù)據(jù)報(bào))一部分的帶有 IP 地址的包如何繼續(xù)傳送。此流程圖說明了可以對(duì)包應(yīng)用驗(yàn)證頭 (authentication header, AH) 和封裝安全有效負(fù)荷 (encapsulating security payload, ESP) 實(shí)體的位置����。如何應(yīng)用這些實(shí)體以及如何選擇算法將在后續(xù)各節(jié)中進(jìn)行介紹。
圖 19–2 顯示了 IPsec 傳入過程���。
圖 19–1 應(yīng)用于外發(fā)包過程的 IPsec
圖 19–2 應(yīng)用于傳入包過程的 IPsec
IPsec 安全關(guān)聯(lián)
IPsec 安全關(guān)聯(lián) (security association, SA) 指定由通信主機(jī)識(shí)別的安全屬性。單個(gè) SA 保護(hù)單一方向的數(shù)據(jù)��,此保護(hù)針對(duì)單個(gè)主機(jī)或一組(多點(diǎn)傳送)地址�。由于多數(shù)通信為對(duì)等通信或客戶機(jī)/服務(wù)器通信,因此��,必須存在兩個(gè) SA 來保證兩個(gè)方向的通信安全����。
以下三個(gè)元素唯一地標(biāo)識(shí) IPsec SA:
SPI 是任意 32 位的值,與 AH 或 ESP 包一起傳輸�。ipsecah(7P) 和 ipsecesp(7P) 手冊(cè)頁說明了由 AH 和 ESP 提供的保護(hù)范圍。完整性校驗(yàn)值用于驗(yàn)證包��。如果驗(yàn)證失敗��,則會(huì)丟棄包�。
安全關(guān)聯(lián)存儲(chǔ)在安全關(guān)聯(lián)數(shù)據(jù)庫(kù) (security associations database, SADB) 中?����;谔捉幼值墓芾硪?pf_key 接口使特權(quán)應(yīng)用程序可以管理數(shù)據(jù)庫(kù)��。
IPsec 中的密鑰管理
安全關(guān)聯(lián) (security association, SA) 需要使用材料創(chuàng)建密鑰以便進(jìn)行驗(yàn)證和加密�。對(duì)此加密材料的管理稱為密鑰管理。Internet 密鑰交換 (Internet Key Exchange, IKE) 協(xié)議自動(dòng)處理密鑰管理��。您還可以使用 ipseckey 命令手動(dòng)管理密鑰��。
IPv4 和 IPv6 包上的 SA 可以使用任一密鑰管理方法���。除非您有充分的理由使用手動(dòng)密鑰管理�����,否則��,請(qǐng)首選使用自動(dòng)密鑰管理����。例如����,與 Solaris 系統(tǒng)之外的系統(tǒng)進(jìn)行交互操作可能需要手動(dòng)密鑰管理。
IPsec 保護(hù)機(jī)制
IPsec 提供了兩種用于保護(hù)數(shù)據(jù)的安全協(xié)議:
-
驗(yàn)證頭 (Authentication Header, AH)
-
封裝安全有效負(fù)荷 (Encapsulating Security Payload, ESP)
AH 使用驗(yàn)證算法來保護(hù)數(shù)據(jù)�����。ESP 使用加密算法來保護(hù)數(shù)據(jù)。ESP 還可以使用驗(yàn)證算法來保護(hù)數(shù)據(jù)���。算法的每種實(shí)現(xiàn)方式稱為機(jī)制���。
驗(yàn)證頭
authentication header(驗(yàn)證頭)為數(shù)據(jù)報(bào)提供了數(shù)據(jù)驗(yàn)證、高完整性以及重放保護(hù)�����。AH 保護(hù) IP 數(shù)據(jù)報(bào)的更為重要的部分�。如下圖所示,AH 插在 IP 數(shù)據(jù)包頭和傳輸頭之間�。
傳輸頭可以是 TCP、UDP�、SCTP 或 ICMP。如果使用的是 tunnel(隧道),則傳輸頭可以是另一個(gè) IP 數(shù)據(jù)包頭。
封裝安全有效負(fù)荷
encapsulating security payload, ESP(封裝安全有效負(fù)荷)模塊為 ESP 所封裝的內(nèi)容提供了保密性�����。ESP 也提供 AH 提供的服務(wù)��。但是�����,ESP 僅為 ESP 所封裝的數(shù)據(jù)報(bào)部分提供保護(hù)��。 ESP 的驗(yàn)證服務(wù)是可選的�。借助這些服務(wù)��,您可以對(duì)同一數(shù)據(jù)報(bào)結(jié)合使用 ESP 和 AH�,而無需考慮冗余設(shè)置�����。由于 ESP 使用支持加密的技術(shù)����,因此 ESP 必須符合美國(guó)出口控制法。
由于 ESP 封裝其數(shù)據(jù)�,因此 ESP 僅保護(hù)數(shù)據(jù)報(bào)中跟在其后的數(shù)據(jù),如下圖所示����。
在 TCP 包中�����,ESP 僅封裝 TCP 數(shù)據(jù)包頭及其數(shù)據(jù)��。如果包是 IP-in-IP 數(shù)據(jù)報(bào)��,則 ESP 會(huì)保護(hù)內(nèi)部的 IP 數(shù)據(jù)報(bào)�����。由于每個(gè)套接字的策略允許自封裝�,因此,ESP 可以在需要時(shí)封裝 IP 選項(xiàng)�����。
如果設(shè)置了自封裝,會(huì)生成 IP 數(shù)據(jù)包頭的副本來構(gòu)建 IP-in-IP 數(shù)據(jù)報(bào)����。例如,如果未在 TCP 套接字上設(shè)置自封裝��,會(huì)以下列格式發(fā)送數(shù)據(jù)報(bào):
[ IP(a -> b) options + TCP + data ]
|
如果在 TCP 套接字上設(shè)置了自封裝���,則會(huì)以下列格式發(fā)送數(shù)據(jù)報(bào):
[ IP(a -> b) + ESP [ IP(a -> b) options + TCP + data ] ]
|
有關(guān)進(jìn)一步介紹����,請(qǐng)參見IPsec 中的傳輸模式和隧道模式�。
使用 AH 和 ESP 時(shí)的安全注意事項(xiàng)
下表比較了由 AH 和 ESP 提供的保護(hù)����。
表 19–2 由 IPsec 中的 AH 和 ESP 提供的保護(hù)
|
協(xié)議
|
包范圍
|
保護(hù)
|
防止的攻擊
|
|
AH
|
保護(hù)包中從 IP 數(shù)據(jù)包頭到傳輸層頭的內(nèi)容
|
提供高完整性、數(shù)據(jù)驗(yàn)證:
|
重放����、剪貼
|
|
ESP
|
保護(hù)數(shù)據(jù)報(bào)中緊跟在 ESP 之后的包。
|
使用加密選項(xiàng)時(shí)���,對(duì) IP 數(shù)據(jù)報(bào)進(jìn)行加密�����。保證保密性
|
竊聽
|
|
使用驗(yàn)證選項(xiàng)時(shí)��,提供與 AH 相同的保護(hù)
|
重放����、剪貼
|
|
同時(shí)使用兩個(gè)選項(xiàng)時(shí),提供高完整性���、數(shù)據(jù)驗(yàn)證和保密性
|
重放���、剪貼、竊聽
|
IPsec 中的驗(yàn)證算法和加密算法
IPsec 安全協(xié)議使用兩種類型的算法����,即驗(yàn)證和加密。AH 模塊使用驗(yàn)證算法�����。ESP 模塊可以使用加密算法以及驗(yàn)證算法���。您可以使用 ipsecalgs 命令獲取系統(tǒng)上的算法及其屬性的列表���。有關(guān)更多信息�,請(qǐng)參見 ipsecalgs(1M) 手冊(cè)頁�����。您也可以使用 getipsecalgbyname(3NSL) 手冊(cè)頁中介紹的功能來檢索算法屬性����。
Solaris 系統(tǒng)上的 IPsec 利用 Solaris 加密框架來使用算法。此框架提供了一個(gè)主要的算法倉(cāng)庫(kù)����,同時(shí)還提供了其他服務(wù)。使用此框架��,IPsec 可以利用高性能的加密硬件加速器���。此框架還提供了資源控制功能。例如����,您可以使用此框架來限制在內(nèi)核的加密操作中花費(fèi)的 CPU 時(shí)間。
詳細(xì)信息���,請(qǐng)參見以下內(nèi)容:
IPsec 中的驗(yàn)證算法
驗(yàn)證算法將生成完整性校驗(yàn)和值或基于數(shù)據(jù)和密鑰的摘要���。AH 模塊使用驗(yàn)證算法���。ESP 模塊也可以使用驗(yàn)證算法。
IPsec 中的加密算法
加密算法使用密鑰來加密數(shù)據(jù)����。IPsec 中的 ESP 模塊使用加密算法。算法以塊大小為單位對(duì)數(shù)據(jù)進(jìn)行操作����。
不同的 Solaris 10 OS 發(fā)行版提供不同的缺省加密算法。
-
在Solaris 10 8/07 以前的發(fā)行版中���,Solaris 安裝介質(zhì)會(huì)提供基本的算法�����,并且可以從 Solaris 加密工具包添加更強(qiáng)大的算法�。
缺省情況下�����,將安裝 DES-CBC、3DES-CBC��、AES-CBC 和 Blowfish-CBC 算法�。AES-CBC 和 Blowfish-CBC 算法支持的密鑰大小限制在 128 位。
安裝 Solaris 加密工具后��,IPsec 可以使用支持多于 128 位的密鑰大小的 AES-CBC 和 Blowfish-CBC 算法���。但是���,在美國(guó)國(guó)外并非所有的加密算法都可用。不屬于 Solaris 10 安裝包的單獨(dú) CD 上提供此工具包��?���!?cite>Solaris 10 Encryption Kit Installation Guide》說明了如何安裝該工具包。有關(guān)更多信息��,請(qǐng)參見 Sun 下載 Web 站點(diǎn)�����。要下載該工具包��,請(qǐng)單擊 "Downloads A-Z" 選項(xiàng)卡��,然后單擊字母 S���。Solaris 10 加密工具包位于前 20 項(xiàng)中���。
-
從此 Solaris 10 8/07 發(fā)行版開始,Solaris 加密工具包的內(nèi)容由 Solaris 安裝介質(zhì)安裝����。
 注意 –
從此 Solaris 10 8/07 發(fā)行版開始,將不會(huì)在您的系統(tǒng)中添加 Solaris 加密工具包��。此工具包會(huì)降級(jí)系統(tǒng)中的加密修補(bǔ)程序級(jí)別�����。
IPsec 保護(hù)策略
IPsec 保護(hù)策略可以使用任何安全機(jī)制���。IPsec 策略可以在以下級(jí)別應(yīng)用:
-
在系統(tǒng)范圍級(jí)別
-
在每個(gè)套接字級(jí)別
IPsec 會(huì)將系統(tǒng)范圍的策略應(yīng)用于外發(fā)數(shù)據(jù)報(bào)和傳入數(shù)據(jù)報(bào)�����。外發(fā)數(shù)據(jù)報(bào)既可以在受保護(hù)的情況下發(fā)送���,也可以在不受保護(hù)的情況下發(fā)送�����。如果應(yīng)用了保護(hù)�����,則算法可能是特定的���,也可能是非特定的。由于存在系統(tǒng)可識(shí)別的其他數(shù)據(jù)�,因此可以將其他一些規(guī)則應(yīng)用于外發(fā)數(shù)據(jù)報(bào)。傳入數(shù)據(jù)報(bào)可以被接受或丟棄���。確定丟棄還是接受傳入數(shù)據(jù)報(bào)時(shí)取決于若干個(gè)條件�,這些條件有時(shí)會(huì)重疊或沖突��?���?梢酝ㄟ^確定首先要解析的規(guī)則來解決沖突�。將自動(dòng)接受通信��,但是當(dāng)策略項(xiàng)表明通信應(yīng)跳過所有其他策略時(shí)除外���。
可以跳過通常保護(hù)數(shù)據(jù)報(bào)的策略。您既可以在系統(tǒng)范圍策略內(nèi)指定例外����,也可以在每個(gè)套接字策略中請(qǐng)求跳過。對(duì)于系統(tǒng)內(nèi)的通信���,將執(zhí)行策略���,但是不會(huì)應(yīng)用實(shí)際的安全機(jī)制。相反���,應(yīng)用于系統(tǒng)內(nèi)部包上的外發(fā)策略將轉(zhuǎn)移到應(yīng)用了那些機(jī)制的傳入包�����。
可以使用 ipsecinit.conf 文件和 ipsecconf 命令來配置 IPsec 策略�����。有關(guān)詳細(xì)信息和示例��,請(qǐng)參見 ipsecconf(1M) 手冊(cè)頁�����。
IPsec 中的傳輸模式和隧道模式
IPsec 標(biāo)準(zhǔn)定義了 IPsec 操作的兩種不同模式:傳輸模式和隧道模式�����。模式不影響包的編碼���。在每種模式下���,包受 AH、ESP��,或二者的保護(hù)����。如果內(nèi)部包是 IP 包,這兩種模式在策略應(yīng)用程序方面有所不同�,如下所示:
在傳輸模式下��,外部頭、下一個(gè)頭以及下一個(gè)頭支持的任何端口都可用于確定 IPsec 策略�����。實(shí)際上�,IPsec 可在一個(gè)端口不同粒度的兩個(gè) IP 地址之間強(qiáng)制實(shí)行不同的傳輸模式策略。例如�,如果下一個(gè)頭是 TCP(支持端口),則可為外部 IP 地址的 TCP 端口設(shè)置 IPsec 策略�。類似地,如果下一個(gè)頭是 IP 數(shù)據(jù)包頭��,外部頭和內(nèi)部 IP 數(shù)據(jù)包頭可用于決定 IPsec 策略����。
隧道模式僅適用于 IP-in-IP 數(shù)據(jù)報(bào)。如果在家中的計(jì)算機(jī)用戶要連接到中心計(jì)算機(jī)位置�����,以隧道模式進(jìn)行隧道連接將會(huì)很有用。在隧道模式下���,IPsec 策略強(qiáng)制實(shí)施于內(nèi)部 IP 數(shù)據(jù)報(bào)的內(nèi)容中��?���?舍槍?duì)不同的內(nèi)部 IP 地址強(qiáng)制實(shí)施不同的 IPsec 策略���。也就是說����,內(nèi)部 IP 數(shù)據(jù)包頭�����、其下一個(gè)頭及下一個(gè)頭支持的端口�,可以強(qiáng)制實(shí)施策略。與傳輸模式不同����,在隧道模式下�����,外部 IP 數(shù)據(jù)包頭不指示其內(nèi)部 IP 數(shù)據(jù)報(bào)的策略���。
因此,在隧道模式下��,可為路由器后面的 LAN 的子網(wǎng)和這些子網(wǎng)上的端口指定 IPsec 策略����。也可在這些子網(wǎng)上為特定的 IP 地址(即主機(jī))指定 IPsec 策略�。這些主機(jī)的端口也可以具有特定的 IPsec 策略。但是�,如果有動(dòng)態(tài)路由協(xié)議在隧道上運(yùn)行,請(qǐng)勿使用子網(wǎng)選擇或地址選擇����,因?yàn)閷?duì)等網(wǎng)絡(luò)上的網(wǎng)絡(luò)拓?fù)涞囊晥D可能會(huì)更改。更改可能使靜態(tài) IPsec 策略失效����。有關(guān)包括配置靜態(tài)路由的隧道設(shè)置過程示例,請(qǐng)參見使用 IPsec 保護(hù) VPN��。
在 Solaris OS 中,只能在 IP 隧道連接網(wǎng)絡(luò)接口上強(qiáng)制執(zhí)行隧道模式��。ipsecconf 命令提供 tunnel 關(guān)鍵字來選擇 IP 隧道連接網(wǎng)絡(luò)接口����。當(dāng)規(guī)則中出現(xiàn) tunnel 關(guān)鍵字時(shí),在此規(guī)則中指定的所有選定器都應(yīng)用到內(nèi)部包中����。
在傳輸模式下,ESP�、AH、或二者可以保護(hù)該數(shù)據(jù)報(bào)�。
下圖顯示了不受保護(hù)的 TCP 包的 IP 數(shù)據(jù)包頭。
圖 19–3 攜帶 TCP 信息的不受保護(hù)的 IP 包
在傳輸模式下,ESP 按下圖所示的方式保護(hù)數(shù)據(jù)����。陰影部分表示包的加密部分�����。
圖 19–4 攜帶 TCP 信息的受保護(hù)的 IP 包
在傳輸模式下����,AH 按下圖所示的方式保護(hù)數(shù)據(jù)��。
圖 19–5 由驗(yàn)證頭保護(hù)的包
實(shí)際上,在數(shù)據(jù)出現(xiàn)在數(shù)據(jù)報(bào)中之前�����,AH 便已包含數(shù)據(jù)��。因此��,即使在傳輸模式下�,AH 提供的保護(hù)也會(huì)包含一些 IP 數(shù)據(jù)包頭。
在隧道模式下��,整個(gè)數(shù)據(jù)報(bào)處于 IPsec 數(shù)據(jù)包頭的保護(hù)之內(nèi)�。圖 19–3 中的數(shù)據(jù)報(bào)由外部 IPsec 數(shù)據(jù)包頭(在此示例中為 ESP)以隧道模式保護(hù),如下圖所示����。
圖 19–6 以隧道模式保護(hù)的 IPsec 包
ipsecconf 命令包括用于將隧道設(shè)置為隧道模式或傳輸模式的關(guān)鍵字���。
虛擬專用網(wǎng)絡(luò)和 IPsec
已配置的隧道是點(diǎn)對(duì)點(diǎn)接口。使用隧道�����,可以將一個(gè) IP 包封裝到另一個(gè) IP 包中����。正確配置的隧道同時(shí)要求隧道源和隧道目標(biāo)。有關(guān)更多信息��,請(qǐng)參見 tun(7M) 手冊(cè)頁和 針對(duì) IPv6 支持配置隧道�����。
隧道可創(chuàng)建明顯的 IP physical interface(物理接口)���。物理鏈接的完整性取決于基礎(chǔ)安全協(xié)議�。如果您安全地設(shè)置了安全關(guān)聯(lián) (security association, SA)����,則可以信任隧道。退出隧道的包必須源于隧道目標(biāo)中指定的對(duì)等設(shè)備�����。如果此信任存在,則可以使用按接口 IP 轉(zhuǎn)發(fā)來創(chuàng)建 virtual private network, VPN(虛擬專用網(wǎng)絡(luò))����。
您可以使用 IPsec 來構(gòu)造 VPN。IPsec 保證連接安全��。例如����,使用 VPN 技術(shù)將辦公室與獨(dú)立網(wǎng)絡(luò)連接的組織可以部署 IPsec 來保證兩個(gè)辦公室之間的通信安全。
下圖說明了兩個(gè)辦公室如何使用 Internet 來形成其網(wǎng)絡(luò)系統(tǒng)上部署有 IPsec 的 VPN�。
圖 19–7 虛擬專用網(wǎng)絡(luò)
有關(guān)設(shè)置過程的詳細(xì)示例�,請(qǐng)參見如何使用通過 IPv4 實(shí)現(xiàn)的處于隧道模式的 IPsec 隧道保護(hù) VPN����。有關(guān) IPv6 網(wǎng)絡(luò)的信息,請(qǐng)參見如何使用通過 Ipv6 實(shí)現(xiàn)的處于隧道模式的 IPsec 隧道保護(hù) VPN�����。
IPsec 和 NAT 遍歷
IKE 可以通過 NAT 盒 (NAT box) 來協(xié)商 IPsec SA����。此功能使系統(tǒng)可以從遠(yuǎn)程網(wǎng)絡(luò)安全地連接,即使當(dāng)系統(tǒng)位于 NAT 設(shè)備之后也可如此��。例如�,在家工作或從會(huì)議地點(diǎn)登錄的雇員可以使用 IPsec 保護(hù)其通信。
NAT 表示網(wǎng)絡(luò)地址轉(zhuǎn)換�。NAT 盒 (NAT box) 用于將專用內(nèi)部地址轉(zhuǎn)換為唯一的 Internet 地址。NAT 常見于 Internet 的公共訪問點(diǎn)��,例如賓館�����。有關(guān)更全面的論述�,請(qǐng)參見使用 Solaris IP 過濾器的 NAT 功能。
當(dāng) NAT 盒 (NAT box) 位于通信系統(tǒng)之間時(shí)使用 IKE 的能力稱為 NAT 遍歷��,即 NAT-T����。在 Solaris 10 發(fā)行版中��,NAT-T 具有以下限制:
-
NAT-T 僅在 IPv4 網(wǎng)絡(luò)中使用�����。
-
NAT-T 不能利用由 Sun Crypto Accelerator 4000 板提供的 IPsec ESP 加速����。但是�,Sun Crypto Accelerator 4000 板的 IKE 加速可正常工作。
-
由于 AH 協(xié)議取決于未更改的 IP 數(shù)據(jù)包頭�,因此 AH 不能用于 NAT-T。ESP 協(xié)議可用于 NAT-T�����。
-
NAT 盒 (NAT box) 不使用特殊的處理規(guī)則��。使用特殊 IPsec 處理規(guī)則的 NAT 盒 (NAT box) 可能會(huì)干擾 NAT-T 的實(shí)現(xiàn)��。
-
僅當(dāng) IKE 啟動(dòng)器是位于 NAT 盒 (NAT box) 之后的系統(tǒng)時(shí)���,NAT-T 才運(yùn)行����。IKE 響應(yīng)者不能位于 NAT 盒 (NAT box) 之后,除非此盒已經(jīng)過編程可以將 IKE 包轉(zhuǎn)發(fā)到位于盒之后的相應(yīng)單個(gè)系統(tǒng)�。
以下 RFC 介紹了 NAT 的功能和 NAT-T 的限制���??梢詮?http://www. 中檢索這些 RFC 的副本�����。
-
RFC 3022�,"Traditional IP Network Address Translator (Traditional NAT)",2001 年 1 月
-
RFC 3715��,"Psec-Network Address Translation (NAT) Compatibility Requirements"��,2004 年 3 月
-
RFC 3947���,"Negotiation of NAT-Traversal in the IKE"��,2005 年 1 月
-
RFC 3948�����,"UDP Encapsulation of IPsec Packets"��,2005 年 1 月
有關(guān)如何通過 NAT 使用 IPsec 的信息�����,請(qǐng)參見為移動(dòng)系統(tǒng)配置 IKE(任務(wù)列表)����。
IPsec 和 SCTP
Solaris 10 發(fā)行版支持流控制傳輸協(xié)議 (Streams Control Transmission Protocol, SCTP)。支持使用 SCTP 協(xié)議和 SCTP 端口號(hào)來指定 IPsec 策略���,但是這種方法不可靠��。RFC 3554 中指定的 SCTP 的 IPsec 擴(kuò)展尚未實(shí)現(xiàn)����。這些限制可能會(huì)使為 SCTP 創(chuàng)建 IPsec 策略的過程更為復(fù)雜��。
SCTP 可以在單個(gè) SCTP 關(guān)聯(lián)的上下文中使用多個(gè)源地址和目標(biāo)地址�����。當(dāng) IPsec 策略應(yīng)用于單個(gè)源地址或目標(biāo)地址時(shí),通信可能會(huì)在 SCTP 切換此關(guān)聯(lián)的源地址或目標(biāo)地址時(shí)失敗���。IPsec 策略僅識(shí)別初始地址�。有關(guān) SCTP 的信息��,請(qǐng)參閱 RFC 和SCTP 協(xié)議����。
IPsec 和 Solaris Zones
IPsec 是在全局區(qū)域中配置的�����。IPsec 策略配置文件 ipsecinit.conf 僅存在于全局區(qū)域中�����。該文件既可具有應(yīng)用到非全局區(qū)域的項(xiàng)���,又可具有應(yīng)用到全局區(qū)域的項(xiàng)�����。有關(guān)如何在區(qū)域上使用 IPsec 的信息���,請(qǐng)參見使用 IPsec 保護(hù)通信����。有關(guān)區(qū)域的信息��,請(qǐng)參見《系統(tǒng)管理指南:Solaris Containers-資源管理和 Solaris Zones》中的第 16 章 “Solaris Zones 介紹”�。
IPsec 實(shí)用程序和文件
表 19–3 介紹用于配置和管理 IPsec 的文件和命令。為了體現(xiàn)完整性�,此表包括密鑰管理文件和命令。
表 19–3 所選的 IPsec 文件和命令列表
|
IPsec 實(shí)用程序或文件
|
說明
|
手冊(cè)頁
|
|
/etc/inet/ipsecinit.conf 文件
|
IPsec 策略文件����。如果存在此文件,則在引導(dǎo)時(shí)激活 IPsec���。
|
ipsecconf(1M)
|
|
ipsecconf 命令
|
IPsec 策略命令����。引導(dǎo)腳本使用 ipsecconf 來讀取 /etc/inet/ipsecinit.conf 文件并激活 IPsec。 可用于查看和修改當(dāng)前的 IPsec 策略�,以及進(jìn)行測(cè)試。
|
ipsecconf(1M)
|
|
PF_KEY 套接字接口
|
安全關(guān)聯(lián)數(shù)據(jù)庫(kù) (security associations database, SADB) 的接口���。處理手動(dòng)密鑰管理和自動(dòng)密鑰管理�����。
|
pf_key(7P)
|
|
ipseckey 命令
|
IPsec 安全關(guān)聯(lián) (security association, SA) 加密命令���。ipseckey 是 PF_KEY 接口的命令行前端���。ipseckey 可以創(chuàng)建�����、銷毀或修改 SA�����。
|
ipseckey(1M)
|
|
/etc/inet/secret/ipseckeys 文件
|
IPsec SA 的密鑰���。如果存在 ipsecinit.conf 文件���,則系統(tǒng)在引導(dǎo)時(shí)會(huì)自動(dòng)讀取 ipseckeys 文件。
|
|
|
ipsecalgs 命令
|
IPsec 算法命令�����??捎糜诓榭春托薷?IPsec 算法及其屬性的列表。
|
ipsecalgs(1M)
|
|
/etc/inet/ipsecalgs 文件
|
包含已配置的 IPsec 協(xié)議和算法定義��。此文件由 ipsecalgs 實(shí)用程序管理��,并且決不能手動(dòng)編輯�����。
|
|
|
/etc/inet/ike/config 文件
|
IKE 配置和策略文件���。如果存在此文件���,則 IKE 守護(hù)進(jìn)程 in.iked 將提供自動(dòng)密鑰管理。該管理基于 /etc/inet/ike/config 文件中的規(guī)則和全局參數(shù)�����。請(qǐng)參見IKE 實(shí)用程序和文件。
|
ike.config(4)
|
Solaris 10 發(fā)行版中 IPsec 的更改
有關(guān) Solaris 新增功能的完整列表以及 Solaris 發(fā)行版的說明��,請(qǐng)參見《Solaris 10 新增功能》���。自 Solaris 9 發(fā)行版以來����,IPsec 包括以下功能:
| 
