|
|
|
10-2 VPN 安全機制
10-2-1 IPSec 與 SSL 協定 在網路安全領域下,有兩個重要的安全協定:『安全插座協定』(Secure Socket Layer, SSL) 與『IP 安全協定』(IP Security Protocol, IPSec)。如圖 10-5 所示。SSL 協定大多針對應用系統發展的協定,亦是,當 TCP 層建立連線之後,並協議出雙方共用的安全套件,並依照此安全機制下雙方通訊。為了方便發展應用系統,將此安全機制模式建立成標準的函數,讓他如同『插座』(Socket) 方便銜接引用 (請參考『資訊與網路安全技術』教材。
圖 10-5 IPSec 與 SSL 協定堆疊 然而 IPSec 是 ITEF(Internet Engineering Task Force)特別對 VPN 網路所制定的安全協定 (規範RFC 2401),有分別對 IPv4(IP Version 4)與 IPv6(IP Version 6)制定規範。IPSec 的基本概念不再針對應用系統發展安全機制,而是針對通訊連線在安全機制。Internet 網路上所訊息都是經過 IP 封包封裝後,再以 IP 協定在網路上傳輸。傳送端發送 IP 封包時,並無法預估該封包會經過那些路徑,其間需透過網路上一個接一個路由器轉送始可到達目的地。轉送過程中,每一個路由器收到封包後,由封包上讀取該封包上所註明的目的位址,並尋找可能到達的路徑再傳送出去。如此一來,IP 封包內所承載的訊息很容易被有心人士窺視,或是偽造另一個封包傳送給接收端。由此可見,利用 IP 協定來傳輸資料是非常不可靠的。另一方面,既然所有通訊協定都是利用 IP 協定來傳輸,只要我們能將不可靠的 IP 傳輸,經過安全性機制處理之後,使所承載的任何協定就可達到安全性的保護,換言之,經由 IPSec 協定傳輸的任何應用系統,都可以達到安全性的需求。如圖 10-6 所示,台北網路欲傳送一個封包給紐約網路下某一主機,此封包須經由公眾網路上多個路由器轉送,每一路由器都會拆解封包,並可窺視內容。吾人希望傳送封包須受到安全保護,則需 IPSec 協定是解決 Internet 網路上安全性需求。
圖 10-6 IPSec 的運作概念 10-2-2 IPSec 相關技術 談到『安全性』(Security)總是離不開兩個主題,一則為『加密』,其目的是要保持資料的隱密性,讓他人無法窺視資料的內容;另一則為『認證』,是驗證通訊中的對方身份,是否遭受他人冒名頂替。為了達到上述目的,還是必須仰賴密碼學中加解密演算法,這又牽涉到交換鑰匙的問題。圖 10-5 為 IPSec 的相關技術,我們在這裡先概略性的介紹,讓讀者有一個簡單的概念,接下來再詳細介紹,如此可讓讀者較易進入狀況。
圖 10-7 IPSec 相關技術 由圖 10-7 中,可將 IPSec 相關技術歸納如下: (1) IPSec 裝置(IPSec Device):安裝有 IPSec 協定的設備者稱之(或可從事 VPN 功能的設備),它不僅是一個安全裝置,還可以代表一個使用者個體、使用者群組、或組織單位(具有身分憑證)。一般 IPSec 裝置設備可分為下列兩種: n 『安全主機』(Security Host, SH):主機安裝有安全協定者稱之,但必須提供傳輸與通道模式等兩種操作模式(容後介紹)。 n 『安全閘門』(Security Gateway, SG):路由器安裝有 IPSec 協定者稱之。因為SG 充當內部網路與外部網路之間的進出閘門,因此,僅提供通道模式。如果使用傳輸模式的話,僅能使用於網路管理協定(如 SNMP 協定)。 (2) 安全關聯(Security Association, SA):規範通訊實體之間的安全政策,以及某一安全政策之下的相關安全參數,譬如,兩通訊實體之間的安全協定(AH 或 ESP)、封包模式(傳輸模式或通道模式)、以及加密演算法等等。 (3) 網際網路安全關聯金鑰管理協定(Internet Security Association Key Management Protocol, ISAKMP):通訊實體之間係利用 ISAKMP 協定協調及建立所需的 SA,其協議內容包含安全協定、加密演算法、或認證演算法等等。 (4) 『網際網路金鑰交換』(Internet Key Exchange, IKE):當雙方利用 ISAKMP 協議出所欲採用演算法之後,還必須協議出雙方的會議金鑰,此鑰匙可能使用於加密或認證系統。IPSec 為了使 ISAKMP 能符合各種環境需求,並不固定某一特定的金鑰交換協定,而由另一個 Internet 網路上較普遍的 IKE 協定來完成。 (5) 公鑰基礎架構(Public Key Infrastructure, PKI):PKI 發給每一個 IPSec身份驗證的數位憑證,作為進入 VPN 網路的身份證明,其中包含個體的公鑰(Public Key)與私鑰(Private Key)。通訊實體之間就是利用 PKI 所發給的鑰匙互相確認身分,並交換鑰匙材料以建立會議金鑰。相關技術請參考第九章介紹。 (6) 認證標頭(Authentication Header, AH):認證標頭是 IPSec 的兩種安全協定之一。IPSec AH 主要認證封包標頭是否有遭受竄改或偽裝,其中有『傳輸模式』與『通道模式』兩種封包模式。 (6) 封裝安全承載(Encapsulation Security Payload, ESP):ESP 是 IPSec 的另一個安全協定。IPSec ESP將原 IP 封包經過加密後,重新封裝成另一個 IP 封包,以達到資料隱密性的功能,同樣也有『傳輸模式』與『通道模式』兩種封包模式。 (7) 操作模式(Operating Mode):IPSec 協定有『傳輸模式』(Transport Mode)與『通道模式』(Tunnel Mode)兩種操作模式,無論 AH 或 ESP 協定都可以使用這兩種操作模式來傳輸訊息;因此,IPsec 協定有四種訊息封包格式,如圖 10-6 所示。 (8) 演算法(Algorithm):無論認證(Authentication)或加密(Encryption)都需要相對應的演算法。基本上,IPSec 並不規定標準演算法,而是雙方利用 ISAKMP 協定協議而成。
圖 10-8 操作模式 有了上述相關技術之後,接著來探討它們之間的關聯性,如此可讓讀者稍微瞭解 IPSec 的運作概念,至於詳細的運作程序將會在相關協定中說明,簡述如下: (1) IPSec 協定包含IPSec AH 與 IPsec ESP 兩種安全協定,這兩種安全協定都有傳輸模式和通道模式等兩種封包格式; (2) 至於通訊雙方是要採用何種安全協定及封包格式?視安全關聯(SA)的規範而定 (3) 如何制定 SA 的安全規範?係由通訊雙方利用 ISAKMP 協定所協議完成的; (4) 在 ISAKMP 協議當中若需交換鑰匙作為身份確定或制定會議金鑰,可利用 IKE 協定來完成; (5) 在雙方認證身分或交換鑰匙時,必須有代表身份的公鑰,然而此公鑰可由 PKI 系統中的憑證授權(CA)中心發給。 10-2-3 IPSec 運作程序 在 VPN 網路下,兩個端點的『安全閘門』之間協議出 IPSec 安全機制,再利用此機制下 IPSec 封包互相傳送訊息。但 IPSec 封包進入公眾網路之後,便如同一般 IP 封包備層層轉送到目的地,封包傳送途中還是會被盜取窺視,但封包內容受到保護(加密),他人無法知曉其內容。其運作程序如圖 10-9 所示,說明如下: (1) 區域網路內 A 工作站,欲傳送訊息給區域網路 B 的工作站 B,它將 IP 封包發送到網路上; (2) 安全閘門 SG_A 收到封包後,由封包標頭得知是 VPN 的目地位址。則由 SAD (SA Database) 搜尋是否有相關安全關聯 (SA) 可用,如果有則立即發送 IPSec 封包; (3) 如果沒有 SA 則啟動 ISAKMP 協定,協議雙方安全套件,包含: IPSec AH 或IPSec ESP、身分認證、訊息確認與密碼系統等等;並啟動 IKE 作雙方協議動作。 (4) IKE 不僅實現雙方協議事項(兩階段協議),並計算密碼系統內所需的鑰匙,如加密鑰匙與訊息確認鑰匙。 (5) 將雙方所協議成功的密碼套件儲存於 SAD 內,以備下次使用。 (6) SG_A 與 SG_B 之間協議或取得 SA 之後,便依照 SA 內規範傳輸。首先 SG_A 將收到的 IP 封包包裝成 IPSec 封包(IPSec AH 或 IPSec ESP),再將其發送到 Internet 網路上。 (7) IPSec 封包就如同一般 IP 封包一樣,在多個路由器轉送之下到達 SG_B。IPsec 封包內訊息受到安全包護,他人無法窺視或竄改其內容。 (8) SG_B 收到 IPSec 封包後,再依照雙方協議的 SA 套件,將 IPSec 封包恢復原來 IP 格式,再發送到區域網路 B 內。 (9) 工作站 B 收到該封包,與原來工作站 A 發送的完全相同。
圖 10-9 協議雙方安全機制 乍看之下,IPSec 好像很複雜的樣子,這是因為它必須結合許多安全措施(如 PKI、ISAKMP、IKE)才能達成。在此假設每一參與 VPN 運作者都已取得數位憑證(有關憑證認證與身份識別的議題,請參考『資訊與網路安全技術』)。首先介紹 AH 與 ESP 安全協定的運作程序,接著再介紹 SA 的安全參數;至於如何利用 ISAKMP 協定建立 SA,與協議產生雙方的會議金鑰的 IKE 協定,也請參考『資訊與網路安全技術』。
|
翻轉工作室:粘添壽
網路規劃與管理技術:
翻轉電子書系列:
|
