填坑:IPc不同安全协议的报文封装结构对比

更新时间:2023-05-07 09:19:32 阅读: 评论:0

填坑:IPc不同安全协议的报⽂封装结构对⽐
回顾⼀下,前⾯两个IPc实验挖了⼀个坑,就是IPc和GRE在组合使⽤的时候,出现了MTU值⽆法验证的情况,今天来填⼀下坑。
结合RFC2401、RFC2402、RFC2406的相关说明:
IPc SA(Security Association,安全联盟)分为两种类型:传输模式和隧道模式。
传输模式 SA 是两个主机之间的安全联盟。在 ESP 的情况下,传输模式 SA 仅为这些更⾼层协议提供安全服务,⽽不是为 IP 标头或 ESP 标头之前的任何扩展标头提供安全服务。在 AH 的情况下,保护还扩展到 IP 标头的选定部分、扩展标头的选定部分和选定的选项。
隧道模式SA本质上是应⽤于IP隧道的SA。每当SA的任⼀端是安全⽹关时,SA 必须是隧道模式。因此,两个安全⽹关之间的 SA 始终是隧道模式 SA,主机和安全⽹关之间的 SA 也是如此。
对于隧道模式 SA,有⼀个“外部”IP 标头指定 IPc 处理⽬的地,加上⼀个“内部”IP 标头,指定数据包的(表⾯)最终⽬的地。安全协议头出现在外部 IP 头之后,内部 IP 头之前。如果在隧道模式下使⽤ AH,则外部 IP 报头的部分将受到保护(如上所述),以及所有隧道传输的 IP 数据包(即,所有内部 IP 报头都受到保护,以及更⾼层协议)。如果采⽤ ESP,则仅对隧道数据包提供保护,⽽不对外部报头提
供保护。
总之,主机必须同时⽀持传输和隧道模式;要求安全⽹关仅⽀持隧道模式,如果安全⽹关⽀持传输模式,则应仅在安全⽹关充当主机时使⽤。
组⽹图
采⽤和第⼀次实验相同的组⽹图。
设备配置
IPc这个实验我是在H3C模拟器HCL中做的,主要配置任务包括以下⼏点:
1、配置IPc保护的数据流量。⼀般也称为感兴趣流,⽤ACL来进⾏匹配;
2、配置IPc安全提议。指定对IP报⽂的封装形式为传输模式或隧道模式,选择安全协议为AH或ESP或AH-ESP,并配置与之对应的加密算法及认证算法;
3、配置IPc安全策略。包含配置应⽤感兴趣流,应⽤IPc安全提议,指定IPc隧道地址,配置安全协议的SPI(Security Parameter Index,安全参数索引)和SA(Security Association,安全联盟)密钥;
4、在接⼝上应⽤IPc安全策略。
所以,今天,我们将主要通过调整安全协议、加密算法和认证算法来验证⼀下。
IPc安全提议⽀持的安全协议有AH、ESP和AH-ESP,相关协议介绍请参照相关RFC⽂档,不同安全协议的数据封装格式如下图所⽰:
模拟器⽀持的安全协议:
缺省情况下,采⽤ESP安全协议,那就延⽤上个实验的环境,先测⼀下ESP安全协议。
使⽤ESP安全协议的报⽂结构
已知使⽤ESP封装的报⽂,MTU值为1400字节。从RFC2406我们得知,ESP封装报⽂头格式如下:
虽然抓包的可读性⽐较差,但还是要做⼀下分析。
将标准的封装格式和实际报⽂进⾏对⽐,可以得出:
1、SPI字段长度为4字节;
2、序列号字段长度为4字节;
3、加密填充内容字段长度可变,长度为0-255字节;
4、填充长度字段长度为1字节;
5、下⼀个头部字段长度为1字节;
6、认证数据字段长度可变,并且是可选的。
所以上⾯1和2为ESP头,3-6位ESP-T(校验尾),初步推算ESP-T长度为44字节。
所以使⽤ESP封装的完整报⽂结构如下图所⽰:
使⽤AH安全协议的报⽂结构
修改安全协议在IPc的安全提议transform-t中,重新配置安全协议为AH。并在IPc策略中修改SA的SPI和密钥。#
ipc transform-t tran1
protocol ah
ah authentication-algorithm sha1
#
ipc policy ipc 10 manual
sa spi inbound ah 123321
sa string-key inbound ah simple 123321
sa spi outbound ah 123321
sa string-key outbound ah simple 123321
查看SA信息,发现协议已经是AH了,并且没有加密算法。
测试封装后的MTU为1428字节。
抓包进⾏分析,发现仅仅是在原始报⽂头部加了⼀个认证头,没有对报⽂进⾏加密,原始报⽂数据⼀⽬了然。
对⽐RFC2402中的报⽂结构,AH头部封装和协议中完全⼀致。RFC2402中AH ICV字段为可变长度,此处该字段长度为12字节。
所以使⽤ESP封装的完整报⽂结构如下图所⽰:
组合使⽤AH-ESP安全协议的报⽂结构
再从IPc的安全提议transform-t中,配置安全协议为AH-ESP。并在IPc策略中添加SA的SPI和密钥。需要注意,AH和ESP的SPI 值不能重复,否则⽆法配置。
#
ipc transform-t tran1
esp encryption-algorithm aes-cbc-128
esp authentication-algorithm sha1
#
ipc policy ipc 10 manual
sa spi inbound ah 123321
sa spi inbound esp 321123
sa string-key inbound ah simple 123321
sa string-key inbound esp simple 123321
sa spi outbound ah 123321
sa spi outbound esp 321123
sa string-key outbound ah simple 123321
sa string-key outbound esp simple 123321
查看SA信息,能发现SA中同时包含AH和ESP,加密算法和认证算法均有体现。

本文发布于:2023-05-07 09:19:32,感谢您对本站的认可!

本文链接:https://www.wtabcd.cn/fanwen/fan/90/99086.html

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,我们将在24小时内删除。

标签:协议   模式   隧道   封装   配置
相关文章
留言与评论(共有 0 条评论)
   
验证码:
Copyright ©2019-2022 Comsenz Inc.Powered by © 专利检索| 网站地图