《计算机网络安全原理》第6章 IP与路由安全

本PPT是电子工业出版社出版的教材《计算机网络安全原理》配套教学PPT（部分内容的深度和广度在教材的基础上有所扩展），作者：吴礼发本PPT可能直接或间接采用了网上资源、公开学术报告中的部分PPT页面、图片、文字，引用时我们力求在该PPT的备注栏或标题栏中注明出处，如果有疏漏之处，敬请谅解。同时对被引用资源或报告的作者表示诚挚的谢意！本PPT可免费使用、修改，使用时请保留此页。声明第六章IP与路由安全内容提纲IPsec2

IPv6协议及其安全性分析3路由安全4

IPv4协议及其安全性分析1IPv4安全性分析IPv4协议没有认证机制：没有消息源认证：源地址假冒没有完整性认证：篡改IPv4安全性分析IPv4协议没有认证机制：没有消息源认证：源地址假冒没有完整性认证：篡改IPv4安全性分析IPv4协议没有认证机制：没有消息源认证：源地址假冒没有完整性认证：篡改IPv4安全性分析IPv4协议没有认证机制：没有消息源认证：源地址假冒没有完整性认证：篡改IPv4没有加密机制无机密性：监听应用数据泄露拓扑等信息：网络侦察无带宽控制：DDoS攻击IPv4内容提纲IPsec2

IPv6协议及其安全性分析3路由安全4

IPv4协议及其安全性分析1IPsec

(IPSecurity)端到端的确保IP通信安全：认证、加密及密钥管理为IPv6制定（必选），支持IPv4（可选）IPsecIPsec标准内容IPsecIPSec安全体系AH协议ESP协议加密算法验证算法DOI密钥管理（IKE协议）RFC4301RFC4303RFC4302RFC5996IPsec标准内容IPsecIPsec标准内容IPsec通过允许系统选择所需的安全协议（AH协议或ESP协议），决定服务所使用的加密或认证算法，提供任何服务需要的密钥来提供IP级的安全服务。RFC4301中列出的安全服务包括：访问控制、无连接完整性、数据源认证、拒绝重放包（部分顺序完整性格式）、保密性（加密）以及限制流量保密性IPsec一、IPsec安全策略IPsec操作的基础是应用于每一个从源端到目的端传输的IP包上的安全策略。IPsec安全策略主要由两个交互的数据库，安全关联数据库（SecurityAssociationDatabase,SAD）和安全策略数据库（SecurityPolicyDatabase,SPD)来确定安全策略IPsec操作的基础是应用于每一个从源端到目的端传输的IP包上的安全策略。安全策略IKEv2SPD安全策略数据库SAD密钥交换安全关联数据库IKE

SAIPsecv3SAD安全关联数据库IPsecv3IKEv2SPD安全策略数据库IPsecSA对ESP保护数据IPsec安全体系安全关联（SecurityAssociation,SA）一个SA：发送端和接收端之间的单向逻辑连接，为数据流提供安全服务；经过同一SA的数据流会得到相同的安全服务，如AH或ESPSA对：双向安全数据交换同时支持AH、ESP且双向：需两对SA安全关联SA一个SA由以下参数确定安全参数索引（SecurityParametersIndex,SPI）：32位，，接收方根据SPI选择合适的SA处理接收到的数据包IP目的地址：仅允许单播地址安全协议标识（SecurityProtocolIdentifier）：AH

/ESP安全关联SASAD定义了所有SA相关的参数，每个SA：安全参数索引序列号计算器序列计数器溢出反重放窗口AH信息ESP信息安全关联的生存期IPsec协议模式：：隧道、传输或通配符最大传输单元路径（pathMTU）安全关联SASAD定义了所有SA相关的参数，每个SA：安全关联SA不同SA可以用多种方式组合以获得理想的用户配置。此外，IPsec对需要IPsec保护的流量和不需要IPsec保护的流量提供多种粒度的控制安全关联SA安全策略（SecurityPolicy,SP）指定对IP数据包提供何种保护，并以何种方式实施保护主要根据源IP、目的IP、入数据还是出数据等来标识用户设定自己的安全策略的粒度：IP地址，传输层协议，TCP/UDP端口号操作：Discard、Bypass、Protect安全策略SPSPD中的每一条SP包括：本地IP远程IP下一层协议名称本地或远程端口安全策略SP基于SAD和SPD，IPsec对IP包的处理IP包处理过程

外向IP包（来自TCP或UDP）丢弃报文查询SPD确定策略发现匹配丢弃查询SAD保护网络密钥交换无匹配匹配处理(AH/ESP)通过IP传输报文通过无匹配外向(Outboud)IP包处理过程基于SAD和SPD，IPsec对IP包的处理IP包处理过程内向(Inboud)IP包处理过程将报文传输到上层（如TCP、UDP）查询SPD丢弃

报文查询SAD报文类型不通过处理(AH/ESP)匹配无匹配IPIPsec

内向IP包（来自因特网）通过二、IPsec运行模式两种模式：传输模式和隧道模式IPsec运行模式传输模式隧道模式传输模式和隧道模式比较三、AH协议学习AH和ESP要关注以下几个问题:加密、认证的范围（即对IP协议报文的哪些部分进行保护）传输模式与隧道模式在保护对象、提供的服务、性能等方面的差别AH、ESP的传输模式和隧道模式各自适用于什么样的场景与NAT的兼容性问题AH协议AH协议功能：IP包的数据完整性、数据来源认证和抗重放攻击服务完整性：采用HMAC算法：HMAC-MD5（必须）、HMAC-SHA1（必须）、HAMC-RIPEMD-160等抗重放：序列号AH协议AH首部AH协议下一个首部

认证数据（变长）载荷长度保留SPI

序列号

071531AH运行模式：传输模式AH协议IP首部（含选项字段）TCP首部（含选项字段）数据IP首部（含选项字段）TCP首部（含选项字段）数据AH首部认证区域（可变字段除外）（a）应用AH之前（b）应用AH（传输模式）之后AH运行模式：传输模式AH协议AH运行模式：隧道模式AH协议IP首部（含选项字段）TCP首部（含选项字段）数据IP首部（含选项字段）TCP首部（含选项字段）数据AH首部认证区域（可变字段除外）（a）应用AH之前（b）应用AH（隧道模式）之后新IP首部（含选项字段）AH运行模式：隧道模式AH协议抗重放攻击：序列号+滑动窗口机制AH协议…NN+1N－

W接收到有效包时标记未接收到有效包时不标记固定窗口大小W若接收到右边的有效包，则窗口前进完整性检验算法：在SA中指定AH协议完整性检验哪些字段参与计算？如何处理IPv4和IPv6首部中的三种字段：不变字段，可变但可预测字段，可变不可预测字段？AH协议完整性检验值ICVIPv4首部三种字段：AH协议完整性检验值ICVIPv6基本首部三种字段：IPv6扩展首部三种字段：AH协议讨论：AH传输模式和隧道模式的区别AH与NAT的兼容性问题AH协议四、ESP协议ESP协议功能：除了提供IP包的数据完整性、数据来源认证和抗重放攻击服务，还提供数据包加密和数据流加密服务完整性：采用HMAC算法：HMAC-MD5（必须）、HMAC-SHA1（必须）、HAMC-RIPEMD-160，NULL（无认证）等；ESP认证的数据范围要小于AH协议加密：对称密码，必须支持：DES-CBC和NULL算法（认证和加密不能同时为NULL）ESP协议ESP首部ESP协议填充长度

载荷数据（变长）填充（0～255字节）SPI

序列号

071531

认证数据（变长）

下一个首部ESP运行模式：传输模式ESP协议ESP运行模式：传输模式ESP协议ESP运行模式：传输模式ESP协议ESP运行模式：传输模式ESP协议ESP协议ESP运行模式：隧道模式ESP协议ESP运行模式：隧道模式ESP协议ESP运行模式：隧道模式ESP协议讨论：ESP传输模式和隧道模式的区别ESP传输模式下：如果修改了IP包的首部，IPsec是否能检测出来这种修改ESP与NAT的兼容性问题ESP与AH的区别ESP协议ESP传输模式与隧道模式对比隧道模式对整个IP包进行认证和加密，因此可以提供数据流加密服务，而传输模式由于IP包首部不被加密，因此无法提供数据流加密服务。但是，隧道模式由于增加了一个新IP首部，降低了链路的带宽利用率。传输模式适合于保护支持ESP协议的主机之间的通信连接，而隧道模式则在包含防火墙或其它用于保护可信内网不受外网攻击的安全网关的配置中比较有效ESP协议与NAT兼容问题：AH与NAT不兼容，而ESP不对IP包首部（含选项字段）进行认证，因此不存在和NAT不兼容的问题。如果通信的任何一方具有私有地址或在安全网关后面，仍然可以用ESP来保护其安全，因为NAT网关或安全网关可以修改IP首部中的源／目的IP地址来确保双方的通信不受影响ESP协议AH与ESP比较ESP协议ESP与AH比较五、网络密钥交换IPsec支持以下两种密钥管理方式：手动（manual）：管理员为每个系统手动配置所需密钥，只适用于规模相对较小且结点配置相对稳定的环境自动（automated）：系统通过IKE（InternetKeyExchange）协议自动为SA创建密钥，适用于大型分布式系统中的密钥管理IPsec密钥管理IKEv1：默认的IPsec自动型密钥管理协议是ISAKMP/Oakley，包括：互联网安全关联和密钥管理协议（InternetSecurityAssociationandKeyManagementProtocol,ISAKMP）Oakley密钥确定协议（OakleyKeyDeterminationProtocol），基于Diffie-Hellman算法的密钥交换协议IKE在IKEv2中，不再使用术语ISAKMP和Oakley，并且对ISAKMP和Oakley的使用方式也发生了变化，但是基本功能还是相同的。后面介绍的内容是IKEv2IKEDiffie-Hellman回顾两个优点：①仅当需要时才生成密钥，减小了将密钥存储很长一段时间而致使遭受攻击的机会；②除对全局参数的约定外，密钥交换不需要事先存在的基础设施两个缺点：①没有提供双方身份的任何信息，因此易受中间人攻击；②算法是计算密集型的，容易遭受阻塞性攻击密钥确定协议IKE对Diffie-Hellman的改进：采用Cookie机制来防止拥塞攻击；允许双方协商得到一个组（group），相录于Diffie-Hellman密钥交换的全局参数；使用现时值来阻止重放攻击；允许交换Diffie-Hellman的公钥值；对Diffie-Hellman交换进行身份认证，以阻止中间人攻击密钥确定协议Cookie交换（Cookieexchange）要求各方在初始消息中发送一个伪随机数Cookie，并要求对方确认。此确认必须在Diffie-Hellman密钥交换的第一条消息中重复。如果源地址被伪造，则攻击者就不会收到应答。这样，攻击者仅能让用户产生应答而不会进行Diffie-Hellman计算Cookie机制ISAKMP规定Cookie的产生必须满足：Cookie必须依赖于特定的通信方，从而防止攻击者得到一个正在使用真正的IP地址和UDP端口的Cookie时，也无法用该Cookie向目标主机发送大量的来自随机选取的IP地址和端口号的请求来浪费目标主机的资源Cookie机制ISAKMP规定Cookie的产生必须满足：除了发起实体以外的任何实体都不可能产生被它承认的Cookie。这就意味着发起实体在产生和验证Cookie时，要使用本地的秘密信息，而且根据任何特定的Cookie都不可能推断出该秘密信息Cookie机制ISAKMP规定Cookie的产生必须满足：Cookie的产生和验证必须尽可能地快速完成，从而阻止企图通过占用处理器资源的阻塞攻击一种产生Cookie的方法是对以下信息进行HASH运算后，取前64位：

源IP地址+目的IP地址+UDP源端口+UDP目的端口

+

随机数+当前日期+当前时间Cookie机制使用不同的组（group）进行Diffie-Hellman密钥交换。每个组包含两个全局参数的定义和算法标识。当前的规范包括如下几个组：GroupIKE使用现时值（nonce）来反重放攻击。每个现时值是本地产生的伪随机数，在应答中出现，并在交换时被加密以保护它的可用性防重放攻击IKE使用三种不同的身份认证方法：数字签名：用双方均可以得到的散列值进行签名来进行身份认证，每一方都用自己的私钥加密散列值。散列值使用重要的身份参数（如用户ID、现时值）来生成。公钥加密：利用对方公钥对用户身份参数（如用户ID、现时值）加密来进行身份认证。对称密钥加密：通过带外机制得到密钥，并且该密钥对交换的身份参数进行加密。身份认证IKEv1密钥交换过程密钥交换过程发送IKE安全提议接受提议发送密钥生成信息生成密钥发送身份和验证数据身份验证和交换过程验证查找匹配的提议发送确认的IKE安全提议生成密钥发送密钥生成消息身份验证和交换过程验证发送身份和验证数据协商发起方协商响应方①②③④⑤⑥发送IKE安全提议、密钥生成和身份信息查找匹配的提议算法，生成密钥和身份验证协商发起方协商响应方①接受提议和生成密钥发送密钥生成信息、身份信息和验证数据②发送验证数据交换过程验证③（a）主模式（b）积极模式IKEv2密钥交换过程密钥交换过程密钥交换过程发送IKE安全提议接受参数发送身份信息身份验证和交换过程验证查找匹配的提议发送确认的IKE安全参数身份验证和交换过程验证发送身份信息协商发起方协商响应方①②③④发送控制信息根据控制信息进行相应操作协商发起方协商响应方①接受信息回应控制信息②（a）初始交换过程（b）信息交换过程IKE协议定义了建立、协商、修改和删除安全关联的过程和报文格式。IKE报文由首部和一个或多个载荷组成，并包含在传输协议（规范要求在实现时必须支持UDP协议）IKE消息格式IKE消息格式

发起方SPI

应答方SPI

071531消息ID邻接载荷主版本次版本交换类型标记23长度

07

81531邻接载荷C保留载荷长度(a)

IKE首部(b)一般载荷首部载荷类型IKE消息格式载荷类型IKE消息格式IPsecv3和IKEv3协议依赖于多种密码算法。每种应用可能需要使用多种密码算法，而每种密码算法也有很多参数。为了提高互操作性，IETF通过RFC4308和RFC4869定义了各种应用的推荐密码算法和参数IKE密码组件RFC4308IKE密码组件RFC4869IKE密码组件同RFC4308一样，使用的密钥算法包括：加密：对于ESP，认证加密使用128位或256位的AES密码的GCM模式；对于IKE加密，与VPN密码组一样，使用密码分组链（CBC）模式；消息认证：对于ESP，如果只认证，则用GMAC；对于IKE，消息认证由使用SHA-3的HMAC来提供。伪随机数：同VPN密码组一样，IKEv2通过对重复使用消息认证的MAC来产生伪随机数。IKE密码组件对于Diffie-Hellman算法，规定使用椭圆曲线群上对素数求模。对于认证，也使用了椭圆曲线上的数字签名。早期的IKEv2文档使用的是基于RSA的数字签名。与RSA相比，使用ECC可以用更短的密钥就能达到相当或更高的安全强度IKE密码组件IKE交互过程抓包分析主模式第1条报文（6->4）IKE交互过程抓包分析主模式第2条报文（4->6）IKE交互过程抓包分析主模式的第3条报文（6->4）：密钥交换（KeyExchange）IKE交互过程抓包分析主模式第4条报文（4->6）IKE交互过程抓包分析主模式的第5条报文（6->4）IKE交互过程抓包分析主模式第6条报文（4->6）IKE交互过程抓包分析快速模式第1条报文（6->4）IKE交互过程抓包分析快速模式第2条报文（4->6）IKE交互过程抓包分析快速模式第3条报文（6->4）IKE交互过程抓包分析快速模式第4条报文（4->6）IKE交互过程抓包分析六、SA组合为什么要组合SA？单个SA只能实现AH协议或ESP协议，而不能同时实现这两者。但在实际应用中，一些流量需要同时调用由AH和ESP提供的服务，某些流量可能需要主机间的IPsec服务的同时还需要在安全网关（如防火墙）间得到IPsec提供的服务。在这些情况下，同一个流量可能需要多个SA才能获得想要的IPsec服务SA组合提供特定IPsec服务集而组合在一起的SA系列称为“安全关联束（SecurityAssociationBundle）”安全关联束中的SA可以在不同节点上终止，也可在同一个节点上终止两种方式将多个SA组合成安全关联束：传输邻接（transportadjacency）与隧道迭代（IteratedTunneling）SA组合在组合多个SA形成安全关联束时，需要考虑认证和加密的顺序问题先加密后认证先认证后加密SA组合SA组合SA组合SA组合SA组合SA组合七、IPsec的应用IPsec在IP层对所有流量进行加密和/或认证，因此能够保护各种基于IP的应用终端用户通过互联网实现安全的远程访问分支机构通过互联网构建一个安全的虚拟专用网络与合作者建立企业间联网和企业内联网接入将IPsec应用于上述场景的实质就是构建基于IPsec的虚拟专用网（VirtualPrivateNetwork,VPN）IPsec的应用IPsec应用IPsec的应用IPsec的应用利用IPsec实现安全通信有以下优点：当在路由器或防火墙等边界设备中启用IPsec时，认证和加密过程均在路由器或防火墙中进行，而其后面的公司或者工作组内部的通信不会引起与安全相关的开销IPsec位于传输层之下，所以对应用是透明的IPsec对终端用户是透明的若有必要，IPsec给个人用户提供安全性IPsec的应用内容提纲IPsec2

IPv6协议及其安全性分析3路由安全4

IPv4协议及其安全性分析1IPv6IPv6从IPv4向IPv6过渡采用逐步演进的方法，IETF推荐的过渡方案主要有：双协议栈(dualstack)隧道(tunneling)网络地址转换IPv6IPv6部署情况（APNIC，2019.6）：IPv6IPv6通过IPsec来保证IP层的传输安全，提高了网络传输的保密性、完整性、可控性和抗否认性IPv6安全安全问题IPv4向IPv6过渡技术的安全风险无状态地址自动配置的安全风险IPv6中PKI管理系统的安全风险IPv6编址机制的隐患IPv6安全安全问题IPv6的安全机制对网络安全体系的挑战所带来的安全风险：正在服役的IDS/IPS/WAF不一定支持，于是可以畅行无阻IPv6安全IPv6安全内容提纲IPsec2

IPv6协议及其安全性分析3路由安全4

IPv4协议及其安全性分析1路由协议R1H1H2内部网关协议IGP（例如，RIP）自治系统A自治系统B自治系统CIGPIGPIGPIGPIGPIGPIGPIGPIGPIGPIGPIGPEGPEGPEGP内部网关协议IGP（例如，OSPF）外部网关协议EGP（例如，BGP-4）IGPR3R2路由协议的脆弱性：协议设计上的问题，即协议机制上的不完善（如认证机制、防环路机制、路由度量机制等）导致的安全问题协议实现上的问题，即许多协议规范中的协议行为在实际网络环境中并没有实现或做的不够完善而导致的安全问题管理配置产生的安全问题，很多网络管理员在配置路由协议器时，没有或错误地配置相应的加密和认证机制，带来了很多安全风险路由协议路由协议的安全保障：IPv4网络中，路由安全主要依靠路由协议本身提供的安全机制来保障，如认证和加密机制。而在IPv6网络中，路由安全则主要依靠前面介绍的IPsec协议提供的认证和加密服务来保障路由协议一、RIP协议及其安全性分析RIP一种内部网关协议分布式的基于距离向量的路由选择三个版本：RIPv1（RFC1058）、RIPv2（RFC1723）和RIPng。RIPv2新增了变长子网掩码的功能，支持无类域间路由、支持组播、支持认证功能，同时对RIP路由器具有后向兼容性。RIPng主要用于IPv6网络RIP协议路由策略和哪些路由器交换信息？仅和相邻路由器交换信息交换什么信息？当前本路由器所知道的全部信息，即自己的路由表在什么时候交换信息？按固定的时间间隔交换路由信息RIP协议协议报文两类报文：更新报文和请求报文。更新报文用于路由表的分发，请求报文用于路由器发现网上其它运行RIP协议的路由器。RIP协议报文使用UDP协议进行传送RIP协议RIPv1不支持认证，且使用不可靠的UDP协议作为传输协议，安全性较差。如果在没有认证保护的情况下，攻击者可以轻易伪造RIP路由更新信息，并向邻居路由器发送，伪造内容为目的网络地址、子网掩码地址与下一条地址，经过若干轮的路由更新，网络通信将面临瘫痪的风险RIP协议安全RIPv2在其报文格式中增加了一个可以设置16个字符的认证选项字段，支持明文认证和MD5加密认证两种认证方式，字段值分别是16个字符的明文密码字符串或者MD5签名。RIP认证以单向为主，R2发送出的路由被R1授受，反之无法接受。另外，RIPv2协议路由更新需要配置统一的密码明文认证的安全性仍然较弱RIP协议安全对于不安全的RIP协议，中小型网络通常可采取的防范措施包括：①将路由器的某些接口配置为被动接口，配置为被动接口后，该接口停止向它所在的网络广播路由更新报文，但是允许它接收来自其他路由器的更新报文；②配置路由器的访问控制列表，只允许某些源IP地址的路由更新报文进入列表RIP协议安全RIPng为IPv6环境下运行的RIP协议，采用和RIPv2完全不同的安全机制。RIPng使用和RIPv1相似的报文格式，充分利用IPv6中IPsec提供的安全机制，包括AH认证、ESP加密以及伪报头校验等，保证了RIPng路由协议交换路由信息的安全。RIP协议安全二、OSPF协议及其安全性分析路由策略和哪些路由器交换信息？向本自治系统中所有路由器发送信息，通常洪泛法交换什么信息？与本路由器相邻的所有路由器的链路状态，只是路由器所知部分信息表在什么时候交换信息？当链路状态发生变化时，路由器向所有路由器发送此信息；定期同步链路状态OSPF协议OSPF使用分布式链路状态协议(linkstateprotocol)由于OSPF依靠各路由器之间频繁地交换链路状态信息，因此所有的路由器都能建立一个链路状态数据库（LinkStateDatabase,LSDB），这个数据库实际上就是全网拓扑结构图每一个路由器使用LSDB中的数据，构造自己的路由表（例如，使用Dijkstra算法）OSPF协议OSPF协议报文类型1，问候(Hello)报文，用来发现和维持邻站的可达性类型2，数据库描述(DatabaseDescription)报文，向邻站给出自己的链路状态数据库中的所有链路状态项目的摘要信息类型3，链路状态请求(LinkStateRequest,LSR)报文，向对方请求发送某些链路状态项目的详细信息OSPF协议OSPF协议报文类型4，链路状态更新(LinkStateUpdate,LSU)报文，用洪泛法向全网发送更新的链路状态类型5，链路状态确认(LinkStateAcknowledgment,LSAck)报文，对链路更新报文的确认OSPF协议OSPF不用UDP而是直接用IP数据报传送（其IP数据报首部的协议字段值为89）其报文OSPF协议OSPF协议可以对接口、区域、虚链路进行认证接口认证要求在两个路由器之间必须配置相同的认证口令。区域认证是指所有属于该区域的接口都要启用认证，因为OSPF以接口作为区域分界。区域认证接口与邻接路由器建立邻居需要有相同的认证方式与口令，但在同一区域中不同网络类型可以有不同的认证方式和认证口令。配置区域认证的接口可以与配置接口认证的接口互相认证，使用MD5认证口令ID要相同OSPF安全OSPF认证方式空认证（NULL，即不认证，类型为0），默认认证方式简单口令认证（类型为1）MD5加密身份认证（类型为2）OSPF报文格式中有二个与认证有关的字段：认证类型（AuType,16位）、认证数据（Authentication,64位）OSPF安全同RIPng一样，OSPFv3协议自身不再有加密认证机制，取而代之的是通过IPv6的IPsec协议来保证安全性，路由协议必须运行在支持IPsec的路由器上。IPsec可确保路由器报文来自于授权的路由器；重定向报文来自于被发送给初始包的路由器；路由更新未被伪造OSPF安全OSPF攻击方式最大年龄（MaxAgeattack）攻击序列号加1（Sequence++）攻击最大序列号攻击重放攻击篡改攻击OSPF安全三、BGP协