什麼是IPSec？

IPSec 是 Internet 協定安全性的縮寫，是一組保護 Internet 協定 (IP) 網路上的資料流量的加密協定。

IP 網路（包括萬維網）缺乏加密和隱私保護。 IPSec VPN 透過提供網路上加密和私密通訊的框架來解決這一弱點。

以下詳細介紹了 IPSec 以及它如何與VPN 隧道配合使用來保護不安全網路上的資料。

IPSec 簡史

當互聯網協定在 80 年代初開發時，安全性並不是一個優先考慮的問題。然而，隨著網路使用者數量的不斷增長，對高安全性的需求也不斷增加。

為了滿足這一需求，國家安全局在 1980 年代中期根據安全數據網路系統計劃贊助了安全協議的開發。這導致了第 3 層安全協定的發展，並最終導致了網路層安全協定的發展。在整個 90 年代，許多工程師都致力於這個項目，IPSec 就是從這些努力中誕生的。 IPSec 現在是一個開源標準，並且是 IPv4 的一部分。

IPSec 的工作原理

IPSec 與 VPN 隧道搭配使用，在裝置之間建立私人雙向連接

當兩台電腦建立VPN連線時，它們必須就一組安全協定和加密演算法達成協議，並交換加密金鑰以解鎖和查看加密資料。

這就是 IPSec 發揮作用的地方。 IPSec 與 VPN 隧道搭配使用，在裝置之間建立私人雙向連線。 IPSec 不是一個單一的協定；相反，它是一套完整的協定和標準，它們協同工作，有助於確保通過 VPN 隧道的網際網路封包的機密性、完整性和真實性。

以下是 IPSec 如何建立安全 VPN 隧道的方法：

• IPSec 對資料進行驗證，以確保資料包在傳輸過程中的完整性。
• IPSec 會對通過 VPN 隧道的 Internet 流量進行加密，使資料無法被檢視。
• IPSec 保護資料免受重播攻擊，重播攻擊可能導致未經授權的登入。
• IPSec 允許電腦之間進行安全的加密金鑰交換。
• IPSec提供兩種安全模式：隧道和傳輸。

IPSec VPN 保護從主機到主機、網路到網路、主機到網路、網關到網關傳輸的資料（稱為隧道模式，此時整個 IP 封包都經過加密和驗證）。

IPSec 協定和支援元件

IPSec 標準分為幾個核心協定和支援組件。

核心IPSec協定

- IPSec 驗證標頭（AH）：此協定保護參與資料交換過程的電腦的 IP 位址，以確保資料位元在傳輸過程中不會遺失、變更或損壞。 AH 還驗證發送數據的人是否確實發送了數據，從而保護隧道免受未經授權的用戶的入侵。

-封裝安全負載（ESP）：ESP協定提供IPSec的加密部分，確保裝置之間資料流量的安全。 ESP 加密封包/有效負載，驗證有效負載及其在 IPSec 協定套件中的來源。該協議有效地擾亂了互聯網流量，因此任何進入隧道的人都看不到其中的任何內容。

ESP 對資料進行加密和驗證，而 AH 僅對資料進行驗證。

支援 IPSec 的組件

-安全關聯（SA）：安全關聯和策略建立各種安全協議，用於交換。這些協定可以確定要使用的加密類型和雜湊演算法。這些策略通常很靈活，允許設備決定如何處理事物。

-網際網路金鑰交換 (IKE)：為了讓加密發揮作用，參與私人通訊交換的電腦需要共用加密金鑰。 IKE 允許兩台電腦在建立 VPN 連線時安全地交換和共用加密金鑰。

-加密和雜湊演算法：加密金鑰使用雜湊值工作，雜湊值是使用雜湊演算法產生的。 AH和ESP非常通用，它們沒有指定特定的編碼類型。然而，IPsec 通常使用訊息摘要 5 或安全雜湊演算法 1 進行加密。

-防止重播攻擊：IPSec 也納入了防止重播成功登入過程中的任何資料包的標準。此標準可防止駭客利用重播資訊自行複製登入資訊。

IPSec是一個完整的VPN協定解決方案，也可以作為L2TP和IKEv2中的加密協定。

隧道模式：隧道和傳輸

IPSec 使用隧道或傳輸模式發送數據

IPSec 使用隧道或傳輸模式發送資料。這些模式與所使用的協定類型（AH 或 ESP）密切相關。

-隧道模式：在隧道模式下，整個資料包都受到保護。 IPSec 將資料包包裝在新的資料包中，對其進行加密，並添加新的 IP 標頭。它通常用於站點到站點 VPN 設定。

-傳輸模式：在傳輸模式下，原始 IP 標頭保留且未加密。僅有效負載和 ESP 尾部被加密。傳輸模式通常用於客戶端到網站 VPN 設定。

對於 VPN，您將看到的最常見的 IPSec 設定是在隧道模式下進行驗證的 ESP。此結構有助於 Internet 流量在不安全網路上的 VPN 隧道內安全且匿名地移動。

那麼IPsec中隧道模式和傳輸模式有什麼差別呢？

IPsec 中的隧道模式用於兩個專用路由器之間，每個路由器充當穿過公共網路的虛擬「隧道」的一端。在隧道模式下，初始 IP 標頭包含加密封包的最終目的地以及封包有效負載。為了讓中間路由器知道將封包轉送到哪裡，IPsec 新增了新的 IP 標頭。在隧道的每一端，路由器都會解碼 IP 標頭以將封包傳送到目的地。

在傳輸模式下，每個資料包的有效負載都會被加密，但初始 IP 標頭不會被加密。因此，中間路由器可以看到每個封包的最終目的地 - 除非使用單獨的隧道協定（例如 GRE）。

IPsec 使用哪個連接埠？

網路連接埠是資料在電腦內傳輸的虛擬位置。連接埠是電腦追蹤不同進程和連接的方式。如果資料到達某個端口，電腦的作業系統就知道它屬於哪個進程。 IPsec 通常使用連接埠 500。

IPsec 如何影響 MSS 和 MTU？

MSS 和 MTU 是封包大小的兩種度量。封包只能達到一定的大小（以位元組為單位），電腦、路由器和交換器就無法處理它們。 MSS 測量每個資料包的有效負載大小，而 MTU 測量整個資料包，包括標頭。超過網路 MTU 的資料包可以進行分片，即分成更小的資料包，然後重新組裝。超過 MSS 的資料包將被簡單地丟棄。

IPsec 協定在資料包中新增了許多標頭和標尾，所有這些標頭和標尾都佔用幾個位元組。對於使用IPsec的網絡，必須相應地調整MSS和MTU，否則封包會出現分片和輕微延遲。通常，網路的 MTU 為 1,500 位元組。普通 IP 標頭的長度為 20 字節，TCP 標頭的長度也是 20 字節，這意味著每個資料包可包含 1,460 位元組的有效負載。然而，IPsec 增加了身份驗證標頭、ESP 標頭和相關尾部。它們會為資料包添加 50 - 60 個位元組或更多。