資訊與網路安全技術 第 十二章 虛擬私有網路 - IPSec 上一頁  下一頁

 

2-5 IPSec AH 操作模式

內容:

IPSec AH 協定有『傳輸模式』(Transport Mode『通道模式』(Tunnel Mode兩種操作模式,其不同點在於 AH 標頭所存放的位置。AH 可以利用通道模式重疊使用,也可以和 ESP 一起使用(12-6-2 節介紹),以下先介紹這兩種操作模式。

2-5-1 AH 傳輸模式

AH 傳輸模式是將認證標頭放置於 IP 封包標頭與傳輸層協定(TCPUDP 或其他協定)的標頭之間,有 IPv4 IPv6 兩種不同封包格式。圖 12-8 (a) 為原 IPv4 封包,經過 AH 傳輸模式包裝後的格式如圖 12-8 (b)所示,IP 標頭的長度可以由 20 Bytes 60 Bytes 之間,之所以不定長度是因為有可能在標頭後面加入選項(Options)資料,如果沒有選項資料,則 IP 標頭長度為 20 Bytes

12-8  IPv4 AH 傳輸模式包裝

基本上,原來 IPv4 封包標頭是不用修改的,只要將 AH 標頭加入即可,但因原 IP 封包所承載的協定已變成 AH 協定,而非原來的協定,因此還是需要將 IP 標頭內的『協定』(Protocol)欄位內容設定為 51AH 協定),並將原來的值置於 AH 標頭的『Next Header』欄位上。譬如,原來 IP 封包所承載的是 TCP 協定(Protocol=5), 經過 AH 傳輸模式包裝後,IP 標頭上的 Protocol 欄位便成為 51AH 協定),而 AH 標頭上的 Next Header 欄位則需設定為 5TCP 協定,如圖 12-8 (b) 所示)。

2-5-2 AH 通道模式

所謂『通道模式』(Tunnel Mode,即是隱藏原來的 IP 標頭,而另外製作一個新的封包標頭,並且利用 AH 標頭保護原來的 IP 標頭。圖 12-10 IPv4 IPv6 AH 通道模式的封包包裝,新的封包標頭稱之為『外部標頭』(Outer Header;而原來封包標頭稱之為『內部標頭』(Inner Header。基本上,外部標頭的封裝格式與原 IP 標頭一樣,但它的目的位址與來源位址,可能和內部標頭不同,不相同的原因是該 AH 通道所扮演的角色有所不同(連接主機或安全閘門,容後介紹)。外部標頭的內容也可以被所經過的路由器修改,譬如 TTL 或標頭檢查碼等欄位。

12-10 IPv4 IPv6 AH 通道模式的封裝格式

我們用一個簡單的範例來說明 AH 通道模式的特殊用途,相信可讓讀者更容易瞭解 AH 通道模式的特性。一般在 VPN 網路上,都希望將內部的網路位址隱藏起來,並透過 NATNetwork Address Translator)將內部位址轉換到外部位址,如圖 12-11 所示。兩區域網路(192.168.1.0/24 192.168.2.0/24)是透過 Internet 網路做 VPN 連接,並且將 IPSec AH Tunnel NAT 軟體安裝於雙方網路的『安全閘門』(Security Gateway, SG)上,連結到外部的合法位址分別是 163.17.8.141 163.20.9.5。當內部網路 A 的工作站(工作站 M,位址為 192.168.1.52)欲傳送封包給內部網路 B 的工作站(工作站 N,位址為 192.168.2.121)時,SG-A 將工作站 A 所發送的封包經由 IPSec AH Tunnel 包裝。在包裝當中,內部標頭的目的位址將會是 192.168.2.121;而外部標頭的目的位址是 163.20.9.5。區域網路 B SG-B 收到封包後,再拆解外部標頭,並從事認證的工作,如果認證無誤的話,便捨棄外部標頭,恢復原來封包格式,並發送到內部網路;工作站 B 再由網路上收到該封包。如此,對雙方工作站而言,並不知道有 VPN 網路的存在,猶如在同一區域網路上運作一樣,也就是說,好像在公眾網路上建立一個秘密通道,故稱為『通道模式』。

12-11 AH 通道模式範例

就另一方面而言,AH 傳輸模式並不適合圖 12-11 網路使用,我們用兩種安裝架構說明它不適合的原因:

  • (1) 如果將 IPSec AH Transport 安裝於雙方工作站(工作站 M N)上,而由工作站 M 計算 AH 標頭,並重新包裝 IP 封包,但該封包到達 SG-A 時,會經由 NAT 更改目的位址(成為合法位址)、重新計算檢查值後再傳送出去。當工作站 N 收到此封包後,會依照封包標頭重新計算認證資料,但標頭已被修改,當然會發生認證失敗而拋棄該封包。

  • (2) 第二種情況是將 IPSec SH Transport 安裝於雙方的安全閘門(SG-A SG-B)上,安全閘門會依照原封包標頭計算 AH 標頭,再將原封包位址轉換到合法位址,如此也會變更到原 IP 封包標頭,同樣會造成接收端認證失敗的結果。

主講人:粘添壽博士

 

資訊與網路安全技術