虚拟专用网
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术 任务5:测试和检验IPSec
Show crypto isakmp policy Show crypto ipsec transform –set Show crypto ipsec sa Show crypto map Debug crypto ipsec Debug crypto isakmp Debug crypto key-exchange Debug crypto pki
任务1:为IKE和IPSec做准备 任务2:配置CA支持 任务3:配置IKE 任务4:配置IPSec 任务5:测试和校验IPSec
计算机科学与技术学院 计算机科学与技术学院
任务1:为IKE和IPSec做准备 信息安全技术
1、计划支持CA: 确定CA服务的类型、IP地址和管理者涉及的信息 2、制定IKE第一阶段策略 3、制定IPSec策略和IKE第二阶段策略 4、检测当前配置 5、确保未加密网络工作正常 6、确保访问列表和IPSec兼容 确保边界路由器和IPSec对等体路由器接口支持 IPSec数据流通过
IPSec的五个步骤
B B
1 2 IKE SA
A A
B B IKE Phase1 A B IKE Phase2 IKE IPSec SA IKE IKE SA
3 IPSec SA 4
IPSec IPSec Tunnel
5
IPSec
计算机科学与技术学院 计算机科学与技术学院
使用数字证书配置Site-to-Site IPSecVPN 信息安全技术
认证首部(AH) Yes Yes Yes Yes
封装安全载荷(ESP) Yes
ESP+AH Yes Yes Yes
Yes Yes
Yes Yes
计算机科学与技c协议的通信模式
Ipsec协议的通信模式有两种: 隧道模式(tunnel mode) 传输模式(transport mode)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术 举例
任务3:IKE配置
Router A (config) # crypto isakmp policy 110 Router A (config –isakmp) # authentication rsa –sig Router A (config –isakmp) # encryption des Router A (config –isakmp) # group 1 Router A (config –isakmp) # hash md5 Router A (config –isakmp) # lifetime 86400
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务2: 配置CA支持
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务3:IKE配置
1、用crypto isakmp enable命令使IKE可用 2、用crypto isakmp policy命令建立IKE策略 3、用crypto isakmp identity 命令设置IKE地址或 主机名身份 4、用show crypto isakamp policy和show cpypto isakmp sa命令测试和检验IKE配置
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
虚拟专用网
VPN :Virtual Private Network 为使用公用网络的远程用户提供同专用网络一样的连通 性。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
虚拟专用网的分类
VPN可以分为如下两种基本类型: Site-to-site VPN(LAN-to-LAN VPN)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
Ipsec协议组成
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
Ipsec协议组成
IP ( )
ESP AH IP
IP
AH
ESP
IP
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IPSec的功能和模式
功能/模式 访问控制 认证 消息完整性 重放保护 机密性
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IPsec的形成
1994年,Internet体系结构委员会(IAB)在报告 “Internet体系结构中的安全性”中指出: Internet 是个非常开放的网络,没有阻止敌意攻 击,因此,Internet 需要更好的安全措施,保证 认证、完整性与保密性。 1995年,Internet工程任务小组(IETF)推出了 第一代的IPsec协议。协议有五个相关的标准组 成,最主要的是rfc 1825, rfc 1826, rfc 1827。 1998年修订为(rfc 2401, rfc 2402, rfc 2406),同时 增加了rfc 2409 2005年修订为rfc4301, rfc4302, rfc4303, rfc4306
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
隧道模式
假设X和Y是两台主机,要用Ipsec隧道模式相互通信。这时它们能确 定相应的代理(如P1与P2),并在P1与P2之间建立逻辑加密信道。X将 传输内容发送到P1,信道将传输内容发送到P2,P2将传输内容转发 到Y。
计算机科学与技术学院 计算机科学与技术学院
• ISAKMP:定义建立、维护与删除SA信息的过程和格式。
Oakley:在Diffie-Hellman密钥交换协议基础上 做了几处变动。 使得它可以抵抗中间人攻击和 拥塞攻击。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IKE
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
A A
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务4: 配置IPSec
Cisco路由器上用来配置IPSec加密的一般步骤和命令如下: 1、用crypto ipsec transform –set 命令配置交换集 Cypto ipsec transform –set mine esp-des 2、用crypto ipsec security –association lifetime 配置SA的存活期 3、用access-list 命令配置加密访问列表 Access-list 101 permit ahp host 172.30.2.1 host 172.30.1.1 Access-list 101 permit esp host 172.30.2.1 host 172.30.1.1 Access-list 101 permit udp host 172.30.2.1 host 172.30.1.1 eq isakmp Access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 Access-list 110 deny ip any any
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务4: 配置IPSec
为IKE RSA 签名密钥配置IPSec参数所使用的步骤: 1、用crypto map命令配置加密映射 Crypto map mymap 110 ipsec-isakmp Set peer 172.30.2.1 Set transform-set mine Match address 110 2、用crypto map命令把加密映射应用到终端接口或起始接口 Interface Ethernet 0/1 Ip address 172.30.1.1. 255.255.255.0 Ip access-group 101 in Crypto map mymap
信息安全技术 隧道模式在技术上的实现
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
传输模式
计算机科学与技术学院 计算机科学与技术学院
信息安全技术隧道模式和传输模式的比较
X A
Y B
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AH(传输模式)
AH插在原始IP首部和IP有效载荷之间,使用HMAC 为IP数据提供完整性和数据源认证。
AH
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
ESP(传输模式)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
ESP(隧道模式)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
ESP
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
安全关联SA
SA: Security Association SA代表两对等实体或两主机之间的契约,并且描 述对等实体怎样使用IPSec安全服务来保护网络 流量。 SA包含两对等实体或两主机之间传输数据包所需 的一套安全参数。实际上SA定义了IPSec所使用 的安全策略。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
参考资料
美国思科公司,思科网络技术学院著. 网络安全 基础(思科网络技术学院教程), 北京:人民人民 邮电出版社,2005,4. Atul Kahate 著. 密码学与网络安全(第二版). 北京:清华大学出版社,2009,3.
计算机科学与技术学院 计算机科学与技术学院
2001
2001
信息安全技术 SA包含的参数:
SA
• 验证、加密算法,密钥长度和其他的加密参数,例如 密钥的存活期 • 网络通信流量说明书,例如所有IP流量或只有Telnet 会话 • AH/ESP 传输模式/隧道模式
SA数据库:
• VPN设备把所有的活动SA存入他们的本地数据库
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
Ipsec协议组成
Ipsec系统结构(rfc4301)
• Security Architecture for the Internet Protocol
Ipsec认证头部(rfc4302:)
• IP Authentication Header(AH) • AH协议提供认证、完整性和可选的抗重放攻击服务。Ipsec认证 头是IP分组的头。认证头直接插入IP头和任何分组内容之间,不 需要改变分组内容。安全性完全处于认证头内容中。
安全参数索引SPI: Security Parameter Index:
• 是一个32位的数字,用来识别每个建立的SA.
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IKE
IKE提供IPSec对等体验证、协商IPSec密钥和协 商IPSec安全关联。 IKE包括ISAKMP、Oakley安全协议。 ISAKMP:Internet Security Association and Key Management Protocol.
Ipsecf封装有效载荷安全协议(rfc4303)
• IP Encapsulating Security Payload (ESP) • ESP协议提供数据保密性。ESP需要定义新的头,插入IP分组中。
Internet密钥交换协议(rfc4306)
• Internet Key Exchange (IKEv2) Protocol
信息安全技术
虚拟专用网
主讲人:裴士辉 e_mail: shihui_pei@
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
问题的提出
假设公司要把两个分支网络互相连接,但这些分 支相距很远,一个分支在长春,一个分支在北京。 方案1: 用个人网络连接两个分支,即在两个办公室之间 布置光缆或租用别人的线路。 方案2: 利用Internet之类公用网络连接两个分支。
• 内部VPN: 远程办公室和分公司基于公共基础设施连 接到总部。 • 外部VPN: 客户、供应商、合作伙伴以及利益团体通 过公共基础设施连接企业内部网。
运程访问VPN: 远程用户安全地连接到企业网 络,例如移动用户和远距离工作者。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
VPN技术选项
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AH(隧道模式)
AH插在原始IP首部和IP有效载荷之前,前面在加上新的 IP头部。使用HMAC为IP数据提供完整性和数据源认证。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AH
计算机科学与技术学院 计算机科学与技术学院
信息安全技术 哈希区域
信息安全技术 任务5:测试和检验IPSec
Show crypto isakmp policy Show crypto ipsec transform –set Show crypto ipsec sa Show crypto map Debug crypto ipsec Debug crypto isakmp Debug crypto key-exchange Debug crypto pki
任务1:为IKE和IPSec做准备 任务2:配置CA支持 任务3:配置IKE 任务4:配置IPSec 任务5:测试和校验IPSec
计算机科学与技术学院 计算机科学与技术学院
任务1:为IKE和IPSec做准备 信息安全技术
1、计划支持CA: 确定CA服务的类型、IP地址和管理者涉及的信息 2、制定IKE第一阶段策略 3、制定IPSec策略和IKE第二阶段策略 4、检测当前配置 5、确保未加密网络工作正常 6、确保访问列表和IPSec兼容 确保边界路由器和IPSec对等体路由器接口支持 IPSec数据流通过
IPSec的五个步骤
B B
1 2 IKE SA
A A
B B IKE Phase1 A B IKE Phase2 IKE IPSec SA IKE IKE SA
3 IPSec SA 4
IPSec IPSec Tunnel
5
IPSec
计算机科学与技术学院 计算机科学与技术学院
使用数字证书配置Site-to-Site IPSecVPN 信息安全技术
认证首部(AH) Yes Yes Yes Yes
封装安全载荷(ESP) Yes
ESP+AH Yes Yes Yes
Yes Yes
Yes Yes
计算机科学与技c协议的通信模式
Ipsec协议的通信模式有两种: 隧道模式(tunnel mode) 传输模式(transport mode)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术 举例
任务3:IKE配置
Router A (config) # crypto isakmp policy 110 Router A (config –isakmp) # authentication rsa –sig Router A (config –isakmp) # encryption des Router A (config –isakmp) # group 1 Router A (config –isakmp) # hash md5 Router A (config –isakmp) # lifetime 86400
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务2: 配置CA支持
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务3:IKE配置
1、用crypto isakmp enable命令使IKE可用 2、用crypto isakmp policy命令建立IKE策略 3、用crypto isakmp identity 命令设置IKE地址或 主机名身份 4、用show crypto isakamp policy和show cpypto isakmp sa命令测试和检验IKE配置
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
虚拟专用网
VPN :Virtual Private Network 为使用公用网络的远程用户提供同专用网络一样的连通 性。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
虚拟专用网的分类
VPN可以分为如下两种基本类型: Site-to-site VPN(LAN-to-LAN VPN)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
Ipsec协议组成
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
Ipsec协议组成
IP ( )
ESP AH IP
IP
AH
ESP
IP
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IPSec的功能和模式
功能/模式 访问控制 认证 消息完整性 重放保护 机密性
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IPsec的形成
1994年,Internet体系结构委员会(IAB)在报告 “Internet体系结构中的安全性”中指出: Internet 是个非常开放的网络,没有阻止敌意攻 击,因此,Internet 需要更好的安全措施,保证 认证、完整性与保密性。 1995年,Internet工程任务小组(IETF)推出了 第一代的IPsec协议。协议有五个相关的标准组 成,最主要的是rfc 1825, rfc 1826, rfc 1827。 1998年修订为(rfc 2401, rfc 2402, rfc 2406),同时 增加了rfc 2409 2005年修订为rfc4301, rfc4302, rfc4303, rfc4306
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
隧道模式
假设X和Y是两台主机,要用Ipsec隧道模式相互通信。这时它们能确 定相应的代理(如P1与P2),并在P1与P2之间建立逻辑加密信道。X将 传输内容发送到P1,信道将传输内容发送到P2,P2将传输内容转发 到Y。
计算机科学与技术学院 计算机科学与技术学院
• ISAKMP:定义建立、维护与删除SA信息的过程和格式。
Oakley:在Diffie-Hellman密钥交换协议基础上 做了几处变动。 使得它可以抵抗中间人攻击和 拥塞攻击。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IKE
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
A A
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务4: 配置IPSec
Cisco路由器上用来配置IPSec加密的一般步骤和命令如下: 1、用crypto ipsec transform –set 命令配置交换集 Cypto ipsec transform –set mine esp-des 2、用crypto ipsec security –association lifetime 配置SA的存活期 3、用access-list 命令配置加密访问列表 Access-list 101 permit ahp host 172.30.2.1 host 172.30.1.1 Access-list 101 permit esp host 172.30.2.1 host 172.30.1.1 Access-list 101 permit udp host 172.30.2.1 host 172.30.1.1 eq isakmp Access-list 110 permit tcp 10.0.1.0 0.0.0.255 10.0.2.0 0.0.0.255 Access-list 110 deny ip any any
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
任务4: 配置IPSec
为IKE RSA 签名密钥配置IPSec参数所使用的步骤: 1、用crypto map命令配置加密映射 Crypto map mymap 110 ipsec-isakmp Set peer 172.30.2.1 Set transform-set mine Match address 110 2、用crypto map命令把加密映射应用到终端接口或起始接口 Interface Ethernet 0/1 Ip address 172.30.1.1. 255.255.255.0 Ip access-group 101 in Crypto map mymap
信息安全技术 隧道模式在技术上的实现
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
传输模式
计算机科学与技术学院 计算机科学与技术学院
信息安全技术隧道模式和传输模式的比较
X A
Y B
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AH(传输模式)
AH插在原始IP首部和IP有效载荷之间,使用HMAC 为IP数据提供完整性和数据源认证。
AH
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
ESP(传输模式)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
ESP(隧道模式)
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
ESP
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
安全关联SA
SA: Security Association SA代表两对等实体或两主机之间的契约,并且描 述对等实体怎样使用IPSec安全服务来保护网络 流量。 SA包含两对等实体或两主机之间传输数据包所需 的一套安全参数。实际上SA定义了IPSec所使用 的安全策略。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
参考资料
美国思科公司,思科网络技术学院著. 网络安全 基础(思科网络技术学院教程), 北京:人民人民 邮电出版社,2005,4. Atul Kahate 著. 密码学与网络安全(第二版). 北京:清华大学出版社,2009,3.
计算机科学与技术学院 计算机科学与技术学院
2001
2001
信息安全技术 SA包含的参数:
SA
• 验证、加密算法,密钥长度和其他的加密参数,例如 密钥的存活期 • 网络通信流量说明书,例如所有IP流量或只有Telnet 会话 • AH/ESP 传输模式/隧道模式
SA数据库:
• VPN设备把所有的活动SA存入他们的本地数据库
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
Ipsec协议组成
Ipsec系统结构(rfc4301)
• Security Architecture for the Internet Protocol
Ipsec认证头部(rfc4302:)
• IP Authentication Header(AH) • AH协议提供认证、完整性和可选的抗重放攻击服务。Ipsec认证 头是IP分组的头。认证头直接插入IP头和任何分组内容之间,不 需要改变分组内容。安全性完全处于认证头内容中。
安全参数索引SPI: Security Parameter Index:
• 是一个32位的数字,用来识别每个建立的SA.
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
IKE
IKE提供IPSec对等体验证、协商IPSec密钥和协 商IPSec安全关联。 IKE包括ISAKMP、Oakley安全协议。 ISAKMP:Internet Security Association and Key Management Protocol.
Ipsecf封装有效载荷安全协议(rfc4303)
• IP Encapsulating Security Payload (ESP) • ESP协议提供数据保密性。ESP需要定义新的头,插入IP分组中。
Internet密钥交换协议(rfc4306)
• Internet Key Exchange (IKEv2) Protocol
信息安全技术
虚拟专用网
主讲人:裴士辉 e_mail: shihui_pei@
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
问题的提出
假设公司要把两个分支网络互相连接,但这些分 支相距很远,一个分支在长春,一个分支在北京。 方案1: 用个人网络连接两个分支,即在两个办公室之间 布置光缆或租用别人的线路。 方案2: 利用Internet之类公用网络连接两个分支。
• 内部VPN: 远程办公室和分公司基于公共基础设施连 接到总部。 • 外部VPN: 客户、供应商、合作伙伴以及利益团体通 过公共基础设施连接企业内部网。
运程访问VPN: 远程用户安全地连接到企业网 络,例如移动用户和远距离工作者。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
VPN技术选项
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AH(隧道模式)
AH插在原始IP首部和IP有效载荷之前,前面在加上新的 IP头部。使用HMAC为IP数据提供完整性和数据源认证。
计算机科学与技术学院 计算机科学与技术学院
信息安全技术
AH
计算机科学与技术学院 计算机科学与技术学院
信息安全技术 哈希区域