IPSEC体系结构
IPSECvpn解释
IPsecVPNipsec 是iP security 的缩写,即IP 安全性协议,他是为IP 网络提供安全性服务的一个协议的集合,是一种开放标准的框架结构,工作在OSI 七层的网络层,它不是一个单独的协议,它可以不使用附加的任何安全行为就可以为用户提供任何高于网络层的TCP/IP 应用程序和数据的安全。
主要提供如下的保护功能:1. 加密用户数据,实现数据的私密性2. 验证IP 报文的完整性,使其在传输的路上不被非法篡改3. 防止如重放攻击等行为4. 即可以确保计算机到计算机的安全,也可以确保两个通信场点(IP 子网到子网)的安全5. 使用网络设备特点的安全性算法和秘钥交换的功能,以加强IP 通信的安全性需求。
6. 它是一种VPN 的实施方式。
ipsec 不是一个单独的协议,它给出了应用于IP 层上网络数据安全的一整套体系结构。
该体系结构包括认证头协议(AH )•封装安全负载协议(ESP),密钥管理协议(IKE)和用于网络认证及加密的一些算法等。
ipsec 规定了如何在对等体之间选择安全协议,确定安全算法和秘钥交换,向上提供了访问控制,数据源认证,数据加密等网络安全服务。
关于IPSEC 的传输模式与隧道模式ipsec 的传输模式:一般为OSI 传输层,以及更上层提供安全保障。
传输模式一般用于主机到主机的IPsec ,或者是远程拨号型VPN 的ipsec ,在传输模式中,原始的IP 头部没有得到保护,因为ipsec 的头部插在原始IP 头部的后面,所以原始的IP 头部将始终暴漏在外,而传输层以及更上层的数据可以被传输模式所保护。
注意:当使用传输模式的ipsec 在穿越非安全的网络时,除了原始的IP 地址以外,在数据包中的其他部分都是安全的。
ipsec 的隧道模式:它将包括原始IP 头部在内的整个数据包都保护起来,它将产生一个新的隧道端点,然后使用这个隧道端点的地址来形成一个新的IP 头部,在非安全网络中,只对这个新的IP头部可见,对原始IP头部和数据包都不可见。
IPSec基础-IPSec服务
IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构,包括网络认证协议Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。
IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。
一、安全特性IPSec的安全特性主要有:·不可否认性"不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。
"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。
由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。
但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。
·反重播性"反重播"确保每个IP包的唯一性,保证信息万一被截取复制后,不能再被重新利用、重新传输回目的地址。
该特性可以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。
·数据完整性防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。
IPSec 利用Hash函数为每个数据包产生一个加密检查和,接收方在打开包前先计算检查和,若包遭篡改导致检查和不相符,数据包即被丢弃。
·数据可靠性(加密)在传输前,对数据进行加密,可以保证在传输过程中,即使数据包遭截取,信息也无法被读。
该特性在IPSec中为可选项,与IPSec策略的具体设置相关。
网络安全协议考试题库完整
. . . . 学习参考填空题1.1.网络安全的定义是指网络信息系统的安全,其内涵是网络安全体系结构中的安全服网络安全的定义是指网络信息系统的安全,其内涵是网络安全体系结构中的安全服务。
2.2.安全协议的分类认证协议、密钥管理协议、不可否认协议、信息安全交换协议。
安全协议的分类认证协议、密钥管理协议、不可否认协议、信息安全交换协议。
3.3.安全协议的安全性质认证性、机密性、完整性和不可否认性。
安全协议的安全性质认证性、机密性、完整性和不可否认性。
4.IP 协议是网络层使用的最主要的通信协议,协议是网络层使用的最主要的通信协议,以下是以下是IP 数据包的格式,数据包的格式,请填入表格中请填入表格中缺少的元素5.5.对点协议(对点协议(对点协议(ppp ppp ppp)是为同等单元之间传输数据包而设计的链路层协议。
)是为同等单元之间传输数据包而设计的链路层协议。
6.PPP 协议的目的主要是用来通过拨号或专线方式建立点对点连接发送数据,使其成为各种主机、网桥和路由器之间简单连接的一种共同的解决方案。
7.7.连接过程中的主要状态填入下图连接过程中的主要状态填入下图1建立建立 2 2认证认证 3 3网络网络 4 4 4 打开打开打开 5 5终止终止 6 6静止8.IPsec 的设计目标是为IPv4和IPv6提供可互操作的,提供可互操作的,高质量的,高质量的,高质量的,基于密码学的安全基于密码学的安全性传输IPsec 协议【协议【AH AH 和ESP ESP】支持的工作模式有传输模式和隧道模式。
】支持的工作模式有传输模式和隧道模式。
9.IPsec 传输模式的一个缺点是内网中的各个主机只能使用公有IP 地址,而不能使用私有IP 地址。
10.IPsec 隧道模式的一个优点可以保护子网内部的拓扑结构。
隧道模式的一个优点可以保护子网内部的拓扑结构。
11.IPsec 主要由AH 协议、协议、ESP ESP 协议、负责密钥管理的IKE 协议组成。
IPSec简介
1IPSec的定义IPSec(Internet Protocol Security)即Intenet安全协议,是IETF提供Internet 安全通信的一系列规范,它提供私有信息通过公用网的安全保障。
IPSec适用于目前的版本IPv4和下一代IPv6。
IPSec规范相当复杂,规范中包含大量的文档。
由于IPSec在TCP/IP协议的核心层——IP层实现,因此可以有效地保护各种上层协议,并为各种安全服务提供一个统一的平台。
IPSec 也是被下一代Internet 所采用的网络安全协议。
IPSec 协议是现在VPN开发中使用的最广泛的一种协议,它有可能在将来成为IPVPN的标准。
IPSec的基本目的是把密码学的安全机制引入IP协议,通过使用现代密码学方法支持保密和认证服务,使用户能有选择地使用,并得到所期望的安全服务。
IPSec是随着IPv6的制定而产生的,鉴于IPv4的应用仍然很广泛,所以后来在IPSec的制定中也增加了对IPv4的支持。
IPSec在IPv6中是必须支持的。
2IPSec协议体系结构IPSec将几种安全技术结合形成一个完整的安全体系,它包括安全协议部分和密钥协商部分。
(1)安全关联和安全策略:安全关联(Security Association,SA)是构成IPSec 的基础,是两个通信实体经协商建立起来的一种协定,它们决定了用来保护数据包安全的安全协议(AH协议或者ESP协议)、转码方式、密钥及密钥的有效存在时间等。
(2)IPSec 协议的运行模式:IPSec协议的运行模式有两种,IPSec隧道模式及IPSec 传输模式。
隧道模式的特点是数据包最终目的地不是安全终点。
通常情况下,只要IPSec 双方有一方是安全网关或路由器,就必须使用隧道模式。
传输模式下,IPSec 主要对上层协议即IP包的载荷进行封装保护,通常情况下,传输模式只用于两台主机之间的安全通信。
(3)AH(Authentication Header,认证头)协议:设计AH认证协议的目的是用来增加IP数据报的安全性。
IPSECvpn解释
IPsecVPNipsec是iP security的缩写,即IP安全性协议,他是为IP网络提供安全性服务的一个协议的集合,是一种开放标准的框架结构,工作在OSI七层的网络层,它不是一个单独的协议,它可以不使用附加的任何安全行为就可以为用户提供任何高于网络层的TCP/IP应用程序和数据的安全。
主要提供如下的保护功能:1。
加密用户数据,实现数据的私密性2。
验证IP报文的完整性,使其在传输的路上不被非法篡改3。
防止如重放攻击等行为4。
即可以确保计算机到计算机的安全,也可以确保两个通信场点(IP子网到子网)的安全5. 使用网络设备特点的安全性算法和秘钥交换的功能,以加强IP通信的安全性需求。
6. 它是一种VPN的实施方式。
ipsec不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。
该体系结构包括认证头协议(AH)。
封装安全负载协议(ESP),密钥管理协议(IKE)和用于网络认证及加密的一些算法等.ipsec规定了如何在对等体之间选择安全协议,确定安全算法和秘钥交换,向上提供了访问控制,数据源认证,数据加密等网络安全服务。
关于IPSEC的传输模式与隧道模式ipsec的传输模式:一般为OSI传输层,以及更上层提供安全保障。
传输模式一般用于主机到主机的IPsec,或者是远程拨号型VPN的ipsec,在传输模式中,原始的IP头部没有得到保护,因为ipsec的头部插在原始IP头部的后面,所以原始的IP头部将始终暴漏在外,而传输层以及更上层的数据可以被传输模式所保护.注意:当使用传输模式的ipsec在穿越非安全的网络时,除了原始的IP地址以外,在数据包中的其他部分都是安全的。
ipsec的隧道模式:它将包括原始IP头部在内的整个数据包都保护起来,它将产生一个新的隧道端点,然后使用这个隧道端点的地址来形成一个新的IP头部,在非安全网络中,只对这个新的IP头部可见,对原始IP头部和数据包都不可见。
在这样的网络环境中,就会在路由器VPNA 和VPNB的外部接口产生一个隧道端点,而他们的接口地址正式这个隧道端点的地址。
IPSEC体系结构
1.1IPSec体系结构IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。
IPSec工作在IP层,为IP 层及其上层协议提供保护。
IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。
IPSec独立于算法,并允许用户(或系统管理员)控制所提供的安全服务粒度。
比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。
IPSec在传输层之下,对应用程序和终端用户来说是透明的。
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响。
1.1.1IPSec的组成IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中。
图2.3显示了IPSec的体系结构、组件及各组件间的相互关系。
图 2.3 IPSec的体系结构AH(认证头)和ESP(封装安全载荷):是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务。
两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以确保数据的安全,其中包括算法、密钥大小、算法程序以及算法专用的任何信息。
IKE(Internet 密钥交换):IKE利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。
IPSec详解
Internet 所提供的廉价专线服务 – IPSec技术一、 前言以往一般企业在建立企业分支机构之间和分支机构与总部间的通信时,只能够选择电信公司的DDN专线或ATM/帧中继虚电路服务。
这些都是昂贵的通信服务,会大大增加企业的运营成本。
不过,随着Internet的出现和普及,企业内部的通信有了很多不同的选择;在价格方面也有显著的节省。
Internet的确提供了前所未有的覆盖范围,但同时也制造了严峻的安全性问题。
企业理所当然地希望能利用Internet来建立他们分支机构之间和分支机构与总部间的连接,但是首先要解决的是在IP公网上的安全问题;而IPSec技术就是建立IP专线网络的重要环节。
二、 IPsec体系结构IPSec是由一系列RFC标准协议所组成的体系,用以提供访问控制、数据起源的验证、无连接数据的完整性验证、数据内容的机密性、抗重播保护以及有限的数据流机密性保证等服务。
IPSec是在网络层实现数据加密和验证,提供端到端的网络安全方案。
由于加密后的数据包仍然是一般的IP数据包,所以这种结构完全能够很好地应用在Internet上。
IPSec的一系列RFC标准协议除RFC2401外,还包括RFC2402(验证头,AH)、RFC2406(封装安全载荷,ESP)、RFC2407(用于Internet安全联盟和密钥管理协议ISAKMP的Internet IP安全解释域)、RFC2408(ISAKMP)、RFC2409(Internet密钥交换,IKE)、RFC2411(IP安全文档指南)、RFC2412(OAKLEY密钥确定协议)等。
IPSec组件包括安全协议验证头(AH)和封装安全载荷(ESP)、安全关联(SA)、密钥交换(IKE)及加密和验证算法等。
1. 验证头(AH)验证头(Authentication Header,AH)是一个安全协议头(如图1所示),为IP 包提供无连接的完整性验证、数据源认证和选择性抗重播服务,但没有提供机密性安全服务,可在传输模式和隧道模式下使用。
IPSec中ESP、AH协议的区别
文章一:IPSec中安全协议ESP、AH精解ESP 的协议号为50AH 协议号为51一、ESP详解(一)ESP提供:confidentiality,data integrity,optional data origin authentication,anti-replay services(二)ESP结构为:1、Security Parameter Index(SPI)2、Sequence Number3、Payload Data(Variable)4、Padding(0-255)Bytes5、Pad length6、Report Handler7、Authentication Data(varaible)SPI:1、destination address2、protocol3、identify the security association(SA)SPI number是在Internet Key Exchange(IKE)协商过程中,可以任意指定的。
利用这个number可以在security association database(SADB)中查询相关信息。
Sequence number:提供anti-replay services.这点在AH中也是同样的原理是通过increasing序号Payload data:被保护的数据,加密算法需要一个initialization vector(IV),注意IV需要认证,但是不是加密的,DES使用前8个字节做为IV,3DES、AES也使用8字节的IV.Padding Bytes:根据加密算法不同,补足的字节也不同。
二、AH详解(一)AH提供:connectionless integrity,data authentication,optional replay protection,但是不提供confidentiality(加密)(二)AH的包结构:1、Next header2、Payload Length3、Reserved4、Security Parameter Index(SPI)5、Sequence Number6、Authentication Data(Variable)三、ESP、AH对比1、AH没有ESP的加密特性2、AH的authtication是对整个数据包做出的,包括IP头部分,因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum.所以这些值在进行authtication前要全部清零。
IPSec协议PPT课件
完整性、真实性〕的秘密通信的开放式标准框架 IPSec实现了网络层的加密和认证,在网络体系结构
中提供了一种端到端的平安解决方案 IPSec加密的数据包可以通过任何IP网络,而不需要
4.3.2 IPSec的平安体系结构
IPSec协议主要由Internet密钥交换协议〔IKE〕、认证头〔AH〕及 封装平安载荷〔ESP〕等3个子协议组成,还涉及认证和加密算法 以及平安关联SA等内容,关系图如下:
体系结构
封装安全载荷(ESP)
认证头(AH)
加密算法
认证算法
解释域DOI
密钥管理
4.3.3 IPSec效劳
4.3.5 认证头〔AH〕协议
❖ 传输模式中,AH仅仅应用于主机中,并且除了对选定的 IP头域之外还对上层协议提供保护 ❖ 该模式通过传输平安关联提供
❖ 隧道模式中,AH既可以用于主机,也可以用于平安网关 ❖ 当在平安网关中实现AH,用于保护传输的通信,必须使 用隧道协议 ❖ 隧道模式中,AH保护的是全部的内部IP数据包,包括全 部的内部IP头 ❖ 该模式通过隧道平安关联提供
完整性校验值的计算 认证数据域包含完整性校验值,使用消息认证码MAC 算法计算 IPSec至少支持HMAC-MD5-96和HMAC-SHA-1-96 计算完整的HMAC值,只使用前96bit〔认证数据字段 的默认长度〕
MAC根据如下局部进行计算 IP报头 AH报头不包括认证数据域 整个上层协议数据
4.3.5 认证头〔AH〕协议
采用ESP传输模式,对IP数据包的上层信息提 供加密和认证双重保护
一种端到端的平安,IPSec在端点执行加密认 证、处理,在平安通道上传输,主机必须配
IPSEC体系结构
1.1IPSec体系结构IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。
IPSec工作在IP层,为IP 层及其上层协议提供保护。
IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。
IPSec独立于算法,并允许用户(或系统管理员)控制所提供的安全服务粒度。
比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。
IPSec在传输层之下,对应用程序和终端用户来说是透明的。
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响。
1.1.1IPSec的组成IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中。
图2.3显示了IPSec的体系结构、组件及各组件间的相互关系。
图 2.3 IPSec的体系结构AH(认证头)和ESP(封装安全载荷):是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务。
两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以确保数据的安全,其中包括算法、密钥大小、算法程序以及算法专用的任何信息。
IKE(Internet 密钥交换):IKE利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。
IPSEC 配置详解
敏感流量由访问列表所定义,并且通过crypto map(保密图)集被应用到接口上。
配置
1、为密钥管理配置IKE
2、(可选)定义SA的全局生命期
(global)crypto ipsec security-association lifetime seconds seconds
(global)crypto ipsec security-association lifetime killobytes kilobytes
(可选)选择IP压缩变换
--comp-lzs
(2)(可选)选择变换集的模式
(crypto-transform)mode {tunnel | transport}
5、使用IPSec策略定义保密映射
保密图(crypto map)连接了保密访问列表,确定了远程对等端、本地地址、变换集和协商方法。
变换集必须和远程对等端上使用的相同
--(可选)如果SA生命期和全局默认不同,那么定义它:
(crypto-map)set security-association lifetime seconds seconds
(crypto-map)set security-association lifetime kilobytes kilobytes
IPSEC 配置详解
IPSec 使用加密、数据完整性、源发鉴别以及拒绝重演分组来保护和认证网络层对等端之间的IP分组
IPSec对于构建内因网、外因网以及远程用户接入VPN来说非常有用处
IPSec支持以下标准
--Internet协议的安全体系结构
--IKE(Internet密钥交换)
(crypto-map)set security-association lifetime kilobytes kilobytes
IPSec_VPN实验
IPSec VPN 典型配置实验【实验目的】1、理解IPSec (IP Security )协议在网络安全中的作用。
2、理解IP 层数据加密与数据源验证的原理。
3、掌握实现IPSec VPN 的典型配置方法。
【实验内容】1、 按实验一中图1-1搭建本地配置环境,通过Console 接口对A 和B 进行IPSec VPN 配置。
配置要求为:安全协议采用ESP 协议,加密算法采用DES ,验证算法采用SHA1-HMAC-96。
2、 按图2-1拓扑结构组网,在A 和B 之间建立一个安全隧道,对PC A 代表的子网(10.1.1.x )与PC B 代表的子网(10.1.2.x )之间的数据流进行安全保护。
3、 从子网A 向子网B 发送数据包,对配置结果进行验证。
【实验环境】1、 H3C SecPath 硬件防火墙两台。
2、 PC 个人计算机两台。
3、 Console 口配置电缆两根。
4、 RJ-45直通(或交叉)网线三根。
【实验参考步骤】1、按图2-1拓扑结构组网。
2、按实验一相应步骤建立本地配置环境并进入系统视图。
3、配置IPSec VPN第一步:配置 A 防火墙A 防火墙B Ethernet1/0 208.38.163.1 Ethernet1/0 208.38.162.1 Ethernet0/0 22.1.2.1 Ethernet0/0 22.1.1.1 PC A : 22.1.1.2 PC B : 22.1.2.2 图2-1 IPSec VPN 组网图(1)定义ethernet 0/0(LAN口)为内部安全区域接口。
[H3C] firewall zone trust[H3C -zone-trust] add interface ethernet 0/0[H3C]quit定义ethernet 1/0(W AN口)为外部广域网接口。
[H3C] firewall zone untrust[H3C -zone-untrust] add interface ethernet 1/0[H3C]quit(2)配置一个访问控制列表,定义由子网10.1.1.x去子网10.1.2.x的数据流。
第10章 IPSec
问题,而只是为了能够使网络方便地进行互联
互通,因此IP协议从本质上就是不安全的。仅
仅依靠IP头部的校验和字段无法保证IP包的安
全,修改IP包并重新正确计算校验和是很容易
的。如果不采取安全措施,IP通信会暴露在多
种2019威/10/胁24 之下,下面网络安举全 几个简单李的例子。
3
章兵
(1) 窃听
一般情况下IP通信是明文形式的,第三方可 以很容易地窃听到IP数据包并提取出其中的应 用层数据。“窃听”虽然不破坏数据,却造成 了通信内容外泄,甚至危及敏感数据的安全。
2410 NULL加密算法及在IPSec中的应用
2411 IPSec文档路线图
2412 OAKLE网Y络协安议全
李
7
章兵
10.1.2 IPSec的功能
IPSec具有以下功能: (1) 作为一个隧道协议实现了VPN通信 IPSec作为第三层的隧道协议,可以在IP层 上创建一个安全的隧道,使两个异地的私有网 络连接起来,或者使公网上的计算机可以访问 远程的企业私有网络。这主要是通过隧道模式 实现的,有关传输模式和隧道模式参见10.1.6 小节。
2019/10/24
网络安全
李
8
章兵
(2) 保证数据来源可靠
在IPSec通信之前双方要先用IKE认证对方身份并协 商密钥,只有IKE协商成功之后才能通信。由于第三 方不可能知道验证和加密的算法以及相关密钥,因 此无法冒充发送方,即使冒充,也会被接收方检测 出来。
(3) 保证数据完整性
IPSec通过验证算法功能保证数据从发送方到接收 方的传送过程中的任何数据篡改和丢失都可以被检 测。
表10-1列出了与IPSec相关的RFC,如果想进 一步了解IPSec的某些内容,请参考相关的网 址/rfcs。
IPSec协议
• 安全关联SA通过一个三元组(安全参数索引 SPI、目的IP地址和安全协议AH或ESP)来唯 一标识。 • 实现IPsec必须维护这两个数据库:
– 安全策略数据库(SPD):对所有出/入业务应采 取的安全策略 – 安全关联数据库(SAD):为进入和外出包处理维 持一个活动的SA列表
安全关联数据库
IP安全协议IPSec
• 最初设计TCP/IP协议族时,设计者根本没 有考虑协议的安全,出现了各种各样的安 全危机; • Internet工程任务组IETF建立了一个Internet 安全协议工作组(简称IETF IPSec工作组), 负责IP安全协议和密钥管理机制的制定; • 于1998年制定了一组基于密码学的安全的 开放网络安全协议体系,总称为IP安全协 议(IP security protocol,IPSec);
序列号
载荷数据(变长)
填充项 填充项长度 认证数据 下一个头
保 密 性 覆 盖 范 围
认 证 覆 盖 范 围
1. ESP数据包格式
IPsec 数据报 鉴别的部分 加密的部分 IPsec 首部 ESP 首部 运输层报文段 或 IP 数据报 ESP 尾部 ESP MAC
协议 = 50
SPI 序号 填充 填充长度 下一个首部
AH报头结构
0 下一个头 8 载荷长度
安全参数索引
16 保留
31
序列号
认证数据
1.AH认证包头格式
(1)下一个头(Next Header):8位,标识下一个使用IP协议号的报头类 型,其取值在RFC1700中定义。
IP 4 TCP 6 EGP 8 IGP 9 UDP 17 IPV6 41 ESP 50 AH 51 OSPF
二、IPSec安全关联
配置IPSec
选择合适加密算法和认证方式
1 2 3
选择加密算法
根据安全需求和性能要求,选择合适的加密算法 ,如AES、3DES等。
选择认证方式
确定使用哪种认证方式,如HMAC-SHA1、 HMAC-MD5等,以确保数据的完整性和真实性 。
考虑密钥管理
确定如何管理和分发密钥,例如使用预共享密钥 (PSK)或公钥基础设施(PKI)。
03
配置IKE协商安全参数
搭建IKE协商环境
确定IKE协商的双方
通常包括IPSec通信的双方设备,如路由器或防火墙 。
确保网络连通性
确保双方设备之间网络可达,可以通过ping等命令 测试网络连通性。
配置设备接口
为IKE协商配置相应的接口,并确保接口处于UP状态 。
配置IKE策略及参数设置
设置据库(SAD)
03
存储安全关联信息,用于处理实际的数据加密和认证操作。
IPSec协议族
认证头(AH)
提供数据源认证、数据完整性和防重放保护,但不提供加密服务 。
封装安全载荷(ESP)
提供加密和可选的认证服务,用于保护数据的机密性和完整性。
密钥管理协议(IKE)
用于协商和管理IPSec通信双方之间的安全关联和密钥信息。
定义IPSec隧道的源地址 、目的地址、传输协议等 参数。
ABCD
配置IKE(Internet Key Exchange)参数,包括 IKE版本、预共享密钥、 DH(Diffie-Hellman) 组等。
配置NAT(Network Address Translation) 规则,确保IPSec数据包 可以正确穿越NAT设备。
配置IPSec
contents
目录
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.1IPSec体系结构IP安全(IP Security)体系结构,简称IPSec,是IETF IPSec工作组于1998年制定的一组基于密码学的安全的开放网络安全协议。
IPSec工作在IP层,为IP 层及其上层协议提供保护。
IPSec提供访问控制、无连接的完整性、数据来源验证、防重放保护、保密性、自动密钥管理等安全服务。
IPSec独立于算法,并允许用户(或系统管理员)控制所提供的安全服务粒度。
比如可以在两台安全网关之间创建一条承载所有流量的加密隧道,也可以在穿越这些安全网关的每对主机之间的每条TCP连接间建立独立的加密隧道。
IPSec在传输层之下,对应用程序和终端用户来说是透明的。
当在路由器或防火墙上安装IPSec时,无需更改用户或服务器系统中的软件设置。
即使在终端系统中执行IPSec,应用程序之类的上层软件也不会受到影响。
1.1.1IPSec的组成IPSec是因特网工程任务组(IETF)定义的一种协议套件,由一系列协议组成,验证头(AH)、封装安全载荷(ESP)、Internet安全关联和密钥管理协议ISAKMP的Internet IP安全解释域(DOI)、ISAKMP、Internet密钥交换(IKE)、IP安全文档指南、OAKLEY密钥确定协议等,它们分别发布在RFC2401~RFC2412的相关文档中。
图2.3显示了IPSec的体系结构、组件及各组件间的相互关系。
图 2.3 IPSec的体系结构AH(认证头)和ESP(封装安全载荷):是IPSec体系中的主体,其中定义了协议的载荷头格式以及它们所能提供的服务,另外还定义了数据报的处理规则,正是这两个安全协议为数据报提供了网络层的安全服务。
两个协议在处理数据报文时都需要根据确定的数据变换算法来对数据进行转换,以确保数据的安全,其中包括算法、密钥大小、算法程序以及算法专用的任何信息。
IKE(Internet 密钥交换):IKE利用ISAKMP语言来定义密钥交换,是对安全服务进行协商的手段。
IKE交换的最终结果是一个通过验证的密钥以及建立在通信双方同意基础上的安全服务——亦即所谓的“IPSec安全关联”。
SA(安全关联):一套专门将安全服务/密钥和需要保护的通信数据联系起来的方案。
它保证了IPSec数据报封装及提取的正确性,同时将远程通信实体和要求交换密钥的IPSec数据传输联系起来。
即SA解决的是如何保护通信数据、保护什么样的通信数据以及由谁来实行保护的问题。
策略:策略是一个非常重要的但又尚未成为标准的组件,它决定两个实体之间是否能够通信;如果允许通信,又采用什么样的数据处理算法。
如果策略定义不当,可能导致双方不能正常通信。
与策略有关的问题分别是表示与实施。
“表示”负责策略的定义、存储和获取,“实施”强调的则是策略在实际通信中的应用。
1.1.2IPSec的工作原理设计IPSec是为了给IPv4和IPv6数据提供高质量的、可互操作的、基于密码学的安全性。
IPSec通过使用两种通信安全协议来达到这些目标:认证头(AH)和封装安全载荷(ESP),以及像Internet密钥交换(IKE)协议这样的密钥管理过程和协议来达到这些目标。
IP AH协议提供数据源认证,无连接的完整性,以及一个可选的抗重放服务。
ESP协议提供数据保密性,有限的数据流保密性,数据源认证,无连接的完整性以及抗重放服务。
对于AH和ESP都有两种操作模式:传输模式和隧道模式。
IKE协议用于协商AH和ESP所使用的密码算法,并将算法所需要的密钥放在合适的位置。
IPSec所使用的协议被设计成与算法无关的。
算法的选择在安全策略数据库(SPD)中指定。
IPSec允许系统或网络的用户和管理员控制安全服务提供的粒度。
通过使用安全关联(SA),IPSec能够区分对不同数据流提供的安全服务。
IPSec本身是一个开放的体系,随着网络技术的进步和新的加密、验证算法的出现,通过不断加入新的安全服务和特性,IPSec就可以满足未来对于信息安全的需要。
随着互联网络技术的不断进步,IPSec作为网络层安全协议,也是在不断地改进和增加新的功能。
其实在IPSec的框架设计时就考虑过系统扩展问题。
例如在ESP和AH的文档中定义有协议、报头的格式以及它们提供的服务,还定义有数据报的处理规则,但是没有指定用来实现这些能力的具体数据处理算法。
AH 默认的、强制实施的加密MAC是HMAC-MD5和HMAC-SHA,在实施方案中其它的加密算法DES-CBC、CAST-CBC以及3DES-CBC等都可以作为加密器使用。
1.1.3PSec的模式IPSec协议(包括AH和ESP)既可以用来保护一个完整的IP载荷,也可以用来保护某个IP载荷的上层协议。
这两个方面的保护分别由IPSec两种不同的“模式”来提供:传输模式和隧道模式。
IPSec、UDP和ICMP通信。
IPIPSec头。
IP报头,IKE协议IKE 协议。
1.1.4IPSec的实现方式IPSec可以在主机、路由器或防火墙(创建一个安全网关)中同时实施和部署。
用户可以根据对安全服务的需要决定究竟在什么地方实施,IPSec的实现方式可分为集成方式、BITS方式、BITW方式三种。
✧集成方式:把IPSec集成到IP协议的原始实现中,这需要处理IP源代码,适用于在主机和安全网关中实现。
✧“堆栈中的块(BITS)”方式:把IPSec作为一个“锲子”插在原来的IP协议栈和链路层之间。
这不需要处理IP源代码,适用于对原有系统的升级改造。
这种方法通常用在主机方式中。
✧“线缆中的块(BITW)”方式:这是本文采用实现IPSec的方式,它将IPSec的实现在一个设备中进行,该设备直接接入路由器或主机设备。
当用于支持一台主机时,与BITS实现非常相似,但在支持路由器或防火墙时,它必须起到一台安全网关的作用。
1.1.5IPSec协议的处理IPSec处理分两类:外出处理和进入处理。
1.1.5.1 外出处理在外出处理的过程中,数据包从传输层流进IP层。
IP层首先取出IP头的有关参数,检索SPDB数据库,判断应为这个包提供那些安全服务。
输入SPDB的是传送报头中的源地址和目的地址的“选择符”。
SPDB输出的是根据“选择符”查询的策略结果,有可能出现以下几种情况:丢弃这个包。
此时包不会得以处理,只是简单地丢掉。
绕过安全服务。
在这种情况下,这个IP包不作任何处理,按照一个普通的IP包发送出去。
应用安全服务。
在这种情况下,需要继续进行下面的处理。
如果SPDB的策略输出中指明该数据包需要安全保护,那么接着就是查询SADB 来验证与该连接相关联的SA是否已经建立,查询的结果可能是下面的两种情况之一:如果相应的SA已存在,对SADB的查询就会返回指向该SA的指针;如果查询不到相应的SA,说明该数据包所属的安全通信连接尚未建立,就会调用IKE进行协商,将所需要的SA建立起来。
如果所需要的SA已经存在,那么SPDB结构中包含指向SA或SA集束的一个指针(具体由策略决定)。
如果SPDB的查询输出规定必须将IPSec应用于数据包,那么在SA成功创建完成之前,数据包是不被允许传送出去的。
对于从SADB中查询得到的SA还必须进行处理,处理过程如下:1.如果SA的软生存期已满,就调用IKE建立一个新的SA。
2.如果SA的硬生存期已满,就将这个SA删除。
3.如果序列号溢出,就调用IKE来协商一个新的SA。
SA处理完成后,IPSec的下一步处理是添加适当的AH或ESP报头,开始对数据包进行处理。
其中涉及到对负载数据的加密、计算校验等在下面的内容中会给予详细的介绍。
SA中包含所有必要的信息,并已排好顺序,使IPSec报头能够按正确的顺序加以构建。
在完成IPSec的报头构建后,将生成的数据报传送给原始IP层进行处理,然后进行数据报的发送。
1.1.5.2 进入处理进入处理中,在收到IP包后,假如包内根本没有包含IPSec报头,那么IPSec 就会查阅SPDB,并根据为之提供的安全服务判断该如何对这个包进行处理。
因为如果特定通信要求IPSec安全保护,任何不能与IPSec保护的那个通信的SPDB定义相匹配的进入包就应该被丢弃。
它会用“选择符”字段来检索SPDB数据库。
策略的输出可能是以下三种情况:丢弃、绕过或应用。
如果策略的输出是丢弃,那么数据包就会被放弃;如果是应用,但相应的SA没有建立,包同样会被丢弃;否则就将包传递给下一层作进一步的处理。
如果IP包中包含了IPSec报头,就会由IPSec层对这个包进行处理。
IPSec从数据包中提取出SPI、源地址和目的地址组织成<SPI,目的地址,协议>三元组对SADB数据库进行检索(另外还可以加上源地址,具体由实施方案决定)。
协议值要么是AH,要么是ESP。
根据这个协议值,这个包的处理要么由AH协议来处理,要么由ESP来处理。
在协议处理前,先对重放攻击和SA的生存期进行检查,把重放的报文或SA生存期已到的包简单丢弃而不作任何处理。
协议载荷处理完成之后,需要查询SPDB对载荷进行校验,“选择符”用来作为获取策略的依据。
验证过程包括:检查SA中的源和目的地址是否与策略相对应,以及SA保护的传输层协议是否和要求的相符合。
IPSec完成了对策略的校验后,会将IPSec报头剥离下来,并将包传递到下一层。
下一层要么是一个传输层,要么是网络层。
假如说数据包是IP【ESP【TCP】】,下一层就是传输层;假如这个包是IP【AH【ESP【TCP】】】,下一层仍然是IPSec 层。
1.1.6认证头(AH)协议1.1.6.1 AH的目标IP协议中,用来提供IP数据包完整性的认证机制是非常简单的。
IP头通过头部的校验和域来保证IP数据包的完整性。
而校验和只是对IP头的每16位计算累加和的反码。
这样并没有提供多少安全性,因为IP头很容易修改,可以对修改过的IP头重新计算校验和并用它代替以前的校验和。
这样接受端的主机就无法知道数据包己经被修改。
设计认证头(AH)协议的目的是用于增加IP数据包的安全性。
AH协议提供无连接的完整性(connectionless integrity)、数据源认证(data originauthentication)和反重播(anti-replay)攻击服务。
然而,AH不提供任何保密性服务,也就是说它不加密所保护的数据包。
AH的作用是为IP数据流提供高强度的密码认证,以确保被修改过的数据包可以被检查出来。
AH使用消息认证码(MAC)对IP进行认证。
MAC不同于杂凑函数,因为它需要密钥来产生消息摘要,而杂凑函数不需要密钥。
常用的MAC是 HMAC,它与任何迭代密码杂凑函数(如MD5, SHA-l, Tiger等)结合使用,而不用对杂凑函数进行修改。