IPsec
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
IPsec
功能:认证(确认数据包的来源是可信的),数据完整性(确认数据包在传输中未经篡改),机密性,防止回放攻击
局限:只能够对ip包,单播数据包作保护
IPsec协议组成
ESP封装安全协议:提供数据加密,数据负载的完整性,数据来源的认证(协议号50)AH认证头协议:不能加密,只能保证IP包(ip包头+负载)的完整性(协议号51)
IKE密钥交换协议:协商安全参数,自动协商生成加密和认证的密钥,交换密钥。(UDP协议,UDP500)
IPsec工作模式
传输模式
隧道模式:把老的ip包为负载创建新的ip包。(例如,私网地址的数据包在公网上传播就必须用隧道模式用公网地址打包)
身分验证的方法:。。。,数字证书,预置密钥
ISAKMP,一种传输模式,传输格式的规范
SKEME, Oakley,用户密钥交换的协议
[IKE能够自动协商并更新密钥]
IKE协商过程
1.建立安全隧道以进行第二阶段协商main mode or aggressive mode(认证并协商密钥,
进行下一步数据加密密钥的交换)
2.协商加密隧道,来保护用户流量quick mode(协商加密算法,认证方式等,这些协商的
流量都使用第一阶段得到的密钥加密)
[main mode使用6个数据包进行协商;aggressive mode只是用3个数据包进行协商,它的身份验证信息是明文的]
其他机制:
DPD(dead peer detection),定时发送检测,一旦发现对端无响应,立刻把相关的安全参数作废(RFC标准)
Nat traversal穿越,把ESP的包封装在UDP包中,该UDP包的端口号是。。。,解决了IPsec 两端之间不能有PAT设备的问题(协商是通过ISAKMP进行,UDP500,可以进行;但由于ESP包没有端口号,不能做PA T转换,数据包会被丢弃)[至于AH,不可能用PAT转换] Mode config模式化配置,把VPN服务器上的策略强行推到客户端,并进行扩展认证(对使用者而不是对端设备进行认证)
[如果使用加密技术,建议同时进行完整性检测,否则容易收到拒绝服务攻击。因为路由器收到数据包首先进行完整性检查,通过的才解密。加解密的资源耗费大大的大于完整性检查]
完整性检查的方法
HMAC:利用hash的摘要进行。
[hash特性:输出摘要的长度固定,MD5是128位,SHA-1是160位;不可逆;雪崩效应;碰撞性]
证书检查:证书的有效期(路由器用自己的时钟判断证书是否过期),证书是否撤销(该证书的号码有没有出现在CRL证书作废列表),证书是否由可信机构发布
路由器一般把证书存放在NVRAM中,在一些新的路由器上有USB口,可以用eToken存放数字证书
IPsec VPN
Site-to-site IPsec VPN
协商步骤
1.感兴趣流量(由ACL定义)触发IPsec的协商
2.第一阶段协商
a)协商安全参数(加密算法,hash算法,认证算法,D-H组长度,密钥生存期(默认
1d))[A把自己所能支持的安全参数的组合全部发送]
b)密钥交换(可用用于加解密和完整性检查)
c)通过预置密钥(preshared key)或者数字证书(RSA signature)进行对端设备的身份认
证
[要使用RSA signature的方法进行身份认证,路由器必须运行SCEP简单证书申请协议,自动申请下载安装证书]
3.第二阶段协商
a)参数协商(使用什么方法保护用户流量,包括,传输协议,加密算法,完整性检查
方法)在一个transform set中可以指定三种不同处理方法:ESP加密,ESP完整性
检查,AH完整性检查
b)安全关联SA(security accociation):把用户流量和处理流量的密钥和算法相关联。
每一个SA都以一个SPI安全关联索引值(每个ESP或AH包头中包含了SPI,用
来告诉对方该数据包如何被处理)。存放在安全关联数据库中。
[安全关联的生存期有两种限制方法:使用时间(默认3600s)和已经被应用的流量]
4.IPsec建立
5.SA的生存期到时,切换到其它安全关联
IPsec VPN的配置
1.创建ISAKMP policy(第一阶段参数)
2.创建IPsec transform set传输集
3.创建加密的ACL
4.创建加密的map加密图(把ISAKMP policy, transform set ,acl组装在一起)
5.把加密图应用到接口
6.如果外网口上本来就有访问控制列表,还需要打开接口上ACL中对ISAKMP,ESP,AH的
通行穿越
sh crypto map
sh crypto transform-set sh crypto isakmp as sh crypto ipsec sa