ipsec vpn 詳解

ipsec vpn 詳解

ipsec 簡述

IP無安全保障

RFC 2401—IPSec體系

安全協議—AH和ESP

隧道模式(Tunnel Mode)和傳輸模式(Transport Mode)

隧道模式適宜於建立安全VPN隧道

傳輸模式適用於兩台主機之間的數據保護

動態密鑰交換—IKE

安全性基本要求

機密性:防止數據被未獲得授權的查看者理解 ,通過加密演算法實現

完整性:防止數據在存儲和傳輸的過程中受到非法的篡改 ,使用單向散列函數

身份驗證:判斷一份數據是否源於正確的創建者 ,單向散列函數、數字簽名和公開密鑰加密

加密演算法

對稱加密演算法:塊加密演算法,流加密演算法

非對稱加密演算法:如RSA演算法

單向散列函數

diffie-hellman交換

加密的實現層次

ipsec vpn體系結構

安全協議:負責保護數據,AH/ESP

工作模式:傳輸模式:實現端到端保護,隧道模式:實現站點到站點保護

密鑰交換:IKE:為安全協議執行協商

ipsec sa

SA(Security Association,安全聯盟)

由一個(SPI,IP目的地址,安全協議標識符)三元組唯一標識

決定了對報文進行何種處理

協議、演算法、密鑰

每個IPSec SA都是單向的

手工建立/IKE協商生成

IPSec對數據流提供的安全服務通過SA來實現

SPD(Security Policy Database)

SAD(Security Association Database)

ipsec處理流程

ah

AH(Authentication Header)

RFC 2402

數據的完整性校驗和源驗證

有限的抗重播能力

不能提供數據加密功能

傳輸模式ah封裝

隧道模式ah封裝

esp

ESP(Encapsulating Security Payload)

RFC 2406

保證數據的機密性

數據的完整性校驗和源驗證

一定的抗重播能力

傳輸模式esp封裝

隧道模式esp封裝

ike

IKE(Internet Key Exchange)

RFC 2409

使用Diffie-Hellman交換

完善的前向安全性

UDP埠500

ike作用

在不安全的網路上安全地分發密鑰,驗證身份

為IPSec提供了自動協商交換密鑰、建立SA的服務

定時更新SA

定時更新密鑰

允許IPSec提供反重播服務

ike與ipsec協商

ike協商的兩階段

階段一:在網路上建立一個IKE SA,為階段二協商提供保護 ,主模式(Main Mode)和野蠻模式(Aggressive Mode)

階段二:在階段一建立的IKE SA的保護下完成IPSec SA的協商 ,快速模式(Quick Mode)

cookie

IKE交換開始時,雙方的初始消息都包含一個Cookie

響應方收到包含這個Cookie的下一條消息時,才開始真正的DH交換過程

一定程度上阻止DoS攻擊

野蠻模式無法抵抗DoS

ike主模式

ike野蠻模式

nat與ipsec的兼容性問題

NAT網關修改IPSec報文的IP地址

IPSec完整性檢查失敗

NAT網關修改IKE的UDP埠號500

IKE協商驗證失敗

其它問題

ipsec配置任務(流程)

1,匹配興趣流--2,創建ipsec安全提議--3,創建ike密鑰/id--4,創建ike描述--5,ike提議配置--6,ipsec策略配置--7,在埠上運行ipsec策略--8,寫靜態路由指向對端私網段

安全策略的兩種類型

靜態——手工配置參數的安全策略

需要用戶手工配置密鑰、SPI、安全協議和演算法等參數

在隧道模式下還需要手工配置安全隧道兩個端點的IP地址

動態——通過IKE協商參數的安全策略

由IKE自動協商生成密鑰、SPI、安全協議和演算法等參數

ike配置前準備

確定IKE交換過程中安全保護的強度

包括身份驗證方法、加密演算法、驗證演算法、DH組等

確定所選驗證方法的相應參數

使用預共享密鑰方法需預先約定共享密鑰

使用RSA簽名方法需預先約定所屬的PKI

理解ike提議

ipsec+ike預共享密鑰配置v5

[RTA] acl number 3001

[RTA-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255

[RTA-acl-adv-3001] rule deny ip source any destination any

[RTA] ip route-static 10.1.2.0 255.255.255.0 202.38.160.2

[RTA] ipsec proposal tran1

[RTA-ipsec-proposal-tran1] encapsulation-mode tunnel

[RTA-ipsec-proposal-tran1] transform esp

[RTA-ipsec-proposal-tran1] esp encryption-algorithm des

[RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1

[RTA-ipsec-proposal-tran1] quit

[RTA] ike peer peer1

[RTA-ike-peer-peer] pre-share-key abcde

[RTA-ike-peer-peer] remote-address 202.38.160.2

[RTA] ipsec policy map1 10 isakmp

[RTA-ipsec-policy-isakmp-map1-10] proposal tran1

[RTA-ipsec-policy-isakmp-map1-10] security acl 3001

[RTA-ipsec-policy-isakmp-map1-10] ike-peer peer1

[RTA-ipsec-policy-isakmp-map1-10] quit

[RTA] interface serial0/0

[RTA-Serial0/0] ip address 202.38.160.1 255.255.255.0

[RTA-Serial0/0] ipsec policy map1

[RTA] interface ethernet0/0

[RTA-Ethernet0/0] ip address 10.1.1.1 255.255.255.0

ike野蠻模式配置v5

[RTA] ike local-name rta

[RTA] ike peer rtb

[RTA-ike-peer-rtb] exchange-mode aggressive

[RTA-ike-peer-rtb] pre-shared-key abc

[RTA-ike-peer-rtb] id-type name

[RTA-ike-peer-rtb] remote-name rtb

[RTA-ike-peer-rtb] ipsec proposal prop-for-rtb

[RTA-ipsec-proposal-prop-for-rtb] esp authentication-algorithm sha1

[RTA-ipsec-proposal-prop-for-rtb] esp encryption-algorithm 3des

[RTA] acl number 3000

[RTA-acl-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

[RTA-acl-adv-3000] rule 1 deny ip

[RTA] ipsec policy policy1 10 isakmp

[RTA-ipsec-policy-isakmp-policy1-10] security acl 3000

[RTA-ipsec-policy-isakmp-policy1-10] ike-peer rtb

[RTA-ipsec-policy-isakmp-policy1-10] proposal prop-for-rtb

[RTA-ipsec-policy-isakmp-policy1-10] interface Ethernet0/1

[RTA-Ethernet0/1] ip address 192.168.1.1 255.255.255.0

[RTA-Ethernet0/1] interface Serial0/0

[RTA-Serial0/0] link-protocol ppp

[RTA-Serial0/0] ip address 10.1.12.1 255.255.255.0

[RTA-Serial0/0] ipsec policy policy1

[RTA] ip route-static 0.0.0.0 0.0.0.0 Serial 0/0

ipsec v7配置:

silent:華三ipsec v7 配置?

zhuanlan.zhihu.com圖標
推薦閱讀:

TAG:VPN | H3C華三通信 |