ipsec vpn 詳解
ipsec 簡述
IP無安全保障
RFC 2401—IPSec體系
安全協議—AH和ESP
隧道模式(Tunnel Mode)和傳輸模式(Transport Mode)
隧道模式適宜於建立安全VPN隧道
傳輸模式適用於兩台主機之間的數據保護
動態密鑰交換—IKE
安全性基本要求
機密性:防止數據被未獲得授權的查看者理解 ,通過加密演算法實現
完整性:防止數據在存儲和傳輸的過程中受到非法的篡改 ,使用單向散列函數
身份驗證:判斷一份數據是否源於正確的創建者 ,單向散列函數、數字簽名和公開密鑰加密
加密演算法
對稱加密演算法:塊加密演算法,流加密演算法
非對稱加密演算法:如RSA演算法
單向散列函數
diffie-hellman交換
加密的實現層次
ipsec vpn體系結構
安全協議:負責保護數據,AH/ESP
工作模式:傳輸模式:實現端到端保護,隧道模式:實現站點到站點保護
密鑰交換:IKE:為安全協議執行協商
ipsec sa
SA(Security Association,安全聯盟)
由一個(SPI,IP目的地址,安全協議標識符)三元組唯一標識
決定了對報文進行何種處理
協議、演算法、密鑰
每個IPSec SA都是單向的
手工建立/IKE協商生成
IPSec對數據流提供的安全服務通過SA來實現
SPD(Security Policy Database)
SAD(Security Association Database)
ipsec處理流程
ah
AH(Authentication Header)
RFC 2402
數據的完整性校驗和源驗證
有限的抗重播能力
不能提供數據加密功能
傳輸模式ah封裝
隧道模式ah封裝
esp
ESP(Encapsulating Security Payload)
RFC 2406
保證數據的機密性
數據的完整性校驗和源驗證
一定的抗重播能力
傳輸模式esp封裝
隧道模式esp封裝
ike
IKE(Internet Key Exchange)
RFC 2409
使用Diffie-Hellman交換
完善的前向安全性
UDP埠500
ike作用
在不安全的網路上安全地分發密鑰,驗證身份
為IPSec提供了自動協商交換密鑰、建立SA的服務
定時更新SA
定時更新密鑰
允許IPSec提供反重播服務
ike與ipsec協商
ike協商的兩階段
階段一:在網路上建立一個IKE SA,為階段二協商提供保護 ,主模式(Main Mode)和野蠻模式(Aggressive Mode)
階段二:在階段一建立的IKE SA的保護下完成IPSec SA的協商 ,快速模式(Quick Mode)
cookie
IKE交換開始時,雙方的初始消息都包含一個Cookie
響應方收到包含這個Cookie的下一條消息時,才開始真正的DH交換過程
一定程度上阻止DoS攻擊
野蠻模式無法抵抗DoS
ike主模式
ike野蠻模式
nat與ipsec的兼容性問題
NAT網關修改IPSec報文的IP地址
IPSec完整性檢查失敗
NAT網關修改IKE的UDP埠號500
IKE協商驗證失敗
其它問題
ipsec配置任務(流程)
1,匹配興趣流--2,創建ipsec安全提議--3,創建ike密鑰/id--4,創建ike描述--5,ike提議配置--6,ipsec策略配置--7,在埠上運行ipsec策略--8,寫靜態路由指向對端私網段
安全策略的兩種類型
靜態——手工配置參數的安全策略
需要用戶手工配置密鑰、SPI、安全協議和演算法等參數
在隧道模式下還需要手工配置安全隧道兩個端點的IP地址
動態——通過IKE協商參數的安全策略
由IKE自動協商生成密鑰、SPI、安全協議和演算法等參數
ike配置前準備
確定IKE交換過程中安全保護的強度
包括身份驗證方法、加密演算法、驗證演算法、DH組等
確定所選驗證方法的相應參數
使用預共享密鑰方法需預先約定共享密鑰
使用RSA簽名方法需預先約定所屬的PKI
理解ike提議
ipsec+ike預共享密鑰配置v5
[RTA] acl number 3001
[RTA-acl-adv-3001] rule permit ip source 10.1.1.0 0.0.0.255 destination 10.1.2.0 0.0.0.255
[RTA-acl-adv-3001] rule deny ip source any destination any
[RTA] ip route-static 10.1.2.0 255.255.255.0 202.38.160.2
[RTA] ipsec proposal tran1
[RTA-ipsec-proposal-tran1] encapsulation-mode tunnel
[RTA-ipsec-proposal-tran1] transform esp
[RTA-ipsec-proposal-tran1] esp encryption-algorithm des
[RTA-ipsec-proposal-tran1] esp authentication-algorithm sha1
[RTA-ipsec-proposal-tran1] quit
[RTA] ike peer peer1
[RTA-ike-peer-peer] pre-share-key abcde
[RTA-ike-peer-peer] remote-address 202.38.160.2
[RTA] ipsec policy map1 10 isakmp
[RTA-ipsec-policy-isakmp-map1-10] proposal tran1
[RTA-ipsec-policy-isakmp-map1-10] security acl 3001
[RTA-ipsec-policy-isakmp-map1-10] ike-peer peer1
[RTA-ipsec-policy-isakmp-map1-10] quit
[RTA] interface serial0/0
[RTA-Serial0/0] ip address 202.38.160.1 255.255.255.0
[RTA-Serial0/0] ipsec policy map1
[RTA] interface ethernet0/0
[RTA-Ethernet0/0] ip address 10.1.1.1 255.255.255.0
ike野蠻模式配置v5
[RTA] ike local-name rta
[RTA] ike peer rtb
[RTA-ike-peer-rtb] exchange-mode aggressive
[RTA-ike-peer-rtb] pre-shared-key abc
[RTA-ike-peer-rtb] id-type name
[RTA-ike-peer-rtb] remote-name rtb
[RTA-ike-peer-rtb] ipsec proposal prop-for-rtb
[RTA-ipsec-proposal-prop-for-rtb] esp authentication-algorithm sha1
[RTA-ipsec-proposal-prop-for-rtb] esp encryption-algorithm 3des
[RTA] acl number 3000
[RTA-acl-adv-3000] rule 0 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255
[RTA-acl-adv-3000] rule 1 deny ip
[RTA] ipsec policy policy1 10 isakmp
[RTA-ipsec-policy-isakmp-policy1-10] security acl 3000
[RTA-ipsec-policy-isakmp-policy1-10] ike-peer rtb
[RTA-ipsec-policy-isakmp-policy1-10] proposal prop-for-rtb
[RTA-ipsec-policy-isakmp-policy1-10] interface Ethernet0/1
[RTA-Ethernet0/1] ip address 192.168.1.1 255.255.255.0
[RTA-Ethernet0/1] interface Serial0/0
[RTA-Serial0/0] link-protocol ppp
[RTA-Serial0/0] ip address 10.1.12.1 255.255.255.0
[RTA-Serial0/0] ipsec policy policy1
[RTA] ip route-static 0.0.0.0 0.0.0.0 Serial 0/0
ipsec v7配置:
silent:華三ipsec v7 配置推薦閱讀: