网站设计制作要多少钱,卖酒网站排名,解析域名就可以做网站,网站单页生成器一、VPN概述
IPsec-VPN#xff1a;
1、应用范围#xff1a;用于分公司和总部之间。
2、作用#xff1a;机密性、证书#xff08;身份认证#xff09; VPN概述
VPN概述#xff1a;VPN#xff08;Virtual Private Network#xff09;是指依靠Internet服务提供商ISP
1、应用范围用于分公司和总部之间。
2、作用机密性、证书身份认证 VPN概述
VPN概述VPNVirtual Private Network是指依靠Internet服务提供商ISPInternet Service Provider和网络服务提供商NSPNetwork Service Provider在公共网络中建立的虚拟专用网络.虚拟:用户通信是通过公共网络进行的这个公共网络同时也被其他非VPN用户使用VPN用户获得的只是一个逻辑意义上的专网。这个公共网络称为VPN骨干网Backbone。
专用网络VPN与底层承载网络之间保持资源独立即VPN资源不被网络中非该VPN的用户所使用。 隧道技术原理
隧道技术原理隧道Tunnel类似于一座桥可以在底层网络比如Internet之上构建转发通道用户可以自行构建隧道网络不需要底层网络的管理者比如运营商介入。
实现隧道的技术有很多常见的隧道技术有: MPLSGREL2TPIPsecVXLAN等虽然有各种各样的隧道技术但其基本实现思路是一致的。 VPN基本构成三要素
VPN基本构成三要素乘客协议、封装协议、运输协议 乘客协议 用户传输数据使用的原始网络协议。 封装协议 “包装”乘客协议d对应的报文使原始报文能够在新网络上传输。 运输协议 指被封装后的报文在新网络中传输时所使用的网络协议。 二、GRE
GRE支持组播 GRE配置步骤 [AF1]interface Tunnel 0创建隧道
[AF1-Tunnel0]ip address 192.168.1.1 24隧道地址为了让隧道UP
[AF1-Tunnel0]tunnel-protocol gre指定隧道协议
[AF1-Tunnel0]source GigabitEthernet 1/0/1可以指定源地址或者源接口tunnel调用这个地址
[AF1-Tunnel0]destination 11.11.11.11 (目标地址) GRE特点
1、优点
支持多种上层协议如IP和IPX支持组播
2、缺点
不支持报文加密抓包可以看到全部报文内部信息无法确定发送者身份无法对报文ip源发送者进行身份认证弱完整性验证 三、VPN
VPN的优势
安全在远端用户、驻外机构、合作伙伴、供应商与公司总部之间建立可靠的连接保证数据传输的安全性。这对于实现电子商务或金融网络与通讯网络的融合特别重要。
廉价利用公共网络进行信息通讯企业可以用更低的成本连接远程办事机构、出差人员和业务伙伴。
支持移动业务支持驻外外VPN用户在王何时间、任何地点的移动接入能够满足不断增长的移动业务需求。
可扩展性由于VPN为逻辑上的网络物理网络中增加或修改节点不影响VPN的部署。 VPN分类
1、按组网类型分类
网关与网关之间主机与网关之间主机与主机之间
2、按照现实网络层次分类
L3VPNL2VPN应用层 四、L2TP-VPN
L2TP-VPNLayer Two Tunneling Protocal二层隧道协议L2TP用于承载PPP报文的隧道技术其主要应用在远程办公场景中为出差员工远程访问企业内网资源提供接入服务。支持认证、支持承载多种三层协议。 L2TP特点
优点
灵活的身份验证机制以及高度的安全性多协议传输多亏了pppppp没有mac地址概念支持RADIUS服务器的验证支持内部地址分配可以拿到内部网段NCP可靠性L2TP支持主备LNS能封装PPP协议 缺点
不支持加密 L2TP角色 有的场景用户 角色可以没有有的时候LAC角色可以没有。
有PPPoE拨号就叫NAS没有就叫LAC多用户单独拨号每一个拨号会建立一条隧道浪费资源。
L2TP应用场景
1、L2TP应用场景——NSA-initiated VPN 2、L2TP应用场景——LAC自动拨号 3、L2TP应用场景——Client-initiated VPN L2TP隧道和会话建立过程
在LNS和LAC对之间存在着两种类型的连接(Tunnel)连接:
它定义了互相通信的两个实体LNS和LAC。隧道在一对LAC和LNS之间可以建立多个L2TP隧道隧道由一个控制连接和至少一个会话 (Session)组成。L2TP首先需要建立L2TP隧道然后在L2TP隧道上建立会话连接最后建立PPP连接。所有的L2TP需要承载的数据信息都是在PPP连接中进行传递的。
会话(Session)连接它复用在隧道连接之上用于表示承载在隧道连接中的每个PPP连接过程会话是有方向的从LAC向LNS发起的会话叫做Incoming会话从LNS向LAC发起的会话叫做Outgoing会话。
L2TP建立目的端口是UDP的1701需要放通。 五、IPsec
IPsec的产生背景
企业分支之间经常有互联的需求企业互联的方式很多可以使用广域网专线或者Internet线路部分企业从成本和需求出发会选择使用lnternet进行互联但是存在安全风险如何保障数据在传输时不会被窃取或者被算改?
IPsec通过将数据报文进行加密传输达到保障企业安全互联的目的。 IPsec简介
IPsec (Internet Protocol Security因特网协议安全协议) 是ETF (Internet Engineering Task Force)制定的一组开放的网络安全协议标准厂商共同支持。它并不是一个单独的协议而是一系列为IP网络提供安全性的协议和服务的集合。
IPsec通过加密与验证等方式从以下几个方面保障了用户业务数据在internet中的安全传输
数据来源验证接收方验证发送方身份是否合法带ID。数据加密发送方对数据进行加密以密文的形式在开放网络上传送接收方对接收的加密数据进行解密后处理或直接转发第一阶段5、6包秘钥加密。数据完整性接收方对接收的数据进行验证以判定报文是否被算改带秘钥的哈希。抗重放接收方拒绝旧的或重复的数据包防止恶意用户通过重复发送捕获到的数据包所进行的攻击。 IPsec协议框架
IPsec不是一个单独的协议而是一种公开标准的技术解决方案协议栈。 数据来源验证 通过安全协议、加密、验证三种结合得出签名技术 HMAC带秘钥的哈希 数据加密 EDS、3EDS、AES、SM1/SM4 数据完整性 MD5、SHA1、SHA2、SM3 抗重放 ESP、AH 比如以前的饭卡IC卡充了100复制了一张饭卡也有100这样就重放攻击了通过IC卡加入序列号每次刷卡修改序列号防止重复刷。【TCP、UDP都有抗重放】
TCP快重传发1、2、3这三个包同一个包1不停的发送接收端会认为2和3一直没收到一直是1导致接收有问题容易产生DOS。
防重放机制序列号、时间。 IPsec协议体系架构 IPsec协议体系
IPSec通过验证头AH (Authentication Header) 和封装安全载荷ESP (Encapsulating Security Payload)两个安全协议实现IP报文的安全保护。 IPsec安全协议AH
认证头协议AH提供数据来源认证数据完整性校验和报文抗重放功能通过序列号。AH的工作原理是在每一个数据包的标准IP报头后面添加一个AH报头AH Header。 AH对数据包和认证密算结果的数据包后执行同样的Hash计算并与原计钥进行Hash计算接收方收到带有算结果比较传输过程中对数据的何更改将使计算结果无效这样就提供了数据来源认证和数据完整性校验。 AH字段 Next Header协议号 指明乘客协议是谁 Payload Length长度 报文长度 RESERVED预留字段 没啥用 Security Parameter IndexSPI安全参数索引 告诉对方我使用哪把key Sequence Number序列号 防重放攻击 Authentication DataVariable认证数据
提供数据源验证真实性完整性校验和抗重放。
不提供数据加密功能
AH用IP协议号51来标识 IPsec安全协议ESP
除提供AH的功能之外还提供对有效载荷的加密功能。ESP的工作原理是在每一个数据包的标准IP报头后面添加一个ESP报头(ESP Header)并在数据包后面追加一个ESP尾(ESP Tail和ESP Auth data)。与AH不同的是ESP尾中ESP Authdata用于对数据提供来源认证和完整性校验并且ESP将数据中的有效载荷进行加密后再封装到数据包中以保证数据的机密性但ESP没有对IP头的内容进行保护。 Securlty Parameter IndexSPI安全索引 找秘钥高速对端使用什么算法机密性 Sequence Number序列号 防重放攻击 Payload DataVariable身份认证 身份认证完整性校验 Padding0-255Bytes填充 对称算法中块加密必须满足256、64才能算出来不够就填充 Pad Length填充位 描述填充了多少bit Report Handler Authentication DataVariable认证数据 包发给你认证结果写进去只有True或False
ESP封装有一个ESP Header头部然后一个ESP Trailer中包含Pad Length和Report Handler完整性校验值最后是ESP Authentication认证值。
提供数据真实性、数据完整性、抗重放、数据机密性
ESP 用IP协议号50来标识 IPsec两种模式
隧道模式在隧道模式下AH头或ESP头被插到原AP头之前另外生成一个新的报文头放到AH头或ESP头之前保1P头和负载。道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。
隧道模式下AH协议的完整性验证范围为包括新增1P头在内的整个1P报ESP协议验证报文的完整性检查部分包括ESP包头、原IP头、传输层协议头、数居和ESP报尾但不包括新IP头因此ESP协议无法保证新IP头的安全。ESP的加密部分包括传输层协议头、数据和ESP报尾。新IP头(NewIP Header) 中源IP地址为网关A的IP地址目的IP地址为网关B的IP地址。 传输模式在传输模式中AH头ESP头被插P头与传输层协议头之间保TCP/UDP/CMP负载。传输模式不改变报文头故道的源和目的地址必须为IP报文头中的源和目的地址所以只适合两台主机或一台主机和一台VPN网关之间通信。 传输模式封装方式局限性在于不能NAT穿越
1、AH保护整个头NAT替换头网络层丢包。
2、ESP加密虽然没保护IP头但是TCP Header有个字段叫Checksum这个字段会把IP和data一起做运算NAT后IP变了校验就会出问题就会在传输层丢包。 IPsec协议封装模式对比 封装模式对比
安全性:
隧道模式隐藏原IP头信息安全性更好
性能:
隧道模式有一个额外的IP头隧道模式比传输模式占用更多带宽。
具体选择哪种封装模式需要在性能和安全之间做权衡。
IPsec安全联盟
IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功建立安全联盟SA (Security Association)。
SA是通信的IPSec对等体间对某些要素的约定。我们也形象的称呼SA为隧道。
A和B建立了一个SA安全联盟A和B建立了一条隧道! 手工配置IPsec流程
1、协商加密算法
2、封装模式
3、完整性验证算法
4、加密秘钥是什么
5、加密的数据流匹配感兴趣流
6、接口调用安全策略
安全联盟的定义
安全联盟是要建立IPSec隧道的通信双方对隧道参数的约定包括隧道两端的IP地址隧道采用的验证方式、验证算法、验证密钥、加密算法、加密密钥、共享密钥以及生存周期等一系列参数。
SA由三元组来唯一标识包括安全参数索引 SPI、目的IP地址、安全协议号 安全参数索引 SPI 指导FW用什么秘钥及哪种算法解密报文及用哪种完整性算法去验证报文的完整性 安全协议号 AH51 ESP50 用于指导FW封装报文的方式
安全参数索引 SPI包含验证算法、加密算法、加密秘钥。
IPSec安全联盟是为安全目的创处的单向逻圳连接这就要求在每一个方向上都需要拥有一个PSec安全联盟。
为了在网关A和网关B之问建立IPSec隧道需要建立两个安全联盟其中安全联盟1规定了对从网关A发送到网关B数据采取的保护方式安全联盟2规定了对从网关B发送到网关A数据采取的保护方式。安全联盟1对于网关A是Outbound方向而对于网关B则是lnbound方向。安全联盟2则相反。 IPSec SA有两种类型手工方式创建的SA和IKE自动协商方式(isakmp) 创建的SA。二者的主要区别为
密钥生成方式不同
手工方式下手工创建IPSec SA隧道所需的全部参数包括加密算法、验证算法、加密密钥都需要用户手工配置也只能手工刷新。手工方式创建的IPSec SA一经创建永久存在。每一个对端都需要为之配置一个秘钥当对端数量较多时秘钥管理成本高且管理复杂。
IKE方式下动态创建的IPSec SA隧道其加密、验证的密钥是通过DH算法动态生成的可以动态刷新密钥管理成本低安全性较高。我们只需要指定自己支持的算法让对方和我协商最后协商得到统一的加密算法、验证算法即可。
IPSecSA生存周期不同
手工方式创建的IPSecSA一经创建永久存在
KE方式下由数据流触发建立IPSec SASA的生存周期由双方配置的生存周期参数控制
IPsec加解密以及验证过程
HMACKeyed-Hash MessageAuthentication Code在报文后面加上秘钥一起做Hash运算由于秘钥只有通信双方才有所以确定了这个Hash的值只有拥有秘钥的双方才能创造其它人无法得出这个HMAC值从而验证了发送者身份验证报文完整性和身份。 流量走隧道的两种方式
1、ACL匹配路由走隧道
2、创建tunnel接口使用路由方式下一跳指向tunnel接口转发到隧道。 IKE负责自动建立和维护IKE SAS和IPSec SAs。功能主要体现在如下几个方面
对双方进行认证交换公共密钥产生密钥资源管理密钥协商协议参数封装模式加密算法完整性验证算法身份验证方式..。 IKEv1和IKEv2
IKE协议分IKEv1和IKE2两个版本。V1不安全、没有抗ddos机制、慢
IKEv1
IKEv1使用两个阶段为IPSec进行密钥协商并建立IPSecSA。
第一阶段通信双方协商和建立IKE本身使用的安全通道建立一个IKESA。第二阶段利用这个已通过了认证和安全保护的安全通道建立一对IPSec SA。
IKEv2
IKEv2则简化了协商过程。加入安全机制康DDOS、防中间人、速度快、加入ESP认证。在一次协商中可直接产生IPSec的密钥生成IPSec SA。
IKE简介因特网密钥交换IKElnternet Key Exchange 协议建立在Internet安全联盟和密钥管理协议ISAKMP定义的框架上是基于UDP User Datagram Protocol的应用层协议。它为IPSec提供了自动协商密钥Oakley和SKEME基于DH算法实现、建立IPSec安全联盟的服务能够简化IPSec的使用和管理大大简化IPsec的配置和维护工作。 Oakley和SKEME基于DH算法实现自动协商秘钥。
IKE的三个组件
SKEME提供了DH算法支持对DH算法做了优化防止中间人攻击加了认证对数字签名、公开秘钥加密、对称秘钥加密。ISAKMP定义了IKE报文格式。Oakley确认加密秘钥机制。
IKE分两个阶段实现
第一阶段为建立IKE本身使用的安全信道而相互交换SA采用ISAKMP--ISAKMP SA双向第二阶段利用第一阶段建立的安全信道交换IPSec通信中使用的SA--IPSec SA 单向
IKEv1的三种模式
主模式九个报文主模式六个报文快速模式三个报文。
野蛮模式六个报文野蛮模式三个报文快速模式三个报文。 IKEv1包 IKEv1有主模式和野蛮模式IKEv2没有。
野蛮模式与主模式对比
IKEv1的过程定义了主模式Main Mode和野蛮模式 Aggressive Mode两种交换模式主模式包含三次双向交换用到了六条信息。
消息1和2用于策略交换。消息3和4用于密钥信息交换。消息5和6用于身份和认证信息交换5和6包被秘钥加密。
野蛮模式只用到三条信息。
前两条消息1和2用于协商提议与秘钥信息交换消息3用于响应方认证发起方。
身份保护
主模式的最后两条消息有加密可以提供身份保护功能而野蛮模式消息集成度过高因此无身份保护功能。
对等体标识
主模式只能采用IP地址方式标识对等体而野蛮模式可以采用IP地址方式或者Name方式标识对等体。
主模式域共享秘钥认证第一阶段 野蛮模式
与主模式相比野蛮模式减少了交换信息的数目提高了协商的速度但是没有对身份信息进行加密保护。虽然野蛮模式不提供身份保护但它可以满足某些特定的网络环境需求。
当IPSec隧道中存在NAT设备时需要启用NAT穿越功能而NAT转换会改变对等体的IP地址由于野蛮模式不依赖于IP地址标识身份使得采用预共享密钥验证方法时NAT穿越只能在野蛮模式中实现。如果发起方的IP地址不固定或者无法预先知道而双方都希望采用预共享密钥验证方法来创建IKE SA则只能采用野蛮模式。如果发起方已知响应方的策略或者对响应者的策略有全面的了解采用野蛮模式能够更快地创建IKE SA。
总结
IKE作用
IKE负责自动建立和维护IKE SAS和IPSec SAs。功能主要体现在如下几个方面
对双方进行认证主模式56包HASH_I/R。交换公共密钥产生密钥资源管理密钥。协商协议参数封装加密验证.....。
主模式九个报文IKE阶段六个【协商IKE-SA】快速模式三个【协商IPsec-SA】野蛮模式六个报文IKE阶段三个【协商IKE-SA】快速模式三个【协商IPsec-SA】。
两个安全联盟SAIKE安全联盟SA和IPsec安全联盟SA。
IKE主模式和野蛮模式区别
IKEv1建立IKESA的过程定义了主模式Main Mode 和野蛮模式Aggressive Mode两种交换模式。
主模式包含三次双向交换用到了六条信息
消息1和2用于策略交换协商提议SA消息3和4用于密钥信息交换ke nonce消息5和6用于身份和认证信息交换id hash
野蛮模式只用到三条信息
前两条消息1和2用于协商提议。消息3用于响应方认证发起方。
