IPSEC ***之配置詳解篇
無止境系列文檔將以網絡安全爲方向,以專題的形式每週天發佈,希望大家支持。
【閱讀說明】
爲了方便大家閱讀,特作如下說明:
1. 專業術語或者一些概念用紅色標識。
2. 重要或者強調的語句用藍色標識。
3. 總結的部分用綠色標識。
【主要內容】
1. IPSEC ***理解
2. 封裝模式
3. IKE兩個階段
4. ipsec ***配置
【IPSEC ***理解】
IPSEC 是一套保護IP數據在不同的地點間傳輸時安全性的功能特性集。
***可以僅僅是兩個端點間的一條隧道或鏈路。
IPSEC ***就是有安全保護的***。
IPSEC有四個功能特性:數據機密性,數據完整性,數據源認證,防重放。
前面兩篇已經介紹了上述概念(防重放除外),IPSEC ***是通過相應的協議封裝來實現的。
IPSEC使用的協議:
1)IKE,Internet Key Exchange,互聯網密鑰交換。
2)ESP,Encapsulation Security Payload,封裝安全負載。
3)AH,Authentication Header,認證頭。
通過IKE,ESP,AH這三個協議來保證IPSEC所提供的特性。
一。IKE介紹
IKE是協商和交換安全參數和認證密鑰的體系框架。
使用isakmp和oakley協議來完成對等體驗證和密鑰生成工作。
二。ESP介紹
提供數據機密性,完整性,數據源認證和可選的防重放功能的體系框架。
可選機密性方法:esp-des esp-3des
可選數據源認證和完整性方法:esp-md5-hmac esp-sha-hmac
三。AH介紹
提供數據完整性,數據源認證和可選防重放功能的體系框架。
注意:沒有提供機密性保護。
可選驗證和完整性方法:ah-md5-hmac ah-sha-hmac
IKE是必須要用到的協議,AH和ESP可以根據需要選擇其中一個,或者也可以同時選擇兩個,但是同時使用ESP和AH效果不比單個好,所以建議僅選一個。
【封裝模式】
封裝模式有兩種: 傳輸模式和隧道模式
傳輸模式:不改變原有的IP包頭
隧道模式:增加新的IP頭
一。傳輸模式
二。隧道模式
從上述圖中可以看出:
1.傳輸模式保護的是***端點間傳送的數據包內容,隧道模式下保護的是整個IP包。
2.AH驗證的內容是二層頭部之後的整個數據包,ESP對外層新IP頭沒有進行認證。
【IKE階段】
SA(security association),安全關聯。是兩個對等體之間協商一致的一組安全服務(參數)。
雙向SA:進站和出戰用的同一組服務參數。
單向SA: 進站和出站用的是不同的服務參數,一個用於入站,一個用於出站。
IKE階段一:
主要目的:建立IKE安全通道
作用:
1)在IPSEC對等體之間建立一個雙向的SA
2)實現對等體的驗證
建立SA需要協商的內容:
加密算法,hash算法,DH算法,身份認證方法,存活時間
IKE階段二,建立IPSEC SA。
目的:協商IPSEC安全參數
建立單向SA需要協商內容:
加密算法,hash算法,安全協議,封裝模式,存活時間
IKE的SA這裏不討論。這裏再詳細介紹一下IPSEC SA。
1. SA由SPD (security policy database)和SAD(SA database)組成。
2. 圖解表示:
圖3-3
SAD:每個客戶端都使用SAD來跟蹤所參與的SA,對每個客戶端來說,都有兩個SA。
一個用於數據進來的時候的算法集,一個用於數據出去的時候所使用的算法集。
SPD:包含了每個SA達成一致的參數。包括:加密算法,驗證算法,IPSEC模式,密鑰生命期。
雖然兩個階段都有協商加密算法、hash算法等,但是作用是不一樣的。第一個階段主要是爲了先建立一個安全通道,是對isakmp消息自身的保護措施,跟用戶的數據沒有關係。第二個階段纔是真正協商對數據進行加密、完整性檢驗和認證的算法。
雖然是分爲兩個階段,但是第二個階段是要利用第一個階段SA的相關內容的,所以兩個階段也是互相聯繫的。
【ipsec ***配置】
這部分比較長,見附件完整版。
下週主要內容預告:IPSEC ***之深入理解篇(主要分析AH和ESP報文格式) 敬請期待!