需求:IPSec在***對等體設備實現的安全特性,如數據的機密性,完整性,驗證等。
效果:對公網上傳輸的數據進行加密,即使***通過某種竊聽工具截獲到數據,也無法瞭解數據信息的含義;也可以實現數據傳輸雙方的身份驗證,避免***僞裝成網絡中的合法用戶***網絡資源。
理論: ***概述
***起源是爲了解決明文數據在網絡上傳輸帶來的安全隱患而興起的。TCP/IP協議簇中的很多協議都採用明文傳輸,如telnet,ftp,ftfp等。
***可以對公網上傳輸的數據進行加密,即使***通過某種竊聽工具截獲數據,也無法瞭解數據信息的含義,也可以實現數據傳輸雙方的身份驗證,避免***僞裝成網絡中的合法用戶***網絡資源。
***就是在兩個網絡實體之間建立的一種受保護的連接,兩個實體可以通過點到點的鏈路直接相連。
受保護可以理解爲加密技術防止數據被竊聽,數據完整性驗證防止數據被破壞,篡改,通過認證機制實現通信方身份確認,防止通信數據被截獲和回放。
***技術定義了何種流量需要被保護,數據保護的機制,數據的封裝過程。
***的模式與類型
***的連接模式(兩種模式實際上定義了兩臺實體設備之間傳輸數據時所採用的不同的封裝過程)
傳輸模式:在整個***的傳輸過程中,ip包頭沒有封裝,就是從源端到目的端數據始終使用原有的ip地址進行通信。而傳輸的時機數據載荷被封裝在***報文。對於***傳輸而言,***的報文封裝過程就是數據的加密過程。
隧道模式:***設備將整個三層數據報文封裝在***數據內,再爲封裝後的數據報文添加新的ip包頭,新ip包頭封裝的***設備的ip地址信息,所以被截獲數據後,無法瞭解實際載荷數據的內容,也無法知道時機通信雙方的地址,多用於總公司和分公司跨廣域網的通信。
***的類型
站點到站點***:通過隧道模式在***網關之間保護兩個或更多的站點之間的流量,站點間的流量通常是指局域網之間的通信流量,L2L ***多用於總公司與分公司之間在internet上傳輸重要數據。***網關中間的網絡是透明的,總公司的終端設備通過***連接訪問分公司的網絡資源,數據包封裝的ip地址都是公司內網地址。
遠程訪問***:通常用於單用戶設備與***網關之間的通信連接,更適用於隧道模式。一般單一用戶更容易成爲******的對象。實現隧道模式的通信,需要給遠程客戶端分配兩個ip地址:一個是它自己的NIC地址,另一個是內網地址。遠程客戶端在***建立過程中同時充當***網關和終端用戶。
***技術
加密算法就是將數據轉換成另外一種形式的過程。利用算法可以實現數據加密,數據完整性驗證,身份驗證等。
對稱加密算法
使用同一密鑰。
發送方和接收方共享密鑰
發送方的***網關通過加密函數將明文加密爲密文數據
接受方的***網關通過解密函數將數據還原爲明文數據
DES算法:IBM的研發產品,密鑰長度爲64位,8位用於奇偶校驗,實際有效長度爲56位
3DES算法:NIST在1999年研發的3DES,3DES使用了三個階段的DES,同時使用三個不同的56位密鑰。
AES算法:支持128,196,256爲密鑰長度,有效的密鑰長度可達上千位。AES算法採用了更爲高效的編寫方法,對CPU的佔有率較少。
非對稱加密算法:使用公鑰和是要兩個不同的密鑰進行加密和解密。用一個密鑰加密的數據僅能被另一個密鑰解密,且不能從一個密鑰推導出另一個密鑰。
通信雙方交換公鑰
發送方的***網關通過公鑰將明文數據加密成爲密文數據
接收方的***網關通過自己的私鑰解密數據。整個過程私鑰沒有在網絡中傳輸。
非對稱加密的計算效率要比對稱加密算法低得多。
DH算法:RSA(使用三位科學家名字的首字母命名),DSA(數字簽名算法),DH。DH一般被用於實現IPSec中的internet密鑰交換(IKE)協議。
原理:通信雙方交換公鑰後,會用自己的密鑰和對方的公鑰通過DH算法計算出一個共享密鑰,然後雙方會使用這個共享密鑰加密傳輸數據。DH算法支持可變密鑰長度,CIsco的路由器只支持DH組1,2,5.DH組1的有效密鑰長度爲768,DH組2的有效密鑰長度爲1024,DH組5的有效密鑰長度爲1536。
密鑰交換:帶外共享(磁盤,U盤)帶內共享(Telnet.SSH等連接方式通過網絡傳輸密鑰) 解決這個問題:可以通過非對稱加密算法(DH算法)加密對此稱加密算法的密鑰,再用對稱加密算法加密實際傳輸的數據。
HAMC(散列消息驗證碼)實現驗證功能
***領域,對數據進行來源和完整性驗證通常是藉助散列算法實現的,HMAC功能專門用來處理數據即數據包相關的驗證。它使用了一個共享的對稱密鑰來產生固定的輸出結果--數字簽名。HMAC屬於單向散列算法的一個字節。
原理
雙方共享執行hash算法密鑰
路由器a的用戶數據與共享密鑰通過hash算法得到數字簽名
路由器a將數字簽名和用戶數據一同傳送給路由器b
路由器b執行相同的算法過程得到數字簽名
路由器b對比數字簽名是否一致
MD5和SHA
SHA(安全散列算法)是有NIST開發,一般稱爲SHA-啊,可以產生160位的簽名。
IPSec ***
對等體建立IPSec ***連接步驟:
流量觸發IPSec:一旦有***流量經過***網關連接過程就開始建立。
建立管理連接:ISAKM/IKE階段1構建一個安全的管理連接,只是一個準備工作,不被用來傳輸實際的數據。明確設備是如何實現驗證,使用什麼加密及認證算法,使用那種DH組等
建立數據連接:ISAKM/IKE階段2就是用來完成,數據連接用於傳輸真正的用戶數據
ISAKMP/IKE階段1
定義了消息的格式和密鑰交換協議的機制,以及構建連接的協商過程。IKE是一個混合型協議,定義了密鑰的產生,共享和管理。IKE使用UDP端口500.
ISAKEMP/IKE階段1的交換過程有兩個模式:主動模式和積極模式。積極模式比主模式快,但是相對不安全。
***的類型是站點還是遠程訪問,都需要完成三個任務;
協商採用何種方式建立管理連接
通過DH算法共享密鑰信息
對等體彼此身份驗證
這三個任務通過六個數據報文完成,前兩個數據包用於協商對等體間的管理連接使用何種安全策略;中間兩個數據包通過DH算法產生並交換加密算法和HMAC功能所需的密鑰;最後兩個數據包使用預共享密鑰等方式執行對等體間的身份驗證。前四個報文爲明文傳輸,從第五個報文開始爲密文傳輸,前四個數據包通過各種算法最終產生的密鑰用於第五,第六個數據包即後續數據的加密。
交換ISAKM/IKE傳輸集:傳輸集就是一組用來保護管理連接的安全措施。主要包括:
加密算法:DES,3DES,AES
HMAC功能:MD5或SHA-1
設備驗證類型:預共享密鑰
Diffic-Hellman密鑰組:Cisco支持1.2.5.7
管理連接的生存週期
設備可能不止一個傳輸集,如果設備發起連接,將傳輸集列表發送到遠端對等體設備並進行依次對比,直到匹配。如果對比所有傳輸集後沒有發現匹配的傳輸集,管理連接將無法建立,IPSec連接失敗。兩端設備都只有一個傳輸集,且一端配置DES加密算法,另一端配置了3DES加密算法,就會,也會導致IPSec建立失敗;只有兩端配置相同的加密算法,才建立。
通過DH算法實現密鑰交換:協商管理連接的按,而共享密鑰的產生與交換就要通過Diffic-Hellman來實現。DH算法屬於非對稱加密算法,因此他將產生公鑰/私鑰對的組合,且彼此共享公鑰。***對等體用對方的公鑰和自己的私鑰通過一種功能運算常說一個安全的共享密鑰。
實現設備間的身份驗證:最常用的方法就是預共享密鑰,對等體間通過帶外方式共享密鑰,並存儲在設備的本地。設備驗證的構成可以通過加密算法或HMAC功能兩種方法實現,而加密算法很少用於身份驗證,多數情況會通過HMAC功能實現。
Cisco路由器設備IPSec ***管理連接建立構成的配置
配置安全策略(ISAKMP/IKE策略包含策略的序列號,加密算法,散列算法,驗證方法,DH組,生存週期)
crypto isakmp policy priority
crypto isakmp policy命令用於建立ISAKMP/IKE的管理連接策略,每個策略對應一個序列號(1~10000),序列號越低,優先級越高。
encryption { des | 3des | aes}
encryption命令用於指定管理連接建立的最後兩個數據報文采用何種加密算法
hash {sha | md5}
hash命令指定了驗證過程採用HAMC的功能
authentication {pre-share | rsa-encr | rsa-sig}
authentication命令指定了設備身份驗證的方式。
group {1 | 2 | 5}
gourp命令用於指定DH密鑰組,默認使用DH1,組號越大,算法越安全,佔用設備資源也多
lifetime seconds
lifetime命令指定管理連接的生存週期,默認爲86400s
show crypto isakmp policy
查看安全策略配置
配置預共享密鑰
crypto isakmp key {0 | 6} keystring address peer-address {subnet_mask}
0表示密鑰爲密文,6表示密鑰被加密
keystring表示密鑰的具體內容
perr-address表示對端與之共享密鑰的對等體設備地址
subnet_mask爲可選迷戀,默認使用255.255.255.255做掩碼
可以通過show crypto isakemp key命令查看,通過show run查看的密鑰配置中仍然顯示明文密碼。
增加安全性,增加一個選項來加密密鑰,但要求設備的ios鏡像必須支持AES加密
key config-key password-encrypt
密鑰至少爲八個字母長度