ipsec框架包含一套協議:
1、封裝協議:AH 51 不支持加密 只支持認證 支持數據完整性
ESP 50 支持加密 支持認證但是認證強度沒有AH強 (lcv字段就是哈希值)
2、密鑰交換協議:IKE 生成key 用的是DH UDP500端口
封裝方式:
1、隧道模式:通信點不等於加密點
2、傳輸模式:通信點等於加密點(一般用於局域網)
保證數據安全:
1、數據機密性(加密算法)
2、數據完整性(散列算法)
3、數據的不可否認性(設備驗證)
4、防重放(通過AH和ESP報頭裏面有LCV字段來實現)
加密算法:就是一種數學算法
對稱加密:加密和解密key是相同的常用的有DES、3DES、AES(AES最安全,需要設備支持) 加密速度快,可以用硬件實現、可以達到線速。缺點是密碼管理複雜。
非對稱加密:加解密key不同,缺點是加密速度慢,常用算法有RSA、DSA、DH。公私鑰全世界唯一一對,不可逆推。
數字簽名:私鑰加密 (哈希值)公鑰解密。
散列算法:HMAC、MD5、SHA 保證數據完整性 計算後,結果是定長的字符串,不可逆推。
IKE:DH算法
私鑰A→參數→公鑰B=key1 私鑰B→參數→公鑰A=key2 key1=key2
設備驗證:
1、證書(設備多一般用證書)
2、預共享對稱密鑰(兩邊密碼配置爲相同的密碼,ip+主機名+密碼 組成一個哈希值發給對方)兩邊相同就通過。
3、預共享非對稱密鑰
SA(安全聯盟)
ipsec工作流程:
首先:感興趣流量通過設備,觸發IKE協商,通過高級ACL來實現,感興趣的加密傳,不感興趣的正常傳。
第一階段:是爲了保護第二階段的協商報文(IKE雙向的SA)
兩種模式:
MM主模式:六個報文。1、2包用來協商安全策略(明文),3、4用來進行DH密鑰交換(明文),5、6做設備驗證(密文)在安全的通道中進行設備驗證。設備驗證通過進入第二個階段。
AM積極模式:三個報文。
第二階段:爲了保護數據,三個報文都是密文(IPSEC 單向 SA),QM快速模式,協商採用的封裝協議。
封裝方式:ESP加密算法、認證算法,通過後,開始加密後續的數據流量。