ipsec框架包含一套协议:
1、封装协议:AH 51 不支持加密 只支持认证 支持数据完整性
ESP 50 支持加密 支持认证但是认证强度没有AH强 (lcv字段就是哈希值)
2、密钥交换协议:IKE 生成key 用的是DH UDP500端口
封装方式:
1、隧道模式:通信点不等于加密点
2、传输模式:通信点等于加密点(一般用于局域网)
保证数据安全:
1、数据机密性(加密算法)
2、数据完整性(散列算法)
3、数据的不可否认性(设备验证)
4、防重放(通过AH和ESP报头里面有LCV字段来实现)
加密算法:就是一种数学算法
对称加密:加密和解密key是相同的常用的有DES、3DES、AES(AES最安全,需要设备支持) 加密速度快,可以用硬件实现、可以达到线速。缺点是密码管理复杂。
非对称加密:加解密key不同,缺点是加密速度慢,常用算法有RSA、DSA、DH。公私钥全世界唯一一对,不可逆推。
数字签名:私钥加密 (哈希值)公钥解密。
散列算法:HMAC、MD5、SHA 保证数据完整性 计算后,结果是定长的字符串,不可逆推。
IKE:DH算法
私钥A→参数→公钥B=key1 私钥B→参数→公钥A=key2 key1=key2
设备验证:
1、证书(设备多一般用证书)
2、预共享对称密钥(两边密码配置为相同的密码,ip+主机名+密码 组成一个哈希值发给对方)两边相同就通过。
3、预共享非对称密钥
SA(安全联盟)
ipsec工作流程:
首先:感兴趣流量通过设备,触发IKE协商,通过高级ACL来实现,感兴趣的加密传,不感兴趣的正常传。
第一阶段:是为了保护第二阶段的协商报文(IKE双向的SA)
两种模式:
MM主模式:六个报文。1、2包用来协商安全策略(明文),3、4用来进行DH密钥交换(明文),5、6做设备验证(密文)在安全的通道中进行设备验证。设备验证通过进入第二个阶段。
AM积极模式:三个报文。
第二阶段:为了保护数据,三个报文都是密文(IPSEC 单向 SA),QM快速模式,协商采用的封装协议。
封装方式:ESP加密算法、认证算法,通过后,开始加密后续的数据流量。