HCIA-SEC笔记15------加密技术应用
密码学应用
- 数字信封:结合对称和非对称加密,从而保证数据传输的机密性。
- 数字签名:采用散列算法,从而保证数据传输的完整性。
- 数字证书:通过第三方机构(CA)对公钥进行公证,从而保证数据传输的不可否认性。
VPN分类
按业务用途类型划分
- 远程访问虚拟网(Access VPN)
- 企业内部虚拟网(Intranet VPN)
- 企业扩展虚拟网(Extranet VPN)
按实现层次划分
- SSL VPN
- 三层VPN(L3VPN)
- 二层VPN(L2VPN)
按VPN应用场景划分 - Site-to-Site VPN
用于两个局域网之间建立连接。 可采用的VPN技术:IPSec、L2TP、L2TP over
IPSec、GRE over IPSec、IPSec over GRE。 - Client-to-Site VPN
用于客户端与企业内网之间建立连接。 可采用的VPN技术:SSL、IPSec、L2TP、L2TPover IPSec。
L2TP VPN
L2TP (Layer Two Tunneling Protocol) 二层隧道协议
为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。提供了对PPP 链路层数据包的通道(Tunnel)传输支持。
L2TP VPN主要有三种使用场景
- NAS-Initiated VPN
- LAC自动拨号
- Client-Initiated VPN
Client-Initiated VPN方式
一般用于出差员工使用PC、手机等移动设备接入总部服务器,实现移动办公的场景,也是最为常用L2TP拨号方式。
LNS:L2TP网络服务器
解封装后加以太网头部:将数据包封装成数据帧传输
Client-Initiated VPN隧道和会话建立过程
PPP协商参数:
- LCP
- 认证
- NCP
GRE VPN
通用路由封装
GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装。(封装兼容性强)
解决了跨越异种网络的报文传输问题。
GRE报文处理过程
GRE安全策略
IPSec VPN
IPSec(IP Security)协议族是IETF制定的一系列安全协议。
对于L2TP VPN和GRE VPN,数据都是明文传输的,用户或企业的安全性得不到保证。
若在网络中部署IPSec,便可对传输的数据进行保护处理,降低信息泄漏的风险。
IPSec VPN是利用IPSec隧道建立的网络层VPN。
IPSec协议体系
IPSec通过验证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议实现IP报文的安全保护。
IKE:因特网密钥交换
IPSec安全联盟
IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功建立安全联盟SA(Security Association)。
SA是通信的IPSec对等体间对某些要素的约定,例如:对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密算法、验证算法,对等体间使用何种密钥交换和IKE协议,以及SA的生存周期等。
SA由一个三元组来唯一标识,这个三元组包括
- 安全参数索引SPI(Security Parameter Index)
- 目的IP地址
- 使用的安全协议号(AH或ESP)
封装模式-传输模式
在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,保护TCP/UDP/ICMP负载。
输模式不改变报文头,故隧道的源和目的地址必须与IP报文头中的源和目的地址一致,所以只适合两台主机或一台主机和一台VPN网关之间通信。
封装模式-隧道模式
在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。
新增IP头为公网IP
隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。
传输模式和隧道模式的区别在于:
从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密。隧道模式下可以隐藏内部IP地址,协议类型和端口。
从性能来讲,隧道模式因为有一个额外的IP头,所以它将比传输模式占用更多带宽。
IKE SA
IKE SA是为IPSec SA服务的,为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。
对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后,对等体间的数据将在IPSec隧道中加密传输。
IKE SA是建立IPSec SA的前提。
IPSec加解密及验证过程
IPSec采用对称加密算法对数据进行加密和解密。
ICV:Integrity Check Value(完整性校验值)
HMAC功能通过比较数字签名进行数据包完整性和真实性验证。
SSL VPN
SSL是一个安全协议,为基于TCP的应用层协议提供安全连接
IPSec可以通过加密实现数据的安全传输,但是IPSec的加密和验证功能在一些特殊场景下是存在问题的,比如说NAT穿越场景。
而SSL VPN因其特有的属性,加密只对应用层生效,且不需要用户安全VPN客户端,因而适用范围更广、也更便捷。
SSL VPN 主要功能
- 用户认证
- web代理
- 文件共享
- 端口转发
- 网络扩展
总结
L2TP VPN
GRE VPN
IPSec VPN
SSL VPN
HCIA-SEC更新结束
下一阶段开始HCIP-SEC…