HCIA-SEC笔记15------加密技术应用

密码学应用

  • 数字信封:结合对称和非对称加密,从而保证数据传输的机密性。
  • 数字签名:采用散列算法,从而保证数据传输的完整性。
  • 数字证书:通过第三方机构(CA)对公钥进行公证,从而保证数据传输的不可否认性。

VPN分类

按业务用途类型划分

  • 远程访问虚拟网(Access VPN)
  • 企业内部虚拟网(Intranet VPN)
  • 企业扩展虚拟网(Extranet VPN)

按实现层次划分

  • SSL VPN
  • 三层VPN(L3VPN)
  • 二层VPN(L2VPN)
    HCIA-SEC笔记15------加密技术应用_第1张图片
    按VPN应用场景划分
  • Site-to-Site VPN
    用于两个局域网之间建立连接。 可采用的VPN技术:IPSec、L2TP、L2TP over
    IPSec、GRE over IPSec、IPSec over GRE。
  • Client-to-Site VPN
    用于客户端与企业内网之间建立连接。 可采用的VPN技术:SSL、IPSec、L2TP、L2TPover IPSec。

L2TP VPN

L2TP (Layer Two Tunneling Protocol) 二层隧道协议
为在用户和企业的服务器之间透明传输PPP报文而设置的隧道协议。提供了对PPP 链路层数据包的通道(Tunnel)传输支持。

L2TP VPN主要有三种使用场景

  • NAS-Initiated VPN
  • LAC自动拨号
  • Client-Initiated VPN

Client-Initiated VPN方式

一般用于出差员工使用PC、手机等移动设备接入总部服务器,实现移动办公的场景,也是最为常用L2TP拨号方式。
HCIA-SEC笔记15------加密技术应用_第2张图片LNS:L2TP网络服务器
解封装后加以太网头部:将数据包封装成数据帧传输

Client-Initiated VPN隧道和会话建立过程

HCIA-SEC笔记15------加密技术应用_第3张图片
PPP协商参数:

  • LCP
  • 认证
  • NCP

GRE VPN

通用路由封装

GRE可以对某些网络层协议(如IPX、Apple Talk、IP等)的报文进行封装。(封装兼容性强)

解决了跨越异种网络的报文传输问题。

GRE报文处理过程

HCIA-SEC笔记15------加密技术应用_第4张图片

GRE安全策略

HCIA-SEC笔记15------加密技术应用_第5张图片
HCIA-SEC笔记15------加密技术应用_第6张图片

IPSec VPN

IPSec(IP Security)协议族是IETF制定的一系列安全协议。

对于L2TP VPN和GRE VPN,数据都是明文传输的,用户或企业的安全性得不到保证。

若在网络中部署IPSec,便可对传输的数据进行保护处理,降低信息泄漏的风险。

IPSec VPN是利用IPSec隧道建立的网络层VPN。
HCIA-SEC笔记15------加密技术应用_第7张图片

IPSec协议体系

IPSec通过验证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议实现IP报文的安全保护。
HCIA-SEC笔记15------加密技术应用_第8张图片
IKE:因特网密钥交换

IPSec安全联盟

IPSec安全传输数据的前提是在IPSec对等体(即运行IPSec协议的两个端点)之间成功建立安全联盟SA(Security Association)。

SA是通信的IPSec对等体间对某些要素的约定,例如:对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密算法、验证算法,对等体间使用何种密钥交换和IKE协议,以及SA的生存周期等。

SA由一个三元组来唯一标识,这个三元组包括

  • 安全参数索引SPI(Security Parameter Index)
  • 目的IP地址
  • 使用的安全协议号(AH或ESP)
    HCIA-SEC笔记15------加密技术应用_第9张图片

封装模式-传输模式

在传输模式中,AH头或ESP头被插入到IP头与传输层协议头之间,保护TCP/UDP/ICMP负载。
HCIA-SEC笔记15------加密技术应用_第10张图片
输模式不改变报文头,故隧道的源和目的地址必须与IP报文头中的源和目的地址一致,所以只适合两台主机或一台主机和一台VPN网关之间通信。

封装模式-隧道模式

在隧道模式下,AH头或ESP头被插到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前,保护IP头和负载。
HCIA-SEC笔记15------加密技术应用_第11张图片
新增IP头为公网IP

隧道模式主要应用于两台VPN网关之间或一台主机与一台VPN网关之间的通信。

传输模式和隧道模式的区别在于:
从安全性来讲,隧道模式优于传输模式。它可以完全地对原始IP数据报进行验证和加密。隧道模式下可以隐藏内部IP地址,协议类型和端口。

从性能来讲,隧道模式因为有一个额外的IP头,所以它将比传输模式占用更多带宽。

IKE SA

IKE SA是为IPSec SA服务的,为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务。
HCIA-SEC笔记15------加密技术应用_第12张图片
对等体之间建立一个IKE SA完成身份验证和密钥信息交换后,在IKE SA的保护下,根据配置的AH/ESP安全协议等参数协商出一对IPSec SA。此后,对等体间的数据将在IPSec隧道中加密传输。

IKE SA是建立IPSec SA的前提。

IPSec加解密及验证过程

HCIA-SEC笔记15------加密技术应用_第13张图片
IPSec采用对称加密算法对数据进行加密和解密。

ICV:Integrity Check Value(完整性校验值)

HMAC功能通过比较数字签名进行数据包完整性和真实性验证。

SSL VPN

SSL是一个安全协议,为基于TCP的应用层协议提供安全连接

IPSec可以通过加密实现数据的安全传输,但是IPSec的加密和验证功能在一些特殊场景下是存在问题的,比如说NAT穿越场景。

而SSL VPN因其特有的属性,加密只对应用层生效,且不需要用户安全VPN客户端,因而适用范围更广、也更便捷。

SSL VPN 主要功能

  • 用户认证
  • web代理
  • 文件共享
  • 端口转发
  • 网络扩展

总结

L2TP VPN
GRE VPN
IPSec VPN
SSL VPN

HCIA-SEC更新结束

下一阶段开始HCIP-SEC…

你可能感兴趣的:(HCIA-SEC笔记15------加密技术应用)