![[白首]](/views/front/img/head.png){kind=avatar}
防御第八次作业
一、根据以下问题总结当天内容
1.什么是数据认证,有什么作用,有哪些实现的技术手段?
数字认证证书它是以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、数字签名和签名验证,确保网上传递信息的安全性、完整性。 使用了数字证书,即使您发送的信息在网上被他人截获,甚至您丢失了个人的账户、密码等信息,仍可以保证您的账户、资金安全。 简单来说就是保障你的在网上交易的安全。
简单来说:就是我们要知道数据的拥有者是谁,数据的发送者是谁
2.什么是身份认证,有什么作用,有哪些实现的技术手段?
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
3.什么VPN技术?
VPN虚拟私有网,是一种隧道技术
4.VPN技术有哪些分类?
业务部分:
client to LAN (access )
LAN to LAN (site to site )
网络层次划分
5.IPSEC技术能够提供哪些安全服务?
ipsec 是一种基于网络层,应用密码学的安全通信协议族。目的是在网络层环境ipv4,ipv6提供灵活的安全传输服务。
ipsec的安全服务:
机密性
完整性
数据源鉴别
重传保护
不可否认行
6.IPSEC的技术架构是什么?
ipsec有俩个安全封装协议:
1、ESP
- 加密算法
- 鉴别算法
- 机密性 完整性 可用性
2、AH
- 鉴别算法
- 完整性 可用性
- 密钥管理与分发协议 IKE internet key exchange
7.AH与ESP封装的异同?
AH算法的协议号为51,ESP算法的协议号为50,
安全服务的不同:
AH算法:
数据源认证----通过计算验证码时加入一个共享密钥来实现,和ospf的认证类似。
数据抗重放---AH包头中的序列号
数据完整性---hash算法,校验hash值来实现
没有机密性,没有使用加密算法
ESP算法:
数据完整性
数据源认证
数据抗重放
数据机密性
数据流保护
从传输模式上看:AH算法只有认证范围,没有加密范围,缺少机密性,
AH:
ESP:
8.IKE的作用是什么?
建立安全联盟有俩种,一种是静态,一种是动态。如果需要建立安全联盟的节点较多时静态手工配置将会非常困难,也容易出错,并且安全低。可以使用动态的方式进行协商来解决,IKE internet keyexchange自动协商安全联盟建立密钥交换过程。
ike用途:
为ipsec通信双方,动态的建立安全联盟SA,对SA进行管理与维护。
为ipsec生成密钥,提供AH/ESP加解密和验证使用
两个阶段:
第一阶段:IKE SA 对等体之间的身份认证、IPSEC之间的密钥生成和交换
第二阶段:IPSEC SA
9.详细说明IKE的工作原理?
ike建立安全联盟的两个阶段:
第一阶段:IKE SA ---主要解决两个主要的问题---(双方---对等体之间的身份认证,IPSec之间的密钥 生成和交换)。
第二阶段:IPSec SA
IKE的工作过程:
第一个阶段:通信各方彼此之间需要建立一个已通过身份验证和安全保护的通道,交换建立一个iskmp安全联盟,iskmp SA(IKE SA)。
主模式
野蛮模式
第二个阶段:用已经建立的安全联盟iskmp sa(ike sa)的安全通道为ipsec协商安全服务,建立ipsec sa,产生用于业务数据加密的密钥
10.IKE第一阶段有哪些模式? 有什么区别,使用场景是什么?
IKE第一阶段分为主模式和野蛮模式:
主模式:
6个包交互,默认使用IP地址作为身份标识,默认传递自己的接口地址作为身份标识,对方的公网地址作为对端身份标识去检查。(安全提议:加密算法、hash算法、身份认证方式、密钥交换算法、密钥周期)
注:Ci 表述本地cookie信息,SAi表述协商的安全策略参数,SAr对方协商参数的确认,Cr对方cookie信息的确认 Xi,Yi是交换的公钥信息,Ni随机数 ID是身份信息,HASH验证信息
野蛮模式:
IKE野蛮模式和主模式的理论上的区别在与进行IKE 协商的时候,所采用的协商方式不同,具体在于,IKE主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证。IKE的野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。
主模式是依靠IP地址进行建立关系,而野蛮模式是依靠id值进行建立关系,而野蛮模式省略了协商动作(安全策略的一致),上来就是给出了自己的cookie信息和交换的安全公钥信息、随机数和id值,这里的id值可以是IP地址也可以是其他数值或者字符串,范围较广。
主动模式会存在6个包,野蛮模式只有3个包
场景:在实际应用中,一般情况下,IKE的主模式适用于两设备的公网IP固定、且要实现设备之间点对点的环境。对于例如ADSL拨号用户,其获得的公网IP不是固定的,且可能存在NAT设备的情况下,采用野蛮模式作NAT穿越,同时,由于IP不是固定的,用name作为id-type,总部采用模板的方式接收分支的IPSEC 接入。
二、复现课堂实验
1.使用防火墙IPsec VPN点到点实验
防火墙IPsec配置
安全策略放行IPsec流量
放行感兴趣流量
PC1:
2.DSVPN多层分支实验
R1为总公司,R3和R4为分公司,R5和R6为R3的分公司,R7和R8为R4的分公司。
要求:所有公司之间使用DSVPN通信,使用基础MGRE建立隧道,IPESC加密数据;
配置:
ipsec proposal yyy
encapsulation-mode transport
transform ah-esp
ah authentication-algorithm sha1
esp authentication-algorithm sha1
esp encryption-algorithm 3des
#
ike proposal 1
encryption-algorithm aes-cbc-128
dh group5
authentication-algorithm md5
sa duration 3600
#
ike peer yyy v1
exchange-mode aggressive
pre-shared-key simple 999
ike-proposal 1
local-id-type name
remote-name kkk
#
ipsec profile yyy
ike-peer yyy
proposal yyy
#
interface Tunnel0/0/0
ip address 172.16.1.3 255.255.255.0
tunnel-protocol gre p2mp
source GigabitEthernet0/0/0
gre key 123
ospf network-type p2mp
ipsec profile yyy
nhrp redirect
nhrp shortcut
nhrp entry multicast dynamic
nhrp network-id 100
nhrp entry 172.16.1.1 100.1.12.2 register
#
ospf 1 router-id 3.3.3.3
area 0.0.0.0
network 10.3.3.3 0.0.0.0
network 172.16.1.0 0.0.0.255
#
ike local-name kkk