IPSEC在企业网中的应用

 

 

 

 

 

IPSEC在企业网中的应用

 

IPSec 协议简介:

IPSec 是一系列网络安全协议的总称,它是由IETFInternet Engineering Task
Force
Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。

IPSE的原理

IPSec安全体系内容

验证头部AH

IP包提供数据完整性校验和身份认证功能;

验证算法由SA指定;

认证的范围:整个包。

封装安全载荷ESP

提供机密性,数据源验证,抗重播以及数据完整性等安全服务;

加密算法和身份验证方法均有SA指定。

用于两种模式:传输模式和隧道模式

AH处理过程

1) 对于发出去的包的处理构造AH

创建一个外出SA(手工或通过IKE

产生序列好

填充AH头的各字段

计算ICVIntegrity Check Value完整性检验值)

    内容包括:IP头中部分域,AH自身,上层协议数据

AH头中的”下一头部“置为原IP包头中的”协议“字段的值,原IP包头的”协议字段置为51(代表AH

2)  对于接受到的包处理:

分片装配

查找SA

依据:目标IP地址,AH协议,SPI

检查序列号

ICV检查

ESP处理过程

1) 对出发出去的包的处理

查找SA

加密

封装必要的数据,放到payload data域中,不同的模式,封装数据的范围不同

增加必要的padding数据

加密操作

验证

计算ICV   注意:针对加密后的数据进行计算

2) 对于接受到的包的处理

分片装配

查找SA

    依据:目标IP地址,ESP协议,SPI

检查序列号(可选,针对重放攻击)

    使用一个滑动串口来检查序列号的重放

ICV检查

解密

根据SA中指定的算法和迷失,参数,对于被加密部分的数据进行解密

去掉padding

重构原始的IP

 

SASecurity Association)安全联盟

SA是单向的(无法反推)

SA是“协议相关”的(与协议对应)

每个SA通过三个参数来标志,<spi,dst(src),protocol>

安全参数索引SPISecurity Parameters Index

对方IP地址

安全协议标识:AH or ESP

SAIPSec系统中实现的两个数据库有关

安全策略数据库(SPD

安全关联数据库(SAD

 

密钥管理(Key Management

ISAKMP定义了密钥管理框架。ISAKMPIKE一样,IKE是高级版本。

IKE是母线真是确定用于IPSec的密钥交换协议。

ISAKMP参考RFC2308文档,IKE协议参考RFC2409文档

IPSec 相关术语:
数据流:在 IPSec 中,一组具有相同源地址/掩码、目的地址/掩码和上层协议的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定义,所有为ACL 允许通过的报文在逻辑上作为一个数据流。为更容易理解,数据流可以比作是主机之间一个的TCP 连接。IPSec 能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法或密钥。

案例.

要求:

在企业网络中,如图,采用ike模式配置网络之间的安全通信。其中R1为公司总部,R4Internet网络,其两个分公司通过Internet与总部通信,现要求通过ike方法实现总部与分公司之间的安全通信。

拓扑图

 

 

 

 

 

 

配置步骤

R2的配置

interface Ethernet0/0

ip address 192.168.5.1 255.255.255.0

interface serial1/0

ip address 192.168.3.1 255.255.255.0

将端口加入区域信任

Firewall zone trust

Add interface eth0/0

Add interface ser1/0

Ip route 0.0.0.0 0.0.0.0 192.168.3.2

创建访控列表

acl 3000

rule permit ip source 192.168.3.0 0.0.0.255 dest 192.168.2.0 0.0.0.0.255 允许的

rule deny ip source any dest any

quit

ipsec proposal tran1    配置ipsec协议

encap tunnel             配置报文封装类型

transform  esp          配置安全协议

esp encry des   加密方式

esp authen md5-  验证算法

exi ipsec policy policy1 10 manual

security acl 3000   应用访空列表

proposal trans1  安全提议

tunnel local 192.168.3.1

tunnel remote 192.168.2.2

sa out esp spi 12345      出去的

sa out esp string-key abcde  出去验证的钥匙串

sa in esp spi 54321       进去的

sa in esp string wang   进去的钥匙串

int s1/0

ipsec policy policy1

 

R3的配置

interface Ethernet0/0

ip address 192.168.6.1 255.255.255.0

interface serial1/0

ip address 192.168.4.1 255.255.255.0

将端口加入区域信任

Firewall zone trust

Add interface eth0/0

Add interface ser1/0

Ip route 0.0.0.0 0.0.0.0 192.168.4.2

创建访控列表

acl 3000

rule permit ip source 192.168.4.0 0.0.0.255 dest 192.168.2.0 0.0.0.0.255 允许的

rule deny ip source any dest any

quit

ipsec proposal tran3    配置ipsec协议

encap tunnel             配置报文封装类型

transform  esp          配置安全协议

esp encry des   加密方式

esp authen md5-  验证算法

exi ipsec policy policy1 30 manual

security acl 3000   应用访空列表

proposal trans3  安全提议

tunnel local 192.168.4.1

exit

ike pre-shared-key abcdef remote192.168.2.1

int s1/0

ip sec policy policy3  形成的策略放到外出端口上

 

R1的配置

 

interface Ethernet0/0

ip address 192.168.1.2 255.255.255.0

interface serial1/1

ip address 192.168.2.1 255.255.255.0

将端口加入区域信任

Firewall zone trust

Add interface eth0/0

Add interface ser1/1

Ip route 0.0.0.0 0.0.0.0 192.168.2.2

创建访控列表

acl 3000

rule permit ip source 192.168.2.0 0.0.0.255 dest 192.168.3.0 0.0.0.0.255

rule deny ip source any dest any

quit

ipsec proposal tran2    配置ipsec协议

encap tunnel             配置报文封装类型

transform  esp          配置安全协议

esp encry des   加密方式

esp authen md5-  验证算法

exi ipsec policy policy1 20 manual

security acl 3000   应用访空列表

proposal trans2  安全提议

tunnel local 192.168.2.1

tunnel remote 192.168.3.1

sa out esp spi 54321      出去的

sa out esp string-key abcde  出去验证的钥匙串

sa in esp spi 12345       进去的

sa in esp string wang   进去的钥匙串

int s1/1

ipsec policy policy2

 

 

 

创建访控列表

acl 3000

rule permit ip source 192.168.2.0 0.0.0.255 dest 192.168.4.0 0.0.0.0.255 允许的

quit

ipsec proposal tran4    配置ipsec协议

encap tunnel             配置报文封装类型

transform  esp          配置安全协议

esp encry des   加密方式

esp authen md5-  验证算法

exi ipsec policy policy1 40 manual

security acl 3000   应用访空列表

proposal trans4  安全提议

tunnel local 192.168.2.1

exit

ike pre-shared-key abcdef remote192.168.4.1

int s1/1

ip sec policy policy4  形成的策略放到外出端口上

 

  结果测试

分支二与总公司

 

 

 

 

总公司与分支一 分支二

 

 

 

 

 

 

 

 

 

 

 

 

分支一与总公司

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

你可能感兴趣的:(网络工程)