ipsec

1.IPSEC简介

IPSec 是包括安全协议(Security Protocol)和密钥交换协议(IKE),由IETF(Internet Engineering TaskForce,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务的一系列网络安全协议的总称,其中安全协议又包括AH(头验证协议)和ESP(安全封装载荷);而IKE是一种基于ISAKMP(Internet Security Association and Key Management Protocol,互联网安全关联和密钥管理协议)中TCP/IP框架,合并了Oakley(密钥交换协议)的一部分和SKEME(密钥技术协议)的混合协议。

2.IPSEC的安全特性

(1)不可否认性:"不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。

(2)抗重播性(Anti-Replay): IPsec接收方可根据数据包数据段前加入的32位序列号来检测每个IP包的唯一性并拒绝接收过时或重复的报文,以防止攻击者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。

(3)数据完整性(Data Integrity): IPsec接收方利用md5,sha-1等哈希算法对发送方发送来的包进行认证,防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。

(4)数据可靠性(Confidentiality):IPsec发送方在通过des,3des,aes等对称加密算法在网络传输包前对包进行加密,保证在传输过程中,即使数据包遭截取,信息也无法被读。该特性在IPSec中为可选项,与IPSec策略的具体设置相关。

(5)数据来源认证(Data Authentication):IPsec在接收端通过preshared key(域共享密钥),证书,kerberos v5等可以认证发送IPsec报文的发送端是否合法。

3.IPSEC的工作模式

(1)隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

(2)传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。

4.IPSEC安全机制中两种协议的比较

AH协议(IP协议号为51)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。,但因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum。所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。因此AH不支持NAT转换。

ESP协议(IP协议号为50)提供加密、数据源认证、数据完整性校验和防报文重放功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。与AH协议不同的是,ESP将需要保护的用户数据进行加密后再封装到IP包中,以保证数据的机密性。

下图更好的解释了AH和ESP在IPSEC两种工作模式下对数据包的加密与认证

5.IPsec基本概念(基于H3C)

1. 数据流:在 IPSec 中,一组具有相同源地址/掩码/端口、目的地址/掩码/端口和上层协议的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定义,所有为ACL 允许通过的报文在逻辑上作为一个数据流。

2.安全策略:由用户手工配置,规定对什么样的数据流采用什么样的安全措施。对数据流的定义是通过在一个访问控制列表中配置多条规则来实现,在安全策略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由“名字”和“顺序号”共同唯一确定。

3.安全策略组:所有具有相同名字的安全策略的集合。在一个接口上,可应用或者取消一个安全策略组,使安全策略组中的多条安全策略同时应用在这个接口上,从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中,顺序号越小的安全策略,优先级越高。

4.安全联盟(Security Association,简称SA):IPSec 对数据流提供的安全服务通过安全联盟SA 来实现,它包括协议、算法、密钥等内容,具体确定了如何对IP 报文进行处理。一个SA 就是两个IPSec 系统之间的一个单向逻辑连接,输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组(安全参数索引(SPI)、IP 目的地址、安全协议号(AH或ESP))来唯一标识。
安全联盟可通过手工配置和自动协商两种方式建立。
手工建立安全联盟的方式是指用户通过在两端手工设置SA的全部信息,然后在接口上应用安全策略建立安全联盟,缺点是配置复杂,而且不支持一些高级特性(如定时更新密钥),适用于小型企业。
自动协商方式由IKE 生成和维护,通信双方基于各自的安全策略库经过匹配和协商,最终建立安全联盟而不需要用户的干预,配置简单,适用于大型企业。在自动协商中又分为主模式与野蛮模式,野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。

5.安全参数索引(SPI):是一个32 比特的数值,在每一个IPSec 报文中都携带该值。SPI、IP 目的地址、安全协议号三者结合起来共同构成三元组,来唯一标识一个特定的安全联盟。在手工配置安全联盟时,需要手工指定SPI 的取值。为保证安全联盟的唯一性,每个安全联盟需要指定不同的SPI 值;使用IKE协商产生安全联盟时,SPI 将随机生成。

6.安全提议:包括安全协议、安全协议使用的算法、安全协议对报文的封装形式,规定了把普通的IP 报文转换成IPSec 报文的方式。在安全策略中,通过引用一个安全提议来规定该安全策略采用的协议、算法等。

6.IPsecIPSEC配置步骤

创建加密访问控制列表

根据是否与加密访问控制列表匹配,可以确定那些 IP 包加密后发送,那些IP 包直

接转发。需要保护的安全数据流使用扩展IP 访问控制列表进行定义。

acl acl-number

rule { normal | special }{ permit | deny } pro-number[source source-addr source-wildcard | any ][source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ][destination-port operator port1 [ port2 ] ] [icmp-type icmp-type icmp-code][logging]

定义安全提议

定义安全提议 ipsec proposal proposal-name

设置安全协议对 IP 报文的封装模式encapsulation-mode { transport | tunnel }

选择安全协议transform { ah-new | ah-esp-new | esp-new }

选择加密算法与认证算法

Esp协议下 transform { ah-new | ah-esp-new | esp-new }

AH协议下 transform { ah-new | ah-esp-new | esp-new }

创建安全策略

手工创建安全策略的配置包括:

手工创建安全策略ipsec policy policy-name sequence-number manual

配置安全策略引用的访问控制列表 security acl access-list-number

指定安全隧道的起点与终点 tunnel local ip-address

tunnel remote ip-address

配置安全策略中引用的安全提议 proposal proposal-name

配置安全策略联盟的 SPI 及使用的密钥

SPI的配置                 sa inbound { ah | esp } spi spi-number

sa outbound { ah | esp } spi spi-number

密钥的配置

AH16进制密钥 sa { inbound | outbound } ah hex-key-string hex-key

AH 字符密钥 sa { inbound | outbound } ah string-key string-key

ESP16进制密钥 sa { inbound | outbound } esp encryption-hex hex-key

ESP字符密钥 sa { inbound | outbound } esp string-key string-key

     在接口上应用安全策略组

                     ipsec policy policy-name

IKE 创建安全策略联盟的配置包括:

IKE 创建安全策略联盟

ipsec policy policy-name sequence-number isakmp

配置安全策略引用的访问控制列表

security acl access-list-number

指定安全隧道的终点

tunnel remote ip-address

配置安全策略中引用的安全提议

proposal proposal-name1 [ proposal-name2...proposal-name6 ]

配置安全联盟的生存时间(可选)

  配置全局时间

     ipsec sa global-duration time-based seconds

ipsec sa global-duration traffic-based kilobytes

  配置独立时间

     sa duration { time-based seconds |traffic-based kilobytes }

 

 

7.IPsec配置案例

 

wps_clip_image-11831

防火墙:

防火墙的配置信息:

image

防火墙上的路由信息:

 

wps_clip_image-25207

R1上的ipsec信息:

image

image

配置信息:

image

image

image

路由信息:

image

R2

ipsec信息:

image

配置信息:

image

image

路由信息:

image

 

R3ipsec配置:

image

配置信息:

image

image

路由信息:

image

测试:

 

 

image

 

实现了隧道通信:

wps_clip_image-11255

你可能感兴趣的:(开发,安全,internet,数据流,的)