zoukankan      html  css  js  c++  java

  • 第一章:IPsecVPN

    第一章

    一、VPN(virtual private Network,虚拟专用网)的基本概念

    1. VPN连接模式分为两种,分别是传输模式和隧道模式
      1. 传输模式:在整个VPN传输中,ip包头并没有被封装进去
      2. 隧道模式:VPN将整个三层数据报文封装在VPN数据内,再为封装后的数据报文添加新的ip头
    2. VPN的类型
      1. 站点到站点VPN:数据包封装的ip地址一般都是公司内网地址(一般为私有地址),而VPN网关对数据宝进行再次封装过程,客户端是全然不知的
      2. 远程访问VPN:但设备用户与VPN之间的连接通信,远程访问VPN对于安全性要求较高,更用于隧道模式
      3. 要想实现隧道模式的通信,就需要给客户端分配两个ip:
        1. 一个是它自己的nic地址,另一个是内网地址
    3. 加密算法
      1. 对称加密算法:使用同一种密钥对信息提供安全的保护,对称加密就是指,加密和解密使用同一个密钥的加密方式。
        1. 过程:发送方使用密钥将明文数据加密成密文,然后发送出去,接收方收到密文后,使用同一个密钥将密文解密成明文读取。
        2. 优点:加密计算量小、速度块,适合对大量数据进行加密的场景。(记住这个特点,实际使用是会用到的)
        3. 不足
          1. 密钥传输问题:如上所说,由于对称加密的加密和解密使用的是同一个密钥,所以对称加密的安全性就不仅仅取决于加密算法本身的强度,更取决于密钥是否被安全的保管,因此加密者如何把密钥安全的传递到解密者手里,就成了对称加密面临的关键问题。(比
            如,我们客户端肯定不能直接存储对称加密的密钥,因为被反编译之后,密钥就泄露了,数据安全性就得不到保障,所以实际中我们一般都是客户端向服务端请求对称加密的密钥,而且密钥还得用非对称加密加密后再传输。

          2. 密钥管理问题:再者随着密钥数量的增多,密钥的管理问题会逐渐显现出来。比如我们在加密用户的信息时,不可能所有用户都用同一个密钥加密解密吧,这样的话,一旦密钥泄漏,就相当于泄露了所有用户的信息,因此需要为每一个用户单独的生成一个密钥并且管理,这样密钥管理的代价也会非常大。
        4. 常见算法
          1. des:IBM研发的产品,密钥长度64位,其中8位,所以有效长度56位,该方法虽未被破解,但是暴力破解时间相对较短
          2. 3des:NIST(National instiute if Standards and Technology,美国国家标准及结束协会),在1999年研发了3des算法,理论上是des的加强版,使用了三个阶段的des,及同时使用了三个不同的56位密钥,所以相当于产生了168位的有效密钥长度
          3. aes:3des虽然是最安全的,但是随着时代的发展,总会被破解,NIST在2002年研发了aes算法,欲取代3des算法
      2. 非对称加密
        1. 算法原理
          1. A要向B发送信息,A和B都要产生一对用于加密
          2. A的私钥保密,A的公钥告诉B;B的私钥保密,B的公钥告诉A。
          3. A要给B发送信息时,A用B的公钥加密信息,因为A知道B的公钥。
          4. A将这个消息发给B(已经用B的公钥加密消息)。
          5. B收到这个消息后,B用自己的私钥解密A的消息。其他所有收到这个报文的人都无法解密,因为只有B才有B的私钥。
        2.  算法优缺点

          1. 优点:安全性高,到目前为止,没有任何一种方式可以在合理的时间范围内攻破该算法
          2. 缺点:效率低
        3. 非对称算法
          1. DH 
            非对称算法的基石 
            仅能用于密钥分配,不能用于加解密数据,一般加密数据用AES 
            密钥长度:512~1024中的64的整数倍 
            双方各有自己的密钥对 
          2. RSA 
            最经典的非对称加密算法 
            也可认为是使用最多的非对称加密算法 
            能用于密钥分配,也能用于加解密数据(“私钥加密,公钥解密”和“公钥加密,私钥解密”) 
            密钥长度:512~65536(64的整数倍) 
            只有发送方有一个密钥对,或者更安全的做法是:双发均生成自己的密钥对,但是后边使用密钥对进行加解密时与DH的区别查看前一章 
            可用于数字签名 
          3. ElGamal 
            数字签名DSA的基础 
            具体实现方式只有BC有,与RSA的实现方式类似 
            只有“公钥加密,私钥加密”方式(公钥加密实际上安全性不高) 
            密文会成倍扩张
      3. 密钥交换
        1. 在讨论算法时,我们忽略可一个问题:密钥的交换。许多工程师使用对称密钥加密时,都会担心密钥如何实现共享
        2. 密钥交换分为带外共享和带内共享
          1. 带外共享:即通信双方通过一个磁盘、纸、QQ、微信、打电话的共享。这种方法的缺点就是好费时间长
          2. 带内共享:通过ssh、telent等连接方式通过网络传输密钥。这种方法可以提高效率,但是前提是保证传输通道安全,而传输密钥根就是为了建立安全通道,所以这就成了恶性循环
          3. 其实,解决这个方法很简单,可以通过非对称加密算法加密对称加密算法的密钥,再用对称加密算法加密实际要传输数据。
    4. 数据报文验证:
      1. HMAC功能实现
        1. 在VPN领域,对数据进行来源和完整性校验通常借助散列算法实现
        2. HMAC(Hash-based MEssage Authentication Codes,散列消息验证码)功能专门用来处理数据及数据包相关验证问题
        3. HMAC:算法原理等信息可以去看百度百科:https://baike.baidu.com/item/hmac/7307543?fr=aladdin
      2. MD5 和 SHA
        1. MD5(Message-digest Algorithm 5,信息-摘要算法)
        2. SHA(Secure Hash Algorithm,安全散列算法)
    5. IPsec连接三个步骤
      1. 流量触发IPsec
      2. 建立管理连接
        1. OSAKMP/IKE 阶段一:要完成三个任务:①协商采用何种方式连接  ②通过DH算法共享密钥信息  ③对等体之间进行身份验证
          上述的三个任务是通过6个数据包完成的:
          前两个数据包用于协商对等体间的管理连接使用何种安全策略;
          中间两个数据包通过DH算法产生并交换加密算法和HMAC功能所需的密钥;
          最后两个数据包使用预共享密钥等方式执行对等体间的身份验证
          1. 交换ISAKMP/IKE 传输集,它主要包括以下几个方面
            1. 加密算法:des、3des、aes
            2. HMAC功能:MD5 或 SHA-1
            3. 设备验证的类型:预共享密钥
            4. DH密钥组
            5. 管理连接的生存周期
          2. 通过DH算法实现密钥交换
            1. 第一步只是协商管理连接的安全策略,而共享密钥需要通过DH算法实现
            2. DH算法前边已经说过
          3. 实现设备间身份验证
            1. 设备验证时最常用的就是预共享密钥,即在对等体之间通过带外共享的方式共享密钥,并存储在本地设备。
            2. 设备验证通过加密算法或HMAC实现两种方式实现
        2. ISAKMP/IKE:相关命令
          1. 配置安全策略
             1 R1(config)#crypro isakmp policy priority
 2 
 3 crypto isakmp policy用于建立ISAKMP/IKE的管理连接策略,每个策略对应一个序列号(priority)
 4 
 5 R1(config-isakmp)#encryption { des | 3des | aes}
 6 
 7 encryprion命令用于指定管理连接的租后两个报文(用于身份验证)采用何种加密算法
 8 
 9 R1(config-isakmp)#hash { sha | md5 }
10 
11 hash 指定了验证过程中采用的散列算法
12 
13 R1(config-isakmp)#authentication { pre-share | rsa-encr | rsa-sig }
14 
15 authentication 命令指定了设备身份验证的方式
16 
17 R1(config-isakmp)#group { 1 | 2 | 5 | 14 | 15 | 16 |}
18 
19 group 命令用于指定DH加密组,模式使用DH1,组号越大,算法越安全,占用资源也越多
20 
21 R1(config-isakmp)#lifertime seconds
22 lifetime 指定管理连接的生命周期,默认值为86400s(24小时)
23 
24 
25 查看上述配置可以使用 show crypto isakmp policy 查看
          2. 配置预共享密钥
             1 一、
 2 R1(config)#crypto isakmp key {0 | 1 } keystring address peer-address { subnet_mask }
 3 
 4 0表示密钥为明文,6表示密钥被加密
 5 keystring:表示密钥的具体内容
 6 peer-address 表示对端的与之共享密钥的对等体设备地址
 7 subent_mask 在这里为可选命令,如果没有指定,默认使用255.255.255.255作为掩码
 8 
 9 可以使用:show crypto isakmp key    查看
10 
11 
12 二、为了增强安全性,在iOS12.3(2)t版本中,增加了衣蛾选项用来加密密钥,但是要求对端的iOS支持aes加密,命令如下
13 New key:                            # 输入用于加密的预共享密钥
14 Confirm key:                       # 确认密钥
15 R1(config)#password encryption aes
16 
17 通过 show run 查看到的是密文
18 
19 
20 通过 no key config-key password-encrypt并不会使配置文件中的密码解密,会导致不可用,所以,使用该命令必须重新为设备指定密钥
            预共享密钥
      3. 建立数据连接
        1. 主要在两个对等体之间建立数据连接,主要完成以下内容
          1. 定义对等体需要保护那种流量
          2. 定义用来保护数据的安全协议
          3. 定义传输集
          4. 定义数据的生命周期及密钥刷新的方式
        2. ISAKMP/IKE阶段二的建立过程
          1. 安全关联:IPSec需要在两个对等体之间建立一条逻辑连接,这就要使用一个被称为安全连接(Security Association,SA)的信令协议。
            SA的连接是在源点和终点之间的单向连接,如果需要双向连接,就需要两个SA连接,每个方向一个,SA由三个要素定义
            •  安全参数索引:用于唯一标示每条SA连接
            • 安全协议类型:AH(Authentication Header,圈圈头协议)和ESP(Encapsulating Secuity Protocol,封装安全载荷协议)
            • 目的的、ip
          2. ISAKMP/IKE阶段二的传输集
            1. 安全协议:AH 协议 ESO协议
            2. 连接模式:隧道模式、传输模式
            3. 加密方式:对于ESP而言,有DES、3DES、AES-128、AES-192、AES-256或不使用加密算法
            4. 验证方式:MD5或SHA1
          3. 安全协议
            1. AH 和 ESP:可以看另一篇文章:https://www.cnblogs.com/-xuan/articles/10311238.html
        3. ISAKMP/IKE 第二阶段的命令配置
          1. 配置Crypto ACL
            1 R1(config)#access-list access-list-number { deny | permit } protocol source source-wildcard destination-wildcard
          2. 配置传输集
            R1(config)#crypto ipsec transform-set transform_set_name transform1 [transform2] [transfrom3 ]

R1(config)#mode { tunnel | transport }

transfrom_set_name :传输集的名字
transform1:传输集选项,可以打问号查看所有传输集选项
          3. 配置crypto map
            R1(config)#crypto map map_name seq_num ipsec-isakmp

map_name:Crypto map 的名字
seq_num:Crypto map的序列号,范围1~65535,数值越小,优先级越高

R1(config-crypto-m)#match address ACL_name_or_num
match address 命令用于指定Crypto ACL的名称或编号

R1(config-crypto-m)#set peer { hostname | IP_address }
set peer 用于指定IPSec的对等体设备,即配置的设备应该与谁建立连接

R1(config-crypto-m)#set transform-set transform_set_name1
set transform-set 命令用户指定传输集的名称,这里最多可以列出六个传输集名称

R1(config-crypto-m)#set pfs [ group1 | group2 | group5 ]
PFS(Perfect Forword Secrecy,完美转发保密) 保证两个阶段中的密钥只能使用一次,进一步增加了安全性

R1(config-crypto-m)#set security-association lifetime { seconds seconds | kilobytes kilobytes }
set security-asscociation lifetime 命令用于指定SA的生存周期

R1(config-crypto-m)#set security-association idle-time seconds
set secutity-accociation idle-time 用于指定空闲超时计时器,范围为60 - 86400s,默认情况是关闭的


     二、IPsec的案例

        1、某公司为了降低人员成本,在中小型城市建立了分公司,但是分支公司上传给总公司的数据一般为软件开发业务数据,如果被盗取,可能会带来不小的影响,管理员提出了以下要求

      1. 分支公司开发项目小组所在网络地址为172.16.10.0/24,该网络的主机可以通过VPN访问总公司的数据服务器(10.10.33.0),但是不能访问internet
      2. 分公司的其他客户端(同属于172.16.0.0/16网段)可以访问telent

          根据上述需求可以看出,网络管理员需要在分支公司的网关路由器上同事配饰VPN和pat

          案例拓扑如图所示

    配置步骤

      1、先给个端口配置ip

      2、R1 和 R2 配置默认路由连接ISP路由器

      3、配置VPN(分公司网关路由器和总公司网关路由器都需要配置)

        ①配置ISAKMP策略

        ②配置crypto 共享密钥

        ③配置Crypto ACL

        ④配置传输集

        ⑤配置加密映射

        ⑥加密映射应用到接口

      4、配置NAT

    配置:

    第一步配置ip和第二步配置路由不做演示

    第三步:配置VPN

    1. 配置策略,R1和R2配置一模一样
      1 R1(config)#crypto isakmp policy 1
2 R1(config-isakmp)#encryption 3des 
3 R1(config-isakmp)#hash sha
4 R1(config-isakmp)#authentication pre-share 
5 R1(config-isakmp)#group 2
6 R1(config-isakmp)#lifetime 10000


    2. 配置共享密钥
      R1
R1(config)#crypto isakmp key 0 xuan address 200.0.0.1

R2
R2(config)#crypto isakmp key 0 xuan address 100.0.0.1


其中key 0 为明文
xuan 为共享密钥
最后的ip是对方的ip
    3. 配置Crypto ACL
      R1
R1(config)#access-list 100 permit ip 172.16.10.0 0.0.0.255 10.10.33.0 0.0.0.255

R2
R2(config)#access-list 100 permit ip 10.10.33.0 0.0.0.255 172.16.10.0 0.0.0.255
    4. 配置传输集
      R1
R1(config)#crypto ipsec transform-set set-1 esp-des ah-sha-hmac 
R1(cfg-crypto-trans)#mode tunnel 
R1(cfg-crypto-trans)#exit
R1(config)#crypto ipsec security-association lifetime seconds 1800

R2
R2(config)#crypto ipsec transform-set set-2 esp-des ah-sha-hmac 
R2(cfg-crypto-trans)#mode tunnel 
R2(cfg-crypto-trans)#exit
R2(config)#crypto ipsec security-association lifetime seconds 1800
    5. 配置加密映射
      R1
R1(config)#crypto map map-1 1 ipsec-isakmp 
R1(config-crypto-map)#set peer 200.0.0.1
R1(config-crypto-map)#set transform-set set-1
R1(config-crypto-map)#match address 100

R2
R2(config)#crypto map map-2 1 ipsec-isakmp 
R2(config-crypto-map)#set peer 100.0.0.1
R2(config-crypto-map)#set transform-set set-2
R2(config-crypto-map)#match address 100
    6. 接口应用
      R1
R1(config-crypto-map)#int e 0/1
R1(config-if)#crypto map map-1

R2
R2(config-crypto-map)#int e 0/2
R2(config-if)#crypto map map-2

    第四步:配置PAT

    1. 创建转换的ACL
      R1
R1(config)#access-list 1 deny 172.16.10.0 0.0.0.255
R1(config)#access-list 1 permit 172.16.0.0 0.0.255.255
R1(config)#ip nat inside source list 1 interface ethernet 0/1
R1(config)#int e 0/1
R1(config-if)#ip nat outside 
R1(config-if)#int e 1/0
R1(config-if)#ip nat inside

    配置完成

    现在就可以各种whow 了

    1. show crypto isakmp policy :查看ISAKMP协商策略
    2. show crypto isakmp sa:查看SA的状态
    3. show crypto ipsec transform-set :显示传输集
    4. show crypto ipsec sa:查看sa细节信息
    5. show crypto map:查看加密映射的信息

            

    课后案例地址:https://www.cnblogs.com/-xuan/p/10312025.html
  • 相关阅读:
    最近有点烦
    好累啊
    几招有效防电脑辐射
    发两张搞笑图片
    几招有效防电脑辐射
    English Study
    人脸识别方法(转载)
    小常识
    23、C++ Primer 4th 笔记,面向对象编程(1)
    18、C++ Primer 4th 笔记,复制控制
  • 原文地址:https://www.cnblogs.com/-xuan/p/10310740.html
Copyright © 2011-2022 走看看