【安全系列】ipsec ***之配置詳解篇

時間 2019-12-24

標籤安全系列 ipsec 配置詳解欄目 VPS 简体版

原文原文鏈接

IPSEC ×××之配置詳解篇

無止境系列文檔將以網絡安全爲方向，以專題的形式每週天發佈，但願你們支持。

【閱讀說明】

爲了方便你們閱讀，特做以下說明：

1. 專業術語或者一些概念用紅色標識。

2. 重要或者強調的語句用藍色標識。

3. 總結的部分用綠色標識。

【主要內容】

1. IPSEC ×××理解

2. 封裝模式

3. IKE兩個階段

4. ipsec ***配置

【IPSEC ×××理解】

IPSEC 是一套保護IP數據在不一樣的地點間傳輸時安全性的功能特性集。

×××能夠僅僅是兩個端點間的一條隧道或鏈路。

IPSEC ×××就是有安全保護的×××。

IPSEC有四個功能特性：數據機密性，數據完整性，數據源認證，防重放。

前面兩篇已經介紹了上述概念（防重放除外），IPSEC ×××是經過相應的協議封裝來實現的。

IPSEC使用的協議：

1）IKE，Internet Key Exchange，互聯網密鑰交換。

2）ESP，Encapsulation Security Payload，封裝安全負載。

3）AH，Authentication Header，認證頭。

經過IKE，ESP，AH這三個協議來保證IPSEC所提供的特性。

一。IKE介紹

IKE是協商和交換安全參數和認證密鑰的體系框架。

使用isakmp和oakley協議來完成對等體驗證和密鑰生成工做。

二。ESP介紹

提供數據機密性，完整性，數據源認證和可選的防重放功能的體系框架。

可選機密性方法：esp-des esp-3des

可選數據源認證和完整性方法：esp-md5-hmac esp-sha-hmac

三。AH介紹

提供數據完整性，數據源認證和可選防重放功能的體系框架。

注意：沒有提供機密性保護。

可選驗證和完整性方法：ah-md5-hmac ah-sha-hmac

IKE是必需要用到的協議，AH和ESP能夠根據須要選擇其中一個，或者也能夠同時選擇兩個，可是同時使用ESP和AH效果不比單個好，因此建議僅選一個。

【封裝模式】

封裝模式有兩種：傳輸模式和隧道模式

傳輸模式：不改變原有的IP包頭

隧道模式：增長新的IP頭

一。傳輸模式

二。隧道模式

從上述圖中能夠看出：

1.傳輸模式保護的是×××端點間傳送的數據包內容，隧道模式下保護的是整個IP包。

2.AH驗證的內容是二層頭部以後的整個數據包，ESP對外層新IP頭沒有進行認證。

【IKE階段】

SA（security association），安全關聯。是兩個對等體之間協商一致的一組安全服務（參數）。

雙向SA：進站和出戰用的同一組服務參數。

單向SA：進站和出站用的是不一樣的服務參數，一個用於入站，一個用於出站。

IKE階段一：

主要目的：創建IKE安全通道

做用：

1）在IPSEC對等體之間創建一個雙向的SA

2）實現對等體的驗證

創建SA須要協商的內容：

加密算法，hash算法，DH算法，身份認證方法，存活時間

IKE階段二，創建IPSEC SA。

目的：協商IPSEC安全參數

創建單向SA須要協商內容：

加密算法，hash算法，安全協議，封裝模式，存活時間

IKE的SA這裏不討論。這裏再詳細介紹一下IPSEC SA。

1. SA由SPD (security policy database)和SAD(SA database)組成。

2. 圖解表示：

圖3-3

SAD：每一個客戶端都使用SAD來跟蹤所參與的SA，對每一個客戶端來講，都有兩個SA。

一個用於數據進來的時候的算法集，一個用於數據出去的時候所使用的算法集。

SPD：包含了每一個SA達成一致的參數。包括：加密算法，驗證算法，IPSEC模式，密鑰生命期。

雖然兩個階段都有協商加密算法、hash算法等，可是做用是不同的。第一個階段主要是爲了先創建一個安全通道，是對isakmp消息自身的保護措施，跟用戶的數據沒有關係。第二個階段纔是真正協商對數據進行加密、完整性檢驗和認證的算法。

雖然是分爲兩個階段，可是第二個階段是要利用第一個階段SA的相關內容的，因此兩個階段也是互相聯繫的。

【 ipsec *** 配置】

這部分比較長，見附件完整版。

下週主要內容預告： IPSEC ××× 之深刻理解篇（主要分析 AH 和 ESP 報文格式 ) 敬請期待！

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。