IPSEC在企业网中的应用
IPSec 协议简介:
IPSec 是一系列网络安全协议的总称,它是由IETF(Internet Engineering Task
Force,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务。
IPSE的原理
IPSec安全体系内容
验证头部AH:
为IP包提供数据完整性校验和身份认证功能;
验证算法由SA指定;
认证的范围:整个包。
封装安全载荷ESP:
提供机密性,数据源验证,抗重播以及数据完整性等安全服务;
加密算法和身份验证方法均有SA指定。
用于两种模式:传输模式和隧道模式
AH处理过程
1) 对于发出去的包的处理构造AH
l 创建一个外出SA(手工或通过IKE)
l 产生序列好
l 填充AH头的各字段
l 计算ICV(Integrity Check Value完整性检验值)
内容包括:IP头中部分域,AH自身,上层协议数据
l AH头中的”下一头部“置为原IP包头中的”协议“字段的值,原IP包头的”协议字段置为51(代表AH)
2) 对于接受到的包处理:
l 分片装配
l 查找SA
依据:目标IP地址,AH协议,SPI
l 检查序列号
l ICV检查
ESP处理过程
1) 对出发出去的包的处理
l 查找SA
l 加密
l 封装必要的数据,放到payload data域中,不同的模式,封装数据的范围不同
l 增加必要的padding数据
l 加密操作
l 验证
l 计算ICV 注意:针对加密后的数据进行计算
2) 对于接受到的包的处理
l 分片装配
l 查找SA
依据:目标IP地址,ESP协议,SPI
l 检查序列号(可选,针对重放攻击)
使用一个滑动串口来检查序列号的重放
l ICV检查
l 解密
根据SA中指定的算法和迷失,参数,对于被加密部分的数据进行解密
去掉padding
重构原始的IP包
SA(Security Association)安全联盟
l SA是单向的(无法反推)
l SA是“协议相关”的(与协议对应)
l 每个SA通过三个参数来标志,<spi,dst(src),protocol>
安全参数索引SPI(Security Parameters Index)
对方IP地址
安全协议标识:AH or ESP
l SA与IPSec系统中实现的两个数据库有关
安全策略数据库(SPD)
安全关联数据库(SAD)
密钥管理(Key Management)
l ISAKMP定义了密钥管理框架。ISAKMP与IKE一样,IKE是高级版本。
l IKE是母线真是确定用于IPSec的密钥交换协议。
ISAKMP参考RFC2308文档,IKE协议参考RFC2409文档
IPSec 相关术语:
数据流:在 IPSec 中,一组具有相同源地址/掩码、目的地址/掩码和上层协议的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定义,所有为ACL 允许通过的报文在逻辑上作为一个数据流。为更容易理解,数据流可以比作是主机之间一个的TCP 连接。IPSec 能够对不同的数据流施加不同的安全保护,例如对不同的数据流使用不同的安全协议、算法或密钥。
案例.
要求:
在企业网络中,如图,采用ike模式配置网络之间的安全通信。其中R1为公司总部,R4为Internet网络,其两个分公司通过Internet与总部通信,现要求通过ike方法实现总部与分公司之间的安全通信。
拓扑图
配置步骤 R2的配置 interface Ethernet0/0 ip address 192.168.5.1 255.255.255.0 interface serial1/0 ip address 192.168.3.1 255.255.255.0 将端口加入区域信任 Firewall zone trust Add interface eth0/0 Add interface ser1/0 Ip route 0.0.0.0 0.0.0.0 192.168.3.2 创建访控列表 acl 3000 rule permit ip source 192.168.3.0 0.0.0.255 dest 192.168.2.0 0.0.0.0.255 允许的 rule deny ip source any dest any quit ipsec proposal tran1 配置ipsec协议 encap tunnel 配置报文封装类型 transform esp 配置安全协议 esp encry des 加密方式 esp authen md5- 验证算法 exi ipsec policy policy1 10 manual security acl 3000 应用访空列表 proposal trans1 安全提议 tunnel local 192.168.3.1 tunnel remote 192.168.2.2 sa out esp spi 12345 出去的 sa out esp string-key abcde 出去验证的钥匙串 sa in esp spi 54321 进去的 sa in esp string wang 进去的钥匙串 int s1/0 ipsec policy policy1 R3的配置 interface Ethernet0/0 ip address 192.168.6.1 255.255.255.0 interface serial1/0 ip address 192.168.4.1 255.255.255.0 将端口加入区域信任 Firewall zone trust Add interface eth0/0 Add interface ser1/0 Ip route 0.0.0.0 0.0.0.0 192.168.4.2 创建访控列表 acl 3000 rule permit ip source 192.168.4.0 0.0.0.255 dest 192.168.2.0 0.0.0.0.255 允许的 rule deny ip source any dest any quit ipsec proposal tran3 配置ipsec协议 encap tunnel 配置报文封装类型 transform esp 配置安全协议 esp encry des 加密方式 esp authen md5- 验证算法 exi ipsec policy policy1 30 manual security acl 3000 应用访空列表 proposal trans3 安全提议 tunnel local 192.168.4.1 exit ike pre-shared-key abcdef remote192.168.2.1 int s1/0 ip sec policy policy3 形成的策略放到外出端口上 R1的配置 interface Ethernet0/0 ip address 192.168.1.2 255.255.255.0 interface serial1/1 ip address 192.168.2.1 255.255.255.0 将端口加入区域信任 Firewall zone trust Add interface eth0/0 Add interface ser1/1 Ip route 0.0.0.0 0.0.0.0 192.168.2.2 创建访控列表 acl 3000 rule permit ip source 192.168.2.0 0.0.0.255 dest 192.168.3.0 0.0.0.0.255 rule deny ip source any dest any quit ipsec proposal tran2 配置ipsec协议 encap tunnel 配置报文封装类型 transform esp 配置安全协议 esp encry des 加密方式 esp authen md5- 验证算法 exi ipsec policy policy1 20 manual security acl 3000 应用访空列表 proposal trans2 安全提议 tunnel local 192.168.2.1 tunnel remote 192.168.3.1 sa out esp spi 54321 出去的 sa out esp string-key abcde 出去验证的钥匙串 sa in esp spi 12345 进去的 sa in esp string wang 进去的钥匙串 int s1/1 ipsec policy policy2 创建访控列表 acl 3000 rule permit ip source 192.168.2.0 0.0.0.255 dest 192.168.4.0 0.0.0.0.255 允许的 quit ipsec proposal tran4 配置ipsec协议 encap tunnel 配置报文封装类型 transform esp 配置安全协议 esp encry des 加密方式 esp authen md5- 验证算法 exi ipsec policy policy1 40 manual security acl 3000 应用访空列表 proposal trans4 安全提议 tunnel local 192.168.2.1 exit ike pre-shared-key abcdef remote192.168.4.1 int s1/1 ip sec policy policy4 形成的策略放到外出端口上 分支二与总公司
总公司与分支一 分支二
分支一与总公司
