IPSEC ×××之配置详解篇
 
无止境系列文档将以网络安全为方向,以专题的形式每周天发布,希望大家支持。
 

【阅读说明】

为了方便大家阅读,特作如下说明:
1. 专业术语或者一些概念用红色标识。
2. 重要或者强调的语句用蓝色标识。
3. 总结的部分用绿色标识。
 

【主要内容】

1.  IPSEC ×××理解
2.  封装模式
3.  IKE两个阶段
4.  ipsec ***配置
 

IPSEC ×××理解】

IPSEC 是一套保护IP数据在不同的地点间传输时安全性的功能特性集。
×××可以仅仅是两个端点间的一条隧道或链路。
IPSEC ×××就是有安全保护的×××
IPSEC有四个功能特性:数据机密性,数据完整性,数据源认证,防重放。
前面两篇已经介绍了上述概念(防重放除外),IPSEC ×××是通过相应的协议封装来实现的。
IPSEC使用的协议:
1IKEInternet Key Exchange,互联网密钥交换。
2ESPEncapsulation Security Payload,封装安全负载。
3AHAuthentication Header,认证头。
通过IKEESPAH这三个协议来保证IPSEC所提供的特性。
一。IKE介绍
IKE是协商和交换安全参数和认证密钥的体系框架。
使用isakmpoakley协议来完成对等体验证和密钥生成工作。
 
二。ESP介绍
提供数据机密性,完整性,数据源认证和可选的防重放功能的体系框架。
可选机密性方法:esp-des esp-3des
可选数据源认证和完整性方法:esp-md5-hmac esp-sha-hmac
 
三。AH介绍
提供数据完整性,数据源认证和可选防重放功能的体系框架。
注意:没有提供机密性保护。
可选验证和完整性方法:ah-md5-hmac  ah-sha-hmac
 
IKE是必须要用到的协议,AHESP可以根据需要选择其中一个,或者也可以同时选择两个,但是同时使用ESPAH效果不比单个好,所以建议仅选一个。
 
 

【封装模式】

封装模式有两种: 传输模式和隧道模式
传输模式:不改变原有的IP包头
隧道模式:增加新的IP
一。传输模式
鍥?-1
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
二。隧道模式
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
从上述图中可以看出:
1.传输模式保护的是×××端点间传送的数据包内容,隧道模式下保护的是整个IP包。
2.AH验证的内容是二层头部之后的整个数据包,ESP对外层新IP头没有进行认证。
 
IKE阶段】
SAsecurity association),安全关联。是两个对等体之间协商一致的一组安全服务(参数)。
双向SA:进站和出战用的同一组服务参数。
单向SA 进站和出站用的是不同的服务参数,一个用于入站,一个用于出站。
 
IKE阶段一:
主要目的:建立IKE安全通道
作用:
1)在IPSEC对等体之间建立一个双向的SA
2)实现对等体的验证
建立SA需要协商的内容:
加密算法,hash算法,DH算法,身份认证方法,存活时间
 
IKE阶段二,建立IPSEC SA
目的:协商IPSEC安全参数
建立单向SA需要协商内容:
加密算法,hash算法,安全协议,封装模式,存活时间
 
IKESA这里不讨论。这里再详细介绍一下IPSEC SA
1.  SASPD (security policy database)SAD(SA database)组成。
2.  图解表示:
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
           图3-3
 
SAD:每个客户端都使用SAD来跟踪所参与的SA,对每个客户端来说,都有两个SA
一个用于数据进来的时候的算法集,一个用于数据出去的时候所使用的算法集。
SPD:包含了每个SA达成一致的参数。包括:加密算法,验证算法,IPSEC模式,密钥生命期。
 
虽然两个阶段都有协商加密算法、hash算法等,但是作用是不一样的。第一个阶段主要是为了先建立一个安全通道,是对isakmp消息自身的保护措施,跟用户的数据没有关系。第二个阶段才是真正协商对数据进行加密、完整性检验和认证的算法。
 
虽然是分为两个阶段,但是第二个阶段是要利用第一个阶段SA的相关内容的,所以两个阶段也是互相联系的。
 

 

 

ipsec ***配置】
这部分比较长,见附件完整版。
 

下周主要内容预告:IPSEC ×××之深入理解篇(主要分析AHESP报文格式)   敬请期待!