IPsec

最新推荐文章于 2024-07-31 19:29:25 发布
最新推荐文章于 2024-07-31 19:29:25 发布
阅读量1.5k 收藏 1
点赞数 1
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/datouwawa30/article/details/127172886
版权

IPsec协议组是IETF制定的一系列安全协议,它为端到端ip报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPsec v 是利用IPsec隧道建立的网络层VP?

IPsec特性

机密性:对数据进行加密,确保数据在传输过程中不被其他人员查看

完整性:对接收到数据包进行完整性验证,以确保数据在传输中没有被篡改

真实性:验证数据源,以确保数据来自真实的发送者

抗重放:防止恶意用户通过重复发送捕获到的数据包进行的攻击,即接收方会拒绝旧的或重复的数据包

IPsec其实是针对网络层及网络层以上的内容进行加密

IPsec需要匹配感兴趣流量,针对兴趣流量进行加密

使用场景:(网关之间【路由器-路由器or防火墙-防火墙】)

点到点或点到多点IPsec v,主要用于公司总部和分部建立通信。

1、IPsec体系架构

ESP与AH区别

ESP:封装安全载荷协议,能够提供数据源认证,防报文重放,数据校验完整性(不包含ip头部),还可以进行加密所保护的数据报文,协议号50

AH:报文头验证协议,主要提供有数据源认证,数据校验完整性,和防报文重放,但是AH不能加密所保护的数据报,协议号51

2、IPsec封装模式

传输模式:IPsec头被插入到原ip头之后

隧道模式:IPsec头被插入原ip头之前,并封装新的ip头

3、加密和验证算法

加密算法:DES(56bit)3DES(168bit)ASE(129、192、256bit)、

验证算法:MD5、SHA-1

4、AH协议

仅仅提供了源认证,完整性和抗重放,不支持加密算法,无法对数据包进行加密

为IPsec V创建SA安全联盟,用安全索引关联不同的SA

序列号用来抗重放

AH对于IPsec的封装的支持性

传输模式:验证整个ip报文

隧道模式:验证除新的IP头可变域外的整个报文

5、ESP

提供数据真实性、数据完整性、抗重放,支持加密算法,数据机密性

ESP对于IPsec的封装的支持特性

传输模式:

验证ESP头部+数据+ESP尾部

加密数据+ESP尾部

隧道模式:

验证ESP头部+原始IP头部+数据+ESP尾部

加密原始IP头部+数据+ESP尾部

传输模式

隧道模式

 

 6、IKE密钥交互

IKE相当于oakley、SKEME、ISAKMP集合

前两者通过DH进行密钥协商

ISAKMP:相当于素材

IKE安全机制:DH算法,身份保护,身份验证,前向安全性

Diffie-Hellman 算法是一种公共密钥算法。通信双方在不传送密钥的情况下通过交换一些数 据,计算出共享的密钥。加密的前提是交换加密数据的双方必须要有共享的密钥。

意义:

1、降低手工配置的复杂程度

2、安全联盟定时更新

3、密钥及时更新

7、安全联盟

SA是通信对等体间对某些要素的约定,比如加密算法、解密算法、散列算法

SA三元组:安全参数索引,目的ip地址,安全协议号

8、IKE交换步骤

IKE SA:

认证方法,如预共享密钥,数字签名,公钥加密等

认证算法:MD5 SHA1

加密算法:DES 3DES

总结:

1、IKE SA的主要协商内容就是为AH或ESP协议所使用的认证算法和加密算法

2、IPsec SA协商隧道两端的IP,验证方式,验证算法,验证密钥,加密算法,加密密钥,共享密钥等

第一阶段:创建IKE组,形成密钥,分为主模式和野蛮模式

主模式交互过程

野蛮模式交互过程

 

两者对比:

主模式6个,野蛮模式3个

主模式后两条加密,可以提供身份保护;野蛮模式无身份保护

主模式只能采用IP地址标识对等体,野蛮模式可以采取IP地址或name来标识对等体

第二阶段:创建IPsec SA

二、配置步骤

1、定义感兴趣流(acl)

第一阶段:IKE提议,IKE对等体组

第二阶段:配置IPsec安全提议

配置安全策略

应用IPsec安全策略

配置私网路由

 

[FW1-acl-adv-3000]rule  5 permit ip source 192.168.1.0 0.0.0.255 destination 192
.168.2.0 0.0.0.255 ?【配置感兴趣数据流】

IKE提议

[FW1]ike proposal 10
 encryption-algorithm aes-256
 dh group14
 authentication-algorithm sha2-256
 authentication-method pre-share
 integrity-algorithm hmac-sha2-256
 prf hmac-sha2-256
 

IKE对等体组

[FW1]ike peer huawei【创建对等体组】

[FW1-ike-peer-huawei]remote-address 13.1.1.2【远端IP地址】

[FW1-ike-peer-huawei]pre-shared-key huawei123【设置预共享密钥】

[FW1-ike-peer-huawei]exchange-mode【更改模式,默认为主模式】

配置第二阶段

[FW1]ipsec proposal 10

 esp authentication-algorithm sha2-256
 esp encryption-algorithm aes-256

【隧道模式和传输模式,默认为隧道模式】

【更改安全协议,默认ESP】

绑定模板

[FW1]ipsec policy huawei 10 isakmp 【创建模板】
 security acl 3000【绑定acl】
 ike-peer huawei【远端ike】
[FW1-ipsec-policy-isakmp-huawei-10]proposal 10 【IKE提议】

FW2进行Web配置

 

配置路由【下一跳为对端地址】

[fw2]ip route-static 192.168.1.0 24 21.1.1.1

[FW1]ip route-static 192.168.2.0 24 21.1.1.2

 

存在NAT转换时,NAT访问192.168.1.0不做nat转换

 

 

 

 

 

 

 

 

 

 

 

datouwawa30
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
IPSec 基础介绍
qq_32044265的博客
11-28 4705
IPSec包括认证头协议AH、封装安全载荷协议ESP、因特网密钥交换协议IKE,用于保护主机与主机之间、主机与网关之间、网关与网关之间的一个或多个数据。其中,AH和ESP这两个安全协议用于提供安全服务,IKE协议用于密钥交换 本文对IPSec的安全联盟(Security Association)安全协议、封装模式、加密和验证、密钥交换和IKE协议以及IPSec的加密数据进行简单介绍
IPsec ESP AES-GCM
xingyeping的博客
02-24 626
IPsec-AES-GCM 增加报文长度分析
互联网协议安全IPSec
Free雅轩的博客
07-22 2956
自1998年正式颁布以来,IPSec经过了二十多年的发展,其设计初衷是在网络层建立一套通用的安全机制,保护所有IP网络通信的安全。VPN在用户的计算机和VPN服务器之间创建了一个专用网络,而IPSec协议实现了一个安全的网络,保护VPN数据不受外部访问。SSLVPN是采用SSL/TLS协议来实现远程接入的一种轻量级VPN技术,包括服务器认证、客户认证、SSL链路上的数据完整性和SSL链路上的数据保密性。通常,传输模式应用在两台主机之间的通讯,或一台主机和一个安全网关之间的通讯。...
对称加密算法AES之GCM模式简介及在OpenSSL中使用举例
热门推荐
网络资源是无限的
05-14 2万+
AES(Advanced Encryption Standard)即高级加密标准,由美国国家标准和技术协会(NIST)于2000年公布,它是一种对称加密算法。关于AES的更多介绍可以参考:https://blog.csdn.net/fengbingchun/article/details/100139524 AES的GCM(Galois/Counter Mode)模式本质上是AES的CTR模式(计数器模式)加上GMAC(Galois Message Authentication Code, 伽罗华消息认证
IPSEC隧道抓包分析
bingyu的博客
09-27 1万+
IPSEC VPN隧道抓包分析整个IPSEC VPN从建立到数据传输可以分为两个阶段。阶段一主要是协商建立一个主密钥,所有后续用户的密钥都根据主密钥产生,阶段一主要是在通信双方间建立一条经过身份验证并且加密的通道。阶段二使用阶段一建立的安全通道,协商安全联盟和用于保护用户数据的密钥。阶段一有主模式和积极模式。现在抓包分析的是主模式,有6个来回交互的包,发起端是60.251.67.10,对端是58.2
wireshark1.12和IPSec详解
03-13
标题“wireshark1.12和IPSec详解”指出我们要讨论的是网络分析工具Wireshark的1.12版本以及IPSec(Internet Protocol Security)的详细知识。Wireshark是一款开源的网络封包分析软件,广泛用于网络故障排查、网络...
ipsec原理总结
03-15
"IPsec 原理总结" IPsec(Internet Protocol Security)是一种广泛使用的网络安全协议,旨在为 IP 网络提供高安全性特性。IPsec 技术原理包括两个主要部分:Authentication Header(AH)协议和 Encapsulated ...
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
IPSec 概述
07-02
适用于初学者了解IPSec,了解他的模式,以及里面的协议。
ipsec 详解
05-03
技术起初是为了解决明文数据在网络上传输带来的安全隐患而产生的。TCP/IP协议族中的很多协议都采用明文传输,如telnet、ftp、tftp等。一些黑客可能为了获取非法利益,通过诸如窃听、伪装等攻击方式截获明文数据,使...
简单又复杂的IPSec vpn配置
m0_65896563的博客
06-01 882
不理解的不要管,先原封不动的打出来,然后在理解就容易了
IPSec协议抓包详解和IPSec NAT穿越报文解析
weixin_43171033的博客
04-28 481
转自:https://blog.csdn.net/ever_peng/article/details/89217263 转发的时候发现图片转发不过来,就先留一个链接,方便后面查找。 对于IPsec协议的前面交互部分分析的比较详细
ESP32学习笔记(47)——加密算法AES/MD5/SHA
Leung的博客
10-27 8651
一、简介 1.1 SSL SSL:(Secure Socket Layer,安全套接字层),位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。该协议由两层组成:SSL记录协议和SSL握手协议。 1.2 TLS TLS:(Transport Layer Security,传输层安全协议),用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。 1.3 mbed
安全防御--IPsec VPN点到点的实验
m0_70534140的博客
04-24 1311
在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。数据认证的主要作用包括:1,防止数据被篡改和损坏:通过数据认证可以验证数据的完整性,确保数据没有被篡改或损坏。2,防止未经授权的访问和修改:数据认证可以验证数据的真实性和合法性,确保只有经过授权的用户才能访问和修改数据。
简要解释IPSec架构、身份验证标头(AH)、封装安全有效负载(ESP)、Internet密钥交换(IKE)以及构成IPSec整个操作的加密算法
weixin_35753431的博客
01-22 578
IPSec 是一种网络层安全协议,用于确保 Internet 协议(IP)通信的安全性。它包括两种模式:身份验证标头 (AH) 和封装安全有效负载 (ESP)。 AH 模式提供数据完整性和身份验证功能,但不提供加密。ESP 模式提供数据完整性、身份验证和加密功能。 Internet 密钥交换 (IKE) 是用于建立和维护 IPSec 通信的协议。它负责生成和交换密钥,并确保密钥的安全性。 在 IP...
AES算法的参数
Denny_Chen_的博客
05-23 4869
一.概览 AES(Advanced Encryption Standard)是常用的对称分组密码算法之一,是美国NIST在2001年发布的,旨在代替DES称为广泛使用的标准。使用AES算法有很多种模式及填充方式。尽管不同模式的AES的核心加密算法是一致的,但不同模式下,加密的安全性和加解密速度等是有区别的,加密时使用的参数也会不同。另外AES是分组加密算法,会涉及到加密内容的分组,在最后一个组数据中,如果数据长度达不到加密的要求,就需要对最后一组进行填充,这时就涉及填充模式。 二.AES算法的参数 1.AE
网安科班精选!爱荷华大学教授的网络安全零基础入门教程!
最新发布
互联网架构小马的博客
07-31 318
网络就像一把双刃剑,给我们的生活、交、工作和发展带来了便利,但同时也给信息安全以及个人隐私带来了威胁。网络和信息安全问题不仅影响了网络的普及和应用,还关系到企国家、军队、企业的信息安全和社会的经济安全,让人又爱又恨。今天给大家分享的这份手册,主要从网络漏洞、协议和安全解决方案等方面来探讨网络安全问题。我们把网络看成是不安全和安全的源头,通过分析网络漏洞、探测、攻击和减少攻击的方法,来研究不同的网络协议。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值