1**)知识点列举**
1.VPN概念
2.信息安全三要素
3.IPSec
4.对等体与隧道
5.SA
6.AH和ESP
7.封装模式
2**)学习流程**
(**1)VPN概念**
为了实现不同局域网内部之间互相访问,原先使用搭专线方法,现在使用虚拟专用网络
虚拟专用网络(virtual private network),在公用网络上建立专用网络,进行加密通信。可以实现在不安全的网络上,安全的传输数据和连接不同的局域网。
为什么会用到VPN?
为了让两个距离较远的局域网,可以随意访问对方的内网数据。
(**2)信息安全三要素**
①保密性**——保证数据在传输时不被泄露**
对称加密:加密和解密使用同一个密钥
密钥经过双方协商之后,明文传输 ——> 密钥容易泄露,数据并不是绝对的安全
算法:DES 3DES AES ———加解密速度块,但保密性差
非对称加密:加密和解密的密钥是不同的,分为公钥和私钥
每个人的公钥和私钥都是自己生成且独一无二的
公钥对公网公开,私钥自己私密保管不公开
数据加密:使用公钥进行加密,加密的数据只能使用对应的私钥解密
数字签名:使用私钥进行加密,加密的数据只能使用对应的私钥解密
算法:RSA算法、DSA算法、ECC算法、DH算法 ———保密性强,功能更强,但加解密速度慢
ipsecVPN数据数据加密过程?
首先,分部会发送公钥N给总部,总部收到以后,会使用公钥N加密对称密钥A,然后再发送给分部。这个时候加密的数据只有使用私钥P才能解密,所以只有分部才能解密,保证了数据传输的安全性。
②完整性**——保证数据在传输时不被篡改**
Hash函数(散列函数):将任意长度的信息转换成固定长度的哈希值,不同信息生成的哈希值是不同的
Hash算法:MD5/SHA(1/256/512)/SM3(国产)
③可用性**——保证授权用户能对数据进行可靠的访问**
(**3)IPSecVPN**
互联网安全协议(Internet Protocol Security),是一些相互关联的协议的集合,是框架不是协议
①认证头(AH)
②封装安全载荷(ESP)
③安全联盟(SA)
④密钥协议(IKE):网络密钥交换协议,属于一种混合型协议,由Internet安全关联和密钥管理协议
(ISAKMP)和两种密钥交换协议OAKLEY与SKEME组成
(4)对等体与隧道**
IPSec对等体:建立隧道的两端
IPSec隧道:数据传输的通道
ipsec框架之ike 混合协议: 主导隧道的建立过程。
自动为IPsec协商密钥,建立IPsec安全联盟服务,简化IPsec的使用和管理,简化配置和维护工作。
(5)SA**
安全联盟(Security Association),是通信对等体间对某些要素的协定,包括:对等体间使用何种安全协议、需要保护的数据流特征、对等体间传输的数据的封装模式、协议采用的加密和验证算法,以及用于数据安全转换、传输的密钥和SA的生存周期等。
SA是单向的,in方向和out方向各需要一个SA
SA由三元组唯一标识:安全参数索引、目的IP地址、安全协议号(AH:51/ESP:50)
建立SA的方式:①手工方式 ②IKE自动协商
IKE身份认证:①预共享密钥认证 ②数字证书 ③数字信封
(*6)AH和ESP**
验证头部协议(Authentication Header),主要用于验证IP头部
AH封装:在报文第三层网络层和第四层传输层之间插入一个AH头,用协议号51标识,会对从网络层到应用层进行一个验证
封装安全载荷协议(Encapsulating Security Payload),主要用于加密
ESP封装:在报文第三层网络层和第四层传输层之间插入一个ESP头,用协议号50标识,会对从传输层到应用层进行一个验证,并进行加密
(7)封装模式**
①传输模式
当全网拥有通信点的路由信息时使用传输模式
通常使用AH封装,不能跨越公网
可以验证数据的真实性,完整性,抗重放,不加密私有报头,使用摘要算法(单向的Hash函数)实现该特性
IPSec头放在原始IP头后
验证区域:IP头部+AH头部+TCP/UDP头部+数据(可变字段除外)
ESP头部+ TCP/UDP头部+数据+ESP尾部
AH不支持NAT和PAT(端口复用NAT,NAPT)
②隧道模式
当全网没有通信点的路由信息时使用隧道模式
通常使用ESP封装,可以跨越公网
可以验证数据的真实性,完整性,抗重放,加密所有私有报头(包括IP头)
IPSec头放在原始IP头前,另外生成一个新的IP头(VPN虫洞)放在IPSec头前
验证区域:新IP头部+AH头部+ IP头部+ TCP/UDP头部+数据(可变字段除外)
新IP头部+ESP头部+IP头部+TCP/UDP头部+数据+ESP尾部
普通的ESP只支持NAT,但不支持PAT,可以通过NAT穿越(NAT-T)来解决{华为防火墙默认开启NAT-T功能}
安全性:隧道模式隐藏源IP头信息,安全性更高
性能:隧道模式新增了额外的IP头,因此会占用更多的带宽
ipsecVPN容易遇到的问题总结:
1.路由配置有误
2.ACL的掩码调用错误,例如:放行192.168.0.0 255.255.0.0这个段的时候反掩码写成了0.0.0.255
3.预共享密钥配置错误
4.接口调用错误
5.安全策略