IPSec相关知识汇总

最新推荐文章于 2023-12-06 19:07:02 发布
最新推荐文章于 2023-12-06 19:07:02 发布
阅读量999 收藏 3
点赞数 1
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36629373/article/details/119706045
版权
  • VPN是IPSec的一种应用方式
  • IPSec是一个框架性架构,目的是为IP提供高安全性特性,具体由两类协议组成:AH和ESP
  • AH和ESP都使用SA保护通信
  • IKE用于动态建立SA

 

  • SA是单向的,进入(inbound)SA负责处理接收到的数据包,外出 (outbound)SA负责处理要发送的数据包。因此每个通信方必须要有 两种SA,一个进入SA,一个外出SA,这两个SA构成了一个SA束 (SA Bundle) 
  • 发送实体和接收实体均需要维护SA状态信息
  • SA由三元组(SPI安全参数索引,IP目的地址,使用的安全协议)唯一标识
    • SPI用于标识具有相同IP地址和相同安全协议的的不同SA,本端入方向的SPI和对端出方向的SPI是一样的。
  • SA由SPD和SAD组成
    • SP主要根据源IP地址,目的IP地址,入数据还是出数据来标识,决定对IP数据宝提供何种保护,并以何种方式实施保护.
    • 当接收或将要发出IP包时,首先要查找SPD来决定如何进行处 理。存在3种可能的处理方式:丢弃、不用IPSec和使用IPSec。 

l 丢弃:流量不能离开主机或者发送到应用程序,也不能进行转发。 

l 不用IPSec:对流量作为普通流量处理,不需要额外的IPSec保护。

l 使用IPSec:对流量应用IPSec保护,此时这条安全策略要指向一个SA。 对于外出流量,如果该SA尚不存在,则启动IKE进行协商,把协商的结 果连接到该安全策略上。 

  • 对于外出的流量,如果需要使用IPSec处理,然而相应的SA不存 在,则IPSec将启动IKE来协商出一个SA,并存储到SAD中。 
  • 对于进入的流量,如果需要进行IPSec处理,IPSec将从IP包中得 到三元组(SPI,DST,Protocol),并利用这个三元组在SAD中查找 一个SA。有时是四元组,加上源地址(SRC)。 

IKE是应用层协议

  • IKE为IPSec协商建立SA,并把简历的参数以及生成的密钥交给IPSec
  • IPSec使用IKE建立的SA对IP数据包加密或验证
  • 协商的过程通常分为两个阶段,第一阶段是为第二阶段服务,第二阶段是真正的为兴趣流服务的SA.两个阶段协商的侧重有所不同,第一阶段主要确认双方身份的正确性并在两端之间建立一条安全通道.第二阶段则在上述安全通道上协商SA参数.阶段一可以被多个阶段二反复利用.

1. AH协议(Authentication Header,使用较少):可以同时提供数据完整性确认、数据来源确认、防重放等安全特性;AH常用摘要算法(单向Hash函数)MD5和SHA1实现该特性。

2. ESP协议(Encapsulated Security Payload,使用较广):可以同时提供数据完整性确认、数据加密、防重放等安全特性;ESP通常使用DES、3DES、AES等加密算法实现数据加密,使用MD5或SHA1来实现数据完整性。

为何AH使用较少呢?因为AH无法提供数据加密,所有数据在传输时以明文传输,而ESP提供数据加密;其次AH因为提供数据来源确认(源IP地址一旦改变,AH校验失败),所以无法穿越NAT

保证传输安全性

  • 数据源认证
  • 数据加密
  • 数据完整性
  • 抗重放

SA建立的方法

  • 手工配置
  • IKE动态协商

IPSec SA安全参数

  • 所使用的安全协议(AH,ESP)
  • 协议报文的封装模式(传输模式,隧道模式)
  • 认证算法(HMAC-MD5,HMAC-SHA1)
  • 加密算法
  • 共享密钥
  • 密钥生存时间

李老板的水果店
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SPD、SAD、Traffic Selector和IKE收发数据包的处理过程
JwLee的专栏
03-26 6318
IPSec的安全体系,有两个很重要的数据库。一个是SPD - Security Policy Database;另一个是SAD - Security Association Database。顾名思义,SPD定义了若干策略,说明对于各个IP数据流应当做出怎样的处理,是透传、丢弃,还是执行IPSec加解密。SAD则负责保存已经建立的SA相关信息,比如SA的各种参数,如加密算法、认证算法、生存时
期末复习:信息安全(十三)
Libra_Ng
06-03 1043
网络安全协议 安全协议概述:在信息网络,可以在ISO七层协议的任何一层采取安全措施。大部分安全措施都采用特定的协议实现。 ????IPv6 extension headers 继点选项(Hop-by-hop options) 寻路头标(Routing) 报片头标(Fragment) 信宿选项(Destination options) 认证头标(Authentication) 安全净荷加密头标(Encryption Security Payload) ????IPSec IPSec的安全组合(SA
ipsec协议的详解
12-07
ipsec的介绍,有助于初学者认识该协议
IPSec的三个协议和两种模式详解
热门推荐
weixin_45317091的博客
02-23 1万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
【网络安全技术】IPsec——AHESP
TheSysy的博客
12-06 2063
IPsecAHESP,传输模式,隧道模式
IPSec基础知识
weixin_51045259的博客
02-04 4165
IPSec简介 定义 IPSec是IETF(Internet Engineering Task Force)制定的一组开放的网络安全协议。它并不是一个单独的协议,而是一系列为IP网络提供安全性的协议和服务的集合,包括认证头AH(Authentication Header)和封装安全载荷ESP(Encapsulating Security Payload)两个安全协议、密钥交换和用于验证及加密的一些算法等。 通过这些协议,在两个设备之间建立一条IPSec隧道。数据通过IPSec隧道进行转发,实现保护数据的安全
IPSec
Loners_fan的博客
08-10 3171
详细介绍AH/ESPIPsec VPN的加解密及封装过程
Ipsec 的SPD和SAD详解
bytxl的专栏
11-03 1万+
8.6.1 IPSec机制的SPD SPD 的内容用来存放IPSec 的规则,而这些规则用来定义哪些流量需要走IPSec,这个数据库的内容相当多,笔者仅介绍我们需要知道的部分,这些信息有目的端IP、来源端IP、只执行AHESP、同时执行AHESP、目的端Port、来源端Port、走Transport 或Tunnel 模式。图8-35 即为SPD 的结构,从结构内容我们可以看到第一笔及
IPSEC基础知识
04-23
IPSEC知识文档
ipsec原理总结
03-15
很好的原理总结,可以下来学习一下,总结的很到位,很不错的资源
ipsec.rar_ipsec
09-21
主要用户windows的ipsec,关闭不必要的端口,执行相应脚本,自动建立ipsec。屏蔽不安全的应用端口,防止病毒木马,排除其他占用系统资源!
IPSec.rar_ipsec
09-22
Internet 协议安全 (IPSec)
ipsec相关学习资料与安全标准
07-20
ipsec实战指南,如何配置ipsecipsec新一代安全标准,希望能帮到大家
数据包结构分析
weixin_34000916的博客
03-30 1491
通过wireshark抓取在不同链路上的数据包,分析数据在网上传输过程。首先要有下面基础知识。 1,网络数据封装过程,数据包发送的时候从上往下封装的,解封装反过来。 从下往上看 最下面是以太网帧,位于osi参考模型的数据链路层。该层帧格式有以太网帧(常用),802.2/802.3帧和ppp帧。 对应网络层,主要协议有ip,ICMP,IGMP。如...
IPsec协议过程
City_of_skey的博客
01-23 1万+
版权声明:如有需要,可供转载,但请注明出处:https://blog.csdn.net/City_of_skey/article/details/86618784 1、ipsec协议简介 IPSec是在网络层构建的安全虚拟专有网络,通过在数据包插入一些预定义的头部,实现对网络层以上的协议数据安全。不同于ssl应用层的加密。IPSec内核加密支持的库是xfrm。 ipsec安全体系 ...
网际层的安全协议——IPSec
Neonline254的博客
11-08 4757
IPSec——一种在网际层实现安全传输的机制,本文帮助你快速了解其基本工作方式。
IKE SAIPSec SA的区别
Jian Sun_的博客
01-23 6007
从定义上来看,IKE SA负责IPSec SA的建立和维护,起控制作用;IPSec SA负责具体的数据流加密。 IPSec工作在网络层,一般用于两个子网之间的通信。IPSec主要分为两个环节。 第一环节使用IKE(Internet Key Exchange)完成身份鉴别、建立通信、确定安全策略和密钥。 第二环节使用IPSec安全策略和密钥对数据进行保护。 总结: 一、通道不同 1、IKE SA:IKE SA通道两端只有一个SA,是单向的。 2、IPSec SAIPSec SA通道两端不止一对
使用 ipsec-tools 设置 SAD 和 SPD
bytxl的专栏
01-21 4971
在 《 IPSec AH 机制详解》 和 《IPSec ESP 机制详解》 里分别介绍了 IPSec AHESP 这两种协议,并给出了 wireshark 的抓包截图,但没有给出如何配置这两种情况的实验环境。 如果要让 IPSec 可以正常工作,那么需要适当的管理工具来管理 AHESP 运行所需要的参数,这些管理工具在开源领
钢桁架结构振动特性渐变分析工具
最新发布
05-20
钢桁架结构振动特性渐变分析工具
linux IPSEC
08-14
IPsec(Internet Protocol Security)是一个网络层的安全协议,用于保护IP数据包的机密性、完整性和认证性。它通过对IP数据包进行加密和认证来提供安全通信。在Linux系统,我们可以使用StrongSwan来实现IPsec。 在Linux上配置IPsec,首先需要安装StrongSwan软件包。可以通过包管理工具如apt或yum进行安装。 安装完成后,需要进行IPsec的配置。主要的配置文件是/etc/ipsec.conf和/etc/ipsec.secrets。在ipsec.conf文件,你可以指定IPsec的连接和参数。在ipsec.secrets文件,你可以指定预共享密钥(PSK)或证书等身份验证信息。 例如,假设你想在两台Linux主机之间建立IPsec连接。你可以在每台主机上编辑ipsec.conf文件,配置相应的连接和参数。然后,在ipsec.secrets文件指定PSK或证书等身份验证信息。 完成配置后,启动StrongSwan服务,并确保服务在系统启动时自动启动。你可以使用systemctl命令来管理服务。 一旦IPsec连接建立成功,你就可以通过加密和认证来保护你的网络流量。这可以用于保护远程访问、站点到站点连接等场景。 这只是一个简单的概述,实际的配置可能会更复杂。如果你有特定的需求,请提供更多细节,我可以提供更具体的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值