HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥

已于 2022-03-31 13:35:13 修改
阅读量4.2k 收藏 38
点赞数
分类专栏: HCIE-Security
于 2022-03-31 11:55:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36813857/article/details/123856039
版权
本文深入探讨了IPSec IKEv1的主模式和野蛮模式,详细介绍了这两个模式的协商过程、报文结构以及DH算法在密钥交换中的应用。主模式包含6个报文,提供更安全的身份认证,而野蛮模式仅需3个报文,效率更高但安全性较弱。DH算法确保了密钥的安全交换,即使在不安全的网络环境中。
摘要由CSDN通过智能技术生成

ipsec ikev1总框架

主动模式=野蛮模式 

华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2.

dis ike peer bri
2022-03-30 12:25:59.510 

Current ike peer number: 1

                                                       
---------------------------------------------------------------------------
Peer name        Version  Exchange-mode   Proposal   Id-type   RemoteAddr
---------------------------------------------------------------------------
a                v1v2     main            10         IP        1.1.3.1

如果只使用v1的话,就需要去使能v2。

ike peer a
undo version 2

v1有两个阶段,阶段1有主模式和野蛮模式,默认是主模式。主模式有6个报文。

这是第一阶段的ike报文格式。也叫做isakmp报文,这是ipsec的信令协议。

ietf中对于ipsec ikev1的说明是rfc2409.RFC 2409 - The Internet Key Exchange (IKE) (ietf.org)https://datatracker.ietf.org/doc/html/rfc2409#section-5.7

这是ipsec中报文字段的解析。

IPSec报文格式 (023wg.com)http://www.023wg.com/message/message/cd_feature_ipsec_format.html

ike的第一阶段主模式协商过程 

最低0.47元/天 解锁文章
信封同学
关注
专栏目录
HCIE-Security Day33:IPSec深入学习ipsec ikev2、IKEV1和IKEV2比较
小梁的博客
04-01 5432
ikev2 RFC 5996 - Internet Key Exchange Protocol Version 2 (IKEv2) (ietf.org)https://datatracker.ietf.org/doc/html/rfc5996定义在RFC4306,更新于RFC5996 不兼容IKEV1ikev1不支持认证,ikev2支持认证,eap。 支持nat穿越 支持私密性、完整性、源认证 工作在UDP500端口NAT-T时使用UDP4500端口。 初始交换 正常情况下,IK...
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
IPsec主模式野蛮模式
七汣的博客
02-04 2434
IPsec vpn的主模式野蛮模式
数据传输安全--IPSEC
banliyaoguai的博客
07-23 1587
默认使用IP地址作为身份标识(因为身份验证是在第五六个数据包中,但是我们在前面的几个数据包过程都需要提取共享密钥计算,要是等身份标识的话等不下去了,所以只能看IP地址了,然后在第五六个数据包的时候再进行身份认证确认,所以这个东西也很怕NAT),这个身份标识和身份认证是不一样的,在IPSec中多使用共享密钥进行身份认证,然后这个共享密钥可能一个人和另外好几个人都有。注意:野蛮模式前两个数据包中的参数用来协商密钥信息,则第三个数据包可以进行加密传输,因为,身份信息是通过明文传递的,所以,安全性较低。
IPsec IKE第一阶段主模式野蛮模式
ryanzzzzz的博客
05-02 1641
国密标准GMT 0022-2014 IPSec VPN 技术规范,IPsec IKE过程中交换类型的定义将主模式Main mode分配值为2,快速模式-quick mode分配值为32。标准中并没有提现分配值为4的交换类型。在实际应用中,IKE第一阶段经常会出现交换类型为4的情况,也就是所谓野蛮模式Agressive mode。
CCIE理论-IPSec主模式野蛮模式的区别
weixin_48137911的博客
12-01 3593
版本1的IKEV1早期是不支持NAT-T的(NAT穿越),现在都支持了,野蛮模式一直支持。但是野蛮模式,有安全风险,他的身份认证是在第一第二个包里, 而且是明文的!主模式里面,前4个包都是裸奔的,第5个包用来做身份认证,这个是加密的。其实这个不算在数通里面,因为IPsec是安全的技术。这个角度来看,野蛮模式更快,更加节省设备的资源。突然想到这个就写这个了,面试或者考试会问这个。一个是 IKEv1,一个 IKEv2。那么在版本1的阶段1有两个模式。一个叫主模式,一个叫野蛮模式主模式一共有6个数据包的交互。
2. 详解 IPSEC 的认证模式主模式野蛮模式
weixin_38387929的博客
06-02 1万+
一. 基本名词解释 1. IPSec 对等体 IPSec 用于在两个端点之间提供安全的 IP 通信,通信的两个端点被称为 IPSec 对等体。 2. 安全联盟 SA(Security Association)安全联盟定义了 IPSec 通信对等体间将使用哪种摘要和加密算法、什么样的密钥进行数据的安全转换和传输。SA 是单向的,在两个对等体之间的双向通信,至少需要两个 SA。SA 由一个三元组来唯一标识,这个三元组包括安全参数索引 SPI(Security Parameter Index)、目的 IP 地址、
IPSec主模式野蛮模式的区别
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
IPSec VPN (二)野蛮模式
最新发布
weixin_39555693的博客
08-13 990
分部没有固定ip地址,ike 采用野蛮模式,总部采用安全策略模板。
华为ipsec 野蛮模式 配置nat穿越
_Dong的博客
03-26 3835
实验拓扑: R2 模拟运营商设备,将AR1所有数据进行nat 相关配置 AR2: sysname r2 acl number 2000 rule 5 permit interface GigabitEthernet0/0/0 ip address 23.0.0.2 255.255.255.0 nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 12.0.0.2 255.255.255.0 AR1: sysnam
华为的IPsec ×××(野蛮模式
weixin_33825683的博客
03-06 792
A端设备# 配置名为tran1 的IPSec 提议。[Eudemon A] ipsec proposal tran1[Eudemon A-ipsec-proposal-tran1] transform esp[Eudemon A-ipsec-proposal-tran1] encapsulation-mode tunnel[Eudemon A-ipsec-proposal-t...
IPSec野蛮模式(案例)
weixin_34365417的博客
03-30 1337
IPSec主模式野蛮模式的区别包含如下几点: 1.交换的消息:主模式为6个,野蛮模式为3个。 2.NAT支持:对共享密钥认证:主模式不支持NAT转换,而野蛮模式支持。而对于证书方式认证:两种模式都能支持。 3.对等体标识:主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式在交换完3、4消息以后,需要使用共...
IPSCE快速模式分析
weixin_34250434的博客
10-18 151
1.作用 在安全的环境中协商处理感兴趣流的策略。主要包括: (1)感兴趣流 (2)加密策略 (3)散列函数 (4)封装协议 (5)封装模式 (6)密钥的有效期 2.第一个包 发送方会把感兴趣流和相关的IPSEC策略发给对方,有对方选择合适的策略。 从上图可以看出模式快速模式,类型是HASH载荷,已经是安全环境了。 由于是加密的数据,所以在这里看不出具体的内容。 3.第...
IPsec中IKE与ISAKMP过程分析(快速模式-消息1)
ryanzzzzz的博客
05-01 2030
IKE在第一阶段(主模式)完成ISAKMP SA协商并通过密钥交换的到工作密钥。在IKE第二阶段(快速模式)的信息将由ISAKMP SA来保护,所以除ISAKMP头外的所有载荷都要加密。 在HDR之后,是Hash结构(HMAC)用来保证本消息的完整性和数据源身份鉴别。 HAHS = PRF(SKEYID_a, Msg_id | Ni_b | SA [| IDi | IDr]),HMAC密钥为SKEYID_a,IDi和IDr为可选字段。
IPsec中IKE与ISAKMP过程分析(快速模式-消息3)
ryanzzzzz的博客
05-01 1299
第二阶段消息3是IKE阶段最后一个消息,发送方给响应方发送一个杂凑载荷,用于对前面的交换进行鉴别。HDR之后是HASH数据结果,HASH = PRF(SKEYID_a,0|MsgID|Ni_b|Nr_b)。最后的会话密钥为KEYMAT = PRF(SKEYID_d, protocol | SPI | Ni_b | Nr_b),其中protocol和SPI从协商得到ISAKMP建议载荷中选取。
IPSec的三个协议和两种模式详解
weixin_45317091的博客
02-23 2万+
IKE协议是一种基于UDP的应用层协议,它主要用于SA协商和密钥管理。IKE协议属于一种混合型协议,它综合了ISAKMP(Internet Security Association and Key Management Protocol)、Oakley协议和SKEME协议这三个协议。其中,ISAKMP定义了IKE SA的建立过程,Oakley和SKEME协议的核心是DH(Diffie-Hellman)算法,主要用于在Internet上安全地分发密钥、验证身份,以保证数据传输的安全性。
IPsec 9个包分析(主模式+快速模式
热门推荐
遇见你是我最美丽的意外
03-06 2万+
第一阶段:ISAKMP协商阶段 1.1 第一包 包1:发起端协商SA,使用的是UDP协议,端口号是500,上层协议是ISAKMP,该协议提供的是一个框架,里面的负载Next payload类似模块,可以自由使用。可以看到发起端提供了自己的cookie值,以及SA的加密套件,加密套件主要是加密算法,哈希算法,认证算法,生存时间等。 Initiator cookie:817622ea0136...
IPSec在企业网中的应用 案例(野蛮模式
weixin_33795743的博客
03-30 347
IPSec主模式野蛮模式的区别包含如下几点: 1. 交换的消息:主模式为6个,野蛮模式为3个。 2. NAT支持:对共享密钥认证:主模式不支持NAT转换,而野蛮模式支持。而对于证书方式认证:两种模式都能支持。 3. 对等体标识:主模式只能采用IP地址方式标识对等体;而野蛮模式可以采用IP地址方式或者Name方式标识对等体。这是由于主模式...
ipsec ikev1 从理论介绍到报文分析
qq_63668886的博客
04-12 1612
在ISAKMP报文①和报文②中协商的算法需要双方协商一个相同的对称密钥,但密钥直接在公共网络上传输并不安全,在报文③中传输的都是密钥生成的材料,响应方接收到这些生成材料后在本地生成key。从以上报文中看出,响应方发送确认的安全提议,生命周期28800秒,加密算法为AES,哈希算法为SHA,身份认证方法使用共享秘钥认证,并且使用1024bit的DH组。响应端收到发送端发送的加密套件后,对比自己是否有相对应的加密套件,如果有就使用和发送端相同的加密套件加密数据,把自己的。值和选择好的加密套件发送给发送端;
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信封同学

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值