IPsec野蛮模式出现的原因

最新推荐文章于 2024-05-14 19:58:56 发布
最新推荐文章于 2024-05-14 19:58:56 发布
阅读量2.8k 收藏 3
点赞数
分类专栏: HCIA/HCIP sercurity 网络技术 文章标签: linux 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/124544113
版权

原因概述

其主要原因是因为在早期IKEv1的相关设备没有实现使用除了IP地址之外的其他标识符去表示一个IPsec隧道的一端,所以这就导致了动态IP地址的IPsec隧道的某一端出现了地址变动之后将无法重新建立IPsec隧道。我们在配置了IPsec的时候,如果没有特定地指定标识符,在报文中发送的identity都是在配置命令中指定的IP地址,这就导致IKEv1的主模式是无法根据它们的标识去找到对应的共享密钥(因为是动态地址,所以地址变换之后先前的配置就无法生效了),但是野蛮模式在早期支持使用除了IP地址的方式去标识自己,这就与IP解绑,所以即便动态IP地址依然可以成功建立IPsec隧道。

那么IKEv1主模式也使用其他标识符会怎么样?

以下实验我是用Linux上的StrongswanVPN软件进行的

在Linux上可以搭建点对点的ikev1到Ikev2的IPsec,或者策略模板式的IPsec

实验拓扑

                                           在主机1与主机2之间搭建Ikev1的IPsec

测试1 一条IPsec配置

主机1:自己标识为fuck,右边标识为cao  共享密钥:fuck

主机2:自己标识为cao,右边标识为fuck  共享密钥:fuck

主机1上配置两条IPsec隧道配置,主机2配置一条IPsec隧道配置,当只有一条用字符串标识的IPsec配置的时候,主机1是可以正常响应主机2发送过来的相关IPsec协商请求的,其主要原因不言而喻,因为我的主机上面就只有一个IPsec配置,除非你的IP配错了,否则怎么会这么巧把相关的IPsec配置发送给我

测试2  两条IPsec配置

主机1:自己标识为fuck  对端为cao 共享密钥为fuck

主机2:自己标识cao,对端为fuck 共享密钥为fuck

主机1上新增一组配置:自己标识为fuck 对端标识为kk(这个是虚假的用于测试捏造的标识符) 共享密钥 fuck

那么当这样配置之后,主机1将会出现共享密钥的选择问题,因为当主机1接受到对端发送过来的isakmp的协商请求的时候,它将无法确定该使用哪个共享密钥,因为共享密钥其实也是依据某个类型的标识,然后再将对应标识的共享密钥取出来并使用。如下图所示:

这是strongswan中保存预共享密钥的文件,可以看到预共享密钥使用隧道两端的标识符作为唯一标识并确定使用哪个预共享密钥。

那么当主机1接收到主机2发送过来的isakmp协商请求之后,它能够知晓的材料仅仅只有IP地址,而且本地的预共享密钥还有两个,那么此时主机1将不知道要使用哪个预共享密钥去进行IPsec隧道的建立。

野蛮模式面对该情况的解决

我们再来总结一下,IEKv1主模式因为IPsec隧道双方身份识别使用的是IP地址,那么这就导致当IPsec某一端的隧道发生了IP地址的变化之后,IPsec的隧道将会被破坏,从而导致IPsec隧道无法正常建立。野蛮模式在第一次数据包的交互过程中就将DH算法所需的材料,身份信息(也就是标识符),还有相关的IKE SA安全套件发送出去,于是对端就可以通过身份信息(也就是标识符)去取出相对应的IPsec预共享密钥。 

真实的情况

虽然说IKEv1使用标识符的时候可能会遇到预共享密钥无法选取的问题,但是其实真实情况是,主机1会针对每个IPsec的连接配置进行IPsec的连接建立,那么你在抓包的时候就会发现会出现一大堆的主模式协商请求报文,也就是说比如就算你配置了多个IPsec配置,它都会针对每个配置发送相对应的主模式的协商报文。(这是针对主机1上的配置是发起方的情况),如果主机1是被动协商方的话,那么主机1就会被动的接受相对应的报文,根据我的推断,应该是从预共享密钥中依次尝试来进行相关的协商的。

以上测试在LInux下的Strongswan软件测试

Mllllk
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
hcl的ipsec野蛮模式配置
qq_44933518的博客
11-30 2496
1.实验拓扑 2.需求 r2作为DHCP server,给r3和r4分配ip 路由器上的环回口地址作为业务地址, 总部分别和分部r3、分部r4建立vpn隧道,采用ipsec vpn的野蛮模式 3.分析 由于R3和R4的ip不是固定的,所以只能使用ipsec野蛮模式,无法使用ipsec的主模式 注:这个实验,我只注重配置IPSec vpn,没有配置NAT,所以 ...
H3C V7 ipsec主:野蛮模式配置脚本.pdf
08-30
H3C V7 ipsec主:野蛮模式配置脚本.pdf
IPsec野蛮模式
weixin_33969116的博客
04-01 774
野蛮模式的特别之处: 1. 野蛮模式支持NAT转化,主动模式不支持; 2. 野蛮模式支持以Name方式标识对等体,主动模式只支持ip地址方式标识。 当部署***两端是动态ip地址的时候,例如通过ADSL方式上网,主动模式就束手无策了,因为它只支持ip地址方式标识,当ip地址不是固定的。而野蛮模式可以通过Name标识,没有经...
IPSec模式野蛮模式的区别
热门推荐
WFlySky的博客
11-24 1万+
ipsec的vpn隧道第一阶段建立方式分为主模式野蛮模式,这两个模式的主要区别在于进行IKE 协商的时候所采用的协商方式不同。 具体区别在于: 1、主模式在IKE协商的时候要经过三个阶段:SA交换、密钥交换、ID交换和验证;野蛮模式只有两个阶段:SA交换和密钥生成、ID交换和验证。 2、主模式一般采用IP地址方式标识对端设备;而野蛮模式可以采用IP地址方式或者域名方式标识对端设备。 因此相比较而言,主模式更安全,而野蛮模式协商速度更快,VPN的两个或多个设备都要设置成相同的模式VPN才能建立成功。 各自适
IPsec VPN简介
最新发布
m0_66993332的博客
05-14 1094
IPsec的工作流程,IKE的两个阶段
IPSec野蛮模式产生原因
沉默的鹏先生
07-01 3557
在学习IPSec的时候发现野蛮模式在传输身份信息的时候是明文传输,就好奇为什么要用野蛮模式而不是主模式,主要原因还是因为IPSec早期的问题导致的。 在IPSec 早期由于主模式+预共享密钥认证方式下,IPSec需要通过对端IP地址来在本地查找预共享密钥,这种密钥查找方法在对端没有固定IP的情况下行不通,此时野蛮模式可以‘野蛮’的解决这个问题。 野蛮模式下身份信息没有加密,本端直接用对端发来的...
GRE OVER IPSEC野蛮模式
weixin_46639226的博客
11-06 3604
## 野蛮模式适用于两端其中有一端地址不固定的情况 实验拓扑 实验思路 1.配置全网地址(这里的地址已经在图上规划,不在赘述) 2.配置ike 3.配置ipsec 4.配置GRE 地址配置完成之后,首先要保证公网可达,因为RT3和RT4是DHCP获取的地址,所以他们上面会有两条默认路由,下一跳是SW5,但是RT1上面没有往公网去的路由,所以要在RT1上配置一条默认路由 RT1 [H3C]ip route-static 0.0.0.0 0 100.1.1.254 RT3 (默认路由是DHCP下发的,优先级
H3C IPsec VPN 野蛮模式配置
bfq05234214的博客
03-10 1616
野蛮模式配置公网地址固定的一端: 1.配置IKE fqdn2.创建IKE Proposal(提议),配置IKE的加密和验证算法,验证方法3.创建和配置预共享密钥,使用主机名标识对方身份4.创建IKE Profile(档案),配置为野蛮模式,调用前面创建的Proposal和Keychain,指定对端的FQDN5.创建IPsec转换集,配置IPsec的工作模式,封装协议,验证和加密算法6.创建IPsec策略模板,调用前面创建的IKE Profile,IPsec转换集 7.创建IPsec策略,绑定前面创建的模板
华为ipsec 野蛮模式 配置nat穿越
_Dong的博客
03-26 3719
实验拓扑: R2 模拟运营商设备,将AR1所有数据进行nat 相关配置 AR2: sysname r2 acl number 2000 rule 5 permit interface GigabitEthernet0/0/0 ip address 23.0.0.2 255.255.255.0 nat outbound 2000 # interface GigabitEthernet0/0/1 ip address 12.0.0.2 255.255.255.0 AR1: sysnam
野蛮模式IPSec的典型组网和配置.pdf
11-12
野蛮模式IPSec的典型组网和配置.pdf
华为L2TP+ipsec野蛮模式,nat穿越 配置实例
08-30
华为L2TP+ipsec野蛮模式,nat穿越 配置实例 。。。。。。。。。。。。。
自己抓的IPSEC的包
04-02
在网络安全领域,IPSec有两种工作模式:传输模式和隧道模式。传输模式主要用于保护两台主机之间的端到端通信,而隧道模式则用于封装整个IP包在一个新的IP包中,通常用于VPNs(虚拟私有网络)以创建安全的远程访问或...
ipsec抓包.rar
10-03
多种抓取的wireshark报文,其中附带密钥信息,可以直接使用wireshark进行报文解密。...抓取的类型包括:主模式野蛮模式,数字证书,预共享秘钥,多种加密套件,AH+ESP数据报文,IKEv1, IKEv2等多种场景和应用下的报文
IPsec的NAT穿越详解
qq_47529104的博客
04-07 1万+
问题场景 左边的支部,它的防火墙上联路由器,由于防火墙内部的接口使用的是私网地址,这就导致其无无法在公网上与对端防火墙进行IPsec的隧道建立 。所以必须在AR5上面不是NAT地址转换,由于一般使用的是NAPT,isakmp协议因为是UDP报文,且没有像AH或者ESP那样有对内容进行签名,所以可以正常地协商IKE SA以及IPsec SA,但是AH和ESP就没有那么简单了 AH和ESP的认证范围如图所示,其实说是认证范围本质上来说应该是进行HASH运算的范围,如图所示,AH的签...
标准机柜整体参数
qq_47529104的博客
11-16 1万+
1U=44.5mm 标准机柜是指内部安装尺寸为482mm的机柜(注意这里指的是内部安装尺寸)。而一般机柜的外部尺寸是600mm或者800mm,服务器的机柜一般是600mm,因为布线可能不是很多,但是对于网络机柜,因为它可能要负责一个地区的网络组网,所以就需要大量的线缆连接到这些网络设备上,于是需要800mm宽的机柜,在机柜的两侧可以用来整理线缆。比如我们可以将配线架正面延申出来的线缆放在配线架上,然后再从配线间上连接至网络设备上。 然后就是机柜的深度,一般也是选择600mm或者800mm,考虑成本可以选
华为防火墙链路检测工具(IP-LINK,BFD)
qq_47529104的博客
03-21 1万+
IP-LINK 三个检测周期15s后未收到响应报文则认为故障 收到三次响应后才认为故障消除 ip-link xxx //创建ip-linkdestination 1.1.1.1 interface xxx mode xx next-hop 2.2.2.2ip-link check enable //开启ip-link检查 tx-interval xx //设置发送间隔 times xx //设置超时次数 display ip-link//显示iplink IP-link作为一个链路测试工具,...
华为:ppp链路协商抓包分析(详细)
qq_47529104的博客
08-08 8230
首先简单说一下ppp配置的流程。 1、在服务端将链路的封装类型设置为ppp,在服务端创建用来验证的本地用户。(还有一些是用别的服务器存用户数据)。 2、在服务端上设置验证协议,比如pap或者chap 3、在客户端上同样将链路的封装类型配置为ppp。然后将向服务端提供用户信息,验证成功即可 简单来说就是上面的步骤 首先我们使用抓包软件先来看以下LCP,是如何建立链路的连接的。 华为的路由器在串线上默认使用的就是PPP协议,所以我们先看一下两台路由器使用串线连接之后,线路上的数据包。 当你连接
OSPF协议报文为什么目的地址有的是单播,有的是组播分析
qq_47529104的博客
11-27 7421
hello包: hello包的目的地址是224.0.0.5,他是一个组播地址,这个很好理解,在一开始路由器之间都不知道对方的存在的时候,通过组播的方式去寻找相邻的邻居路由器是最好的选择,因为只有开启了ospf协议的路由器才能对这个hello进行响应,从一定程度上仅能寻找到开启ospf包的路由器,同时也能减少ospf相关协议包的流量。 DD报文: 我们知道DD报文的作用总共有两个,一个是进行DR和BDR的选举,还有一个就是进行路由摘要信息出传播, 当在广播链路上通过DD报文选举处...
华为IPSEC野蛮模式配置
05-12
IPSec VPN中,野蛮模式是一种不安全的加密模式,因为它暴露了VPN连接的双方IP地址。因此,建议使用主模式而不是野蛮模式。但是如果您需要使用野蛮模式,可以按照以下步骤在华为设备上进行配置: 1. 创建IPSec策略 ``` ipsec policy policy-name ``` 2. 配置本地地址和远程地址 ``` local-address ip-address remote-address ip-address ``` 3. 配置预共享密钥 ``` pre-shared-key simple key-string ``` 4. 配置加密算法和哈希算法 ``` proposal proposal-name encr-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} hash-algorithm {sha1 | sha2-256 | sha2-384 | sha2-512} ``` 5. 配置安全协议 ``` security-proposal proposal-name esp authentication-algorithm {hmac-sha1-96 | hmac-sha2-256 | hmac-sha2-384 | hmac-sha2-512} encryption-algorithm {3des-cbc | aes-cbc-128 | aes-cbc-192 | aes-cbc-256} ``` 6. 配置IKE策略 ``` ike peer peer-name pre-shared-key simple key-string proposal proposal-name ``` 7. 配置ISAKMP协议 ``` isakmp authentication-mode pre-shared-key ``` 8. 启用IPSec VPN ``` vpn-instance vpn-instance-name ipsec policy policy-name ike peer peer-name ``` 以上是基本的配置步骤,您需要根据实际情况进行调整。注意,野蛮模式可能会导致安全性问题,因此建议使用主模式

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值