IPsec学习总结

最新推荐文章于 2023-05-13 13:35:06 发布
最新推荐文章于 2023-05-13 13:35:06 发布
阅读量792 收藏 3
点赞数 1
分类专栏: 华为 HCIA/HCIP sercurity 网络技术 文章标签: 学习 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47529104/article/details/124603712
版权
网络技术 同时被 3 个专栏收录
134 篇文章 18 订阅
订阅专栏
华为
100 篇文章 14 订阅
订阅专栏
HCIA/HCIP sercurity
88 篇文章 14 订阅
订阅专栏

这个阶段IPsec学习了诸多的内容,从一开始的IPsec整个交互过程,到后面的IPsec的具体应用,因为内容颇多,所以在这里记录一下。

IPsec是一个IPv4的安全保护措施,IPsec内夹杂着多个安全协议和多种安全算法,可以算作是协议簇,从一开始的IKEv1的主模式+快速模式,野蛮模式+快速模式,到后面的IKEv2的4包交互,IPsec的也是在不断地发展地。IPsec中主要的两个传输模式隧道模式和传输模式,隧道模式主要用于端对端地保护,其实说它是端到端的主要原因就是因为只有加密包的目的地址是自己,那么该设备才会对加密包进行解密操作,否则加密包就只会被pass或者转发,所以为什么说隧道模式是端到端的保护的主要原因就是因为大家在触发IPsec的感兴趣流之后在外面都会封装一个新的IP首部,于是这些数据包其实就是都是在IPsec双端的隧道上进行数据传输,这些加密数据包的内部的数据载荷的类型可能有很多种,有可能是ICMP,又有可能是上层的应用数据等等,但是它们在隧道模式下都会被加上新的IP首部,于是无论这些加密数据包的内部封装的是什么数据,当它们传输到对端的IPsec设备后都会进行解密,然后将内部的数据载荷提取出来,并根据它的原生IP首部进行数据的转发,所以说隧道模式是一种端到端的保护,那么为什么说传输模式是点到点的保护?其实就是因为传输模式没有在外层新添数据包,那么IPsec保护的流的范围也仅仅约束在建立了IPsec隧道的双端。IPsec的应用有很多,而且有很多的表现形式,比如有像专门的网络设备去提供相对应的VPN服务,也有像软件形式的VPN服务。但是无论怎么样都逃不过,IKE,IKE就是一个用于协商IPsecSA的辅助工具,我们在设置IKE的相关参数的时候,主要就是配置DH算法,认证方式,认证算法,加密算法,完整性算法,数据验证算法,伪随机算法,SA的存活时间,DPD的相关配置,本端和远端的标识识别,还有一些其他的配置。这些都与IKE协商有着十分紧密的关联,因为我们最终是要协商IPsecSA,所以后面的IPsec的一些参数也是需要我们进行配置的,比如ESP的数据源认证算法,ESP的加密算法,ESP是IPsec中的一个安全协议,其主要功能就是加密和数据源的认证,从ESP的首部结构我们也能看出它的主要功能,首先ESP首部的序号字段表示了它具有抗重放的功能,同时ESP还有ESP的填充,这个ESP的填充主要功能就是为了让被加密数据满足加密算法的位长,ESP还有ESP尾部,ESP的验证填充字段,这个字段就是为了结合MAC消息验证,将双方共享的密钥与数据结合做HASH运算,得到了一个可验证数据源来源的同时还可验证数据完整性的数据,所以虽然在IKE上我们需要协商那么多东西,但是在ESP上需要配置的内容却并没有那么多,仅有加密和验证算法的选择。在ESP中它的验证范围仅仅在ESP首部和ESP尾部,并没有包含IP首部,所以即便做了NAT的源地址转换后也不会ESP的验证数据从而导致数据的接收失败。但是对于AH算法来说,它就有所不同,主要就是因为AH的验证范围是整个数据报文,那么当做了NAT的相关操作后,就会影响它的验证数据从而导致数据的接收失败,在AH安全协议中,它的验证数据是包括在AH首部中的,而并不像ESP是有一个单独的ESP验证数据放在数据包的尾部。在IPsec中还有诸多部署方式,比如传统的感兴趣流引流的方式,还有tunnel接口+静态路由的方式,其实两种方式都有各自的有点,针对tunnel接口+静态路由的方式,它就需要使用ipsec profile而不是ipsec policy了。tunnel接口+静态路由的方式可以在路由协议中进行接口的宣告,所以就可以借助IPsec的隧道进行路由协议的数据报文的传输,但是tunnel接口与传统的ACL引流比起来的缺点就是它没有传统方式的附加功能多。IPsec的配置还是相当的繁杂的,其主要原因就是因为各种安全协议的相关参数让人十分烦恼,所以若IPsec双端有一些参数上的变动的话,就会导致IPsec隧道的崩塌。比如在学习IPsec的时候经常会碰到的一个问题就是为什么要野蛮模式?就因为它快吗?主要原因就是传统的IKEv1IPsec,仅仅只能依靠对端的IP地址去寻找预共享密钥然后进行后续的密钥生成,那么IP地址变动,就会导致IPsec隧道的破坏,所以若要将IPsec与IP地址解绑就需要使用其他固定不变的参数作为IPsec的双端标识符,比如字符串或者域名等等,但是因为主模式的一二包是不会发送任何身份标识的,原因显而易见这样做可能会泄露一些信息,所以一般这个东西一般都是在IKE SA协商完毕后以加密的形式去进行传送的,所以主模式就完全没有办法了,于是就搞了一个野蛮模式,直接将身份信息在第一阶段进行发送,所以这样对端就可以直接使用身份信息去找到预共享密钥。IKEv2比起IKEv1就显得聪明的多,它并不将预共享密钥作为IKE SA生成的一个必要参数,而是将其视为一种身份标识的因子,所以即便在IKEv2中使用什么样的身份标识也不会影响它的相关协商,而且IKEv2的DH猜想的想法十分的棒,同时将IPsec SA的协商与身份验证结合在一起,这样就很大程度地减少了数据包地交互,所以说IKEv2真的是一个很棒的协议。

针对Effcient VPN,其实从本质上来说,也是一个十分棒的思想,将相关的安全参数的选择完全交给总部来决定,支部只要上交决定性参数,如身份标识感兴趣流即可。但是华为的有些魔改我不是很喜欢。

Mllllk
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
学习IPSec笔记总结(一)---------IPSec的基础知识
Zero_Knight的博客
03-05 5431
IPSecVPN(Internet Protocl Security):是一组基于网络层的,应用密码学的安全通信协议族。与TCP/IP协议簇一样,IPSec不是指具体的哪个协议,而是一个开放的协议簇。 IPSec协议的设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务(综合了密码技术,和协议安全机制) IPSec PVN:是基于IPSec协议簇构建的在IP层实现的数据安全虚...
IPSEC总结及实验
weixin_43950941的博客
02-16 5051
IPSEC VPN IPSec-VPN是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包。 安全三要素:机密性、完整性、认证(合法性)——安全黄金三角 1完整性:数据没有遭到损坏或篡改。 完整性算法:哈希算法是不可逆算法。MD5 SHA MD5(原始数据+密钥)=...
ipsec原理总结
03-15
很好的原理总结,可以下来学习一下,总结的很到位,很不错的资源
IPSec实验的一些体会
weixin_34080903的博客
12-17 487
前不久做了一个IPSec的实验环境实在WEB-IOU的环境下模拟的。总体实验效果十分理想。但是从中也发现了一些比较重要的地方。其中最让我耿耿于怀的是在定义IPSec的感兴趣流时犯懒使用一种错误的ACL,这里只是想说千万不要犯懒。下面是我的拓扑和错误的ACL以及改正方法。在RouterA上配置的错误语句(RouterB就不写了方向相反而已)Router(config)#ip a...
IPSEC ×××的学习心得
weixin_34413802的博客
08-30 343
个人对×××的理解 ×××:虚拟的专用网络,与mpLS的核心×××不同,只是一种客户端的接入技术。用于加密隧道、加密数据、保护INTERNET流量、保护内部流量不被******和建立私有的网络。有两种模式: 一:传输模式:连接用于在设备的真正源与目标IP地址之间传输数据叶使用。用于两台主机之间,保护上层协议,在IP头和上层协议头之间插入IPSec头,如:〔IP头〕 ...
Web安全学习笔记PDF
01-31
本资源摘要信息将对 Web 安全学习笔记 PDF 进行详细的知识点总结。该笔记涵盖了 Web 安全领域的多个方面,包括网络技术演化、网络攻防技术演化、网络安全观、法律与法规、计算机网络与协议、信息收集等。 1. 网络...
2022年网络安全工程师考试学习资料.doc
11-20
以下是对标题、描述、标签和部分内容的解释和知识点总结: 1. 安全风险描述:安全风险是指一种特定脆弱性被利用一种或一组威胁导致组织资产损失或损害的可能性。 知识点:安全风险、脆弱性、威胁、组织资产。 2. ...
-关于网络安全的总结.doc
06-07
关于网络安全的总结篇二 20xx年7月21日至7月23日我参加了由刘星海老师主讲的 《网络安全》课程,现将学习内容和心得总结如下: 第一天学习网络安全现状需求分析。根据国家网络安全法律 法规,对网络安全的现状...
PKI技术总结(含hillstone案例).pdf
07-09
技术之一,我们要先弄清楚这些加密算法如何搭配干活,这对学习PKI 技术是一个很好的铺垫,其实不仅PKI需要了解这些内容,IPSec学习也是需要了解这些的。我们所要掌握的加密技术并不是要去学习 密码学,搞网络...
网络与内容安全007互联网安全协议.pptx
10-07
网络与内容安全】互联网安全协议详解 网络安全是信息技术领域中的关键组成部分,它涉及保护网络系统免受恶意...随着技术的发展,新的安全威胁不断涌现,因此持续学习和更新网络安全知识成为每个IT从业者的基本要求。
Ipsec 总结
qq_45964162的博客
07-22 738
Ipsec总结
IPSec学习小结
ytj_007的博客
07-13 558
近期学习IPSec的一些基础知识,在此作个简短的总结IPSec是IP层的一套加密协议(包含AH、ESP、IKE协议以及一些加密算法)。之所以会出现IPSec协议,是因为IP网络存在一些安全缺陷,比如IP层报文可以被明文看到、数据可能被篡改、源身份不好验证、可以进行重放攻击等。针对这些问题,IPSec提供了相应的安全服务,包括:机密性、完整性、身份认证、抗重放等服务,概括为两大安全机制:认证...
IPsec协议总结
轻飘飞扬
06-13 3852
1、IPsec 基本介绍 1.1 ipsec基本数据 1.2 ipsec 封装模式 传输模式 传输模式在AH、ESP处理前后IP头部保持不变,主要用于End-to-End的应用场景。 隧道模式 隧道模式则在AH、ESP处理之后再封装了一个外网IP头,主要用于Site-to-Site的应用场景 2 隧道模式下基本的封装和姐封装流程 2.1 封装流程 在原IP报文中找到TCP报文部分,在其后添加相应的ESP trailer信息。 ESP trailer 包含三部分:Padding,Pad leng
IPsec学习总结(1)IPsec技术浅析——发展
xingfu0539的专栏
10-26 2727
<br />       题记:最近一段时间一直在导师的指导下研读RFC4301-4307,也就是IPsec的标准文档,期间遇到很多问题,特别是因为网络知识不好,所以文档中的很多话都不能很好的理解,而且自己英语水平很差,所以理解上也有偏差,现在把自己的一些理解写出来,希望能够得到大家的批评指正,望不吝赐教。<br />       IETF中介绍IPsec以及相关技术的文档包括RFC2401,2403这些IKEv1系列,RFC4301开始的IKEv2系列,现在比较稳定的版本是IKEv2,但是许多实施还是使用
IPSec学习笔记
qq_44386020的博客
05-13 267
AH协议AH不提供任何保密性服务。IPSec工作在网络层,一般用于两个子网间的通信,称为站到站的通信。是一套协议集合,包括。两个环节:1.IKE协议,完成通信双方的身份鉴别,确定通信时使用的IPSec安全策略和密钥。2.使用数据报文封装协议和IKE中协定的IPSec安全策略和密钥,实现通信数据的安全传输。区别:1、封装过程传输模式,不会改变原始报文的IP头,只会在原始IP头后面封装一些ipsec协议隧道模式,会在原始IP报文头前面添加新的IP头,并且在新的IP头后面封装一些ipsec协议。
IPsec典型配置举例 -采用IKE方式建立保护IPv4 报文的IPsec隧道
解不开的未知数
07-13 3930
1-28 采用IKE方式建立保护IPv4 报文的IPsec隧道 1. 组网需求 在 Router A 和 Router B 之间建立一条 IPsec 隧道,对 Host A 所在的子网(10.1.1.0/24)与 Host B所在的子网(10.1.2.0/24)之间的数据流进行安全保护。具体要求如下: • • 封装形式为隧道模式。 • • 安全协议采用 ESP 协议。 • • 加密算法采用 1...
IPsec ×××的交互模式
weixin_34005042的博客
03-06 292
IPsec ×××主要有主模式(MAIN node)和积极模式(aggressive mode)。主模式和积极模式的信息交换机制不同。主模式有6条消息要交换,2个一组对称。主模式中,第1、2条信息中,双方交换了一些协商信息,如认证算法(hash)、加密算法、DH组、认证机制等。第3、4条信息中,双方交换了公钥,在交换了公钥之后,就可以根据DH算法生成后续所需的密钥了(SKEY...
IPSEC流程例子及两个阶段的协商过程详细介绍
热门推荐
wesleyhe的专栏
02-01 3万+
IPSEC VPN两个阶段的协商过程详细介绍 IPSec体系结构模型图   我们来看一个完整的IPSec体系结构模型图,以便更好地理解IPSec体系结构。   IPSec流程图 SAKMP/IKE第一阶段称为ISAKMP/IKE的管理连接阶段.使用双向的UDP端口为500的数据连接,来共享IPSEC消息. 第一阶段 有主模式和积极模式2种
使用IPSec实现终端间的互通
weixin_60719780的博客
09-21 891
1、使用路由器之间来完成IPSec的加密互通2、使用防护墙完成IPSec的加密互通。
linux IPSEC
最新发布
08-14
IPsec(Internet Protocol Security)是一个网络层的安全协议,用于保护IP数据包的机密性、完整性和认证性。它通过对IP数据包进行加密和认证来提供安全通信。在Linux系统中,我们可以使用StrongSwan来实现IPsec。 在Linux上配置IPsec,首先需要安装StrongSwan软件包。可以通过包管理工具如apt或yum进行安装。 安装完成后,需要进行IPsec的配置。主要的配置文件是/etc/ipsec.conf和/etc/ipsec.secrets。在ipsec.conf文件中,你可以指定IPsec的连接和参数。在ipsec.secrets文件中,你可以指定预共享密钥(PSK)或证书等身份验证信息。 例如,假设你想在两台Linux主机之间建立IPsec连接。你可以在每台主机上编辑ipsec.conf文件,配置相应的连接和参数。然后,在ipsec.secrets文件中指定PSK或证书等身份验证信息。 完成配置后,启动StrongSwan服务,并确保服务在系统启动时自动启动。你可以使用systemctl命令来管理服务。 一旦IPsec连接建立成功,你就可以通过加密和认证来保护你的网络流量。这可以用于保护远程访问、站点到站点连接等场景。 这只是一个简单的概述,实际的配置可能会更复杂。如果你有特定的需求,请提供更多细节,我可以提供更具体的指导。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Mllllk

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值