IPsec简单介绍

VPN相关介绍

VPN：虚拟私有网络

• 例如：像这种不加密的

  • PPTP
  • L2TP
    ------- 一般用在windows server 服务端（但是大多数企业不用这个）

• 假如总公司内部的PC1要去访问分公司内部的PC2（一般用在公司服务器有内网的服务）
  

  • 目的ip：172.16.1.1
  • 目的ip：192.168.1.1
  • 路由器传递分两种数据：
    • 管理型数据：路由表，标签，LSA，hello包等为了通信而传递的数据
    • 业务型数据：ERP，OA，ftp，http等真实传输的数据
  • 要确保两边的内网的数据要像局域网一样能够通信（向运营商申请专线）
    • 早期专线业务：FR(帧中继)专线，带宽只有1.544M，一根线一根线的拉，总部牵一根线直接到分部，主要是安全性和保密性好（现在已经没有了）
    • 现在专线业务：MPLS专线（用于大型的跨国企业，异地化企业等），并不是物理线路实现专线，而是通过逻辑上的标签（路由是给这个MPLS打底层的）；最近很火的专线是SDN（把路由器变成智能的，通过一个控制器来控制流量的分发）
  • 跨越式的VPN（企业自己弄，不申请专线的情况下）
    • 此时PC1去PC2目的ip和源ip都是内网的，我们可以在这个外面再打一个公网ip，运营商接受到我们这个数据，他看到的就是公网这一层帮我们转发（对于运营商来说那边是察觉不到的，对于我们只是给地址打上了一个双报头）

IPSec相关介绍

跨越式VPN和IPSec两者有什么关系？

• VPN是VPN，IPsec是IPSec
• IPSec是基于ip层的一个加密，也就是说基于VPN的基础上，把这个数据给加密了
• IPSec不是一个算法，也不是一个加密方式，它是一个协议组（协议组里面有很多协议）

什么是IPSec VPN

IPSec早期是针对ipv6设计的，后来针对ipv4做了一个IPSec的拓展版本（IPSec VPN）

• IPSec：Internet Protocol Security 基于IP协议的安全
• VPN：Virtual Private Network 虚拟专用网络
• IPSec VPN：IPSec协议组实现IP数据包传输安全的一种VPN技术
• VPN建立成功后，因为用户的数据包传输实际仍需要经过公共网络，因此存在极大的安全隐患，所以需要利用IPSec技术来保证数据包传输的安全，IPSecVPN 技术要求再VPN中传输数据的同时确保数据包传输的安全性
• 从建立模型来看，IPSec VPN是一种Overlay VPN

MPLS VPN和IPSec VPN的简要区别

• MPLS VPN

  • 基于标签的转发
  • 数据是没有被加密的
    • 安全（数据被截取到了会不会被爆破）：
    • 私密（数据会不会被截取到）：从某种意义上来说基于物理转发
    • MPLS一般只能保障私密性和转发速度，安全性是不能保障的，因为数据是没有被加密的

• IPSec VPN

  • 既针对于数据安全性，又针对于数据私密性，它都是有一个控制机制的（算法）

传统的数据通信

一般我们都使用NAT

• R1的内网访问R2的内网，为什么访问不过去
  • 目的ip：172.16.1.1
  • 源ip：192.168.1.1
  • R1内部数据出来的时候经过R1，转化的是源ip地址到达运营商，目标地址还是内网的，还是没办法转发
• R1的内网访问R2的内网，有没有一种方式能够访问过去（不做专线，也不做VPN，还要经过SP）
  • 用NAT就可以
    • NAT有一个outside功能，可以转换目的地址，把目的ip转换成对方的公网地址，运营商此时就可以转发，当数据到达R2之后，R2会针对过来的数据转发到内部
  • NAT是非常耗费资源内存的
    • 每条NAT耗费内存（64k）
  • 设备内的存储器
    • RAM（内存）
    • flash（相当于C盘，系统盘）
    • ROM（存放bootstrap）
    • nvram（存config）

IPSec VPN理解重点

IPSec VPN技术是由两种技术共同组成，因此该技术的实施过程分成两个步骤来完成，第一是要配置VPN,第二是要配置IPSec

VPN的建立即为一个网络的建立，而网络的建立除去实际链路的连接以外就是路由的建立过程，因此配置VPN就是配置路由的过程.这里的路由指的是站点的内网路由

IPsec的配置就是利用已经存在的安全协议组来协商如何安全的交互数据;

数据传输如何才能安全

• 私密性（加密数据包，防止非法用户截取并且获取数据包内容）
• 完整性（确保数据包在传输过程中不会被非法用户篡改）
• 源认证（确保数据包发送者的真实身份，是否为合法用户）
• 不可否认性（发送者不可否认曾经发送过该数据）

网络攻击的主要手段

窃听攻击 Eavesdrop ping

• 数据交互过程中，攻击者通过一些协议分析工具获取到数据信息，因为常见的数据交互都是通过明文方式完成的，比如常见的协议或应用：Telnet，FTP，HTTP等等
• 解决方法：对原始的明文数据进行加密（Encryption）
• 如下实验，当R1 telnet R2，输入username cisco password cisco时，所有信息都是明文显示，因此容易被攻击者截获并且获知
• 
  • SW配置：
    • monitor session 1 source interface Et0/0
    • monitor session 1 destination interface Et0/2
  • 然后用R1telnet到R1，用wireshark抓包SW的e0/2端口
    • 

欺骗攻击 Spoofing

• 攻击者通过伪装，假冒成正常用户于对端进行通信

• 解决方法：身份认证（Authentication Identify）

• 理解重点：数据加密与身份认证的关系

• 数据包即便在传输过程中进行了加密处理，但是仍然需要在接受方发送方进行身份认证

• 在IPSec实际使用过程中，接受方会先解密，在认证，保护认证信息的安全

• 例如：

• R1去往R2的数据信息加密了，PC抓取到的信息就看不到里面的数据了，但是还是要攻击你

  • PC抓取R1去往R2的数据包，并且复制一份发给R2，让R2以为PC就是R1，之后回包就回给PC

中间人攻击 Man-in-the-Middle Attack

• 攻击者针对通信双方，分别假冒对端身份，与通信双方分别建立数据通信，从而让用户认为通信是在合法的用户之间进行的

• 因为有加密与身份认证过程的错在，因此要想实现中间人攻击，首先就要破坏加密和身份认证过程

• 最典型的一种方法为重放攻击（Relay Attack），攻击者发送一个目的主机已经收到过的数据包，从而完成欺骗

• 解决方法：通过加入序列号或者是一次性随机数（random）来防止重放攻击，从而阻止中间人攻击：例如：TCP连接，PPP CHAP认证

• tcp连接防范机制

  • 正常发数据，数据都会有一个sequence序列号
  • 
  • R1给R2发送数据，序列号假如为30，PC抓取到这个序列号为30的数据，再发送数据给R2序列号也为30，但有可能R1给R2通信的数据不是30号的数据或者应用层处理数据没有处理到这个层面，会导致失败
  • 所以sequence序列号不止运用再tcp重传，也能够防范中间人攻击

• 中间人攻击典型案例
  黑客攻击PC，让PC来攻击server

  • 黑客pingPC：
    
    • ping 30.1.1.2 source 20.1.1.2
    • 目的ip：30.1.1.2
    • 源ip：~10.1.1.2~ 20.1.1.2（伪装源ip，把自己伪装成PC）
    • PC收到包之后，回包就会回给server
    • 黑客的配置：
      • int lo 0
        • ip add 20.1.1.2 255.255.255.0
    • 解决方法：
      • 在ISP连接黑客的接口上打上一条：ip verify unicast reverse-path
      • 开启单播逆向路径转发（URPF Unicast Reverse Path Forwarding）
        • 它是基于cdf表的查询
          • show ip cef 查看思科快速转发表
          • 它会记录每一个接口对应的网段，会有一个校验

• PPP的random防止重放攻击
  

  1. R2给R1发送一个拨号的请求
  2. R1收到拨号请求之后会给R2回复三个信息
     1. 主机名（username）：R1
     2. id号（每发出一次就有一个id号，比如第一次id是1，第二次就是2）：1
     3. random：A
  3. R2收到回复消息之后，会把对方的random：A提取出来，然后找到自己的密码B，把两者合在一起做一个hash
  4. R2收到回复消息后，还会给R1回复三个信息
     1. 主机名（username）：R2（这个不是电脑名，而是办宽带给你的账户名）
     2. id号：1
     3. random：C
  5. R1收到之后会查看主机名是谁（R2），然后查看自己的数据库，看R2对应的密码是谁，把自己之前的随机数（A）和R2对应的密码（B）结合做一个hash
     查看D和C的hash值是否一样

如何具体实现私密性

• 为了实现数据传输的私密性，需要对数据启用加密，而加密则需要以来加密学来完成
• 加密学由两部分构成：算法与密钥
• 古典加密学主要研究算法，现代加密学主要研究密钥
• 算法是公开的，密钥是不公开的（密钥是基于不同的密钥，最终加密的方式是不同的）

移位式（Transposition Cipher）

• 将字母重新排列的方法来加密
• 数据明文：thinkmo is a good place
• 加密密钥：5（五个字母为一分，之后再竖从上往下看）
• 
• 加密密文：tmgl hooa iioc nsde kap

替代式（Subsititution Cipher）

• 将一组字母换成其他字母或符号
• 数据明文：thinkmo is a good place 加密密钥：2
• 加密算法：用每个字母之后的第N个字母替换
• 加密密文：vjkpmq ku c iqqf rnceg

维吉尼亚算法

明文和密钥的x，y轴对应来看

• 数据明文：thinkmoisagoodplace
• 加密密钥：goodgoodgoodgoodgo
• 加密算法：密码表
• 加密密文：zvwqqaclyowrurdzdis

理解重点

• 针对现代加密学中的算法与密钥，算法式可以公开的，但是密钥必须是私密的
• 加密需要key，解密同样需要key
• 一个算法是否可靠，取决于算法的先进性，同时也取决于key的长度

加密算法的分类

对称加密算法

• 代表算法：DES（淘汰），3DES，AES，RC4（主要用于SSL VPN）
• 特点：加密和解密使用相同的密钥
• 优点：速度快，安全，紧凑（加密后对原始数据长度几乎不改变，例如加密前为100k，加密后也是100k）
• 缺点：密钥的安全交换以及管理是个问题
• 对称加密算法一般用来进行数据流的加密（业务型数据）