IPSecurity
文章平均质量分 78
redwingz
这个作者很懒,什么都没留下…
展开
-
WireGuard简单配置
WireGuard简单配置如下拓扑:|----------| |----------|| | 192.168.1.115 | || server |---------------------------| peer || | 192.168.1.117 | ||----------|原创 2022-06-26 20:36:36 · 3584 阅读 · 0 评论 -
IKEv2使用DNSSEC的IPSECKEY资源记录获取公钥的认证流程
以下根据strongswan代码中的testing/tests/ikev2/net2net-dnssec/中的测试环境,来看一下IKEv2协议在协商时不交换证书,而是通过DNSSEC获取对端公钥的认证流程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun网关。网关配置moon的配置文件:/etc/ipsec.conf,内容如下。注意此处的leftsigkey字段,在stro...原创 2020-01-10 23:33:29 · 1313 阅读 · 0 评论 -
IKEv2协议中的EAP-TLS认证处理流程
以下根据strongswan代码中的testing/tests/ikev2/rw-eap-tls-only/中的测试环境,验证一下IKEv2协议的EAP-TLS认证过程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和carol主机。carol主机配置carol主机的配置文件:/etc/ipsec.conf,内容如下。leftauth字段设置为eap认证,rightauth的值为...原创 2019-12-18 19:50:21 · 4442 阅读 · 0 评论 -
IKEv2协议报文分片处理
以下根据strongswan代码中的testing/tests/ikev2/net2net-fragmentation/中的测试环境,来看一下IKEv2协议的报文分片处理流程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun网关。网关配置moon的配置文件:/etc/ipsec.conf,内容如下。注意此处fragmentation字段的值为yes,可能的取值还有:no、a...原创 2019-12-10 21:40:36 · 2082 阅读 · 0 评论 -
IKEv2子网之间秘钥重协商
以下根据strongswan代码中的testing/tests/ikev2/net2net-rekey/中的测试环境,验证一下网络到网络的IKEv2协议的秘钥重协商过程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。moon网关配置moon网关的配置文件:/etc/ipsec.conf ,内容如下。为了进行秘钥重协商,安全关联的生存期lifetime指定为较短的10s,...原创 2019-12-09 21:17:30 · 2525 阅读 · 0 评论 -
共享秘钥模式下XAUTH验证流程
以下根据strongswan代码中的testing/tests/ikev1/xauth-psk/中的测试环境,来看一下XAUTH验证流程。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和主机carol及dave。moon网关配置moon的配置文件:/etc/ipsec.conf,内容如下。注意此处keyexchange字段的值,使用ikev1版本协议。在名称为rw的连接配置中,l...原创 2019-12-08 16:17:35 · 3337 阅读 · 0 评论 -
IPSec对NAT网关内部多个连接的支持
以下根据strongswan代码中的testing/tests/ikev2/nat-rw-mark/中的测试环境,在安全连接的两个节点之间存在NAT网关的情况,并且在安全网关上对外部连接的端点地址在访问内部网络之前,执行SNAT操作,适用于外部的分支使用与总部不同网段地址的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/ip...原创 2019-12-05 20:51:14 · 1830 阅读 · 0 评论 -
XAUTH认证
以下根据strongswan代码中的testing/tests/swanctl/xauth-rsa/中的测试环境,来看XAuth的配置和认证流程。扩展认证XAUTH在RSA公开秘钥签名认证(pubkey)之后进行。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,...原创 2019-12-02 19:29:48 · 2894 阅读 · 0 评论 -
IKEv2使用RSA-PSS签名
RSA-PSS全称为:RSA Probabilistic Signature Scheme,在IKEv2协议的报文交互中,Authentication载荷可携带由RSA-PSS算法签名的验证数据。以下根据strongswan代码中的testing/tests/swanctl/rw-cert-pss/中的测试环境,来看基于X.509证书的RSA-PSS签名配置和认证流程。拓扑结构如下:拓扑图中使...原创 2019-12-02 19:28:51 · 1146 阅读 · 8 评论 -
GRE协议与传输模式下IPSec隧道
以下根据strongswan代码中的testing/tests/route-based/net2net-gre/中的测试环境,来看一下GRE报文通过IPSec隧道的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的gre子连接配置,local_ts和remote_t...原创 2019-12-03 20:24:26 · 4077 阅读 · 0 评论 -
两个IPSec子连接共用XFRM虚拟接口
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-ike/中的测试环境,来看一下两个IPSec子连接共用一个XFRM虚拟接口的情况。拓扑结构如下:拓扑图中使用到的设备包括:虚拟网关moon和sun。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。注意其中的net-net子连接配置...原创 2019-12-02 19:42:01 · 1285 阅读 · 1 评论 -
网络命名空间之间移动XFRM虚拟设备
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi-netns/中的测试环境,来看一下基于路由和XFRM接口实现的安全连接,以及在两个网络命名空间之间移动XFRM虚拟接口的情况。内核允许XFRM接口的移动,可使得一个命名空间中的strongswan进程为另外一个命名空间中的应用提供安全加密服务,而后者并不需要进行IKE相关协商。拓扑结...原创 2019-12-02 19:41:40 · 853 阅读 · 0 评论 -
基于路由和VTI隧道接口的net2net的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/net2net-vti/中的测试环境,来看一下基于路由和VTI接口实现的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。sun网关配置sun的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为0...原创 2019-12-02 19:41:16 · 1703 阅读 · 1 评论 -
自动创建XFRM虚拟接口的net2net形式的IPSEC
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...原创 2019-12-02 19:41:28 · 841 阅读 · 0 评论 -
自动创建XFRM虚拟接口的net2net形式的IPSEC
以下根据strongswan代码中的testing/tests/route-based/net2net-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。在配置中sun网关使用特殊值%unique-dir自动为in/out两个方向创建不同ID值的xfrm虚拟设备;而moon网关仍然使用在swanctl.conf文件中手动指定xfrm接口ID值,并且手动创建XFRM接口的方法。su...原创 2019-11-22 10:35:58 · 958 阅读 · 0 评论 -
基于VTI隧道接口IPv4封装IPv6报文的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti-ip6-in-ip4/中的测试环境,来看一下基于路由和VTI接口的IPv4封装IPv6报文的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.con...原创 2019-12-02 19:40:51 · 1289 阅读 · 0 评论 -
基于路由和VTI虚拟接口的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/rw-shared-vti/中的测试环境,来看一下基于路由和VTI接口的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips设置为...原创 2019-12-02 19:40:24 · 3735 阅读 · 4 评论 -
基于路由和XFRM虚拟接口的IPSec实现
以下根据strongswan代码中的testing/tests/route-based/rw-shared-xfrmi/中的测试环境,来看一下基于路由和XFRM接口的安全连接。拓扑结构如下:拓扑图中使用到的设备包括:虚拟主机carol和dave,以及虚拟网关moon。虚拟主机配置carol的配置文件:/etc/swanctl/swanctl.conf,内容如下。连接home中的字段vips...原创 2019-12-02 19:30:27 · 2712 阅读 · 1 评论 -
SWAN之ikev2协议multi-level-ca-cr-resp配置测试
本测试主要验证多级CA证书验证的功能,远程用户carol,dave与网关moon建立连接时,carol和dave使用中间CA证书以及中间CA所签发的实体证书,moon主机使用CA根证书。在认证过程中,carol和dave在IKE_AUTH请求消息中将中间CA证书发送给moon主机。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/multi-level-ca-cr-res...原创 2019-11-12 20:41:29 · 385 阅读 · 0 评论 -
SWAN之ikev2协议multi-level-ca-cr-init配置测试
本测试主要验证多级CA证书验证的功能,远程用户moon与网关carol,dave建立连接时,carol和dave使用中间CA证书以及中间CA所签发的实体证书,moon主机使用CA根证书。在认证过程中,carol和dave在IKE_AUTH响应消息中将中间CA证书发送给moon主机。本次测试拓扑如下:carol网关配置carol的配置文件:ikev2/multi-level-ca-cr-ini...原创 2019-11-12 20:40:24 · 563 阅读 · 0 评论 -
SWAN之ikev2协议multi-level-ca配置测试
本测试主要验证多级CA证书验证的功能,远程用户carol,dave与网关moon建立连接时,分别使用中间CA证书所签发的实体证书,分配给carol的证书仅可访问moon网关之后的alice主机;dave的证书仅可访问venus主机。两个中间CA证书的名称CN分别为"Research CA"和"Sales CA"。本次测试拓扑如下:carol主机配置carol的配置文件:ikev2/multi...原创 2019-11-12 20:39:06 · 1445 阅读 · 0 评论 -
SWAN之ikev2协议multi-auth-rsa-eap-sim-id配置测试
本测试主要验证多重认证功能,远程用户carol,dave与网关mooon建立连接时,首先使用IKE RSA签名和相关证书进行认证;完成之后,再进行EAP-SIM认证。在测试中,由alice主机充当radius服务器,对于carol,使用文件/etc/ipsec.d/triplets.dat中的数据模拟物理SIM卡。网关moon负责转发所有的EAP消息到Radius服务器,alice同样使用定义好的...原创 2019-11-12 20:38:16 · 1346 阅读 · 5 评论 -
SWAN之ikev2协议mobike-virtual-ip-nat配置测试
本测试主要验证mobike功能,远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的,最后再次启用eth1接口,由于开启了最佳路径选择功能(charon.prefer_best_path),连接又回到eth1上。本次测试拓扑如下: ...原创 2019-11-11 19:34:24 · 545 阅读 · 0 评论 -
SWAN之ikev2协议mobike-nat配置测试
本测试主要验证mobike-nat功能,远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的,alice的eth0接口与sun网关之后有NAT设备moon路由器。此环境中为远程用户配置虚拟IP地址,即使连接地址发送变化,IPsec策略也可保持不变。本次测...原创 2019-11-11 19:33:23 · 732 阅读 · 0 评论 -
SWAN之ikev2协议mobike配置测试
本测试主要验证远程用户alice与网关sun建立连接时,首先使用eth1接口的IP地址发起连接,在建立连接之后,禁用eth1,以便连接可更新到eth0接口上。其中alice主机的两个接口与sun网关之间都是可达的。以此测试mobike功能。本次测试拓扑如下: eth1 |--------| 192.168.0.50 ...原创 2019-11-11 19:31:58 · 1196 阅读 · 0 评论 -
SWAN之ikev2协议lookip配置测试
本测试主要验证远程用户carol、dave与网关moon建立连接时,通过在ipsec.conf文件中指定leftsourceip字段值为%config,由moon获取虚拟IP地址的功能。并在moon上使用ipsec lookip命令进行验证。本次测试拓扑如下:主机配置carol的配置文件:ikev2/lookip/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这里...原创 2019-11-11 19:30:34 · 760 阅读 · 0 评论 -
SWAN之ikev2协议ip-two-pools-v4v6-db配置测试
本测试主要验证远程用户carol通过设置ipsec.conf文件中的leftsourceip等于%config4和%config6,在与网关moon建立连接时,请求获取虚拟IPv4和IPv6地址的功能。测试中moon网关在rightsourceip字段定义了IPv4和IPv6类型的sqlite虚拟地址池。连接建立之后,IPv4和IPv6的流量都将被封装在隧道内。本次测试拓扑如下:主机配置ca...原创 2019-11-11 19:29:48 · 465 阅读 · 0 评论 -
SWAN之ikev2协议ip-two-pools-v4v6配置测试
本测试主要验证远程用户carol通过设置ipsec.conf文件中的leftsourceip等于%config4和%config6,在与网关moon建立连接时,请求获取虚拟IPv4和IPv6地址的功能。测试中moon网关在rightsourceip字段定义了IPv4和IPv6的虚拟地址段。连接建立之后,IPv4和IPv6的流量都将被封装在隧道内。本次测试拓扑如下:主机配置carol的配置文件...原创 2019-11-11 19:29:02 · 655 阅读 · 0 评论 -
SWAN之ikev2协议ip-two-pools-mixed配置测试
本测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,一个链接使用rightsourceip=%intpool的地址池方式定义;另外一个连接使用简单的网段定义...原创 2019-11-11 19:27:00 · 459 阅读 · 0 评论 -
SWAN之ikev2协议ip-two-pools-db配置测试
本测试主要验证外部用户carol、dave和内部用户alice、venus,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。moon网关创建了两个连接,为外部和内部用户配置了不同的虚拟IP地址池。通过定义subnet字段为10.3.0.0/16,10.4.0.0/16,即两个IP地址池的网段,实现hub-and...原创 2019-11-11 19:26:15 · 818 阅读 · 0 评论 -
SWAN之ikev2协议ip-two-pools配置测试
本测试主要验证远程用户carol和alice,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon网关定义了两个连接,对应于moon的接口eth0和eth1,分别用于服务carol和alice主机,并且定义了两个地址池分配虚拟IP地址。本次测试拓扑如下:主机配置carol的配置文件:ikev2/...原创 2019-11-11 19:23:44 · 481 阅读 · 0 评论 -
SWAN之ikev2协议ip-split-pools-db配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,请求获取虚拟IP地址的功能。测试中moon定义了两个地址池,在第一个地址池地址耗尽之后,使用第二个地址池分配IP地址。本次测试拓扑如下:主机配置carol的配置文件:ikev2/ip-split-pools-db/hosts/carol/et...原创 2019-11-11 19:22:52 · 305 阅读 · 0 评论 -
SWAN之ikev2协议ip-pool-wish配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于某个IP地址,在与网关moon建立连接时,请求获取指定的虚拟IP地址的功能。测试中carol和dave都将leftsourceip字段指定为10.3.0.1,但是carol首先发起连接,获得了想要的虚拟地址。dave之后发起连接,虽然也是请求地址10.3.0.1,但是由于已经分配出去,moo...原创 2019-11-07 20:49:38 · 446 阅读 · 0 评论 -
SWAN之ikev2协议ip-pool-db配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,获取虚拟IP地址的功能。moon网关通过rightsourceip字段指定关键字%bigpool,由数据库中分配虚拟IP地址。测试中使用命令ipsec pool --name bigpool --start 10.3.0.1 --end 10.3....原创 2019-11-07 20:48:26 · 723 阅读 · 0 评论 -
SWAN之ikev2协议ip-pool配置测试
本测试主要验证远程用户carol和dave,通过设置ipsec.conf文件中的leftsourceip等于%config,在与网关moon建立连接时,获取虚拟IP地址的功能。moon网关通过rightsourceip字段指定虚拟IP地址池。本次测试拓扑如下:主机配置carol的配置文件:ikev2/ip-pool/hosts/carol/etc/ipsec.conf,内容如下,主要注意是这...原创 2019-11-07 20:46:40 · 1334 阅读 · 0 评论 -
SWAN之ikev2协议host2host-transport-nat配置测试
本测试主要说明在NAT网关moon之后的两个VPN客户端(alice和venus)使用传输模式连接外部VPN网关(sun)时的问题。由于sun网关上的安全策略冲突,导致后者的连接将替换前者的连接。另外,当alice建立连接之后,如果venus不进行连接的建立,而执行ping网关sun的操作,将没有回复,原因是此报文匹配sun网关的加密策略(alice所建立),但是报文并没有加密,被丢弃(文件/pr...原创 2019-11-07 20:45:17 · 694 阅读 · 0 评论 -
SWAN之ikev2协议host2host-transport-connmark配置测试
本测试在NAT网关moon背后的两台主机alice和venus上发起到外部sun网关的安全连接,使用传输模式。sun网关使用connmark插件和netfilter标记mark来区分两个安全连接,以便可与NAT网关之后的两个主机通信。本次测试拓扑如下:测试配置alice的配置文件:ikev2/host2host-transport-connmark/hosts/alice/etc/ipsec...原创 2019-11-07 20:43:15 · 526 阅读 · 0 评论 -
SWAN之ikev2协议inactivity-timeout配置测试
本测试主要验证carol与sun网关建立连接,同时carol设置inactivity空闲时长为10秒,在超时之后删除连接的功能。本次测试拓扑如下:配置carol的配置文件:ikev2/inactivity-timeout/hosts/carol/etc/ipsec.conf,内容如下,inactivity字段指定空闲时长为10秒,超过此时长,将删除建立的子连接。conn %default...原创 2019-11-06 20:49:00 · 837 阅读 · 0 评论 -
SWAN之ikev2协议host2host-transport配置测试
本测试主要验证moon与sun主机传输模式的连接建立,本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-transport/hosts/sun/etc/ipsec.conf,内容如下,type字段指定使用传输模式transport。conn host-host left=PH_IP_SUN leftcert=sunCert.pem ...原创 2019-11-06 20:22:32 · 852 阅读 · 2 评论 -
SWAN之ikev2协议host2host-swapped配置测试
本测试主要验证moon与sun主机基于X.509证书认证的连接场景,在配置文件ipsec.conf中使用right相关关键字表示本地配置,而使用left表示对端的配置,已测试strongswan的配置选择功能。本次测试拓扑如下:配置sun的配置文件:ikev2/host2host-swapped/hosts/sun/etc/ipsec.conf,内容如下,无特殊配置。conn host-h...原创 2019-11-06 20:21:04 · 345 阅读 · 0 评论