IPSEC ×××之配置详解篇

 

无止境系列文档将以网络安全为方向,以 专题的形式每周天发布,希望大家支持。

 

【阅 读说明】

为了方便 大家阅读,特作如下说明:
1. 专业术语或者一些 概念用红色标识。
2. 重要或者强调的语 句用蓝色标识。
3. 总结的部分用绿色标识。

 

【主 要内容】

1.  IPSEC ×××理解
2.  封装模式
3.  IKE两个阶段
4.  ipsec ***配置

 

IPSEC ×××理解】

IPSEC 是一套保护IP数据在不同的地点 间传输时安全性的功能特性集。
×××可以仅仅是两个端点间的一条隧道或链路。
IPSEC ×××就是有安全保护的×××
IPSEC有四个功能特性:数据机密性,数据完整性,数据源认证,防重放。

前面两篇已经介绍了上述概念(防重放除 外),IPSEC ×××是通过相应的协议封装来实现的。
IPSEC使用的协议:
1IKEInternet Key Exchange,互联网密钥交换。
2ESPEncapsulation Security Payload,封装安全负载。
3AHAuthentication Header,认证头。
通过IKEESPAH这三个协议来保证IPSEC所提供的特性。
一。IKE介绍
IKE是协商和交换安全 参数和认证密钥的体系框架。
使用isakmpoakley协议来完成对等体 验证和密钥生成工作。

 

二。ESP介绍
提供数据机密性,完整性,数据源认证和可选的防重放功能的体系 框架。
可选机密性方法:esp-des esp-3des
可选数据源认证和完整性方法:esp-md5-hmac esp-sha-hmac

 

三。AH介绍
提供数据完整性,数据源认证和可选防重放功能的体系框架。
注意:没有提供机密性保护。

可选验证和完整性方法:ah-md5-hmac  ah-sha-hmac

 

IKE是必须要用到的协议,AHESP可以根据需要选择其中一个,或者也可以同时选择两个,但是同时使用ESPAH效 果不比单个好,所以建议仅选一个。

 

 

【封 装模式】

封装模式有两种: 传输模式和隧道模式
传输模式:不改变原有的IP包头

隧道模式:增加新的IP

一。传输模式
鍥?-1
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
二。隧道模式
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
从上述图中可以看出:
1.传输模式保护的是×××端 点间传送的数据包内容,隧道模式下保护的是整个IP包。

2.AH验证的内容是二层头部之后的整个数据包,ESP对外层新IP头 没有进行认证。

 

IKE阶段】
SAsecurity association),安全关联。是两个对等体之间协商一致的一组安全服务(参数)。
双向SA:进站和出战用的 同一组服务参数。
单向SA 进站和出站用的是不同的服务参数,一个用 于入站,一个用于出站。

 

IKE阶段一:
主要目的:建立IKE安全通道

作用:
1)在IPSEC对等体之间建立一 个双向的SA
2)实现对等体的验 证
建立SA需要协商的内容:
加密算法,hash算法,DH算法,身份认证方 法,存活时间

 

IKE阶段二,建立IPSEC SA
目的:协商IPSEC安全参数

建立单向SA需要协商内容:
加密算法,hash算法,安全协议, 封装模式,存活时间

 

IKESA这里不讨论。这里 再详细介绍一下IPSEC SA
1.  SASPD (security policy database)SAD(SA database)组 成。
2.  图解表示:
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
           图3-3
 
SAD:每个客户端都使 用SAD来 跟踪所参与的SA,对每个客户端来说,都有两个SA
一个用于数据进来的时候的算法集,一个用于数据出去的时候所使 用的算法集。
SPD:包含了每个SA达成一致的参数。 包括:加密算法,验证算法,IPSEC模式,密钥生命期。

 

虽然两个阶段都有协商加密算法、hash算法等,但是作用 是不一样的。第一个阶段主要是为了先建立一个安全通道,是对isakmp消息自身的保护措施,跟用户的数据没有关系。第二个阶段才是真正协商对数据进行加密、完整性检验和认证的算法。

 

虽然是分为两个阶段,但是第二个阶段是要 利用第一个阶段SA的相关内容的,所以两个阶段也是互相联系的。
 
ipsec *** 配 置】
这部分比较长,见附件完整版