IPSec

最新推荐文章于 2023-10-20 14:18:39 发布
最新推荐文章于 2023-10-20 14:18:39 发布
阅读量814 收藏 2
点赞数
文章标签: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43421779/article/details/126086015
版权

目录

框架

IKE

阶段

主模式

主动模式

DH-Diffie Hellman交互

使用场景

IP安全协议,是放开标准的框架,可在参与的对等体之间针对IP层数据提供私密性,完整性,源认证。

基于IETF;验证每个IP数据包;验证每个数据包的数据完整性;数据包净载荷的私密性;防止重放攻击。

框架

IPsec协议:ESP,AH,ESP+AH

加密:DES,3DES,AES

哈希:MD5,SHA

DH交互:DH1,DH2,DH5

框架协议

IKE,IInternet KEY Exchange。提供用于安全参数协商的框架;建立认证/加密密钥。

IKE使IPSec更有可扩展性:IKE可以通过不受信任的网络自动协商IPSec的安全关联(SA)而无需进行繁琐的手动预配置;创建和交换密钥,包括用于HMAC和加密的密钥。

ESP,封装安全载荷。提供用于数据加密、验证和保护的框架。防重放攻击。

AH,头部验证。提供用于数据认证和保护的框架;提供数据的完整性,源认证;使用关键字段哈希的机制,不提供私密性(不加密),可以防重放。

路由器对包头和数据整体做哈希,值为AH插入包头和数据中间,对端相同方式处理,得到的哈希与AH对比,值相同说明没有被篡改。

IKE

IKE可以通过不受信任的网络自动斜阳IPsec的安全关联(SA),而无需进行繁琐的手动预配置。
创建和交换密钥,包括用于HMAC和加密的密钥。

概述
RFC2409               提供PFS
协商策略以确保策略的一致性和对称性

IKE通过自动执行整个密钥交换过程来扩展IPsec实现:
   对对等体进行身份验证
   生成并刷新密钥
   为IPsec协商(可能是多个)SA对

好处

IKE可以通过不受信任的网络自动协商IPsec安全关联(SA),而无需进行复杂的手动预配置。IKE提供以下好处:

消除了在两个对等体的加密映射中手动指定所有IPsec安全参数的需要
允许指定IPsec SA的有效期。
允许在IPsec会话期间更改加密密钥。允许IPsec提供防重放服务。
允许cA (证书颁发机构)支持可管理的,可扩展的IPsec实现。
允许对等体的动态身份验证。

阶段

一阶段:提供IKE对等体的互相身份验证和会话密钥的建立并创建ISAKMP SA(有效期24小时),涉及DH交互,cookie和ID交互;此阶段目的是为对等体之间构建安全信道,以便安全地进行2阶段协商。

加密和完整性:ISAKMP不受任何特点加密算法的约束

对等体认证:1.预共享密钥认证 ;2.数字(RSA)证书认证 ; 3.数字信封认证

两种模式:主模式,主动模式

主模式

协商ISAKMP policy
通过Diffie-Hellman交互执行身份验证
为ISAKMP对等体身份提供保护-身份已加密
由6个数据包完成
建立ISAKMP安全关联

步骤
    协商IKE保护套件:参数信息,加密方式
    Diffie-Hellman交互
    ID交互和DH key认证(对等体认证)

特征
    保护对等体的身份
    完整的协商能力

局限性
    交互时间更长
    认证后的身份证明:
使用预共享身份验证时,对等体身份密钥必须基于IP地址
在动态环境中必须使用通配符0.0.0.0和预共享密钥
仅使用证书的安全缩放

主动模式

    协商ISAKMP policy,并使用Diffie-Hellman和nonce进行交互
仅通过三个数据包建立ISAKMP SA
不提供身份保护-ID由明文传输
    步骤
        协商IKE保护套件
        DH密钥和ID交换和认证
如果使用数字证书,也会在这个数据包中传递Alice的证书,而不是第一个数据包
    特征
        在第一个数据包中以明文形式传递身份
        预共享身份验证可以基于ID(不在基于对等体地址)
        快速协商,由三个数据包完成
    局限性
        对等体ID不受保护
        DH组没有协商,因为在第一个数据包中已经传递了公共值
        客户端必须具有合理的默认设置
    两个协商步骤要求对等体之间交互三个数据包

二阶段:使用ESP或AH协商和建立IPsec SA(有效期1小时),以保护IP数据流量
    快速模式
        协商IPsec SA
受现有的ISAKMP SA保护
可选: 执行额外的DH交互(如果已配置PFS)
        步骤
            协商IPsec保护套件并协商密钥
            验证两个随机数用于生成密钥
        两个协商步骤要求对等体之间交互三个数据包
 

ISAKMP SA是双向的,IPsec SA是单向的

DH-Diffie Hellman交互


    非对称算法
    基于查找离散对数的数学难题
    用于在各个对等体之间建立安全信道
    双方协商两个非密数值,g和p
        各自生成一个随机私钥x
        基于g和p和私钥x,双方产生一个公共值: Y=g^x mod p
        对等体互相交互公共值 Y
    YB^xA mod p = g^xAxb mod p = YA^xB mod p
    DH group 1/2/5等  确定group,就确定g/p值

使用场景

传输模式场景:transport
网关到网关
主机到网关
特殊情况:GRE,L2TP等

新IP头 | AH/ESP | 原IP头 | TCP data | esp尾巴

隧道模式场景:tunnel
主机到主机

IP头 | AH/ESP | TCP data | esp尾巴


安全:隧道>传输
性能:隧道<传输

鱼D记忆
关注
dh算法 理论依据_dh算法(dh算法原理)
weixin_29034963的博客
02-06 3375
dh的本质是使用非对称密钥来加密对称密钥。dh算法过程:1、相互产生密钥对2、交换公钥3、用对方的公钥和自己的私钥运行dh算法——得到另外一个密钥x(这里的.Diffie-Hellman算法的公式是什么?详解。谢谢。Diffie-Hellman密钥交换算法的有效性依赖于计算离散对数的难度。简言之,可以如下定义离散对数:首先定义一个素数p的原根,e69da5e887aae799bee5baa.·D...
ipsec原理讲解
03-15
很翔实,讲的很不错,可以用来加深理解。。
IPsec简单配置.zip
12-19
IPsec简单配置.zip
ipsec 详解
05-03
技术起初是为了解决明文数据在网络上传输带来的安全隐患而产生的。TCP/IP协议族中的很多协议都采用明文传输,如telnet、ftp、tftp等。一些黑客可能为了获取非法利益,通过诸如窃听、伪装等攻击方式截获明文数据,使企业或者个人蒙受损失。
ipsec ike v1 isakmp和esp.pcap
12-08
ipsec ike v1 isakmp和esp解密-抓包联系,请搭配说明文档使用
IPSec 概述
07-02
适用于初学者了解IPSec,了解他的模式,以及里面的协议。
学习笔记——IPSec
shinylife的博客
04-08 9358
IPSec
关于 Diffie-Hellman
bytxl的专栏
08-11 4487
Diffie-Hellman (DH) 确定了在密钥交换进程中使用的密钥的强度。 的编号越大安全性就越高,但是也就需要更多的时间来计算密钥。 WatchGuard 设备支持 Diffie-Hellman 1、2 和 5。 DH 1: 768 位DH 2: 1024 位DH 5: 1536 位 VPN 交换中的两个对等方必须使用同一 DH ,该在 IPSe
openswan中DH算法说明
热门推荐
遇见你是我最美丽的意外
01-11 1万+
Author : Email : [email protected] Date : 2021.01.11 Copyright: 未经同意不得转载!!! Version : openswan-2.6.51.5 Reference:https://download.openswan.org/openswan/ 1. openswan源码中支持的DH如下: 2. DH编号如下: DH编号 ...
IPSec基础-密钥交换和密钥保护
weixin_34220963的博客
08-05 1906
Internet密钥交换(IKE)   两台IPSec计算机在交换数据之前,必须首先建立某种约定,这种约定,称为"安全关联",指双方需要就如何保护信息、交换信息等公用的安全设置达成一致,更重要的是,必须有一种方法,使那两台计算机安全地交换一套密钥,以便在它们的连接中使用。见图七。   图七、Internet密钥交换   Internet 工程任务IETF制定的安全关联标准法和密钥...
wireshark1.12和IPSec详解
03-13
内含低版本wirshark(1.12wendows server 2003可用),以及点对点搭建IPSec教程详解(网上搜集之后整理)
华为IPsec中心站点
weixin_44534461的博客
08-09 236
ipsec proposal ipsec_vpn esp authentication-algorithm md5 esp encryption-algorithm 3des ike proposal 10 encryption-algorithm 3des dh group2 authentication-algorithm md5 authentication-method pre-share integrity-algorithm hmac-md5-96 prf hmac-sha2-256 ike p
ubuntu18.04全图文助您安装nginx配置web服务,多服务块,多ssl证书
m0_54138660的博客
06-05 1610
实验环境:virtualbox,虚拟机Ubuntu1804 / 腾讯云服务器ubuntu1804测试域名:stu.wuyi.fun软件使用:nginx,certbot已测试:服务器环境,家用路由内网。
IPSec-VPN 的配置与管理
最新发布
2201_75472578的博客
10-20 621
实际拓扑中,边界设备上常有访问控制列表设置,这时需确保 50 (ESP)、51 (AH) 和 UDP 端口 500 (ISAKMP) 流量不被入站 ACL 阻塞。(4)使用show crypto ipsec sa 查看第二阶段的数据连接是否已建立,如图所示:已建立数据连接,且数据已被加密。(3)触发流量后,使用show crypto isakmp sa 查看是否建立管理连接,如图所示:已建立管理连接,截图替换下图。3.在路由器 R3 上,配置 IPSec-VPN 策略(注意两边的策略参数),写出配置命令。
IPSec vpn--02 DH算法
吃不饱、力不足的博客
06-10 2214
DH 公钥分发系统(也称作密钥交换协议):它通过 不安全的 通信通道为通信双方建立一个共享的密钥。 DH密钥交换建立在“离散对数问题”的基础之上。
HCIE-Security Day32:IPSec:深入学习ipsec ikev1、主模式、野蛮模式、快速模式、dh算法、预共享密钥
小梁的博客
03-31 4106
ipsec ikev1总框架 主动模式=野蛮模式 华为的ike 默认同时支持v1和v2,因此可以向下兼容,当隧道两端同时支持v2时,使用v2. dis ike peer bri 2022-03-30 12:25:59.510 Current ike peer number: 1 --------------------------------------...
IPsec详解
w17691058648x的博客
09-13 3946
需求: 企业、织、商家对专用网有强大的需求。 高性能、高速度和高安全性是专用网明显的优势。 物理专用网价格昂贵,物理架设实施有难度。传统的通过租用专线或拨号网络的方式越来越不适用(性价比较低)。 TCP/IP协议簇本身的局限性,不能保证信息直接传输的保密性(有安全缺陷)。 VPN定义:指依靠ISP或其他NSP在公用网络基础设施之上构建的专用的安全数据通信网络,只不过这个专线网络是逻辑上的...
ipsec pluto
09-12
IPsec Pluto是一个用于实现IP安全(IPsec)协议的开源软件包。IPsec是一种用于保护IP通信的协议,它提供了数据的完整性、机密性和身份认证。IPsec Pluto是实现IPsec协议的关键件之一。 IPsec Pluto在网络中的作用非常重要。它通过使用加密和认证算法,可以保护IP数据包的机密性和完整性。当数据在网络中传输时,IPsec Pluto会对数据进行加密,以防止未经授权的访问或篡改。同时,它还确保数据的完整性,以防止数据在传输过程中被篡改或损坏。 IPsec Pluto不仅可以保护网络通信的机密性和完整性,还可以提供身份认证功能。它使用证书和密钥来验证通信双方的身份,确保数据的发送和接收者都是合法的。 除了以上功能,IPsec Pluto还可以提供访问控制功能。它可以根据事先定义的安全策略,控制哪些IP数据包可以通过网络,从而有效地保护网络资源和数据的安全。 IPsec Pluto采用的是开源的方式发布,并且兼容各种操作系统和网络设备。这使得它可以广泛应用于不同的网络环境中,确保网络通信的安全性。 总之,IPsec Pluto是一个重要的IPsec协议的实现,它通过提供加密、认证和访问控制功能,保护网络通信的机密性、完整性和身份认证。它的开源性和广泛兼容性使得它成为保护网络安全的重要工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值