利用IPsec实现网络安全之五(Kerveros实现身份验证)

最新推荐文章于 2022-09-17 09:26:31 发布
最新推荐文章于 2022-09-17 09:26:31 发布
阅读量2.4k 收藏 4
点赞数 3
分类专栏: nginx

作者:许本新

上文说到利用证书服务实现IPSEC验证,今天接着说利用Kerberos协议实现IPsec验证。在介绍操作之间我们先了解一下什么是kerberos协议。

kerberos是由MIT开发的提供网络认证服务的系统。它可用来为网络上的各种server提供认证服务,使得口令不再是以明文方式在网络上传输,并且联接之间通讯是加密的。它和PKI认证的原理不一样,PKI使用公钥体制(不对称密码体制),kerberos基于私钥体制(对称密码体制)。Kerberos称为可信的第三方验证协议,意味着它运行在独立于任何客户机或服务器的服务器之上

Kerberos提供三种安全等级:

1)只在网络开始连接时进行认证,认为连接建立起来后的通信是可靠的,认证式网络文件系统(Authenticated network file system) 使用此种安全等级;

2)安全消息(sage messages)传递:对每次消息都进行认证工作,但是不保证每条消息不被泄露;

3)私有消息(private messages)传递:不仅对每条消息进行认证,而且对每条消息进行加密。Kerberos在发送密码时就采用私有消息模式。

另外值得关注的是在 Windows Server 2003 中实施 Kerberos 协议时会有两种新的扩展:

1)协议转换:协议转换扩展允许某项使用 Kerberos 的服务代表 Kerberos 主体获得某项服务的Kerberos 服务票证,而无需该主体最初使用凭据进行 Kerberos 密钥发行中心 (KDC) 验证。

2)受限委派:受限委派扩展允许某项服务在通过 TGS_REQ 协议(如 IETF RFC 1510 中所定义)或在协议转换扩展中获得服务票证之后再针对其他服务的子集获得服务票证(使用委派用户标识)。

下面我们就来看如何在widnows server 2003域环境下架设以Kerberos协议验证的IPsec,以实现安全通信.整个实验拓扑如图5-1所示.

 

图5-1

 

 

一、 安装配置AD

在上图域计算机中安装AD名称假设为adtest.com,并集成安装DNS。安装完成后在AD中创建两个帐号分别为user1和user2,并为此两帐号在域中委派“将计算机加入到域”的权限。如图5-2和5-3所示。

 

图5-2

 

 

图5-3

二、 配置客户端

将客户端计算机DNS地址指向DNS服务器另设置好相关IP地址后,将其加入域。加入域后重启计算机选择本地计算机登录,然后在本地用户和组中选择administrators组将adtest.com中的user1和user2帐号加入本地administrators组,否则user1和user2不具有管理和配置IPsec功能。如图5-4

 

 

图5-4

三、 配置IPSEC策略

IPsec策略配置方法与前面的CA验证的配置方法完全相同只是在身份验证中选择如图5-6所示的.另外IPSEC两端需要配置的完全相同才可以.

 

图5-6

 

 

ygmdream
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
订阅专栏
IPSec证书认证实验配置
m0_49864110的博客
05-21 686
目录 FW申请本地证书和CA证书(以FW1为例-FW2与FW1类似) 基础配置--保证FW可以和证书服务器相通 配置与证书服务器相连接口的IP地址 配置接口安全区域 配置相关安全策略 离线方式申请本地证书和CA证书 上传CA证书 基础配置-配置接口IP地址、安全区域、路由 配置接口IP地址 将接口加入相应的安全区域 配置去公网的路由 配置安全策略 向服务组添加IKE、IPSec协商使用的ISAKMP报文 配置IKE与IPSec协商安全策略 配置安全协议(封装数据报文).....
IPSec 实验
A soul tortured by desire
07-13 2071
实验目的:通过模拟Internet,配置企业A与企业B之间建立IPSec 隧道,来实现企业PC之间互通; 第一步:联通性配置 配置AR1与AR3之间的静态路由,实现其企业A和企业B出口路由通过互联网互通; AR1: [AR1]ip route-static 20.1.1.0 24 10.1.1.2 AR3: [AR3]ip route-static 10.1.1.0 24 20.1.1.2 [AR3]ping 10.1.1.1 PING 10.1.1.1: 5...
java调用ipsec,IPSec 的使用模式 傳輸模式 (Transport mode) 傳輸模式 (Transport mode) 通道模式 (Tunnel mode) 通道模式 (Tunnel ...
weixin_31061699的博客
03-16 937
IPSec 的使用模式 傳輸模式 (Transport mode) 傳輸模式 (Transport mode) 通道模式 (Tunnel mode) 通道模式 (Tunnel mode)例如, B 目前所收到封包的最大編號為 N , 則 B 會記錄編號 N 至編號 N-63 封包的接 收狀態: 例如, B 目前所收到封包的最大編號為 N , 則 B 會記錄編號 N 至編號 N-63 封包的接 收狀...
通过防火墙管理第三方应用程序安全
loris_jand的专栏
11-21 243
转自:http://technet.microsoft.com/zh-cn/library/ff629023.aspx[size=small]台州肃洋五金机电有限公司为了满足日常办公的需要,在企业内部部署了一台服务器。其采用的操作系统是Windows 2008 R2。为了提高这台服务器的安全性,系统管理员决定对这台服务器的外网访问进行一定的限制。如只允许指定的应用程序通过指定的端口访问互联网。未经...
配置kerberos环境_使用Kerberos身份验证机制配置IPsec环境
cusi77914的博客
06-21 2303
Kerberos简介 Kerberos是一种用户身份验证协议,可用于采用对称加密的票证机制。 在IBM®AIX®中,Kerberos协议是通过网络认证服务提供的。 因此,在本文中,我们将交替使用Kerberos和网络身份验证服务。 从高层次上讲,Kerberos身份验证在客户端/服务器模型上起作用,客户端与服务器联系以获得票证。 在这里,客户端可以是用户或服务(例如:Telnet,FT...
IPsec 身份认证Kerberos
人生如棋
05-31 2859
配置IPsec时,使用Kerberos 身份验证方法。
信息系统安全实验(七):使用Kerberos实现网络身份认证
agjirowjtg的博客
02-01 5678
这是信息系统安全实验系列的第七篇~ 1. 背景知识 (1)概述        Kerberos又指麻省理工学院为这个协议开发的一套计算机网络安全系统。系统设计上采用客户端/服务器结构与DES加密技术,并且能够进行相互认证,即客户端和服务端均可对对方进行身份认证。 (2)概念 ①    密钥分发中心(KDC)        Kerberos使用了一个由两个独立的逻辑部分:认证服务器(同身...
基于VMWare的IPSec综合实验设计
07-24
IPSec 是互联网的基础安全协议。建立 IPSec 安全通道之前,对等体之间需要进行身份认证IPSec 身份认证的传统实验是通过“预共享密钥”的方式来进行的。设计了两个更通用的 IPSec 身份认证实验:“基于证书”和“基于Kerberos 协议”。而基于虚拟机平台的实验具有更方便、更经济的优点。此外本实验还涉及到了 Windows 平台上各种安全设置,如活动目录、DNS 服务器、DHCP 服务器,防火墙、证书颁发中心 CA 等,具有很强的综合性。
利用IPsec实现网络安全之四(CA证书实现身份验证)
weixin_34409357的博客
10-14 996
作者:许本新 网络环境拓扑如图4-1所示 各位读友大家好,写文之前先向大家问好,已经好久没有些东西了,今天打开博客发现IPSEC系列文章还没有结束,所以就又有了继续写下去的冲动了。今天接着上一篇叙,上篇介绍了IPSEC的共享密钥实现身份验证,此篇则介绍利用CA证书实现身份验证! Windows2003IPSec身份验证主要提供了三种验证模式,它们分别是...
SpringBoot整合hive-jdbc示例
08-19
本项目对如何在Springboot项目中整合hive-jdbc进行简单示例和介绍,亲测可用,请放心下载。
IPSec
最新发布
qq_51563725的博客
09-17 938
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。第一阶段:IKE SA ---主要解决两个主要的问题---(双方---对等体之间的身份认证IPSec之间的密钥 生成和交换)。重传保护:重传攻击,例如发的数据里面有确认机制,人家截取的确认机制就可以发包攻击你。
HCIE-Security Day26:IPSec实验(一)两个网关之间通过IKE方式协商IPSec PN隧道(采用预共享密钥认证)
小梁的博客
03-16 5508
实验:两个网关之间通过IKE方式协商IPSec VPN隧道(采用预共享密钥认证) 组网需求 网络A和网络B分别通过FW_A和FW_B连接到Internet。网络环境描述如下: 网络A属于10.1.1.0/24子网,通过接口GigabitEthernet 0/0/3与FW_A连接。 网络B属于10.1.2.0/24子网,通过接口GigabitEthernet 0/0/3与FW_B连接。 FW_A和FW_B路由可达。 通过组网实现如下需求:在FW_A和FW_B...
关于IPSEC 证书实验文档
11-02 2143
 实验拓扑:server1(100.0.0.111)------------------server2(100.0.0/254)实验结果:server1与server2能够通过IPSEC加密ping通实验步骤:1 在server1与server2上启动IPSEC,并在server2上安装证书颁发机构.2 server1 要信任证书颁发机构,所以需要下载证书并导入,注意:一定
关于IPSEC身份验证与加密
11-02 6016
完整性算法:MD5,SHA1  MD5(单向散列算法)的全称是Message-Digest Algorithm 5(信息-摘要算法),经MD2、MD3和MD4发展而来。MD5算法的使用不需要支付任何版权费用。    MD5功能:    输入任意长度的信息,经过处理,输出为128位的信息(数字指纹);    不同的输入得到的不同的结果(唯一性);    根据128位的输出结果不可能反推出输入
理解ipsec身份标识和认证选项
指点江山
01-11 4122
This article is part of the Identity and Access Management Security School lesson on VPNs and remote access. Visit the VPNs and remote access lesson page for more learning resources. IPsec V...
IPsec实验
爱逛街的老鼠的博客
12-19 2327
IPsec实验 实验目的 了解ipsec安全策略的工作原理,以及工作过程 实验工具 虚拟机,两个windowsxp的系统。之所以使用xp系统是因为他比较小,进行实验时会比较快速 实验内容 ipsec协议 IPSec提供了两种安全机制: 认证(采用ipsec的AH)和加密(采用ipsec的ESP)。IPSec主要功能为加密和认证,为了进行加密和认证,IPSec还需要有密钥的管理和交换的功能,以便为加...
kerveros认证过程
guodongsz的专栏
05-19 558
摘自:http://zh.wikipedia.org/wiki/Kerberos

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值