VPN 笔记.docx
- 文档编号:30685623
- 上传时间:2023-08-19
- 格式:DOCX
- 页数:47
- 大小:29.30KB
VPN 笔记.docx
《VPN 笔记.docx》由会员分享,可在线阅读,更多相关《VPN 笔记.docx(47页珍藏版)》请在冰豆网上搜索。
VPN笔记
VPN笔记(持续更新中。
。
)
加密历史
以前:
安全的算法
现代:
安全的密钥
解密:
最好的方法从密钥管理和密钥分发中寻找机会,
而不是从算法本身入手
因此,一个密码系统的成功与否的关键是密钥的生成,分发,管理
加密安全
不存在绝对的安全一样有
加密方法的健壮度是由其复杂度在决定的
用“计算安全”来量度一个现代加密系统的安全程度
两种加密模式:
流加密和块加密
对称加密算法的特点
优点 速度快
安全
密文紧凑
缺点 密钥的传输和管理
密钥数目指数整张
不支持数字签名和不可否认性
非对称加密算法的缺点
优点 安全
密钥管理安全,方便
支持数字签名和不可否认性
缺点 速度慢
密文便很长
Hmac(密钥化散列)
KEY+Date+Hash=Key+data+hash
数字签名
|data+公钥|+Hash
单纯的数字签名不能完成身份验证,必须结合证书
证书
保证公钥对应个身份
=格式化个公钥
包含姓名、地址、组织、公钥、有效期、认证机构数字签名
完整解决方案SSL
A--->B
A--证书+A公钥-->B
--共享密钥+A公钥--密文-----\ -明文+Hash-
| \ | |--验证
B-|--明文+hash+B私钥---数字签名------>A----Hash---
| / | |
---------------B公钥+证书--/ ----B公钥
B--->共享密钥+data-->密文-----A---->共享密钥---->明文
---------------------------------------------------------
各种VPN技术的比较
目前已经投入实际当中使用的VPN技术包括IPSecVPN、SSLVPN、MPLSVPN。
这三种VPN技术各有特色、各有所长。
目前国外主要厂商对SSLVPN技术、MPLSVPN技术发展相对比较重视发展较快,
但是目前应用最为广泛,技术最为成熟的仍然是IPSecVPN技术。
IPSec协议是网络层协议,是为保障IP通信而提供的一系列协议族。
SSL是套接层协议,它是保障在Internet上基于Web的通信的安全而提供的协议。
以标签交换是作为底层转发机制的MPLS(MultiProtocolLabelSwitching,多协议标记交换)VPN。
1.IPSec针对数据在通过公共网络时的数据完整性、安全性和合法性等问题设计了一整套隧道、
加密和认证方案。
IPSec能为IPv4/IPv6网络提供能共同操作/使用的、高品质的、基于加密的安全机制。
提供包括存取控制、无连接数据的完整性、数据源认证、防止重发攻击、基于加密的数据机密性和受限数据流的机密性服务。
2.SSL用公钥加密通过SSL连接传输的数据来工作。
SSL是一种高层安全协议,建立在应用层上。
SSLVPN使用SSL协议和代理为终端用户提供HrrP、客户机/服务器和共享的文件资源的访问认证和访问安全SSLVPN传递用户层的认证。
确保只有通过安全策略认证的用户可以访问指定的资源。
3.MPLS是一个可以在多种第二层媒质上进行标记交换的网络技术。
不论什么格式的数据均可以第三层的路由在网络的边缘实施,而在MPLS的网络核心采用第二层交换,
因此可以用一句话概括MPLS的特点:
“边缘路由,核心交换”
IPsec基本概念
源于IPv6
网络层加密
IPsec框架
加密 :
DES、3DES、AES、RSA
HASH :
SHA-1、md5
封装方式:
ESP、AH
认证方式:
Pre-key,数字证书
|IP|IPSECHeader|TCP|FTP|Date|
-----------------
|
加密
两种模型
L2L/RemoteAccess
两种模式
tunnel/Transport
Tunnel:
通信点不等于加密点
|NIP|ESP/AH|IP|DATA|
Transport:
通信点=加密点
|IP|ESP/AH|DATA|
L2L/RemoteAccess用Tunnel封装模式
Pc--Pc和GREoverIPsec用Transport封装模式
SA(安全关联)
构成IPsec的基础
SA是两个通信实体经协商建立起来的一种协定。
它决定了用来保护数据包的IPsec
协议(ESP/AH)、转码方式(加密/Hash)、密钥、密钥有效时间
SADB(SA数据库)
SA是单向的与协议相关的
SPD(安全策略数据库)
丢弃,绕过,应用
IPsec的组成部分
ESP(封装安全负载)
AH(认证头部)
IKE(网络密钥交换)
ESP
协议号:
50
私密性,数据完整性,源认证,抵御重放攻击
|IP|ESPheader|TCP|Data|ESPauth|
------------加密----
---------验证-------------
ESP包结构(tunnelmode)
IPheader
SPI---------------------------
sequencenumber |
--IV |
加|IPheader |认证
密|TCPheader |
|Date |
--Pad+padlength+nextheader----
Authenticationdata
明文=SPI(在SADB中找到相应策略)+序列号(防重放)
ESPauth=Hmac(96bit)
ESP处理流程
出方向(传输模式)
1.插入ESP头部并填充相应字段
2.选择SA进行加密
3.Hash插入ESP尾部
4.重算IP头部校验和
入方向
1.检查SA是否存在
2.序列号是否有效
3.数据包完整性和源验证
4.解密
5.有效性验证(模式是否匹配)
6.传送模式(查询路由表转发)
对分片的处理:
默认先分片再加密
AH(AuthenticationHeader)
AH协议号:
51
不支持加密
不支持NAT
IKE
负责在两个IPSec对等体间协商一条IPsec隧道的协议
协商协议参数
交换公共密钥
对双方进行认证
在交换后对密钥进行管理
IKE三个组成部分(混合协议)
SKEME:
(定义一种密钥交换方式)
Oakley:
(对多模式的支持,例如对新加密技术,并没有具体定义交换信息)
ISAKMP:
定义了消息交换的体系结构,包括两个IPsec对等体间分组形式和状态
(定义封装格式和协商包交换个方式)
三个模式
主模式,主动模式,快速模式
主动模式:
预共享密钥的远程拨号VPN(降低PC的资源消耗)
主IKE1阶段1-2个数据包模式:
其余所有
---------------------------------------------------------
Phase1SA(ISAKMPSA/双向):
用于认证(吃饭)
主模式(6个包) 主动模式(3个包)
| |
| |
----------------------------
| 新的IPsec隧道或者rekey
----------------------------
Phase2SA(IPSECSA) Phase2SA(IPSECSA/单向)(签合同)
快速模式(3个包) 快速模式
| |
A<---受保护的数据--->B c<---受保护的数据--->d
----------------------------------------------------------
第一阶段:
认证
第二阶段:
协商具体流量的处理办法
IKE1阶段主模式第1-2个数据包(明文)
交换IP地址(设置对端)和策略(认证方式、HASH认证、加密5-9个包,DH组,Keylife)
发送方将自己的策略全部交给接收方,接收方根据序号匹配自己的策略,然后将相同的策略交给发送方
IKE1阶段主模式第3-4个数据包(明文)
交换DH公共值
IKE1阶段主模式第5-6个数据包(密文)
双方认证初始化设备
IKE1阶段主动模式第1-2个数据包(明文)
=主模式1-6个包,但认证的信息是通过hash明文显示
IKE1阶段主动模式第3个数据包
确认
IKE2阶段快速模式3个数据包
基于感兴趣流
1.提交发送方对实际流量处理策略
2.接受方匹配并返回策略
3.确认
IPsecVPN标准配置
R1-----R2-----R3
R1--R2:
12.1.1.1/2
R2--R3:
23.1.1.2/3
R1lo0:
1.1.1.1
R3lo0:
3.3.3.3
1.开启cryptoisakmp
cryptoisakmpenable
2.定义第一阶段策略
cryisakmppo10
默认策略为
R1#showcryptoisakmppolicy
Defaultprotectionsuite
encryptionalgorithm:
DES-DataEncryptionStandard(56bitkeys).
hashalgorithm:
SecureHashStandard
authenticationmethod:
Rivest-Shamir-AdlemanSignature
Diffie-Hellmangroup:
#1(768bit)
lifetime:
86400seconds,novolumelimit
只有当配置和默认策略不相同是才会显示出啦
3.定义预共享密钥和peer
cryisakey0ciscoadd23.1.1.3
(这里的key仅用于认证,加密使用的是DH产生的随机数)
4.定义感兴趣流
ipaccess-lEXVPN
peripho1.1.1.1ho3.3.3.3
5.定义转换集(第二阶段策略)
cryipsectransform-settransesp-3desesp-sha-hmac
modetunnel/transport
(这里的模式可以不用设置,因为只有条件(加密点=通信点)达到是才会使用传输模式)
6.汇总
crymapVPN-110ipsec-isakmp
matchaddvpn
settransform-settrans
setpeer23.1.1.3
7.在接口上调用
intf0/0
crymapvpn-1
8.检查
showcryengineconnectionsacticve
CryptoEngineConnections
IDInterface Type Algorithm Encrypt DecryptIP-Address
1Fa0/1 IPsec3DES+SHA 0 423.1.1.3
2Fa0/1 IPsec3DES+SHA 4 023.1.1.
showcryisakmpsa
showcryipsecsa
9.清除(两边都要清除)
clearcryisa 默认1天
clearcrysa 默认1小时
DebugIPsecVPN建立过程
---------------------------------------------------------------------------------------------------
Apr1410:
27:
00.923:
IPSEC(sa_request):
(keyeng.msg.)OUTBOUNDlocal=12.1.1.1,remote=23.1.1.3,
local_proxy=1.1.1.1/255.255.255.255/0/0(type=1),
remote_proxy=3.3.3.3/255.255.255.255/0/0(type=1),
protocol=ESP,transform=NONE (Tunnel),
lifedur=3600sand4608000kb,
spi=0x0(0),conn_id=0,keysize=0,flags=0x0
Apr1410:
27:
00.931:
ISAKMP:
(0):
SArequestprofileis(NULL)
Apr1410:
27:
00.935:
ISAKMP:
Createdapeerstructfor23.1.1.3,peerport500
Apr1410:
27:
00.935:
ISAKMP:
Newpeercreatedpeer=0x63F335E8peer_handle=0x80000003
Apr1410:
27:
00.935:
ISAKMP:
Lockingpeerstruct0x63F335E8,refcount1forisakmp_initiator
Apr1410:
27:
00.935:
ISAKMP:
localport500,remoteport500
Apr1410:
27:
00.939:
ISAKMP:
setnewnode0toQM_IDLE
Apr1410:
27:
00.939:
ISAKMP:
Findadupsaintheavltreeduringcallingisadb_insertsa=63F38D24
Apr1410:
27:
00.939:
ISAKMP:
(0):
CannotstartAggressivemode,tryingMainmode.
Apr1410:
27:
00.939:
ISAKMP:
(0):
foundpeerpre-sharedkeymatching23.1.1.3
Apr1410:
27:
00.943:
ISAKMP:
(0):
constructedNAT-Tvendor-07ID
Apr1410:
27:
00.943:
ISAKMP:
(0):
constructedNAT-Tvendor-03ID
Apr1410:
27:
00.947:
ISAKMP:
(0):
constructedNAT-Tvendor-02ID
Apr1410:
27:
00.947:
ISAKMP:
(0):
Input=IKE_MESG_FROM_IPSEC,IKE_SA_REQ_MM
Apr1410:
27:
00.947:
ISAKMP:
(0):
OldState=IKE_READY NewState=IKE_I_MM1
Apr1410:
27:
00.947:
ISAKMP:
(0):
beginningMainModeexchange
Apr1410:
27:
00.951:
ISAKMP:
(0):
sendingpacketto23.1.1.3my_port500peer_port500(I)MM_NO_STATE //第1个包
Apr1410:
27:
00.951:
ISAKMP:
(0):
SendinganIKEIPv4Packet.
Apr1410:
27:
01.487:
ISAKMP(0:
0):
receivedpacketfrom23.1.1.3dport500sport500Global(I)MM_NO_STATE //第2个包
Apr1410:
27:
01.491:
ISAKMP:
(0):
Input=IKE_MESG_FROM_PEER,IKE_MM_EXCH
Apr1410:
27:
01.491:
ISAKMP:
(0):
OldState=IKE_I_MM1 NewState=IKE_I_MM2
Apr1410:
27:
01.495:
ISAKMP:
(0):
processingSApayload.messageID=0
Apr1410:
27.:
01.495:
ISAKMP:
(0):
processingvendoridpayload
Apr1410:
27:
01.495:
ISAKMP:
(0):
vendorIDseemsUnity/DPDbutmajor245mismatch
Apr1410:
27:
01.499:
ISAKMP(0:
0):
vendorIDisNAT-Tv7
Apr1410:
27:
01.499:
ISAKMP:
(0):
foundpeerpre-sharedkeymatching23.1.1.3
Apr1410:
27:
01.499:
ISAKMP:
(0):
localpresharedkeyfound
Apr1410:
27:
01.499:
ISAKMP:
Scanningprofilesforxauth...
Apr1410:
27:
01.503:
ISAKMP:
(0):
CheckingISAKMPtransform1againstpriority10policy
Apr1410:
27:
01.503:
ISAKMP:
encryptionAES-CBC
Apr1410:
27:
01.503:
ISAKMP:
keylengthof128
Apr1410:
27:
01.503:
ISAKMP:
hashSHA
Apr1410:
27:
01.503:
ISAKMP:
defaultgroup2
Apr1410:
27:
01.503:
ISAKMP:
authpre-share
Apr1410:
27:
01.507:
ISAKMP:
lifetypeinseconds
Apr1410:
27:
01.507:
ISAKMP:
lifeduration(VPI)of 0x00x10x510x80
Apr1410:
27:
01.507:
ISAKMP:
(0):
attsareacceptable.Nextpayloadis0 //1-2个包成功
Apr1410:
27:
01.511:
ISAKMP:
(0):
processingvendoridpayload
Apr1410:
27:
01.511:
ISAKMP:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- VPN 笔记