IPSEC VPN之配置详解篇
无止境系列文档将以网络安全为方向,以专题的形式每周天发布,希望大家支持。
【阅读说明】
为了方便大家阅读,特作如下说明:
1. 专业术语或者一些概念用红色标识。
2. 重要或者强调的语句用蓝色标识。
3. 总结的部分用绿色标识。
【主要内容】
1. IPSEC VPN理解
2. 封装模式
3. IKE两个阶段
4. ipsec vpn配置
【IPSEC VPN理解】
IPSEC 是一套保护IP数据在不同的地点间传输时安全性的功能特性集。
VPN可以仅仅是两个端点间的一条隧道或链路。
IPSEC VPN就是有安全保护的VPN。
IPSEC有四个功能特性:数据机密性,数据完整性,数据源认证,防重放。
前面两篇已经介绍了上述概念(防重放除外),IPSEC VPN是通过相应的协议封装来实现的。
IPSEC使用的协议:
1)IKE,Internet Key Exchange,互联网密钥交换。
2)ESP,Encapsulation Security Payload,封装安全负载。
3)AH,Authentication Header,认证头。
通过IKE,ESP,AH这三个协议来保证IPSEC所提供的特性。
一。IKE介绍
IKE是协商和交换安全参数和认证密钥的体系框架。
使用isakmp和oakley协议来完成对等体验证和密钥生成工作。
二。ESP介绍
提供数据机密性,完整性,数据源认证和可选的防重放功能的体系框架。
可选机密性方法:esp-des esp-3des
可选数据源认证和完整性方法:esp-md5-hmac esp-sha-hmac
三。AH介绍
提供数据完整性,数据源认证和可选防重放功能的体系框架。
注意:没有提供机密性保护。
可选验证和完整性方法:ah-md5-hmac ah-sha-hmac
IKE是必须要用到的协议,AH和ESP可以根据需要选择其中一个,或者也可以同时选择两个,但是同时使用ESP和AH效果不比单个好,所以建议仅选一个。
【封装模式】
封装模式有两种: 传输模式和隧道模式
传输模式:不改变原有的IP包头
隧道模式:增加新的IP头
一。传输模式
二。隧道模式
从上述图中可以看出:
1.传输模式保护的是VPN端点间传送的数据包内容,隧道模式下保护的是整个IP包。
2.AH验证的内容是二层头部之后的整个数据包,ESP对外层新IP头没有进行认证。
【IKE阶段】
SA(security association),安全关联。是两个对等体之间协商一致的一组安全服务(参数)。
双向SA:进站和出战用的同一组服务参数。
单向SA: 进站和出站用的是不同的服务参数,一个用于入站,一个用于出站。
IKE阶段一:
主要目的:建立IKE安全通道
作用:
1)在IPSEC对等体之间建立一个双向的SA
2)实现对等体的验证
建立SA需要协商的内容:
加密算法,hash算法,DH算法,身份认证方法,存活时间
IKE阶段二,建立IPSEC SA。
目的:协商IPSEC安全参数
建立单向SA需要协商内容:
加密算法,hash算法,安全协议,封装模式,存活时间
IKE的SA这里不讨论。这里再详细介绍一下IPSEC SA。
1. SA由SPD (security policy database)和SAD(SA database)组成。
2. 图解表示:
图3-3
SAD:每个客户端都使用SAD来跟踪所参与的SA,对每个客户端来说,都有两个SA。
一个用于数据进来的时候的算法集,一个用于数据出去的时候所使用的算法集。
SPD:包含了每个SA达成一致的参数。包括:加密算法,验证算法,IPSEC模式,密钥生命期。
虽然两个阶段都有协商加密算法、hash算法等,但是作用是不一样的。第一个阶段主要是为了先建立一个安全通道,是对isakmp消息自身的保护措施,跟用户的数据没有关系。第二个阶段才是真正协商对数据进行加密、完整性检验和认证的算法。
虽然是分为两个阶段,但是第二个阶段是要利用第一个阶段SA的相关内容的,所以两个阶段也是互相联系的。
【ipsec vpn配置】
这部分比较长,见附件完整版。
下周主要内容预告:IPSEC VPN之深入理解篇(主要分析AH和ESP报文格式) 敬请期待!
本文出自 “追求无止境。。。” 博客,转载请与作者联系!
【安全系列】ipsec vpn之配置详解篇
社区:
ipsec vpn第三篇