《IPSec_VPN.ppt》由会员分享,可在线阅读,更多相关《IPSec_VPN.ppt(30页珍藏版)》请在金锄头文库上搜索。
1、第三章 IPSec VPN(一), 理论部分,主讲人:晓晓,技能展示,理解VPN实现的各种安全特性 理解ISAKMP/IKE两个阶段的协商建立过程 会在Cisco路由器上配置IPSec VPN,2,本章结构,VPN概述,VPN技术,VPN的模式与类型,加密算法,IPSec VPN的配置,数据报文验证,ISAKMP/IKE阶段1,IPSec连接,VPN的定义,IPSec VPN,IPSec VPN(一),ISAKMP/IKE阶段2,3,广域网存在各种安全隐患 网上传输的数据有被窃听的风险,VPN的定义,4,Internet,I love you ,VPN的定义,5,Internet,I you
2、,love,hate,广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险,VPN的定义,6,Internet,广域网存在各种安全隐患 网上传输的数据有被窃听的风险 网上传输的数据有被篡改的危险 通信双方有被冒充的风险,A,B,I love you ,我是路由器B,VPN的定义,7,Internet,VPN建立“保护”网络实体之间的通信 使用加密技术防止数据被窃听 数据完整性验证防止数据被破坏、篡改 通过认证机制确认身份,防止数据被截获、回放,A,B,vpn隧道,VPN的类型,站点到站点VPN,Internet,8,Internet,VPN的类型,远程访问VPN,
3、Internet,9,Internet,VPN的模式,10,Internet,A,B,传输模式 封装模式相对简单,传输效率较高 IP包头未被保护,IP包头,有效载荷,IP包头,VPN头,有效载荷,VPN尾,IP包头,VPN头,IP包头,有效载荷,VPN尾,新IP头,VPN头,VPN的模式,11,Internet,A,B,隧道模式 IP包头被保护,被保护的,新IP头,VPN头,VPN尾,VPN尾,VPN技术,加密算法 对称加密算法 非对称加密算法 密钥交换 数据报文验证 HMAC MD5和SHA,12,对称加密算法,对称加密算法的原理 DES 3DES AES,Internet,明文数据“m”,
4、加密函数 E (k,m) = c,解密函数 D (k,c) = m,共享密钥k,13,非对称加密算法,非对称加密算法的原理 DH算法(Diffie-Hellman,迪菲-赫尔曼),Internet,公钥加密 E (p,m) = c,私钥解密 D (q,c) = m, 将公钥给对方,14,明文数据“m”,私钥始终未在网上传输,加密算法的应用,问题 使用对称加密算法,密钥可能被窃听 使用非对称加密算法,计算复杂,效率太低,影响传输速度 解决方案 通过非对称加密算法加密对称加密算法的密钥 然后再用对称加密算法加密实际要传输的数据,15,数字签名,数据报文验证,HMAC 实现数据完整性验证 实现身份验
5、证,Internet,A,B,B,16,数字签名,Hash算法,加密后的数据,数字签名,+K1,Hash算法,如果数据被篡改将无法得到相同的数字签名,加密后的用户信息,身份验证使用用户信息经历相同的过程,通信双方的身份是靠判断用户信息的真假而被验证的吗?,MD5 SHA,小结,请思考: VPN的连接模式有哪两种?哪种模式会添加新的IP包头? 常见的对称加密算法有哪三种?其中哪种最安全? 非对称加密算法有什么优缺点?,17,IPSec连接,建立IPSec VPN连接需要3个步骤: 流量触发IPSec 建立管理连接 建立数据连接,18,ISAKMP/IKE阶段1,阶段1的三个任务 协商采用何种方式
6、建立管理连接 通过DH算法共享密钥信息 对等体彼此进行身份验证,19,Internet,传输集A ,A,B,1.加密算法 2.HMAC功能 3.设备验证的类型 4.DH密钥组 5.管理连接的生存周期,预共享密钥,预共享密钥,共享密钥,共享密钥,DH算法,使用密钥加密用户身份信息 使用密钥和用户信息通过hash算法计算数字签名 对方比对数字签名确认身份,ISAKMP/IKE阶段1的配置命令,20,Internet,指定加密算法,指定hash算法,采用预共享密钥方式,指定DH算法的密钥长度,配置结果,默认配置,ISAKMP/IKE阶段1的配置命令,21,Internet,Router#show c
7、rypto isakmp key Keyring Hostname/Address Preshared Key default 1.1.1.1 (encrypted),未指定子网掩码时,默认为/32,Router(config)#key config-key password-encrypt New key: Confirm key: Router(config)#password encryption aes,加密show run信息的密钥key,设备需支持aes算法,ISAKMP/IKE阶段2,ISAKMP/IKE阶段2需要完成的任务 定义对等体间需要保护何种流量 定义用来保护数据的安全协
8、议 定义传输模式 定义数据连接的生存周期以及密钥刷新的方式,22,Internet,A,B,vpn隧道2,vpn隧道1,匹配隧道1的ACL,匹配隧道2的ACL,不匹配ACL的流量,ACL,安全关联SA,安全关联的定义 整合必要的安全组件用于建立与对等体的IPSec连接 阶段1的SA是双向连接 阶段2的SA是单向连接 SA的三个要素 安全参数索引(SPI) 安全协议类型(AH,ESP) 目地IP地址,23,ISAKMP/IKE阶段2的配置命令,24,Internet,使用ACL定义何种流量被保护,配置阶段2传输集定义安全协议,定义传输模式,默认为隧道模式,ISAKMP/IKE阶段2的配置命令,2
9、5,Internet,IPSec VPN的配置实现,Internet,R1,R2,其他部门,26,需求: 开发项目小组可以通过VPN访问总公司研发服务器,但不能访问Internet 分公司的其他客户端可以访问Internet,研发小组,研发服务器,外网服务器,IPSec VPN的配置实现,27,B,ISP,Loopback 1 172.16.0.0/16,Loopback 0 10.0.33.0/24,Loopback 0 172.16.10.0/24,F0/0,F0/0,F0/1,F0/0,目标: 以172.16.10.0/24为源地址可以ping通10.0.33.0/24 以172.16.
10、0.0/16的其他地址为源地址可以ping通200.0.0.1 以172.16.10.0/24为源地址不能ping通200.0.0.1,只有直连路由,NAT该如何配置才能实现需求呢?,分公司网关路由器的配置,28,IPSec VPN的配置思路是什么?,配置ISAKMP策略,配置ACL和transform-set,配置并应用crypto map,配置PAT,配置路由,如果不配置默认路由,而通过明细的静态路由实现IPSec VPN的通信,如何配置实现呢?,本章总结,VPN概述,VPN技术,VPN的模式与类型,加密算法,IPSec VPN的配置,数据报文验证,ISAKMP/IKE阶段1,IPSec连接,VPN的定义,IPSec VPN,IPSec VPN(一),ISAKMP/IKE阶段2,29,谢谢,
