IPSEC+IKE笔记6300字 IPSECIPSEC SA:ipsec 安全联盟,为ipsec数据流提供必要的安全服务sa是通信双方就如何保证通信安全达成一个协定,它包括协议、算法、密钥等内容,具体确定了如何对ip报文进行处理sa是单向的,一个sa就是两个ipsec系统之间的一个单向逻辑链接,入站数据流和出站数据流由入站与出站sa分别处理一个sa由一个(SPI IP目标地址 安全协议标识符)三元组唯一标识sa可以通过手工和自动配置两种方式实现手工配置:用户通过在两端手工设置一些参数,在两端参数匹配和协商通过后建立sa自动配置:通信双方基于各自的SPD(安全策略库)经过匹配和协商,最终建立sa而不需要用户的干预两种模式1、ipsec隧道模式:加密点不等于通讯点封装格式:AH:|数据链路层|新ip头部|AH|ip头部|传输层|data|ESP:|数据链路层|新ip头部|ESP头|ip头部|传输层|data|ESP尾|ESP验证|2、ipsec传输模式:加密点等于通讯点封装格式:AH:|数据链路层|ip头部|AH|传输层|data|ESP:|数据链路层|ip头部|ESP头|传输层|data|ESP尾|ESP验证|ESP概念:ESP(encapsulation security payload)封装安全载荷协议号:50对每一个数据进行源认证和完整性验证以及防重放ESP格式:SPI(security parameters index)与目标地址和安全协议(AH/esp)结合,唯一标识了这个数据包的sasequence number 序列号,随着发送数据量递增,即使在不执行抗重播服务的情况下,发送方仍然发送序列号,接收方可以利用此数据确认一系列数据包的正确序列payload data:正常传输的信息,包括next headerpadding 填充字段,pad length 填充长度next headerauthentication dataESP对数据包的分片处理:1、先分片后加密2、先加密后分片AH1、概念:AH(authentication header)验证头,是ipsec的两种安全协议之一协议号:512、AH头格式:next header 用于指明AH头部后面的载荷协议头部类型,该字段值以属于iana定义的ip协议号集合payload lenreserved 保留字段spi(security parameters index)与目标地址和安全协议(AH/esp)结合,唯一标识了这个数据包的sasequence number field 序列号,随着发送数据量递增,即使在不执行抗重播服务的情况下,发送方仍然发送序列号,接收方可以利用此数据确认一系列数据包的正确序列authentication data 验证字段3、由于AH在验证过程中,对ip头部信息也要做HMAC,因为HASH算法存在一个雪崩效应,所以对可能变动的字段不能做hash,其中字段为:tos\标志、分段偏移、TTL、头校验和4、AH在工作过程中对源目ip地址需要做hash,所以ipsec vpn使用AH封装时,不能穿越NAT的网络ipsec的两个数据库1、SPD(安全策略数据库)决定了做流量将接受ipsec处理2、SADB(安全关联数据库)维护第一个sa(安全关联)包含的参数IKE:(internet key exchange)因特网密钥交换协议,ipsec可以不需要IKE(一个手动设置),但是有了ike,会额外的增加一个ipsec的特征 ISAKMPSKEMEOAKLEYIKE两个阶段IKE第一阶段 ISAKMP SA (控制层面)验证peer指定SA选择模式 主模式/积极模式(野蛮模式)主模式main:peer1==================================peer2发送本地IKE策略 ------------------------> 查找匹配的策略【确认算法】 接受对端确认的策略 <----------------------- 回应接收方策略(发送方策略)-----(接收方)--->交换双方密钥生成信息 交换双方密钥生成信息【产生密钥】 <----(发送方)---------(接收方)--->身份验证和交换过程验证 身份验证和交换过程验证【验证身份】 <----(发送方)----野蛮模式aggressive:peer1==================================peer2发起方策略/DH公共值----(接收方)---><----(发送方)----接收方确认的策略、DH公共值、验证载荷 验证载荷 ----(接收方)--->IPSEC+IKE配置配置IKE提议? 创建IKE提议? 选择IKE提议的加密算法? 选择IKE提议的验证方法? 选择IKE提议的验证算法? 选择IKE阶段1密钥协商所使用的DH组? 配置IKE提议的ISAKMP SA生存周期配置IKE对等体? 创建IKE对等体? 配置IKE协商模式? 配置预共享密钥验证方法的身份验证密钥? 配置RSA签名验证方法的PKI域? 配置本端及对端安全网关的IP地址配置IKE提议:[Router] ike proposal{proposal-number}/数值越小,级别越高[Router-ike-proposal-10] encryption-algorithm { 3des-cbc | aes-cbc [ key-length ] | des-cbc } /默认CBC模式的56位DES[Router-ike-proposal-10] authentication-method { pre-share | rsa-signature } /默认pre-share(预共享密钥)[Router-ike-proposal-10] authentication-algorithm { md5 | sha } /默认 SHA-1验证算法[Router-ike-proposal-10] dh { group1(768位) | group2(1024位) | group5(1536位) | group14(2048位) } /默认 group1[Router-ike-proposal-10] sa duration seconds /默认86400默认的IKE提议具有默认参数加密算法:DES-CBC验证算法:SHA-1验证方法:预共享密钥DH组标识:group1(768位)ISAKAMP SA的存活时间:86400秒配置IKE peer (第一阶段)[Router] ike peer peer-name[Router-ike-peer-peer1] exchange-mode { aggressive | main } /默认情况下,IKE阶段的协商模式使用主模式[Router-ike-peer-peer1] pre-shared-key [ cipher | simple xxx[Router-ike-peer-peer1] certificate domain domain-name /配置采用数字签名验证时,证书所属的PKI域[Router-ike-peer-peer1] id-type { ip | name } /选择IKE第一阶段的协商过程中使用的ID类型[Router-ike-peer-peer1] local-address ip-address[Router-ike-peer-peer1] remote-address low-ip-address [ high-ip-address ][Router] ike local-name name[Router-ike-peer-peer1] remote-name name主模式和野蛮模式的区别:1、Cookie:通过散列算法计算出来的一个结果,为了避免伪造,散列算法以一个本地秘密、对方标识以及当前的时间作为输入,通常对方标识就是对方的ip地址和端口号,使用cookie的目的是为了保护处理资源不受到DOS攻击主模式:响应方为对方生成一个cookie,只有在收到包含这个cookie的下一条消息时,才开始真正的DH交换过程野蛮模式:通信双方在三条消息交换中完成协商,没有机会在DH交换之前检查cookie,因此也就无法防止DOS攻击2、灵活性IKE第二阶段 IPSEC SA (数据层面)快速模式配置ipsec提议配置安全提议创建安全提议[Router] ipsec proposal proposal-name选择安全协议[Router-ipsec-proposal-tran1] transform { ah | ah-esp | esp } /默认esp选择工作模式[Router-ipsec-proposal-tran1] encapsulation-mode { transport | tunnel }/默认tunnel 选择安全算法[Router-ipsec-proposal-tran1] esp encryption-algorithm { 3des | aes [ key-length ] | des }[Router-ipsec-proposal-tran1] esp authentication-algorithm { md5 | sha1 }[Router-ipsec-proposal-tran1] ah authentication-algorithm { md5 | sha1 }默认情况下没有任何安全提议存在配置手工配置参数的安全策略[Router] ipsec policy policy-name seq-number manual(手动协商,不需要ike) /创建一条安全策略[Router-ipsec-policy-manual-map1-10] security acl acl-number /配置安全策略引用的ACL[Router-ipsec-policy-manual-map1-10] proposal proposal-name /配置安全策略所引用的安全提议[Router-ipsec-policy-manual-map1-10] tunnel local ip-address /配置IPSec隧道的本端地址[Router-ipsec-policy-manual-map1-10] tunnel remote ip-address /配置IPSec隧道的对端地址[Router-ipsec-policy-manual-map1-10] sa spi { inbound | outbound } { ah | esp } spi-number /配置SA的SPI[Router-ipsec-policy-manual-map1-10] sa authentication-hex { inbound | outbound } { ah | esp } hex-key /配置SA使用的密钥,配置协议的验证密钥(以16进制方式输入)[Router-ipsec-policy-manual-map1-10] sa string-key { inbound | outbound } { ah | esp } string-key /配。