《网络安全基础教程》由会员分享,可在线阅读,更多相关《网络安全基础教程(25页珍藏版)》请在金锄头文库上搜索。
1、使用使用 IPSec IPSec 配置网配置网络络安全安全 1今日议题1.课程导入2.IPSec概述3.IPSec的初步实现4.IPSec工作原理5.IPSec策略祥解6.IPSec验证方法祥解7.IPSec监控与排错8.Q&A21 课程导入为什么TCP/IP是不安全的?风险漏洞威胁漏洞:硬件漏洞,操作系统漏洞,应用程序漏洞,管理漏洞,威胁1)窃听 2)数据篡改 3)身份欺骗(IP地址欺骗) 4)盗用口令攻击(Password-Based Attacks) 5)拒绝服务攻击(Denial-of-Service Attack)6)中间人攻击(Man-in-the-Middle Attack) 7
2、)盗取密钥攻击(Compromised-Key Attack) 8)Sniffer 攻击(Sniffer Attack) 9)应用层攻击(Application-Layer Attack) 32 IPSec概述什么是IPSecIPSec (Internet 协议安全)是一个工业标准网络安全协议,为 IP 网络通信提供透明的安全服务,保护 TCP/IP 通信免遭窃听和篡改,可以有效抵御网络攻击,同时保持易用性。IPSec的作用1)保护IP数据包安全;2)为抵御网络攻击提供防护措施。IPSec的优点过滤每一个访问计算机的数据包,并可根据数据报的源IP地址、协议和端口进行过滤对应用程序完全透明,应用
3、程序无需任何调整三种身份验证对数据包进行加密,以防止数据包在网络传输中被截取使用HASH算法保障数据包在传输过程中保持完整性确保每个IP数据包的唯一性43 IPSec的初步实现基本组件筛选器:过滤规则筛选器操作:允许,阻止,协商安全身份验证方法Kerberos V5 协议:适用于由 Windows 2000 或者 Windows Server2003 域或者受信任的 Active Directory 域进行身份验证的计算机 证书:需要证书授权中心预共享密钥:预共享的密钥以明文方式存储,因此安全性较差54 IPSec的工作原理IPSec 协议不是一个单独的协议,它给出了应用于IP层上网络数据安全
4、的一整套体系结构,包括网络认证协议 Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议Internet Key Exchange (IKE)和用于网络认证及加密的一些算法等。IPSec 规定了如何在对等层之间选择安全协议、确定安全算法和密钥交换,向上提供了访问控制、数据源认证、数据加密等网络安全服务。 64 IPSec的工作原理SA安全关联SA(Security Association)是单向的,在两个使用 IPSec的实体(主机或路由器)间建立的逻辑连接,定义了实体间如何使用安全服务(如加密
5、)进行通信。它由下列元素组成:1)安全参数索引SPI;2)IP目的地址;3)安全协议。AH协议为IP通信提供数据源认证、数据完整性和反重播保证,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。ESP为IP数据包提供完整性检查、认证和加密,可以看作是“超级 AH”, 因为它提供机密性并可防止篡改。ESP服务依据建立的安全关联(SA)是可选的。IKE(Internet密钥交换)负责这些任务,它提供一种方法供两台计算机建立安全关联 (SA)。SA 对两台计算机之间的策略协议进行编码,指定它们将使用哪些算法和什么样的密钥长度,以及实际的密钥本身。包括ISAKMP和OKD。74 IPSec
6、的工作原理TCP 层层IPSec 驱动程序驱动程序TCP 层层IPSec 驱动程序驱动程序加密的加密的 IP 数据包数据包3安全关联协商安全关联协商(ISAKMP)2IPSec 策略策略IPSec 策略策略1Active Directory84 IPSec的工作原理模式传输模式 transportation mode:是在计算机之间使用IPSec来实现安全;是一种端对端 end to end的保护;是IPSec的缺省模式隧道模式 tunnel mode:是在网络之间使用IPSec实现安全;是一种点到点 point to point的保护;隧道是对数据包重新封装的过程,它将原始数据包封装在新的数
7、据包内部,从而改变数据包的寻址路径;通过新增IP包头的方法,将目的地址改变为隧道终点,对和隧道终点之间的传输设置加密等操作;通常,隧道终点即为安全性网关,也就是说此网关和目的主机之间的通信是安全的;其思想是先将数据包通过IPSec策略传送到安全性网关,再由安全性网关正常传送到目的主机。 94 IPSec的工作原理传输模式:当ESP在一台主机(客户机或服务器)上实现时使用,传送模式使用原始明文IP头,并且只加密数据,包括它的TCP和UDP头。IP地址TCP/UDP端口数据包内容新IP地址新TCP/UDP端口原IP地址原TCP/UDP端口数据包内容隧道模式:当ESP在关联到多台主机的网络访问介入装
8、置实现时使用,隧道模式处理整个IP数据包-包括全部TCP/IP或UDP/IP头和数据,它用自己的地址做为源地址加入到新的IP头。当隧道模式用在用户终端设置时,它可以提供更多的便利来隐藏内部服务器主机和客户机的地址。 104 IPSec的工作原理配置IPSec协议免除可保护数据通信,但有一些协议不受IPSec保护种类广播与多播资源保留协议 RSVP:IP协议 46IKEKerberos修改被免除的协议HK_L_MSYSTEMCurrentControlSetServicesIPSEC NoDefaultExempt=DWORD 建议为3115 IPSec策略祥解策略组件每一个IPSec poli
9、cy都对应一个规则 rule每个规则下放置着多个筛选器filter每个筛选器来启用筛选器操作每个规则含有验证方法125 IPSec策略祥解策略应用过程IP 数据报数据报IPSec 驱动程序驱动程序安全的数据报安全的数据报网络网络IPSec 筛选器筛选器列表列表检查是否匹配检查是否匹配135 IPSec策略祥解默认策略客户端(只响应):只有当另一方计算机提出要求安全通信时,才应用IPSec策略来响应;服务器(请求安全设置):当计算机收到数据时,会请求源计算机利用IPSec策略建立安全通道,若源计算机没有配置IPSec策略,则目的计算机也接受非安全通信;安全服务器(要求安全设置):要求通信必须是安
10、全的,即基于IPSec策略。145 IPSec策略祥解策略协同工作原理155 IPSec策略祥解策略应用层次按以下顺序来起作用:本地计算机计算机所在站点计算机所在域计算机所属OU应用在后者上的策略覆盖应用在前者上的策略165 IPSec策略祥解策略应用演示独立机器之间的应用域成员机器之间的应用176 验证方法祥解Kerberos V5验证证书验证预共享密钥验证186 验证方法祥解Kerberos V5验证Kerberos是计算机网络中的验证服务请求的一种安全方法。Kerberos把用户的请求变成验证过程的一张加密的“入场券”,然后验证过程再向服务器提出特定服务的请求。用户的密码不一定要通过网络
11、。对于同一森林中的计算机之间的通信。Kerberos是活动目录中的一部分。196 验证方法祥解证书验证通过在两个IPSec主机之间使用从一个被信任的CA处获得证书作为验证方法可允许公司与其它信任相同CA的公司互相访问可使Windows路由和远程访问服务与Internet上支持IPSec的第三方路由器进行安全的通信证书颁发自动颁发手动颁发206 验证方法祥解证书验证的要求计算机账户的证书,而非用户账户证书证书包含一个RSA公钥,且具有可用来进行RSA签名的对应私钥通信双方都相互信任在有效期内IPSec不要求计算机证书是IPSec类型的证书,只要是计算机证书类型即可216 验证方法祥解预共享密钥两
12、台IPSec主机共同使用的一个随机文本字符串以明文的方式保存在IPSec策略中227 IPSec监控与排错启用计算机审核策略组策略中设置:审核登录事件,审核对象访问配置IP安全监视器Windows 2000:ipsecmonWindows 2003:MMC添加IP安全监视器主模式:执行身份验证,在计算机之间建立IKE安全关联(SA)快速模式:在主模式发生之后,根据策略规则中的数据报筛选器的源地址和目标地址(还有协议和端口)部分,建立IPSsec安全关联以保护特定通信的安全。有两个关联,一个用于入站通信,一个用于出站通信。主模式的SA时安全策略级别的,快速模式的SA针对IP安全规则的。237 IPSec监控与排错排错停止计算机里的 IPSec 策略代理,然后使用 Ping 命令验证计算机之间的通信重新启动 IPSec 策略代理服务并使用 IPSec 监视器来确认计算机间已建立了安全关联。确保 IPSec 有效 通过 IP 安全策略管理器验证策略已指派给计算机通过 IP 安全策略管理器回顾策略,并且确保它们之间是兼容的重启 IP 安全监视器确保所有更新已应用24今日回顾1.课程导入2.IPSec概述3.IPSec的初步实现4.IPSec工作原理5.IPSec策略祥解6.IPSec验证方法祥解7.IPSec监控与排错25
