请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科社区 关注
思科社区

   思科 CCO 登录 推荐
 找回密码
 立即注册

搜索
热搜: 邮件服务器
楼主: nmyp007

【跟我一起读】Cisco IPSec VPN实战指南

[复制链接]
发表于 2018-6-17 12:10:14 | 显示全部楼层
本帖最后由 zhang00xing00 于 2018-6-24 12:18 编辑

先回答问题。
1、IPSec对VPN流量提供哪三个方面的保护?
私密性(Confidentiality):对原始数据加密
完整性(Integrity):确保数据在传输过程不被篡改
源认证(Authenticity):确保数据包发送源是合法的


2、加密算法的分类及各个算法的优缺点、主流协议?
对称密钥算法,加密和解密使用相同的密钥和算法,DES/3DES/AES/RC4
优点:速度快、安全、紧凑
缺点:明文传输密钥、密钥数量过多不便管理存储、不支持数字签名和不可否认性
非对称密钥算法,一个密钥加密只能用另一个密钥解密,仅用于密钥交换(加密密钥)和数字签名(加密散列),RSA/DH/ECC
优点:安全、密钥数量跟参与者相同、交换公钥前不需要预告建立信任关系、支持数字签名和不可否认性
缺点:加密速度很慢、密文会变长


3、IKE的2个阶段与3个模式是什么?

第一阶段使用6个包交换主模式或者3个包交换的主动动模式完成,
对建立IPSec的双方进行认证,确保只在合法对等体建立IPSec VPN,协商结果就是IKESA
第二阶段使用3个包交换的快速模式完成,协商感兴趣流的保护策略,协商结果就是IPSec SA


IPSec VPN 1-3章笔记。

VPN 2种连接方式:
1.站点到站点(Site to Site):GRE、 IPSec VPN、 MPLS VPN
2.远程访问(Remote):IPSec VPN 、VPDN 、SSL VPN

IPSecVPN 3个安全特性:
私密性(Confidentiality):对数据加密
完整性(Integrity):确保数据在传输过程不被篡改
源认证(Authenticity):确保数据包发送源是合法的

HASH函数也叫散列函数,校验数据完整性,4个特点:
1.固定大小:任意大小原始数据都输出固定大小散列值,MD5:128bit,SHA-1:160 bit
2.雪崩效应:原始数据修改1bit都会导致计算的散列值完全不一样
3.单向:只能从原始数据计算得到散列值,不可能从散列值恢复1bit原始数据
4.冲突避免:几乎找不到另外一个数据计算出相同的散列值

HMAC (Keyed-hash Message Authentication Code,密钥化散列信息认证代码),校验数据完整性和数据源认证。

加密算法
对称密钥算法,加密和解密使用相同的密钥和算法,DES/3DES/AES/RC4
优点:速度快、安全、紧凑
缺点:明文传输密钥、密钥数量过多不便管理存储、不支持数字签名和不可否认性

非对称密钥算法,一个密钥加密只能用另一个密钥解密,仅用于密钥交换(加密密钥)和数字签名(加密散列),RSA/DH/ECC
优点:安全、密钥数量跟参与者相同、交换公钥前不需要预告建立信任关系、支持数字签名和不可否认性
缺点:加密速度很慢、密文会变长


IPSec VPN 封装协议
ESP(Encapsulation Security Payload),IP协议号50
AH(Authentication Header),IP协议号51

IPSec VPN 封装模式
传输模式(Transport mode),加密点等于通信点
隧道模式(Tunnel mode),加密点不等于通信点

密钥有效期,IPSec VPN默认每一小时更新一次。

IKE(Internet Key Exchange,互联网密钥交换协议),协商散列函数、加密算法、封装协议、封装模式、密钥有效期。
协商结果叫做安全关联SA,分为2种类型:
IKE SA安全防护IKE细节
IPSec SA 安全防护用户流量(感兴趣流)

IKE 是一个混合协议,由3大组成协议:
SKEME 决定了IKE密钥交换方式,主要使用DH交换密钥
Oakley  决定了IPSec框架设计,支持更多协议
ISAKMP决定了IKE协商包封装格式、交换过程和模式切换

IKE2个阶段与3个模式:
第一阶段使用6个包交换主模式或者3个包交换的主动动模式完成,
对建立IPSec的双方进行认证,确保只在合法对等体建立IPSec VPN,协商结果就是IKESA

第二阶段使用3个包交换的快速模式完成,协商感兴趣流的保护策略,协商结果就是IPSec SA
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (4 评价)
发表于 2018-6-17 21:57:32 | 显示全部楼层
IPSec对VPN流量提供哪三个方面的保护?
1.通过加密保证数据的私密性
2.对数据进行hash运算来保证完整性
3.通过身份认证保证数据的真实性
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-17 22:03:03 | 显示全部楼层
2、加密算法的分类及各个算法的优缺点、主流协议?
根据密钥类型不同将现代密码技术分为两类:对称加密算法(秘密钥匙加密)和非对称加密算法(公开密钥加密)。
对称钥匙加密系统是加密和解密均采用同一把秘密钥匙,而且通信双方都必须获得这把钥匙,并保持钥匙的秘密。
非对称密钥加密系统采用的加密钥匙(公钥)和解密钥匙(私钥)是不同的。
对称加密算法
对称加密算法用来对敏感数据等信息进行加密,常用的算法包括:
DES(Data Encryption Standard):数据加密标准,速度较快,适用于加密大量数据的场合。
3DES(Triple DES):是基于DES,对一块数据用三个不同的密钥进行三次加密,强度更高。
AES(Advanced Encryption Standard):高级加密标准,是下一代的加密算法标准,速度快,安全级别高;
AES
2000年10月,NIST(美国国家标准和技术协会)宣布通过从15种侯选算法中选出的一项新的密匙加密标准。Rijndael被选中成为将来的AES。 Rijndael是在 1999 年下半年,由研究员 Joan Daemen 和 Vincent Rijmen 创建的。AES 正日益成为加密各种形式的电子数据的实际标准。
美国标准与技术研究院 (NIST) 于 2002 年 5 月 26 日制定了新的高级加密标准 (AES) 规范。
算法原理
AES 算法基于排列和置换运算。排列是对数据重新进行安排,置换是将一个数据单元替换为另一个。AES 使用几种不同的方法来执行排列和置换运算。
AES 是一个迭代的、对称密钥分组的密码,它可以使用128、192 和 256 位密钥,并且用 128 位(16字节)分组加密和解密数据。与公共密钥密码使用密钥对不同,对称密钥密码使用相同的密钥加密和解密数据。通过分组密码返回的加密数据的位数与输入数据相同。迭代加密使用一个循环结构,在该循环中重复置换和替换输入数据


非对称算法
常见的非对称加密算法如下:
RSA:由 RSA 公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的;
DSA(Digital Signature Algorithm):数字签名算法,是一种标准的 DSS(数字签名标准);
ECC(Elliptic Curves Cryptography):椭圆曲线密码编码学。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-17 22:47:11 | 显示全部楼层
3、IKE的2个阶段与3个模式是什么?
IKE阶段1
该阶段用于协商IKE策略集、认证对等体并在对等体之间建立安全的信道。
它包括两种模式:主模式 和 积极模式

1、 主模式在发送端和接收端有3次双向交换

第一次:用于商定IKE通信安全的算法和散列;
第二次:使用DH交换 来产生共享密钥
第三次:验证对端身份,认证远端对等体。
主模式的主要结果是为对等体之间的后续交换建立一个安全通道。

2、 积极模式 较主模式而言,交换次数和信息较少。
在第一次交换中,就将主模式1.2.3次交换的信息压缩在一起发给对端,接收方返回所需内容,等待确认。


IKE阶段2

执行以下功能:
1、 协商IPSec安全性参数和IPSec转换集;
2、 建立IPSec的SA;
3、 定期重协商IPSec的SA,以确保安全性;
4、 可执行额外的DH交换。

IKE阶段2只有一种模式,快捷模式。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (2 评价)
发表于 2018-6-17 23:55:47 来自手机 | 显示全部楼层
Sorry, 这周太忙,明天一大早就来写点阅读心得
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (5 评价)
发表于 2018-6-18 10:51:56 | 显示全部楼层
two tasks for configuring GRE tunnel:
1.  assign a ip address for a tunnel;
2.  configure tunnel's source and destination IP address.
Notice: GRE VPN DO NOT encrypt the data that go through a tunnel.
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (5 评价)
发表于 2018-6-18 11:43:48 | 显示全部楼层
首先了解一下IPSEC VPN的理论知识:

IPSec VPN提供一个框架性的结构,但每一次 IPSec 会话所使用的具体算法,都是通过协商来决定的,不仅仅是散列函数、加密算法,封装协议和模式、密钥有效期等内容都可以通过协商决定。在两个 IPSec 对等体之间协商的协议叫做 IKE,IKE有两个阶段:第一阶段协商分别可以使用 6 个包交换的主模式MM或者 3 个包交换的主动模式AM来完成,第一阶段协商的主要目的就是对建立 IPSec 的双方进行认证,以确保只有合法的对等体(peer)才能够建立 IPSec VPN。协商得到的结果就是IKE SA。第二阶段总是使用 3 个包交换的快速模式QM来完成,第二阶段的主要目的就是根据需要加密的实际流量(感兴趣流),来协商保护这些流量的策略。协商的结果就是IPSec SA。第一阶段的主要任务就是相互认证。第一阶段完成,不仅表示收发双方认证通过,并且还会建立一个双向的 ISAKMP/IKE 安全关联(SA),这个 SA 维护了处理ISAKMP/IKE 流量的相关策略(注意:这些策略不会处理实际感兴趣流),而对等体双方还会继续使用这个 SA,来安全保护后续的 IKE 快速模式 1-3 包交换。第二阶段的主要任务就基于具体的感兴趣流来协商相应的 IPSec SA,IKE 快速模式交换的三个数据包都得到了安全保护(加密、完整性校验和源认证)。另外两个值得注意的内容就是 SPI 和 PFS。SPI 用于唯一标识一个单向的 IPSec SA,SPI 的值是由目的设备决定的。Cisco 的 IPSec VPN 在默认情况下没有启用 PFS 技术,设备管理员可以通过配臵来启用这项技术,让每一次密钥更新之前都进行一次全新的 DH 交换,产生全新的密钥。


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (5 评价)
发表于 2018-6-18 13:06:29 | 显示全部楼层
1、IPSec对VPN流量提供哪三个方面的保护?
IPSec VPN技术对 VPN 流量提供了如下 3 个方面的保护:
私密性(Confidentiality):数据私密性也就是对数据进行加密。这样一来,即使第三方能够捕获加密后的数据,也不能将其恢复成明文。
完整性(Integrity):完整性确保数据在传输过程中没有被第三方篡改。
源认证(Authenticity):源认证也就是对发送数据包的源进行认证,确保是合法的源发送了此数据包。

2、加密算法的分类及各个算法的优缺点、主流协议?
加密算法可以分为如下两大类:
1. 对称密钥算法;
优点:
 速度快;
 安全;
 紧凑。
缺点:
 明文传输共享密钥,容易出现中途劫持和窃听的问题;
 随着参与者数量n的增加,密钥数量急剧膨胀((n×(n-1))/2);
 因为密钥数量过多,对密钥的管理和存储是一个很大的问题;
 不支持数字签名和不可否认性。
对称密钥算法的主流协议:
a. DES;
b.3DES;
c. AES;
d.RC4。

2. 非对称密钥算法。
优点:
 安全;
 由于不必担心交换的公钥被劫持,所以非对称密钥的分发更安全;
 密钥数目和参与者数目相同;
 在交换公钥之前不需要预先建立某种信任关系;
 支持数字签名和不可否认性。
缺点:
 加密速度很慢;
 密文会变长。
非对称密钥算法的主流协议:
1.RSA(数字签名和数字证书的主流协议);
2.DH(IPSec 产生密钥资源的主要协议);
3.ECC(椭圆曲线算法)。

3、IKE的2个阶段与3个模式是什么?
在两个 IPSec 对等体之间协商的协议叫做 IKE,IKE有两个阶段:第一阶段协商分别可以使用 6 个包交换的主模式MM或者 3 个包交换的主动模式AM来完成,第一阶段协商的主要目的就是对建立 IPSec 的双方进行认证,以确保只有合法的对等体(peer)才能够建立 IPSec VPN。协商得到的结果就是IKE SA。第二阶段总是使用 3 个包交换的快速模式QM来完成,第二阶段的主要目的就是根据需要加密的实际流量(感兴趣流),来协商保护这些流量的策略。协商的结果就是IPSec SA。
3个模式是:
主动模式AM;
主模式MM;
快速模式QM。
其中AM、MM属于第一阶段;QM属于第二阶段。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分5 (5 评价)
发表于 2018-6-18 21:53:13 来自手机 | 显示全部楼层
这个小长假,一边看着足球,一边阅读着教主的大作,很是悠哉悠哉地。教主的大作也是极赞的,看了从异步下载的前三章,教主就是教主,把IpsecVPN的理论讲得如此通透,且显浅易懂!于是果断下定买本纸质的,同时又推荐前仨章的电子版给同事,同事也觉得写得很好,倾注了教主对IpsecVpn的理解!不错,这个小长假收获不少
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (7 评价)
发表于 2018-6-19 11:47:29 | 显示全部楼层
4、IOS IPSec VPN配置步骤及命令?
步骤:
1、configure crypto ACL             配置感兴趣流,需要加密的流量就是感兴趣流。
2、establish ISAKMP policy          第一阶段的策略
3、configure IPsec transform set    第二阶段的策略
4、configure crypto map
5、apply crypto map to the interface   在接口下应用
6、configure interface ACL          确定在外网接口放行哪些流量
命令:(1)、定义感兴趣流:
ip access-list extended VPN
   permit ip 172.16.1.0 0.0.0.255 172.16.2.0 0.0.0.255
(2)、IKE第一阶段
crypto isakmp policy 10
   encryption des
   hash md5
   authentication pre-share
   group 2
crypto isakmp key cisco address 202.100.1.2     pre-share key 的定义
(3)、IKE第二阶段
crypto ipsec transform-set MYSET esp-des esp-md5-hmac
   mode tunnel
(4)、把感兴趣流与转换集映射一下
crypto map MYMAP 100 ipsec-isakmp
   set peer 202.100.1.2 设置VPN对等体的地址
   set tranform-set MYSET   设置转换集
   match address VPN     感兴趣流和转换集的绑定
  
(5)、MAP与接口绑定
int s0
   crypto map MYMAP
(6)、设定接口只允许跑VPN流量,在接口入设置
access-list 100 permit udp any eq 500 any eq isakmp
access-list 100 permit esp any any
access-list 100 permit ip 172.16.2.0 0.0.0.255 172.16.1.0 0.0.0.255   由于ACL会二次查找,所以还要放行私网的流量
show crypto isakmp policy
show crypto isakmp sa   第一阶段的SA
show crypto ipsec sa 第二阶段的SA
show crypto engine connections active
show crypto map
crypto ipsec security-association lifetime [seconds|kilobytes] 第二阶段的一个协商时间,也就是说多长时间后重新协商密匙。也可按已发了多少流量来进行协商。哪个数值先到就先起效。
cryto isakmp keepalive 10 3
IPsec通道的终结:
当流量超过上限后或者超时自动终结
clear crypto isakmp 清第一阶段
clear crypto sa 清第二阶段
clear crypto session   在新版的IOS中,用这条命令全清
debug crypto isakmp
debug crypto ipsec
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分4 (3 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科社区  

GMT+8, 2019-4-25 20:45 , Processed in 0.113360 second(s), 53 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表