IPSEC网络中的加密传输隧道

浮华发布于:2022-04-12阅读:0

IPSEC网络中的加密传输隧道

IPSEC 方案

安全:隐私、完整、不可否认

防重放攻击,防中间人攻击

隐私:实现对称加密算法和非对称加密算法(核心:用非对称加密算法传递对称加密算法的私钥)

对 称:DES 3DES AES,传递K,物理传递。

非对称:D iffie-Hellman用于传输公钥的算法

RSA公钥加密私钥解密 1000位后的质数基本安全,

2000位后极其安全。

数字签名(私钥加密公钥解密)

使用两个功能需要生成两个钥匙对。

完整性:hash算法。MD5 SHA 单向不可逆

输入不定长,输出定长。雪崩效应(一旦原始数据发生变化,结果完全不同)。

防重放:MD5(原始数据 随机值)=MD5值

随机值检测:如果使用了随机值,则丢弃。

不可否认性(认证):RSA,预共享 MD5认证的原理

数字签名.

PKI系统(公开密钥系统,Public Key Infrastructure)利用不对称加密技术为电商的发展提供一套安全基础平台的技术和规范。

通过第三方可信机构使用证书管理公钥&—&—CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中,在互联网上验证用户的身份。

IKE:用IPSec保护一个IP安全联盟必须在包装前建立(SA),

IPSec安全联盟可以通过手立安全联盟。但是,当网络中有很多节点时,手工配置将非常困难,很难保证安全。这个时候可以用IKE(互联网 Key Exchange)建立安全联盟并自动交换密钥的过程。互联网密钥交换(IKE)用于动态建立SA,代表IPSec对SA进行协商。

IKE 第一阶段:在安全的情况下交换密钥,在安全的情况下进行认证,并进行双方之间的认证。野蛮模式容易受到中间人的攻击。

主模式:慢,安全 野蛮模式:快,不安全 跨厂家做第一阶段推荐野蛮模式。

IKE协商过程的第一阶段:

协商IKE并建立安全通道的各种参数ISAKMP SA。在主模式下,需要在第一阶段发送6个包。需要协商sa信息,密钥交换,ID交换和验证。在野蛮模式下,双方只发送三个包。但缺点是直接发送密钥等信息而不加密。

主模式:

野蛮模式:

对比两种模式:

第二阶段:为数据部分提供服务。

Ike协商的第二阶段:双方协商ipsec sa主要包括加密,Hash,安全协议、包装方式、生存时间、DH算法

最后一个是安全协议和包装模式

安全协议:

ESP:可以对整个ip加密包内容更适合公网。

ESP包装在传输模式下:

ESP隧道包装模式:

AH:只认证头部的协议,不加密数据,可用于公司内网。

AH包装包装在传输模式下:

AH隧道模式下的包装包装:

两种模式的比较:

封装模式:

隧道模式:和原包装ip数据包头部相同的数据包。

传输方式:不是原来的ip相反,数据包头部发生了变化ip将头部插入一层ipsec包头。

Vpn隧道黑洞问题:当对方断开链接时,我们还在SA在有效期内,对方无法收到包裹,我方将其发送给对方ipsec vpn中使用了DPD要解决这个问题,其核心思想是采用空闲计时机制,当收到一个时ipsec如果计时器到时还没有收到,则重置计时器ipsec下次发一个包ipsec包给对方的时候会先发五次DPD要求检测对方的生存情况,如果没有收到对方的回应,则删除SA。

IPSEC 路由是针对感兴趣的路由。

NAT问题:防火墙等设备通常部署在网络出口上,并在网络出口上实现NAT技术,因为NAT地址转换将匹配通常去网络的 ip包中的ip源,和ip目的以及tcp/udp转换端口。

对于源目ip改变:如果做了,会带来问题NAT,那么ipsec协商 的IKE主模式的第一阶段将导致双方比较身份ID不匹配,导致了 协商的失败。而IPSEC 方案 主模式身份ID默认配置,不能 修改。所以在NAT对导致的环境ipsec无法建立。

这个问题的根源在于主模式下的身份ID固定为ip,(有些厂家的主 模式可能会有一些私有化的修改,可以改变主模式的身份ID, 此时可以使用主模式的其他认证方法,不会有这个问题)。

解决方案:使用野蛮模式,默认可以使用多种身份认证方法,如:IPV4_ADDR,FQDN,USER_FQDN,证书认证ip 身份认证可以解决NAT所带来的ip转换问题。

数据传输的可行性:

AH传输方式:

AH因为原始的传输模式IP认证摘要包头在NAT之后,摘要信息的变化会导致认证失败。

AH隧道模式:

AH隧道模式也有这个问题NAT摘要后的信息会改变。

TCP伪首部验证机制:

因为TCP假首次验证机制,导致TCP包头前的那个IP不能改变包头的内容。

ESP传输方式:

在NAT后整个帧的ip包头会变TCP假第一次验证失败,整个数据包将被丢弃。

ESP隧道模式:

ESP隧道模式将是原始的IP包头加密封装。NAT只是对新的IP修改原包头IP内容不会修改,也不会受到影响TCP假首次验证。通信成功。

对比:

多方案数据问题:

1.隧道协商过程中,IKE必须有规定的源和目的端口UDP 500,防火墙设备可能在多方案场景的源端口NAT后来发生变化,导致IKE协商失败。

2.因为ESP在网络层工作,没有传输层头,无法进行NAT端口转换,导致数据传输失败。

解决方法:NAT-T技术

NAT-T技术:(1)在IKE协商和方案连接时允许源端口非UDP500端口。使用目的端口为UDP 4500端口。

(2)NAT-T协议为ESP增加了UDP头部

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:shawn.lee@vecloud.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。

本站原创内容未经允许不得转载,或转载时需注明出处:https://news.kd010.com/yzx/8806.html

TAG标签:网络隧道IPsec

上一篇:VPWS、组网、IPSEC加密
下一篇:GRE隧道与IPSec加密结合

相关文章

返回顶部