第九章 IPSec VPN技术.

Slides:



Advertisements
Similar presentations
NAT与ICMP交互.
Advertisements

第6章 IP安全 曾雪梅
计算机网络教程 任课教师:孙颖楷.
计算机网络课程总结 一、计算机网络基础 计算机网络定义和功能、基本组成 OSI/RM参考模型(各层的功能,相关概念, 模型中数据传输 等)
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
IPV6技术与物联网应用 贾智平 1.
网络安全协议 Network Security Protocols
计算机网络(第 5 版) 第 7 章 网络安全 课件制作人:谢希仁.
第2章 VPN原理和配置.
第9讲 VPN技术(一).
Internal DP GRE协议原理 ISSUE1.0.
淄博信息工程学校 ZIBOIT&ENGINEERING VOCATONAL SHCOOL 03 交换机干道技术 计算机网络技术专业.
企業如何建置安全的作業系統 Windows XP 網路安全
计算机网络安全 第五章.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
项目四 组建跨地区网络 授课教师:肖颖.
10.2 网络安全的基本概念  网络安全的重要性 计算机网络的广泛应用对社会经济、科学研究、文化的发展产生了重大的影响,同时也不可避免地会带来了一些新的社会、道德、政治与法律问题。Internet技术的发展促进了电子商务技术的成熟与广泛的应用。目前,大量的商业信息与大笔资金正在通过计算机网络在世界各地流通,这已经对世界经济的发展产生了重要和积极的影响。政府上网工程的实施,使得各级政府与各个部门之间越来越多地利用网络进行信息交互,实现办公自动化。所有这一切都说明:网络的应用正在改变着人们的工作方
CA认证 防火墙 加密机 加密卡 安全电子邮件 网页保护系统 数据审计系统 身份识别系统 天融信
实验八、 IPSec VPN典型配置实验 实验开发教师:谌黔燕.
資訊安全-資料加解密 主講:陳建民.
格物资讯开放ICON库 V1R1.
David liang 数据通信安全教程 防火墙技术及应用 David liang
LSF系统介绍 张焕杰 中国科学技术大学网络信息中心
信息安全 第10章 虚拟专用 网络技术 2018/11/14 1.
Hadoop I/O By ShiChaojie.
基于云计算的数据安全 保护策略研究 报告人:王 立 伟.
计算机网络原理 徐明伟
第9章 虛擬私人網路VPN.
中国科学技术大学 肖 明 军 《网络信息安全》 中国科学技术大学 肖 明 军
第九章 IPSec VPN技术.
存储系统.
大学计算机基础 典型案例之一 构建FPT服务器.
PPPoE PPTP L2TP全解 方伟、产品策划 讲师的CSDN博客地址
管理信息结构SMI.
网络常用常用命令 课件制作人:谢希仁.
实用组网技术 第一章 网络基础知识.
数 控 技 术 华中科技大学机械科学与工程学院.
Windows网络操作系统管理 ——Windows Server 2008 R2.
Windows网络操作系统管理 ——Windows Server 2008 R2.
網路安全期末報告─SSL/TLS 指導教授:梁明章 報告學生:A 徐英智.
格物资讯开放ICON库 V0R2.
第17章 网站发布.
IP安全 胡建斌 北京大学网络与信息安全研究室
实验十一、链路层加密实验 实验开发教师:谌黔燕.
第12章 远程访问、NAT技术.
利用Arduino制作定向装置 核科学与技术系 崔伟毅 梁嘉祺
IPsec封装安全有效载荷.
SOA – Experiment 2: Query Classification Web Service
第四章 团队音乐会序幕: 团队协作平台的快速创建
Speaker: 碩專一甲 陳芸仙 N 服務單位: 高雄市立裕誠幼稚園
VisComposer 2019/4/17.
主要内容: 无线局域网的定义 无线传输介质 无线传输的技术 WLAN的架构 无线网络搭建与配置 无线网络加密配置
商业分析平台-语义元数据 用友集团技术中心 边传猛 2013年 11月 06日.
Cassandra应用及高性能客户端 董亚军 来自Newegg-NESC.
实验七 安全FTP服务器实验 2019/4/28.
IT 安全 第 11节 加密控制.
计算机网络与网页制作 Chapter 07:Dreamweaver CS5入门
宁波市高校慕课联盟课程 与 进行交互 Linux 系统管理.
编译OpenSSL 本节内容 视频提供:昆山爱达人信息技术有限公司 视频录制:yang 官网地址:
成绩是怎么算出来的? 16级第一学期半期考试成绩 班级 姓名 语文 数学 英语 政治 历史 地理 物理 化学 生物 总分 1 张三1 115
数据报分片.
Common Security Problems in Business and Standards
《工程制图基础》 第五讲 投影变换.
OpenStack vs CloudStack
GIS基本功能 数据存储 与管理 数据采集 数据处理 与编辑 空间查询 空间查询 GIS能做什么? 与分析 叠加分析 缓冲区分析 网络分析
格物资讯ICON发布 V0R3.
基于列存储的RDF数据管理 朱敏
VoIP组工作汇报 黄权 李光华.
3.8 局域网应用实例 某省劳动和社会保障网络中心组网实例 会议中心的无线组网实例.
入侵检测技术 大连理工大学软件学院 毕玲.
Presentation transcript:

第九章 IPSec VPN技术

目标 学完本课程后,您将能够: 理解IPSec技术的基本原理 理解AH和ESP技术 了解IKE协议的业务流程 掌握IPSec VPN的应用场景及配置

目录 IPSec VPN概述 IPSec VPN体系结构 验证头(AH)技术 封装安全载荷(ESP)技术 Internet密钥交换(IKE)技术 IPSec VPN应用场景分析

IPSec简介 IPSec(IP Security)协议族是IETF制定的一系列安全协议,它为端到端IP报文交互提供了基于密码学的、可互操作的、高质量的安全保护机制。IPSec VPN是利用IPSec隧道建立的网络层VPN。 总部 分支机构 IPSec VPN 安全隧道

IPSec IPSec特性 机密性 防重放 完整性 真实性 Confidentiality Data integrity Anti-replay Data authentication Data integrity 完整性 机密性 真实性 IPSec 机密性:对数据进行加密,确保数据在传输过程中不被其它人员查看; 完整性:对接收到数据包进行完整性验证,以确保数据在传输过程中没有被篡改; 真实性:验证数据源,以保证数据来自真实的发送者(IP报文头内的源地址); 抗重放:防止恶意用户通过重复发送捕获到的数据包所进行的攻击,即接收方会拒绝 旧的或重复的数据包。

IPSec安全防护特点 APP Data TCP/ UDP IP 安全保护区域 访问总部流量 IPSec VPN 分支机构 Internet业务 访问总部流量 访问Internet部流量 支持在IP层及以上协议层进行数据安全保护,并对上层应用透明(无需对各个应用程 序进行修改)。安全保护措施包括机密性、完整性、真实性和抗重放等。 IPSec协议基于策略对数据包进行安全保护,如对某业务数据流采用某类保护措施, 而对另一类业务数据流采用其它类保护措施,或不进行任何保护措施。 本图例中,访问总部的流量实施安全保护,而对于访问互联的流量,则不进行安全保 护。

IPSec安全防护场景 IPSec端到端应用场景 安全网关(如防火墙)之间(典型场景); 主机与安全网关之间; 主机与主机之间; 总部 出差员工 分支机构 IPSec VPN WWW服务器 IPSec端到端应用场景 安全网关(如防火墙)之间(典型场景); 主机与安全网关之间; 主机与主机之间; 当分布于不同地域的企业或个人通过Internet进行通信时,由于处于不同的物理地域 ,它们之间进行通信的绝大部分流量都需要穿越Internet上的未知网络,无法保证在网络 上发送和接收数据的安全性。 IPSec提供了一种建立和管理安全隧道的方式,通过对要传输的数据报文提供认证和 加密服务来防止数据在网络内或通过公网传输时被非法查看或篡改,相当于为位于不同地 域的用户创建了一条安全的通信隧道。 应用场景主要由以下三种类型: 网关(如防火墙)之间 此种应用场景也叫点到点或点到多点IPSec VPN,主要用于公司总部与分支机构之间 建立IPSec隧道,从而实现局域网之间互通。 主机与网关之间 主要用于出差员工通过互联网需要访问总部资源时。 主机与主机之间 主机之间通过互联网进行数据传输,需要加密时,加解密操作在主机侧完成。某些场 景中,例如服务器放在DMZ区域,防火墙配置NAT server,也可以实现。

目录 IPSec VPN概述 验证头(AH)技术 封装安全载荷(ESP)技术 Internet密钥交换(IKE)技术

IPSec VPN体系结构 IPSec VPN体系结构 AH:验证头 ESP:封装安全载荷 IKE协商 验证算法 加密算法 密钥管理 IPSec VPN体系结构主要由AH、ESP和IKE协议套件组成。IPSec通过ESP来保障IP 数据传输过程的机密性,使用AH/ESP提供数据完整性、数据源验证和抗报文重放功能。 ESP和AH定义了协议和载荷头的格式及所提供的服务,但却没有定义实现以上能力所需 具体转码方式,转码方式包括对数据转换方式,如算法、密钥长度等。为简化IPSec的使 用和管理,IPSec还可以通过IKE进行自动协商交换密钥、建立和维护安全联盟的服务。 具体介绍如下: AH协议:AH是报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和 防报文重放功能。然而,AH并不加密所保护的数据报。 ESP协议:ESP是封装安全载荷协议。它除提供AH协议的所有功能外(但其数据完 整性校验不包括IP头),还可提供对IP报文的加密功能。 IKE协议:IKE协议用于自动协商AH和ESP所使用的密码算法。 密钥管理 安全策略

IKE与AH/ESP之间关系 IKE IKE KEY KEY IP TCP UDP TCP UDP AH/ESP AH/ESP IKE是UDP之上的一个应用层协议,是IPSec的信令协议。IKE为IPSec协商生成密钥, 供AH/ESP加解密和验证使用。AH协议和ESP协议有自己的协议号,分别是51和50。

IPSec安全协议 AH(Authentication Header)报文头验证协议,主要提供的功能有数据源验证、数据完整性校验和防报文重放功能;然而,AH并不加密所保护的数据报文。 AH ESP(Encapsulating Security Payload)ESP是封装安全载荷协议。它除提供AH协议的所有功能外(但其数据完整性校验不包括IP头),还可提供对IP报文的加密功能。 ESP IPSec通过AH(Authentication Header)和ESP(Encapsulating Security Payload)这两个安全协议来实现数据报文在网络上传输时的私有性、完整性、真实性和防重放。 AH和ESP是IPSec的两个主要协议。认证头(AH , Authentication Header)协议为IP 通信提供数据源认证、数据完整性检验和防重放保证。封装安全载荷(ESP, Encapsulating Security Payload)为IP通信提供完整性检验、认证、加密和防重放保证。 AH和ESP可以单独使用,也可以同时使用。 在实际的组网中,ESP协议使用较多。

IPSec协议封装模式 传输模式 隧道模式 Data IPH Data IPH IPSec New IPH IPSec Data 在传输模式下,IPSec头被插入到IP头之后但在所有传输层协议之前,或所有其他IPSec协议之前。 传输模式 在隧道模式下, IPSec头插在原始IP头之前,另外生成一个新的报文头放到AH或ESP之前。 隧道模式 Data IPH 传输模式 Data IPH IPSec IPSec协议有两种封装模式:传输模式和隧道模式。 在传输模式下,IPSec协议处理模块会在IP报头和高层协议报头之间插入一个IPSec报 头。在这种模式下,IP报头与原始IP分组中的IP报头是一致的,只是IP报文中的协议字段 会被改成IPSec协议的协议号(50或者51) ,并重新计算IP报头校验和。传输模式保护数 据包的有效载荷、高层协议,IPSec源端点不会修改IP报头中目的IP地址,原来的IP地址 也会保持明文。传输模式只为高层协议提供安全服务。这种模式常应用在需要保护的两台 主机之间的端到端连接,而不是多台主机的两个网关之间的数据流。 与传输模式不同,在隧道模式下,原始IP分组被封装成一个新的IP报文,在内部报头 以及外部报头之间插入一个IPSec报头,原IP地址被当作有效载荷的一部分收到IPSec的保 护。另外,通过对数据加密,还可以隐藏原数据包中的IP地址,这样更有利于保护端到端 通信中数据的安全性。 传输模式(Transport Mode): 1)应用场景1:主机与网络安全网关之间的通信; 2)应用场景2:主机与主机之间的通信。 隧道模式(Tunnel Mode): 1)应用场景:网络安全网关与网络安全网关之间的通信。 隧道模式 New IPH IPSec Data Org IPH

IPSec协议封装模式对比 IP数据 原IP头 IPSec头 原IP数据 新IP头 传输模式: 隧道模式: 封装模式对比: 安全性: 性能: 具体选择那封装模式,需要在性能和安全之间做权衡 。

加密和验证算法 加密算法 验证算法 计算复杂度与加密强度没必然联系 MD5( 128bit ) DES ( 56bit64bit ) AES (128、192、256) 国密(256) 验证算法 MD5( 128bit ) SHA-1( 160bit ) 计算复杂度与加密强度没必然联系 加密算法: ESP能够对IP报文内容进行加密保护,防止报文内容在传输过程中被窥探。加密算法实 现主要通过对称密钥系统,它使用相同的密钥对数据进行加密和解密。 一般来说IPSec使用加密算法有以下几种: DES(Data Encryption Standard) 使用56bit的密钥对一个64bit的明文块进行加密。 3DES(Triple Data Encryption Standard) 使用三个56bit的DES密钥(共168bit密钥)对明文进行加密。 AES(Advanced Encryption Standard) 使用AES密钥对明文进行加密。密钥的长度分为128bit、192bit、256bit。 3DES比DES具有更高的安全性,但其加密数据的速度要比DES慢得多。AES比 3DES的计算复杂度低,而加密强度却比3DES高。 验证算法: AH和ESP都能够对IP报文的完整性进行验证,以判别报文在传输过程中是否被篡改。 验证算法的实现主要是通过杂凑函数,杂凑函数是一种能够接受任意长的消息输入,并产 生固定长度输出的算法,该输出称为消息摘要。IPSec对等体计算摘要,如果两个摘要是 相同的,则表示报文是完整未经篡改的。

目录 IPSec VPN概述 IPSec VPN体系结构 封装安全载荷(ESP)技术 Internet密钥交换(IKE)技术 验证头(AH)技术 封装安全载荷(ESP)技术 Internet密钥交换(IKE)技术 IPSec VPN应用场景分析

IPSec安全协议-AH 提供数据源验证(真实性)、完整性校验和抗重放 不支持加密算法 下一个报文头 载荷长度 保留字段 安全参数索引(SPI) 序列号 IPSec协议组成——AH 验证头(Authentication Header, AH)是IPSec协议集合中的另外一个重要安全协议, 用于为IP提供数据完整保护、数据原始身份认证以及防重放服务。它定义在RFC2402中。 除了机密性之外,AH提供ESP能够提供的一切功能。 由于AH不提供机密性保证,所以它也不需要加密算法。AH定义保护方法、报头的位置 、身份验证的覆盖范围以及输出和输入处理规则,但没有对所用的身份验证算法进行定义 。与ESP一样,AH没有硬性规定防重放保护,是否使用防重放服务由接收端自行选择。 发送端无法得知接收端是否会检查其序列号,其结果是,发送端必须一直认定接收端正在 采用防重放服务。 和ESP一样,AH也是IP的一个万用型安全服务协议。但是AH提供的数据完整性与ESP 提供的数据完整性稍有不同; AH对外部IP头各部分也会进行身份验证。 AH分配到的协议号是51。也就是说,使用AH协议进行安全保护的IPv4数据报文的IP头 部中协议字段将是51,表明IP头之后是一个AH头。AH头比ESP头简单得多,因为它没有 提供机密性。由于不需要填充和一个填充长度指示器,因此也不存在尾部字段。另外,也 不需要一个初始化向量。 认证数据 载荷数据

AH报文封装模式 New IPH AH Data Org IPH IPH AH在IP报文头中的协议号为51 传输模式: 验证整个IP报文 隧道模式 IPH 传输模式 验证所有不变部分 验证除新IP头可变字段之外的所有不变部分 AH在IP报文头中的协议号为51 传输模式: 验证整个IP报文 隧道模式: 验证新IP头及整个IP报文 AH使用传输模式来保护一个上层协议,或者使用隧道模式来保护一个完整的IP数据报 。在任何一种模式下, AH头都会紧跟在一个IP头之后。AH可以单独使用, 也可以与 ESP联合使用,为数据提供最完整的安全保护。 AH用于传输模式时,保护的是端到端的通信。通信的终点必须是IPSec终点。AH头 被插在数据报中,紧跟在IP头之后(和任意选项),需要保护的上层协议之前。 AH用于隧道模式时,它将自己保护的数据报文封装起来,另外,在AH头之前,另添 了一个新的IP头。“里面的”IP数据报中包含了通信的原始报文,而新的IP头则包含了 IPSec端点的地址。隧道模式可用来替换端对端安全服务的传输模式。

IPSec VPN配置关键步骤 定义保护的数据流 关联前三个步骤 应用到出接口 第一阶段 第二阶段 配置高级ACL 配置IKE 配置私网路由 配置IKE安全提议 配置IKE对等体