关于IPSEC的基础认知

IPSEC v*n
密码学基础
安全的三要素(安全的黄金三角): 完整性 私密性 不可否认性(合法性)
完整性:数据在传输中没有遭到损坏篡改等。
完整性算法:哈希算法,不可逆算法。MD5 SHA
MD5(数据+**)=key1
另一端:数据+本地**=key2
1=2
私密性:数据通过转换形成另外一种格式(看不见,看不懂)
私密性算法:
对称加密算法:可逆算法 原始数据+**(公钥) 通过复杂的加密过程得到加密数据 3DES AES 加密和解密所用钥匙是同一把。
对称加密算法由于是可逆的,可以暴力**,秘钥需要定期更换。
加密数据和秘钥一般不能使用同一个通道传递。

非对称加密算法(公钥):不可逆算法 加密解密使用不同钥匙 DH(做秘钥交换的非对称加密算法) RSA ECC(椭圆曲线加密)
用非对称加密算法 加密 对称加密算法的公钥
关于IPSEC的基础认知
原始数据+对称公钥=加密数据
对称公钥面临问题:
1.传输不安全 --DH算法 加密对称公钥
2.数据和秘钥传递的分离
3.秘钥管理 邮差原理

RSA: 公钥+私钥 成对出现,
原始数据+公钥=加密数据,
加密数据 必须用私钥解密 数据安全(邮差原理)

原始数据+私钥=加密数据
加密数据 必须用公钥解密 数字签名k

数据安全传输案例:
关于IPSEC的基础认知

  1. 发送者alice将原始信息通过哈希算法做出信息摘要1
  2. 原始信息和摘要通过alice的私钥签名加密,ca发布证书
  3. Alice和bob之间的对称**进行加密传送数据,生成加密信息
  4. 用bob的公钥加密对称**,生成**信封
  5. 加密信息和**信封通过公网传输给接收者bob
  6. 用bob的私钥解密出对称**
  7. 用alice和bob之间的对称**进行解密加密信息
  8. Ca上下载alice的证书,用alice的公钥验证签名
  9. 对原始信息进行哈希算法得到信息摘要2
  10. 当信息摘要1=信息摘要2,代表原始信息完整正确。

IPSEC协议簇
IPSEC协议簇安全体系框架
关于IPSEC的基础认知
简介:基于网络层的应用密码学的安全通信协议(公有)
设计目标:是在IPV4和IPV6环境中为网络层流量提供灵活的安全服务。
IPSec v*n:是基于IPSec协议族构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式,来保障OSI上层协议数据的安全,主要用于保护TCP、UDP、ICMP和隧道的IP数据包,对IP数据进行加密或认证 使用IKE协商 ,使用ESP或AH封装保 证数据传输的安全性
提供的安全服务:
1.机密性Confidentiality
2.完整性Integrity
3.数据源鉴别Authentication:认证
4.重传攻击保护Anti-replay:随机数(加密)防御,产生一个随机数,附在加密信息里
5不可否认性Non-repudiation
6访问控制有限的流量保密等其他安全服务
IPSEC v*n 协议簇
关于IPSEC的基础认知
两种模式:
1传输模式:不提供隧道功能,只提 供数据加解密功能
主要应用场景:用于主机和主机之间或者已经有协议提供隧道服务了
封装方式:不改变原有的IP包头,在原数据包头后面插入IPSec包头,将原来的数据封装成被保护的数据。

关于IPSEC的基础认知
关于IPSEC的基础认知
2.隧道模式:提供隧道和安全性
主要应用场景:经常用于私网与私网之间

关于IPSEC的基础认知
关于IPSEC的基础认知

两个通信保护协议:

  1. AH:鉴别算法(不需要加密,只需要认证)
    传输模式:哈希头和原始数据,

关于IPSEC的基础认知
关于IPSEC的基础认知
隧道模式:哈希新头原头和原始数据
关于IPSEC的基础认知
关于IPSEC的基础认知

AH具有完整性、认证、重放服务
2.ESP:加密算法和鉴别算法(适用公网传递)
传输模式:加密后哈希原始数据

关于IPSEC的基础认知
关于IPSEC的基础认知
隧道模式:加密后哈希头和原始数据
关于IPSEC的基础认知
关于IPSEC的基础认知

AH与ESP对比
关于IPSEC的基础认知

IKE:互联网**交换协议:
阶段一:做认证两种模式
1.主模式:慢。安全(只能用ip地址做标识)
2.野蛮模式:快,标识可用ip地址或者域名等
同一个厂商用主模式,不同厂商用野蛮模式
构建安全环境,在安全环境下做认证,为第二阶段数据加密传递秘钥
两种模式的对比
关于IPSEC的基础认知
阶段二:加密数据的传递
关于IPSEC的基础认知
只有一种快速模式

两个结果
安全策略数据库 认证
安全关联数据库 数据

安全联盟SA:通信双方对某些要素的约定,约定一致,可建sa,sa由三元组来唯一标识:
安全参数索引 目的IP地址 安全协议号
安全参数:加密算法,哈希算法,DH强度,认证的方式,**有效期
加起来做哈希得到安全参数索引

变换集

实验
第一阶段:
Crypto isakmp policy 10
五种参数
Encryption aes 加密算法
Hash sha256 哈希算法
Group 5 DH强度
Authen pre-share 认证方式
Lifetime 10000 **有效期

Crypto isakmp key cisco add 100.1.24.4
第二阶段
Crypto ipsec transform-set K esp-aes esp-sha256-hmac 变换集
Mode tunnel
Acc-l 100 permit ip host 80.1.1.1 host 80.2.2.2 抓取流量
Crypto map K 10 ipsec-isakmp 匹配变换集
match add 100
Set trans-s K
Set peer 100.1.24.2
Int s1/1
Crypto map K

R3
关于IPSEC的基础认知
R4

关于IPSEC的基础认知

笔记早就整理好了,一直没发上来,最近忙着找实习,好难啊。。。。。。
加油吧
加油。

相关文章:

  • 2021-06-26
  • 2021-12-01
  • 2022-03-08
  • 2021-09-01
  • 2021-05-30
  • 2022-01-01
  • 2022-12-23
  • 2021-11-15
猜你喜欢
  • 2021-06-30
  • 2021-05-28
  • 2021-10-25
  • 2021-11-26
  • 2022-12-23
  • 2022-12-23
  • 2022-12-23
相关资源
相似解决方案
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode