《网络安全技术培训课件.ppt》由会员分享,可在线阅读,更多相关《网络安全技术培训课件.ppt(52页珍藏版)》请在三一办公上搜索。
1、IPSec VPN,VPN概述VPN的功能VPN的工作原理VPN的配置,VPN技术,什么是VPNVPN的优点现有的VPN协议,VPN概述,VPN是企业网在因特网等公共网络上的延伸,什么是VPN,VPN是Virtual Private Network即虚拟专用网,通过一个公用网络(通常是因特网)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道。,VPN通过一个私有的通道来创建一个安全的连接,将远程用户、公司分支机构、公司的业务伙伴等跟企业网连接起来,形成一个扩展的公司企业网。,VPN的优点,利用VPN,可节省专用和拨号连接的成本基于VPN技术,能够迅速建立和重构网络简化了企
2、业联网和广域网操作 提高了网络可靠性VPN网络有很好的兼容性和可扩展性 企业可以利用 VPN 迅速开展新的服务和连接全球的设施,现有VPN协议,PPTP:1996年Microsoft 和Ascend等在PPP协议上开发的。L2F:1996年Cisco开发的。L2TP:1997年底,Microsoft 和Cisco共同开发。IPSec:IETF正在完善,通过对数据加密、认证、完整性检查来保证数据传输的可靠性、私有性和保密性。IPSec由IP认证头(AH)、IP安全载荷封装(ESP)和密钥管理协议(ISAKMP),公司内部网,拨号连接,因特网,用于该层的协议主要有:L2TP:Lay 2 Tunne
3、ling Protocol PPTP:Point-to-Point Tunneling Protocol L2F:Lay 2 Forwarding,基于第二层的VPN,PPTP/L2TP,优点:(1)对用Microsoft操作系统的用户很方便(2)支持多种协议。(3)支持流量控制,通过减少丢弃包来改善网络性能。缺点:(1)安全性相对差。(2)不对两个节点间的信息传输进行监视或控制。(3)最多只能连接255个用户。(4)端点用户需要在连接前手工建立加密信道。,VPN概述VPN的功能VPN的工作原理VPN的具体应用,VPN技术,远程访问,安全网关,安全网关,ISP接入设备,端到端数据通路的典型构成
4、,拨入段,外部段(公共因特网),内部段公司的内部网络,网络面临的风险,拨入段数据泄漏风险 因特网上数据泄漏的风险 安全网关中数据泄漏的风险 内部网中数据泄漏的风险,VPN网络面临的风险,VPN的功能,数据机密性保护数据完整性保护数据源身份认证重放攻击保护,数据机密性保护,数据完整性保护,内部子网,下属机构,DDN/FRX.25专线,原始数据包,对原始数据包进行Hash,Hash,摘要,对原始数据包进行加密,加密后的数据包,加密,加密后的数据包,摘要,摘要,解密,原始数据包,Hash,原始数据包,与原摘要进行比较,验证数据的完整性,数据源身份认证,内部工作子网,下属机构,DDN/FRX.25专线
5、,原始数据包,对原始数据包进行Hash,Hash,摘要,加密,摘要,摘要,取出DSS,原始数据包,Hash,原始数据包,两摘要相比较,私钥,DSS,将数字签名附在原始包后面供对方验证签名,得到数字签名,DSS,解密,相等吗?,验证通过,AH协议头,ESP协议头,SA建立之初,序列号初始化为0,使用该SA传递的第一个数据包序列号为1,序列号不允许重复,因此每个SA所能传递的最大IP报文数为2321,当序列号达到最大时,就需要建立一个新的SA,使用新的密钥。,重放攻击保护,IPSec防止了数据包被捕捉,并重新投放到网上,即目的地会拒绝老的或重复的数据包,它通过报文的序列号实现。,VPN概述VPN的
6、功能VPN的工作原理VPN的具体应用,VPN技术,VPN的工作原理,隧道基本概念 IPSec协议栈组成IPSec的工作模式IPSecVPN的建立方式,隧道基本概念,隧道可在网络的任一层实现最常用的是两层:数据链路层和网络层数据链路层隧道:一个链路帧被放到了其它链路层的协议数据单元(PDU)中,该链路层还包括另外的链路帧,如:PPTP,L2F,L2TP 构成的VPN网络层隧道:第三层的包被放到其它层或另外的第三层包中,如IPsec 的AH和ESP隧道模式;封装:当某层的PDU被放到另外一个PDU中的有效载荷时,把这种处理方式叫做封装,隧道基本概念,隧道在VPN中的三大作用是什么?将一种协议封装到
7、不同的协议是为了在IP基础设施中传输;通过公共寻址设施路由私有地址包;提供数据完整性和机密性服务。,IPSec 概念,IPSec协议不是一个单独的协议,它给出了应用于IP层上网络数据安全的一整套体系结构。身份认证报头AH协议 提供数据源身份认证、数据完整性保护、重放攻击保护功能 负载安全封装ESP协议提供数据保密、数据源身份认证、数据完整性、重放攻击保护功能 因特网安全关联和密钥管理协议IKE(以前被叫ISAKMP/Oakley)提供自动建立安全关联和管理密钥的功能,IPSec 框架的组成,验证头(Authentication Header,AH)是一个安全协议头,可在传输模式和隧道模式下使用
8、,为IP包提供:数据完整性:可判定数据包在传输过程中是否被修改验证服务:终端系统或网络设备可对用户或应用进行验证,过滤通信流;还可防止地址欺骗攻击及重播攻击。AH头插在IP头和上层协议头(如TCP或UDP头)之间。,验证头(AH),IPsec协议栈组成,封装安全载荷(Encapsulating Security Payload)也是一个安全协议头;采用加密和验证机制,为IP数据报提供数据源验证、数据完整性、抗重播和机密性安全服务;可在传输模式和隧道模式下使用;ESP头插在IP头和上层协议头(如TCP或UDP头)之间,隧道模式下,要对整个IP包封装,ESP头位于内外IP头之间。,封装安全载荷(E
9、SP),IPsec协议栈组成,IPsec的密钥管理包括密钥的确定和分配,有手工和自动两种方式。IPsec默认的自动密钥管理协议是IKE。IKE规定了自动验证IPsec对等实体、协商安全服务和产生共享密钥的标准。,RFC2409对Internet密钥交换即IKE进行了描述。,密钥交换(IKE),IPsec协议栈组成,RFC2411对IPsec AH和ESP使用的加密和验证算法的规范进行了描述,并在其他一些文档中对DES、HMACMD5、HMACSHA1等算法标准进行了描述。,IPsec加密算法用于ESP。目前的IPsec标准要求任何IPsec实现都必须支持DES。另外,IPsec标准规定可使用3
10、DES、RC5、IDEA、3IDEA、CAST 和Blowfish。,加密和验证算法,IPsec协议栈组成,IPsec的工作模式,IPsec使用传输模式和隧道模式保护通信数据。IPsec协议和模式有4种可能的组合:AH传输模式;AH隧道模式;ESP传输模式;ESP隧道模式。,传输模式,传输模式用于两台主机之间,保护传输层协议头,实现端到端的安全。它所保护的数据包的通信终点也是IPsec终点。实施点:当数据包从传输层递给网络层时,AH和ESP会进行“拦截”,在IP头与上层协议头之间需插入一个IPsec头(AH头或ESP头)。实施顺序:当同时应用AH和ESP传输模式时,应先应用ESP,再应用AH,
11、这样数据完整性可应用到ESP载荷。,隧道模式,实施场景:隧道模式用于主机与路由器或两部路由器之间,保护整个IP数据包。处理:它将整个IP 数据包(称为内部IP头)进行封装,然后增加一个IP头(称为外部IP头),并在外部与内部IP头之间插入一个IPsec头。该模式的通信终点由受保护的内部IP头指定,而IPsec终点则由外部IP头指定。如果IPsec终点为安全网关,则该网关会还原出内部IP包,再转发到最终的目的地。IPsec支持嵌套隧道,即对已隧道化的数据包再进行隧道化处理。,保留,负载长度,认证数据(完整性校验值ICV)变长,序列号,安全参数索引(SPI),下一头部,认证数据:一个变长字段,也叫
12、Integrity Check Value,由SA初始化时指定的算法来计算。长度=整数倍32位比特,保留,负载长度,认证数据(完整性校验值ICV)变长,序列号,安全参数索引(SPI),下一头部,下一头部:8比特,标识认证头后面的下一个负载类型,负载长度:8比特,表示以32比特为单位的AH头部长度减2,Default=4,保留字段:16比特,保留将来使用,Default=0,SPI:32比特,用于标识有相同IP地址和相同安全协议的不同SA。由SA的创建者定义,只有逻辑意义,序列号:32比特,一个单项递增的计数器,用于防止重放攻击,SA建立之初初始化为0,序列号不允许重复,32位,认证头部(AH)
13、,Internet,Host A,Host B,VPN网关,VPN网关,经过IPSec 核心处理以后,经过IPSec 核心处理以后,传输模式下的AH认证工作原理,Internet,Host A,Host B,VPN网关1,VPN网关2,经过IPSec 核心处理以后,经过IPSec 核心处理以后,隧道模式下的AH认证工作原理,认证数据:一个变长字段,也叫Integrity Check Value,由SA初始化时指定的算法来计算。长度=整数倍32位比特,下一头部:8比特,标识认证头后面的下一个负载类型,填充字段:8比特,大多数加密算法要求输入数据包含整数个分组,因此需要填充,负载数据:包含由下一头
14、部字段给出的变长数据,SPI:32比特,用于标识有相同IP地址和相同安全协议的不同SA。由SA的创建者定义,只有逻辑意义,填充长度:8比特,给出前面填充字段的长度,置0时表示没有填充,下一头部,填充长度,认证数据(变长的),序列号,安全参数索引(SPI),32位,ESP头部,ESP尾部,ESP认证数据,加密的,认证的,序列号:32比特,一个单项递增的计数器,用于防止重放攻击,SA建立之初初始化为0,序列号不允许重复,负载安全封装(ESP),Internet,Host A,Host B,VPN网关,VPN网关,经过IPSec 核心处理以后,经过IPSec 核心处理以后,传输模式下的ESP工作原理
15、,Internet,Host A,Host B,VPN网关1,VPN网关2,经过IPSec 核心处理以后,经过IPSec 核心处理以后,隧道模式下的ESP工作原理,Internet,Host A,Host B,VPN网关1,VPN网关2,经过IPSec 核心处理以后,经过IPSec 核心处理以后,组合IPSec 协议,ESP认证,ESP尾,负 载,ESP头,IP头,负 载,IP头部,认证数据,AH头部,认证数据,AH协议,ESP协议,身份认证 数据加密 数据完整性校验 重放攻击保护,身份认证数据完整性校验 重放攻击保护,AH与ESP协议区别,Host 对 Host Host 对 VPN 网关
16、VPN 对 VPN 网关Remote User 对 VPN 网关,VPN隧道的建立方式,Internet,VPN网关A,VPN网关B,Host to Host 模式:该模式要求两边主机都支持IPSec VPN网关可支持也可不支持IPSec,安全通道,安全通道,安全通道,主机必须支持IPSec,主机必须支持IPSec,Gateway 可支持也可不支持IPSec,Gateway 可支持也可不支持IPSec,Host to Host,Internet,VPN网关A,VPN网关B,Host to VPN 模式:该模式要求一边的主机都支持IPSec 另一边的VPN网关必须支持IPSec,安全通道,安全通
17、道,主机必须支持IPSec,主机可以不支持IPSec,Gateway 可支持也可不支持IPSec,Gateway 必须支持IPSec,非安全通道,Host to VPN,Host to VPN Gateway,Internet,VPN网关A,VPN网关B,VPN to VPN 模式:该模式不要求主机支持IPSec 两边的VPN网关必须都支持IPSec,非安全通道,安全通道,主机可以不支持IPSec,主机可以不支持IPSec,Gateway 必须支持IPSec,Gateway 必须支持IPSec,非安全通道,VPN Gateway to VPN Gateway,Internet,ISP接入服务器
18、,VPN网关B,安全通道,安全通道,主机必须支持IPSec,Gateway 必须支持IPSec,非安全通道,PSTN,Remote User to VPN Gateway,Internet,VPN网关B,192.168.1.25,双方使用ISAKMP/Oakley密钥交换协议建立安全关联,产生或者刷新密钥,192.168.2.34,VPN网关A,查找SPD数据库决定为流入的IP数据提供那些安全服务,查找对应SA的参数,要求建立安全相应的关联,对原有数据包进行相应的安全处理,建立SAD,建立相应的SA,一个完整的VPN工作原理图,VPN概述VPN的功能VPN的工作原理VPN的具体应用,VPN技术
19、,VPN应用,用VPN连接分支机构 用VPN连接业务伙伴 用VPN连接远程用户,Internet,VPN网关A,VPN网关B,通道只需定义在两边的网关上,Gateway 必须支持IPSec,Gateway 必须支持IPSec,数据在这一段是认证的,数据在这一段是加密的,ISP,ISP,用VPN连接分支机构,Internet,VPN网关A,VPN网关B,主机必须支持IPSec,主机必须支持IPSec,通道建立在两边的主机之间,因为业务伙伴内的主机不是都可以信任的,数据在这一段是加密的,数据在这一段是认证的,数据在这一段是认证的,数据在这一段是加密的,数据在这一段是认证的,数据在这一段是加密的,I
20、SP,ISP,用VPN连接合作伙伴,Internet,ISP接入服务器,VPN网关B,主机必须支持IPSec,Gateway 必须支持IPSec,PSTN,数据在这一段是加密的,数据在这一段是认证的,数据在这一段是加密的,数据在这一段是认证的,通道建立在移动用户与公司内部网的网关处,用VPN连接远程用户,创建IKE策略集policy,指明身份认证方式、加密算法、DH算法组、摘要算法、生存期。crypto isakmp policy使用共享密钥进行身份认证crypto isakmp key _ address 对端地址配置IPSec 参数,,IPSec VPN的配置步骤,显示IKE策略show crypto isakmp policy显示IPSec变换集show crypto ipsec transform-set显示crypto mapshow crypto map,测试并验证IPSec VPN,IPSec特点,
