Обзор IP-безопасности

IPsec > IP Security Это механизм или система безопасности сетевого уровня. Обеспечьте безопасность с помощью различных механизмов и протоколов. IPsec позволяет: <code>1. контроль доступа</code> <code>2. Конфиденциальность</code> <code>3. честность</code> <code>4. Проверка источника данных</code> <code>5. Отклонить воспроизведение сообщения</code> и другие функции безопасности Он может представить различные алгоритмы проверки, алгоритмы шифрования и механизмы управления ключами. IPSec VPN использует IPsec Туннелирование L3 VPN IPSec также имеет недостатки: сложная конфигурация, потребление большого количества вычислительных ресурсов, увеличение задержки и отсутствие поддержки многоадресной рассылки.

Режим работы IPsec

Режим работы IPsec делится на два типа [Режим передачи]: Режим передачи реализует только функции сквозной защиты. VPN-туннель не установлен

[Туннельный режим]: в туннельном режиме мы отвечаем не только за сквозную защиту, но и устанавливаем VPN-туннели.

PS: Функции IPSec не ограничиваются VPN, VPN — лишь одна из многих его функций.

протокол безопасности IPSec

Эта функция в основном используется для защиты данных [AH]

Authentication Header > Протокол проверки заголовка сообщения IP-протокол номер 51 Обеспечить проверку целостности данных и проверку источника Может обеспечить ограниченное сопротивление повторному воспроизведению Невозможно обеспечить функцию шифрования данных Через NAT невозможно проникнуть. NAT изменит IP-адрес пакета данных, а AH пересчитает проверочное значение для всего сеанса, что приведет к другому проверочному значению для данных, полученных другой стороной.

【ESP】

Инкапсуляция полезных данных безопасности, также называемая инкапсуляцией полезных данных безопасности IP-протокола номер 50, может обеспечивать гарантию конфиденциальности данных, проверку целостности данных и проверку источника, может обеспечивать определенные возможности предотвращения повторного воспроизведения, а также может поддерживать проникновение NAT, нового IP-заголовка ESP Force. Выполнить проверку. , поэтому NAT не повлияет на результат проверки после изменения заголовка данных. В реальных ситуациях в основном используется ESP.

IPSec SA

Также называемый IPSec Security Alliance, он определяет набор решений для защиты определенных потоков данных, который включает в себя протоколы защиты, алгоритмы и ключи. [Источник]: ручная настройка и согласование IKE [Управление ключами]: ручная настройка ключей Ключи согласования IKE

IKE

протокол обмена сетевыми ключами Используется для защиты передачи ключей и автоматического согласования ключей. использовать<code>Diffie-Hellman</code>Безопасное распространение ключей и проверка личности в незащищенных сетях Регулярно обновляйте SA и ключи для достижения полной безопасности. Эффективно снижает сложность ручного развертывания. Работает на UDP-порту 500.

Связь между IKE и IPSec

IKE предоставляет IPSec услуги автоматического согласования, обмена ключами и услуги установления SA. Протокол безопасности IPSec отвечает за предоставление реальных услуг безопасности.

Процесс установления туннеля IPSec

[Фаза 1] Согласование IKE SA Согласование плана защиты для второй фазы [Фаза 2] Согласование IPsec SA Согласование плана защиты передачи данных под защитой IKE SA

Рабочий процесс IPsec

> Порядок обработки исходящих пакетов

База данных политики безопасности SPD записывает, какой IPsec SA следует вызывать для защиты пакетов данных с этими адресами назначения.

1. Сначала пакет поступает на выходной интерфейс и ищет политику IPSec.
2. Найдите соответствующий IPsec SA в соответствии с политикой IPSec. Если он найден, будет запущена соответствующая служба безопасности. Если он не найден, будет выполнен поиск IKE SA.
3. Найдите IKE SA. Если он найден, создайте IPSec SA под защитой IKE SA и выполните службы безопасности. Если он не найден, создайте IKE SA.
4. После создания IKE SA создайте IPSec SA и выполняйте услуги безопасности под защитой IKE SA.

> Порядок обработки входящих пакетов

1. После того, как пакет данных поступит на входящий интерфейс, проверьте, защищены ли данные IPSec.
2. Если защищено, найдите соответствующий IPSec SA.
3. Если он не найден, то он будет передан непосредственно на верхний уровень для обработки.
4. Найдите IPSec SA
5. Если не найден, отбросьте пакет
6. Если обнаружено, используйте IPSec SA для декапсуляции и получения исходных данных.

Одноэтапный режим IKE

> основной режим Main Mode

Принять шестиходовой механизм рукопожатия, более безопасный и надежный. Потому что идентификационная информация шифруется при пятом и шестом рукопожатиях. привести косновной режим Только через публичную сетьIPАдрес идентифицирует другую сторону,Обе стороны должны иметь фиксированные общедоступные IP-адреса.,Обе стороны идентифицируют друг друга через общедоступные IP-адреса.

> жестокий режим Aggressive Mode

Используя трехстороннее рукопожатие, быстрее Информация о личности передается в ходе рукопожатий 1 и 2, жестокий режим Только шифрование На одном конце третьего рукопожатия не обязательно должен быть фиксированный общедоступный IP-адрес. Обе стороны используют полное доменное имя для идентификации другого конца. Переговоры должны быть активно инициированы в конце с незафиксированным IP-адресом.

Двухэтапная модель IPSec

> Быстрый режим

Всего будет согласовано два IPSec. SA <code>исходящий IPSec SA</code> <code>входящий IPSec SA</code>

Проникновение NAT

Решение проблемы конфликта между NAT и IPSec Поскольку ESP/AH представляет собой только трехуровневую инкапсуляцию без четырехуровневого заголовка, его невозможно преобразовать с помощью NAT. Проникновение NAT заключается в инкапсуляции порта четырехуровневого заголовка UDP4500 перед заголовком ESP. .

IPsec VPN-порт

UDP 500 для определения того, что проникновение NAT не используется. UDP 4500 для определения того, что проникновение NAT используется.

Режим развертывания IPSec VPN

Всего существует два режима развертывания.

> Развертывание руки

VPN, также называемая развертыванием шлюза, развертывается на выходном устройстве общедоступной сети.

> Развертывание одной руки

Это также означает, что при развертывании VPN в интрасети необходимо настроить сопоставление портов на выходном устройстве общедоступной сети с устройством VPN, чтобы снизить потребление ресурсов и нагрузку на производительность выходного устройства общедоступной сети.

Конфигурация IPSec VPN

> Процесс настройки активного режима

• ===Одноступенчатая конфигурация===
• Сначала создайте интересующий поток, настройте адреса источника и назначения ACL и сопоставьте частные адреса обоих концов.
• Создайте IKE Proposal (предложение), настройте метод шифрования IKE, алгоритм проверки и метод проверки.
• Создайте секретный ключ конфигурации и используйте адрес общедоступной сети для идентификации другой стороны.
• Создайте профиль IKE, вызовите предложение и связку ключей, созданные ранее, и укажите общедоступный IP-адрес узла.
• ===Конфигурация второго этапа===
• Создайте набор преобразования IPSec, настройте режим работы IPSec, протокол инкапсуляции, алгоритмы аутентификации и шифрования.
• Создайте политику IPSec для вызова ранее созданного потока интересов, профиля IKE и набора преобразований IPsec.
• Наконец, задайте политику IPsec для порта общедоступной сети.

[Одноэтапная конфигурация]

/*主动模式配置流程*/
/*一阶段配置*/
acl advance [id] 
/*创建高级ACL*/
rule 1 permit source [ip-address] [wild-mask] destination [ip-address] [wild-mask]
/*匹配源地址为address、目的地址为address的数据包*/
/*这里不需要配置permit any 华三在用于包过滤的情况下策略默认是permit*/
/*这一个步骤就是在创建我们的感兴趣流*/
[Router] ike proposal [number]
/*创建我们的IKE Proposal 安全提议*/
[Router-ike-proposal-[id]] encryption-algorithm [3des-cbc / aes-cbc-128 / aes-cbc-192 / aes-cbc-256 / des-cbc]
/*设置IKE安全提议中所使用的加密算法*/
[Router-ike-proposal-[id]]authentication-method [dsa-signature / pre-share / rsa-signature]
/*设置IKE安全提议中所使用的验证方法*/
[Router-ike-proposal-[id]] authentication-algrithm [md5 / sha]
/*配置IKE安全提议中所使用的验证算法*/
[Router-ike-proposal-[id]] dh [group-id]
/*创建IKE阶段1密钥协商时搜使用的DH交换组【可略】*/
[Router-ike-proposal-[id]] sa duration [seconds]
/*配置IKE安全提议的SA生存周期【可略】*/
[Router] ike keychain [name]
/*创建IKE keychain*/
[Router-ike-keychain-[name]]pre-shared-key [address [ip-address] / hostname [hostname] key [cipher / simple [password]]]
/*配置KIE keychain的预共享密钥，是公网地址（ip-address）模式还是主机名（hostname）模式*/
[Router-ike-keychain-[name]]match local address [interface range / ip-address] vpn-instance [vpn-name]
/*配置IKE keychain的使用范围【可略】*/
[Router] ike identiy [address [ip-address] dh / fqdn [fqdn-name] user-fqdn [user-fqdn-name]]
/*配置本端的身份信息*/
[Router] ike profile [name]
/*创建一个IKE  Profile 档案*/
[Router-profile-[name]]exchange-mode [aggressive / main]
/*配置IKE第一阶段的协商模式*/
[Router-profile-[name]]keychain [keychain-name]
/*配置IKE调用前面配置的keychain预共享密钥*/
[Router-profile-[name]]proposal [proposal-number]
/*配置IKE调用前面配置的proposal提议，里面包含了我们的加密方式、验证方法、验证算法*/
[Router-profile-[name]] local-identity [address [ip-address] / dn [dn-name] / fqdn [fqdn-name] / user-fqdn [user-fqdn]  ]
/*配置IKE的本地身份信息，是使用公网地址[address]或者使用主机名[dn/fqdn/user-fqdn]来标识对端主机*/
[Rouer-ike-profile-[name]]match remote 
certificate [policy-name]
identity [address [ip-address] mask [mask] 
range [start-address - end-address] 
vpn-instance [vpn-name] 
fqdn [fqdn-name] 
user-fqdn [user-fqdn] 
/*配置IKE匹配对端身份的规则，是匹配identiy 还是匹配certificate*是用fqdn来匹配还是用user-fqdn来匹配/
[Router-ike-profile-[name]]priority [name]
/*配置IKE Profile的优先级*/

[Конфигурация второго этапа]

/*主动模式配置流程*/
/*二阶段配置*/
[Router]ipsec transform-ser [name]
/*创建一个安全提议*/
[Router-ipsec-transform-set-[naem]] protocol [ah / ah-esp / esp] 
/*配置ipsec的安全协议*/
[Router-ipsec-transform-set-[name]] encapsulation-mode [transport / trunnel]
/*设置ipsec的工作模式，是转发（transport）模式还是隧道（tunnel）模式*/
[Router-ipsec-transform-set-[name]] esp encryption-algorithm [3des-cbc / aes-cbc-128 / aes-cbc-192 / aes-cbc-256 / des-cbc / null]
/*配置转换集，采用esp安全协议，设置esp协议采用的加密算法是什么*/
[Router-ipsec-transform-set-[name]] esp authentication-algorithm [md5 / sha1]
/*配置ESP协议采用的验证算法是md5还是sha1*/
[Router-ipsec-transform-set-[name]] ah authentication-algorithm [md5 / sha1]
/*采用ah安全协议，配置ah安全协议采用的验证算法是md5还是 sha1*/
[Router] ipsec policy [seq-name] [number] manual
/*创建一个安全策略，调用我们前面的感兴趣流、验证方法、算法等*/
[Router-ipsec-policy-manual-[name]] security acl [acl-number]
/*调用前面设置的ACL策略*/
[Router-ipsec-policy-manual-[name]] transform-set [name]
/*设置安全策略所引用的安全提议*/
[Router-ipsec-policy-manual-[name] ]ike-profile [name]
/*调用先前配置的ike档案*/
[Router-ipsec-policy-manual-[name]] remote-address [ip-address / ipv6-address]
/*配置IPsec隧道对端的地址*/
[Router-interface] ipsec apply policy [name]
/*最后在接口上下发ipsec策略*/