網(wǎng)絡安全技術培訓

1、IPSec VPN,VPN概述VPN的功能VPN的工作原理VPN的配置,VPN技術,什么是VPNVPN的優(yōu)點現(xiàn)有的VPN協(xié)議,VPN概述,VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡上的延伸,什么是VPN,VPN是Virtual Private Network即虛擬專用網(wǎng),通過一個公用網(wǎng)絡（通常是因特網(wǎng)）建立一個臨時的、安全的連接，是一條穿過混亂的公用網(wǎng)絡的安全、穩(wěn)定的隧道。,VPN通過一個私有的通道來創(chuàng)建一個安全的連接，將遠程用戶、公

2、司分支機構、公司的業(yè)務伙伴等跟企業(yè)網(wǎng)連接起來，形成一個擴展的公司企業(yè)網(wǎng)。,VPN的優(yōu)點,利用VPN，可節(jié)省專用和撥號連接的成本基于VPN技術，能夠迅速建立和重構網(wǎng)絡簡化了企業(yè)聯(lián)網(wǎng)和廣域網(wǎng)操作 提高了網(wǎng)絡可靠性VPN網(wǎng)絡有很好的兼容性和可擴展性 企業(yè)可以利用 VPN 迅速開展新的服務和連接全球的設施,現(xiàn)有VPN協(xié)議,PPTP：1996年Microsoft 和Ascend等在PPP協(xié)議上開發(fā)的。L2F：1996年Cisco開發(fā)的

3、。L2TP：1997年底，Microsoft 和Cisco共同開發(fā)。IPSec：IETF正在完善，通過對數(shù)據(jù)加密、認證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認證頭（AH）、IP安全載荷封裝（ESP）和密鑰管理協(xié)議（ISAKMP）,,公司內(nèi)部網(wǎng),撥號連接,因特網(wǎng),用于該層的協(xié)議主要有： L2TP：Lay 2 Tunneling Protocol PPTP：Point-to-Point Tunnelin

4、g Protocol L2F：Lay 2 Forwarding,基于第二層的VPN,PPTP/L2TP,優(yōu)點：（1）對用Microsoft操作系統(tǒng)的用戶很方便（2）支持多種協(xié)議。（3）支持流量控制，通過減少丟棄包來改善網(wǎng)絡性能。缺點：（1）安全性相對差。（2）不對兩個節(jié)點間的信息傳輸進行監(jiān)視或控制。（3）最多只能連接255個用戶。（4）端點用戶需要在連接前手工建立加密信道。,VPN概述VPN的功能VPN的工作原理

5、VPN的具體應用,VPN技術,,,遠程訪問,,安全網(wǎng)關,安全網(wǎng)關,ISP接入設備,端到端數(shù)據(jù)通路的典型構成,,,撥入段,外部段（公共因特網(wǎng)）,內(nèi)部段公司的內(nèi)部網(wǎng)絡,,,,網(wǎng)絡面臨的風險,撥入段數(shù)據(jù)泄漏風險 因特網(wǎng)上數(shù)據(jù)泄漏的風險 安全網(wǎng)關中數(shù)據(jù)泄漏的風險 內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風險,VPN網(wǎng)絡面臨的風險,VPN的功能,數(shù)據(jù)機密性保護數(shù)據(jù)完整性保護數(shù)據(jù)源身份認證重放攻擊保護,,數(shù)據(jù)機密性保護,數(shù)據(jù)完整性保護,,,,,,內(nèi)部子網(wǎng)

6、,,,,,,下屬機構,DDN/FRX.25專線,,,,,,,原始數(shù)據(jù)包,對原始數(shù)據(jù)包進行Hash,,Hash,摘要,對原始數(shù)據(jù)包進行加密,,加密后的數(shù)據(jù)包,,,,,加密,,,,,,,,加密后的數(shù)據(jù)包,摘要,,摘要,解密,原始數(shù)據(jù)包,,Hash,原始數(shù)據(jù)包,,,,與原摘要進行比較，驗證數(shù)據(jù)的完整性,,,數(shù)據(jù)源身份認證,,,,,,內(nèi)部工作子網(wǎng),,,,,,下屬機構,DDN/FRX.25專線,,,,,,,原始數(shù)據(jù)包,對原始數(shù)據(jù)包進行Hash

7、,,Hash,摘要,,,,,,加密,,,,,,,,摘要,,摘要,取出DSS,原始數(shù)據(jù)包,,Hash,原始數(shù)據(jù)包,,,,兩摘要相比較,,,私鑰,,DSS,將數(shù)字簽名附在原始包后面供對方驗證簽名,得到數(shù)字簽名,DSS,,解密,,,,相等嗎？,驗證通過,,AH協(xié)議頭,ESP協(xié)議頭,,,SA建立之初，序列號初始化為0，使用該SA傳遞的第一個數(shù)據(jù)包序列號為1，序列號不允許重復，因此每個SA所能傳遞的最大IP報文數(shù)為232—1，當序列號達到最大時，

8、就需要建立一個新的SA，使用新的密鑰。,,重放攻擊保護,IPSec防止了數(shù)據(jù)包被捕捉，并重新投放到網(wǎng)上，即目的地會拒絕老的或重復的數(shù)據(jù)包，它通過報文的序列號實現(xiàn)。,VPN概述VPN的功能VPN的工作原理VPN的具體應用,VPN技術,,VPN的工作原理,隧道基本概念 IPSec協(xié)議棧組成IPSec的工作模式IPSecVPN的建立方式,隧道基本概念,隧道可在網(wǎng)絡的任一層實現(xiàn)最常用的是兩層：數(shù)據(jù)鏈路層和網(wǎng)絡層數(shù)據(jù)鏈路層隧道：

9、一個鏈路幀被放到了其它鏈路層的協(xié)議數(shù)據(jù)單元（PDU）中,該鏈路層還包括另外的鏈路幀，如：PPTP, L2F, L2TP 構成的VPN網(wǎng)絡層隧道：第三層的包被放到其它層或另外的第三層包中，如IPsec 的AH和ESP隧道模式；封裝：當某層的PDU被放到另外一個PDU中的有效載荷時，把這種處理方式叫做封裝,隧道基本概念,隧道在VPN中的三大作用是什么？將一種協(xié)議封裝到不同的協(xié)議是為了在IP基礎設施中傳輸；通過公共尋址設施路由私有地址

10、包；提供數(shù)據(jù)完整性和機密性服務。,IPSec 概念,,IPSec協(xié)議不是一個單獨的協(xié)議，它給出了應用于IP層上網(wǎng)絡數(shù)據(jù)安全的一整套體系結(jié)構。 身份認證報頭——AH協(xié)議 提供數(shù)據(jù)源身份認證、數(shù)據(jù)完整性保護、重放攻擊保護功能 負載安全封裝——ESP協(xié)議提供數(shù)據(jù)保密、數(shù)據(jù)源身份認證、數(shù)據(jù)完整性、重放攻擊保護功能 因特網(wǎng)安全關聯(lián)和密鑰管理協(xié)議——IKE(以前被叫ISAKMP/Oakley) 提供自動建立安全關聯(lián)和管理密

11、鑰的功能,IPSec 框架的組成,,驗證頭(Authentication Header，AH)是一個安全協(xié)議頭，可在傳輸模式和隧道模式下使用，為IP包提供：數(shù)據(jù)完整性：可判定數(shù)據(jù)包在傳輸過程中是否被修改驗證服務：終端系統(tǒng)或網(wǎng)絡設備可對用戶或應用進行驗證，過濾通信流；還可防止地址欺騙攻擊及重播攻擊。AH頭插在IP頭和上層協(xié)議頭（如TCP或UDP頭）之間。,驗證頭(AH),IPsec協(xié)議棧組成,,封裝安全載荷(Encapsul

12、ating Security Payload)也是一個安全協(xié)議頭；采用加密和驗證機制，為IP數(shù)據(jù)報提供數(shù)據(jù)源驗證、數(shù)據(jù)完整性、抗重播和機密性安全服務；可在傳輸模式和隧道模式下使用；ESP頭插在IP頭和上層協(xié)議頭（如TCP或UDP頭）之間，隧道模式下，要對整個IP包封裝，ESP頭位于內(nèi)外IP頭之間。,封裝安全載荷（ESP）,IPsec協(xié)議棧組成,,IPsec的密鑰管理包括密鑰的確定和分配，有手工和自動兩種方式。IPsec默認的

13、自動密鑰管理協(xié)議是IKE。IKE規(guī)定了自動驗證IPsec對等實體、協(xié)商安全服務和產(chǎn)生共享密鑰的標準。,RFC2409對Internet密鑰交換即IKE進行了描述。,密鑰交換（IKE）,IPsec協(xié)議棧組成,,RFC2411對IPsec AH和ESP使用的加密和驗證算法的規(guī)范進行了描述，并在其他一些文檔中對DES、HMACMD5、HMACSHA1等算法標準進行了描述。,,IPsec加密算法用于ESP。目前的IPsec標準要求任何IP

14、sec實現(xiàn)都必須支持DES。另外，IPsec標準規(guī)定可使用3DES、RC5、IDEA、3IDEA、CAST 和Blowfish 。,加密和驗證算法,IPsec協(xié)議棧組成,,IPsec的工作模式,IPsec使用傳輸模式和隧道模式保護通信數(shù)據(jù)。IPsec協(xié)議和模式有4種可能的組合：AH傳輸模式；AH隧道模式；ESP傳輸模式；ESP隧道模式。,傳輸模式,傳輸模式用于兩臺主機之間，保護傳輸層協(xié)議頭，實現(xiàn)端到端的安全。它所保護的數(shù)據(jù)包的

15、通信終點也是IPsec終點。實施點：當數(shù)據(jù)包從傳輸層遞給網(wǎng)絡層時，AH和ESP會進行“攔截”，在IP頭與上層協(xié)議頭之間需插入一個IPsec頭（AH頭或ESP頭）。實施順序：當同時應用AH和ESP傳輸模式時，應先應用ESP，再應用AH，這樣數(shù)據(jù)完整性可應用到ESP載荷。,隧道模式,實施場景：隧道模式用于主機與路由器或兩部路由器之間，保護整個IP數(shù)據(jù)包。處理：它將整個IP 數(shù)據(jù)包（稱為內(nèi)部IP頭）進行封裝，然后增加一個IP頭（稱為外部

16、IP頭），并在外部與內(nèi)部IP頭之間插入一個IPsec頭。該模式的通信終點由受保護的內(nèi)部IP頭指定，而IPsec終點則由外部IP頭指定。如果IPsec終點為安全網(wǎng)關，則該網(wǎng)關會還原出內(nèi)部IP包，再轉(zhuǎn)發(fā)到最終的目的地。IPsec支持嵌套隧道，即對已隧道化的數(shù)據(jù)包再進行隧道化處理。,保留,負載長度,認證數(shù)據(jù)（完整性校驗值ICV）變長,序列號,安全參數(shù)索引（SPI）,下一頭部,,,,,,,,,,認證數(shù)據(jù)：一個變長字段，也叫Integrit

17、y Check Value，由SA初始化時指定的算法來計算。長度=整數(shù)倍32位比特,保留,負載長度,認證數(shù)據(jù)（完整性校驗值ICV）變長,序列號,安全參數(shù)索引（SPI）,下一頭部,,,,,,,,,,,,,下一頭部：8比特，標識認證頭后面的下一個負載類型,負載長度：8比特，表示以32比特為單位的AH頭部長度減2，Default=4,保留字段：16比特，保留將來使用，Default=0,SPI：32比特，用于標識有相同IP地址和相同安全協(xié)議

18、的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義,序列號：32比特，一個單項遞增的計數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號不允許重復,,,,,,,,,,,,,,,,,,,,,,32位,認證頭部（AH）,,Internet,,,,Host A,Host B,,,,,,,,,,,,,,,,VPN網(wǎng)關,VPN網(wǎng)關,,,,,,,,,,,,,,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,,傳輸模式下的AH認證工作

19、原理,Internet,Host A,Host B,,,,,,,,,,,VPN網(wǎng)關1,VPN網(wǎng)關2,,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,,,,隧道模式下的AH認證工作原理,,認證數(shù)據(jù)：一個變長字段，也叫Integrity Check Value，由SA初始化時指定的算法來計算。長度=整數(shù)倍32位比特,下一頭部：8比特，標識認證頭后面的下一個負載類型,填充字段：8比特，大多數(shù)加密算法要求輸入數(shù)據(jù)包含整數(shù)個分

20、組，因此需要填充,負載數(shù)據(jù)：包含由下一頭部字段給出的變長數(shù)據(jù),SPI：32比特，用于標識有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義,填充長度：8比特，給出前面填充字段的長度，置0時表示沒有填充,下一頭部,填充長度,認證數(shù)據(jù)（變長的）,序列號,安全參數(shù)索引（SPI）,,,,,,,,,,,,,,,,,,,,,32位,,,,,,,,ESP頭部,ESP尾部,ESP認證數(shù)據(jù),,,,加密的,認證的,,,,,,,,,,

21、,,,,,序列號：32比特，一個單項遞增的計數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號不允許重復,,,,,,,,負載安全封裝（ESP）,Internet,Host A,Host B,,,,,,,,,,,,,,,,VPN網(wǎng)關,VPN網(wǎng)關,,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,傳輸模式下的ESP工作原理,Internet,Host A,Host B,,,,,,,,,,VPN網(wǎng)關1,VPN網(wǎng)關2,,,

22、,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,,,隧道模式下的ESP工作原理,,Internet,Host A,Host B,,,,,,,,,,VPN網(wǎng)關1,VPN網(wǎng)關2,,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,組合IPSec 協(xié)議,ESP認證,ESP尾,負 載,ESP頭,IP頭,,,,,負 載,IP頭部,,認證數(shù)據(jù),,,,AH頭部,,認證數(shù)據(jù),,,,,,AH協(xié)議,ESP協(xié)議,,身份

23、認證 數(shù)據(jù)加密 數(shù)據(jù)完整性校驗 重放攻擊保護,身份認證數(shù)據(jù)完整性校驗 重放攻擊保護,,,,,AH與ESP協(xié)議區(qū)別,Host 對 Host Host 對 VPN 網(wǎng)關 VPN 對 VPN 網(wǎng)關Remote User 對 VPN 網(wǎng)關,VPN隧道的建立方式,,,,,Internet,VPN網(wǎng)關A,VPN網(wǎng)關B,,,,Host to Host 模式： 該模式要求兩邊主機都支持IPSec VPN網(wǎng)關可支持也可不支持IPS

24、ec,安全通道,,安全通道,,安全通道,,主機必須支持IPSec,主機必須支持IPSec,Gateway 可支持也可不支持IPSec,Gateway 可支持也可不支持IPSec,,Host to Host,,,,,,Internet,VPN網(wǎng)關A,VPN網(wǎng)關B,,,Host to VPN 模式： 該模式要求一邊的主機都支持IPSec 另一邊的VPN網(wǎng)關必須支持IPSec,安全通道,,安全通道,,主機必須支持IPSec,主機可以

25、不支持IPSec,Gateway 可支持也可不支持IPSec,Gateway 必須支持IPSec,,非安全通道,,Host to VPN,Host to VPN Gateway,,,,,Internet,VPN網(wǎng)關A,VPN網(wǎng)關B,,,VPN to VPN 模式： 該模式不要求主機支持IPSec 兩邊的VPN網(wǎng)關必須都支持IPSec,非安全通道,,安全通道,,主機可以不支持IPSec,主機可以不支持IPSec,Gateway

26、必須支持IPSec,Gateway 必須支持IPSec,非安全通道,,,VPN Gateway to VPN Gateway,,,,,Internet,ISP接入服務器,VPN網(wǎng)關B,,安全通道,,安全通道,,主機必須支持IPSec,Gateway 必須支持IPSec,,非安全通道,,PSTN,,,Remote User to VPN Gateway,,,,,,,Internet,VPN網(wǎng)關B,,192.168.1.25,,雙方使用

27、ISAKMP/Oakley密鑰交換協(xié)議建立安全關聯(lián)，產(chǎn)生或者刷新密鑰,,,,,,,192.168.2.34,,,,,,,,,,,,,,,,,,,,VPN網(wǎng)關A,查找SPD數(shù)據(jù)庫決定為流入的IP數(shù)據(jù)提供那些安全服務,查找對應SA的參數(shù),要求建立安全相應的關聯(lián),對原有數(shù)據(jù)包進行相應的安全處理,建立SAD,建立相應的SA,,一個完整的VPN工作原理圖,,VPN概述VPN的功能VPN的工作原理VPN的具體應用,VPN技術,VPN應用,用V

28、PN連接分支機構 用VPN連接業(yè)務伙伴 用VPN連接遠程用戶,,,,,,Internet,VPN網(wǎng)關A,VPN網(wǎng)關B,,,通道只需定義在兩邊的網(wǎng)關上,,Gateway 必須支持IPSec,Gateway 必須支持IPSec,,,,數(shù)據(jù)在這一段是認證的,數(shù)據(jù)在這一段是加密的,ISP,ISP,用VPN連接分支機構,,,,,Internet,VPN網(wǎng)關A,VPN網(wǎng)關B,,,,主機必須支持IPSec,主機必須支持IPSec,,,,,,,,通

29、道建立在兩邊的主機之間，因為業(yè)務伙伴內(nèi)的主機不是都可以信任的,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認證的,數(shù)據(jù)在這一段是認證的,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認證的,數(shù)據(jù)在這一段是加密的,ISP,ISP,用VPN連接合作伙伴,,,,,,Internet,ISP接入服務器,VPN網(wǎng)關B,,主機必須支持IPSec,Gateway 必須支持IPSec,,PSTN,,,,,,,,,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認證的,數(shù)據(jù)在這一段是

30、加密的,數(shù)據(jù)在這一段是認證的,通道建立在移動用戶與公司內(nèi)部網(wǎng)的網(wǎng)關處,用VPN連接遠程用戶,,創(chuàng)建IKE策略集policy，指明身份認證方式、加密算法、DH算法組、摘要算法、生存期。crypto isakmp policy使用共享密鑰進行身份認證crypto isakmp key _____ address 對端地址配置IPSec 參數(shù)，,IPSec VPN的配置步驟,顯示IKE策略show crypto isakmp po