全系列VPN技术集锦第二卷第1章(Site

  • 时间:
  • 浏览:0
  • 来源:5分11选5平台-5分3D网投平台_5分6合投注平台





作者: 论坛分类整理 zdnet网络安全

CNETNews.com.cn

808-01-19 13:29:21

关键词: 安全防护 防火墙 VPN

1 ESP和AH

IPsec流量都时要使用二种协议封装,AH和ESP.比较AH和ESP的不同之处:

AH功能为:

为八个系统这间传输的IP包进行数据认证和删改性保障.它用于检查从路由器A到路由器B的传输过程中消息有必须 被更改.另外,它还负责验证数据的来源是路由器A或还是路由器B.AH并非提供数据包的私密性(加密)功能.它执行以下任务.

确保数据的删改性

提供数据源认证

使用密钥散列机制

不提供数据的私密性

提供防重放攻击

ESP功能为:

都时要用于提供私密性和认证的安全协议.ESP通过IP包层的加密提供数据的私密性.IP包加密隐藏了数据净载、数据源和目的地.ESP对内部IP包和ESP头标进行认证.它执行以下任务:

数据私密性

数据删改性

数据源的认证

防重放保护

AH工作过程:

AH功能适用于整个数据报,但在传输过程中存在过变化的易变性IP头标除外,如TTL字段.

(1) IP头标和数据净载使用了散列算法.

(2 )散列用于建立有有1个 AH头标,并将其插入原始数据包

(3) 新的数据据包被发送到IPsec的对等路由器

(4) 对等到路由器对IP头标和数据净载使用了加密算法

(5) 对等路由器从AH头标中取出传送的散列

(6) 对等路由器将八个散列进行比较.

ESP工作过程:

在八个安全网关之间,可能整个的原始IP数据报文都被加密,原始的净载受到了很好的保护.ESP头标和结尾被加入加密的净载.通过ESP认证功能,加密的IP数据报文、ESP头标或结尾被加入散列计算的流程.最后,在经过验证的净载就说 将加在有有1个 新的IP头标.新的IP地址都时要被用于INTERNET路由.

2 操作模式

ESP和AH都时要通过二种不同的辦法 或模式应用于IP包:

传输模式

隧道模式

传输模式都时要保护数据包的净载和更高层的协议,但原始的IP地址仍然是暴露的.原始的IP地址都时要通过因特网挑选数据包的路由.

隧道模式都时要加密整个IP数据包,假如有一天,在加密的数据包就说 加入有有1个 新的IP头标.用新的内部IP地址通过因特网将数据包路由到远端的安全网关.隧道模式为整个IP数据包提供安全保护.

3 扩展认证(x-auth)

扩展认证允许IPsec客户端的使用者,而一定会 IPsec客户端软件,被IPsec网关认证.这使被称作通配符的预共享密钥可用于认证所有的使用同一预共享密钥并连接到IPsec网关的IPsec客户端.就说 辦法 带来的不安全性依靠多阶段的认证——展扩认证而得到克服.扩展认证是基于每一用户的,一般靠IPsec网关与TACACS+或ADIUS服务器协作完成.

扩展认证也被称作X-AUTH,在IKE阶段1完成后刚开始,在快速模式刚开始前刚开始.就说 ,这就说 为什么在么在说它是在IKE的阶段1.5存在的.

在IKE阶段1刚开始后,由配置X-AUTH的网关给客户端发送有有1个 属性负载给客户端,要求用户输入用户名和密码.网关得到什么数据后提交给验证服务器(如TACACS+)进行验证,验证成功就进行快速模式,不成功则终止隧道建立过程.

4 模式配置

模式配置产生的背景是什么呢?

原困1,可能IPsec客户端被作为它们连接专用网络的一次要对待,它们时要以已知的IP地址进入专用网络而一定会 ISP给它们指定的IP地址

原困2,IPsec客户端时要使用DNS服务器,DHCP服务器和其它就说 在专用网络上作为信息主要来源的服务器而一定会 使用ISP服务器,它提供的信息不被认做内部资源.

针对原先的八个问題,允许将指定的IP地址,DNS,其它服务器推送给客户端.

推送到客户端的IP地址被称为内部IP地址.当不使用这项形态学 时,在ESP负载中加密并封装的分组IP头同内部的IP头富含同样的IP地址:由ISP分配给客户端地址.不过,当使用这项形态学 后,所有使用ESP发送的封装的分组的源地址就被改为该客户端的内部IP地址.采用就说 辦法 ,当网关对ESP分组解除封装并解密后,分配给该对等体的内部IP地址就显露出来了.除了内部IP地址,模式配置还向客户推送了其它参数,如DNS服务器IP地址,DHCP服务器IP地址等.

模式配置使用同X-AUTH一样的负载工作.它在X-AUTH后存在,同样在阶段1.5.网关向客户端推送它认为都时要推送的什么属性到客户端.

5 NAT透明

NAT透明是四种 为外理ESP中加密TCP/UDP端口时外理PAT存在问題而引入IPsec的机制.就说 问題的外理是靠将ESP分组封放进去UDP头中并附带必需的端口信息以使PAT能正确工作.一接收到就说 分组,网关就剥去UDP头并正常外理分组的其余次要.IKE协商不存该问題,可能协商存在在使用UDP端口800时,必须ESP存在就说 问題.

基于就说 技术思想,即在UDP或TCP中封装IPsec数据包.主要使用到了四种 技术手段,分别是:

(1) IPsec over UDP,这是CISCO专有的技术,就说 技术就说 直接把ESP封放在UDP中,利用UDP来实现地址转换.

(2) NAT-T 基于标准的IPsec over UDP

NAT-T是IETF提出的基于标准的IPsec over UDP方案.NAT-T用来执行二种任务:检查算是二端都支持NAT-T,并检查传输路径中的上端NAT设备.第一项任务地完成是依赖于让我们让我们让我们 会交换有有1个 供应商身份的数据包来确实算是都能支持NAT-T.第二项任务地完成是依赖于让我们让我们让我们 该人向对方发送八个NAT-D载荷数据包,每个NAT-D载荷数据包一定会 原始IP地址和端口号的散列.它们相互收到对方的数据包后执行散列算法,最终比较散列值算是匹配来决定上端路径算是有NAT设备.

(3) IPsec over TCP:CISCO专有

IPsec over TCP,这是CISCO专有的技术,就说 技术是把ESP封放在TCP中,利用TCP来实现地址转换.

6 IPsec失效等体发现机制

IPsec提供了四种 当对等体发现其有有1个 IPsec断开连接时,通过IKE发送有有1个 删除通知负载到该对等体的机制.不过,在通常情况汇报下,就说 通知负载并非能被发送,这可能是可能该对等体连接断开得非常一个劲 (系统崩溃),也可能是网络原困(大家将膝上型电脑的以太网线拔掉了).在就说 情况汇报下,有有有1个 对等体崩溃的发现机制非常重要,它都时要外理可能向不再活跃的对等体发送分组而原困数据损失(这是很有效的,IPsec对等体都时要在时间的扩展期内持续向崩溃对等体发送流).就说 机制靠四种 称为失效对等体发现(Dead Peer Discovery,DPD)的技术实现.

DPD通过使用通知负载工作,该负载在对等体的非活跃时间超过所配置的“担扰的度量”就说 以及新数据将要发送就说 发送给对等体.IPsec流量数据被认为是对等体存在生存期的标志.可能对等体存在活跃情况汇报,对等体就在接收到通知负载后返回有有1个 它当事人的通知负载作为应答.

为就说 机工作,供应商ID负载时要在IKE主模式交换中交换,这原困八个主机一定会 支持该机制.“担扰的度量”一定会 在本地定义的.就说 仅基于需求的机制大大减少了对等体的负担,可能这不要再使用可能南必须也可能不时要的周期性keeplive.同样,DPD机制也允许在网关过一段时间不会我分类整理其资源并查看就说 空闲客户端算是仍然活跃的进修发送R-U-THERE消息.

7 NAT同IPsec相互作用

可能隧道模式下的IPsec隐藏了私有IP地址,为进入IPsec隧道的流量做网络地址转换(NAT)必须 必要了.实际上,通常一定会 时要为进入隧道的流量做NAT.这在通过VPN网络连接的八个网路的管理员要我允许八个网络的用户都时要使用同一IP就都时要访问这八个网络的所有资源的环境下是正确的.这原困网络A上的用户都时要访问网络A上使用IP地址10.1.1.1的服务器,通过VPN连接到网络A的网络B上的用户就能连接到就说 IP地址为10.1.1.1的服务器,而不要再管在网络A前面的IPsec路由器算是有有有1个 该服务器的适适静态的NAT转换以允许从INTERNET上来的连接.

下面的配置中给出了忽略NAT进入IPsec隧道的四种 辦法 .忽略IPsec是为了使用特定策略路由技巧.现在,感兴趣流量从INSIDE端口进来从OUTSIDE端口出去,有什么辦法 都时要绕过NAT呢?都时要使用策略路由,把从INSIDE端口进来的流量策略到有有1个 环回接口,而环回接口必须 配置IP NAT INSIDE命令,现在,路由器以为流量是从环回接口来去往隧道另一端,就说 ,将不执行NAT,直接送入隧道.

就说 思想是四种 经典!