1-ccie rs v5 0专题1-课件及课堂笔记ccie 2-1ipsec.pptxVIP

IPSec VPNSPOTO KMS本章结构VPN概述加密算法VPN框架IPSec VPN原理与配置数据报文验证IPSec连接IPSec VPNISAKMP/IKE阶段1ISAKMP/IKE阶段2IPSec VPN的配置实现VPN广域网存在各种安全隐患网上传输的数据有被窃听的风险网上传输的数据有被篡改的危险通信双方有被冒充的风险InternetR1R2VPNVPN建立“保护”网络实体之间的通信使用加密技术防止数据被窃听数据完整性验证防止数据被破坏、篡改通过认证机制确认身份，防止数据被截获、回放vpn隧道InterneR2R1IPSec生活中经常会用到加密技术，但大多使用固定的加密算法，比如：网页安全HTTPS，无线安全WEP/WPA安全隐患：如果加密算法本身被破解，技术将被迅速舍弃IPSec本身不规定使用哪些算法，只提供框架，使用者可选择任一支持的算法，如果算法被破解，可随时更换IPSec框架散列函数：MD5,SHA1加密算法：DES,3DES,AES封装协议：AH,ESP封装模式：传输模式,隧道模式密钥有效期：60s~86400s散列函数散列函数，也叫hash函数作用：验证数据完整性（防止数据被篡改）常用算法：MD5，SHA1散列函数原始文件使用散列函数计算得到散列值A对端收到文件后，使用相同的函数计算得到文件的散列值B比对散列值A和B，如果一样则文件没有被篡改散列函数特点散列值长度固定MD5：128bitSHA1：160bit雪崩效应修改其中任一字符，得到的散列值会发生天翻地覆的变化不可逆只能通过文件计算得到散列值，无法通过散列值反向获得原始文件唯一性不存在散列值相同的两个不同的文件散列函数散列算法的问题只能保证数据没有被篡改，无法对数据源进行认证，容易出现中间者攻击HMACHMAC （Keyed-hash Message Authentication Code）密钥化散列信息认证代码发送方HMAC接收方加密算法将明文数据通过算法加密成密文数据（防止数据被窃听）对称算法加解密双方使用相同的密钥与算法进行加解密主流算法DES,3DES,AES,RC4非对称算法一个密钥加密的信息，必须使用另一个密钥来解密公钥加密私钥解密，私钥加密公钥解密对数据进行数字签名主流算法RSA,DH,ECC对称算法优点：速度快；安全；紧凑。缺点：明文传输共享密钥，容易出现中途劫持和窃听的问题；随着参与者数量的增加，密钥数量急剧膨胀((n×(n-1))/2)；因为密钥数量过多，对密钥的管理和存储是一个很大的问题；不支持数字签名和不可否认性。对称算法DES算法的块加密把需要加密的数据包预先切分成为很多个相同大小的块（64 比特）使用 DES 算法逐块进行加密；如果不够块边界，就添加数据补齐块边界，这些添加的数据就会造成加密后的数据比原始数据略大。非对称算法所有参与者，都需要预先使用非对称密钥算法（例如 RSA）产生一对密钥（公钥和私钥）公钥可以放在服务器上共享给属于这个密钥系统的所有用户与设备私钥需要由持有者严格保护，确保只有持有者才能唯一拥有。非对称算法加密过程非对称算法数字签名非对称算法非对称算法的问题非对称密钥算法运算速度极慢，基本不可能使用非对称密钥算法对实际数据进行加密（加密相同大小的数据，DES 大概要比 RSA 快几百倍）非对称加密算法加密后的密文会变得很长，用 RSA加密1GB的数据加密后的密文可能变成2GBIPSec解决方案通过非对称加密算法加密对称加密算法的密钥然后再用对称加密算法加密实际要传输的数据封装协议AHESP验证ESP加密ah-md5-hmacah-sha-hmacesp-md5-hmacesp-sha-hmacesp-nullesp-desesp-3desesp-aes 128esp-aes 192esp-aes 256IPSec 有 ESP 和 AH 两种封装协议ESP（Encapsulation Security Payload）IP 协议号：50提供加密、完整性校验和源认证3大方面的保护，并且能够抵御重放攻击只保护 IP负载数据，不对原始IP头部进行任何安全防护AH（Authentication Header）IP 协议号为 51只提供完整性校验和源认证两方面的安全服务，并且抵御重放攻击不支持数据加密ESP安全参数索引（SPI）一个 32 bit的字段，用来标识处理数据包的安全关联（SA）序列号（SN）初始化向量（IV）负载数据垫片垫片长度下一个头部认证数据ESP 会对从 ESP 头部到 ESP 尾部的所有数据进行散列计算，得到的散列值就会被放到认证数据部分AH灰色部分不需验证，其余部分都要验证致命问题：其对IP头部进行认证，导致数据包不允许经过NATAH 对数据验证的范围更广，不仅包含原始数据，还包含了原始 IP