IPSECVPN基础知识讲解课件.ppt

IPsecVPN基础知识与实践 樊磊Email lei fan opi 目录 VPN的基本概念以及分类加密学原理VPN的加密算法VPN的概念以及工作原理IPSecVPN技术IPSecVPNTroubleshootingTCPMSS VPN的基本概念以及分类 IPsec简单介绍 什么是VPN 1 VPN的最初概念 使服务提供商能够利用共同的物理基础设施 实施模拟客户网站之间的点对点连接2 虚拟专用网络 把在不同物理地点的用户 虚拟的连接在一起 VPN模型 1 覆盖模型 Overla FR 帧中继 和ATM提供了模拟专用网络客户 SP不参与客户的路由 SP只提供在第2层虚电路接入服务 这被称为执行的覆盖模式 2 点对点模型 Peer to Peer 在客户路由器和服务提供商之间交换路由信息以及数据 整个提供商是负责核心传输 5 Overla模型 Peer to Peer模型 VPN的类型 1 GRE 最简单的VPN 没有任何的加密和保护机制 只是提供一个VPN的连通性2 VPDN PPPOE PPTP L2TP虚拟个人拨号网络3 MPLS 企业级的网络 也是只提供连通性 是为了不同的企业提供有偿的连通性 把不同的分支机构通过ISP连接起来4 IPsec 免费的 只需要申请上网费用 可以在Internet里建立一个安全的通道 适合企业级a remoteVPN 远程拨号b L2L Lan to Lan 站点到站点把当前的网络做了扩展a 支持企业拨号b 支持防火墙远程拨号c 支持小型的家庭办公用户拨号d 支持移动用户拨号 IPsec的协议 IPsecVPN的由来IPv6多数人认为IPv6是为了IP地址不够用而设计的 其实是一个很大的错误 推出它是为了 1 IP地址不够用2 由于IPv4非常不安全 比如IP地址欺骗 2层的ARP攻击等等 到了IPv6已经取消了ARP 不仅扩展了地址空间 而且还保证了IP地址的安全性 其中最重要的是在IPv6里提出了IPsecVPN希望以后IPv6的网络都是IPsecVPN这样做的但是由于IPv6一直没有大范围的实现 所以就把他集成到IPv4里 形成了IPsecVPNIPv6思想是想把它集成到内核里 而IPv4需要装软件 IPsec的优点 优点 1 私秘性Confidentiality2 数据完整性Dataintegrity3 源认证Authentication4 可以避免重放攻击Replaydetection 加密学原理 安全的定义 1 源认证 源可信2 完整性 传输过程中没被改过3 私秘性 加密使别人看不到4 不可否认性 确定不是别人给的 密码学算法 常用的对称算法一 DES二 3DES三 AES 密码学算法 非对称密钥算法汇总 公钥和私钥有一个公钥 私钥对当一个新用户加入到网络中 会自动产生一对密钥 一个公钥 一个私钥 私钥自己保留 公钥传递到网络中特点 公钥加密 yes 私钥解密私钥加密 yes 公钥解密公钥加密 no 公钥解密私钥加密 no 私钥解密1 公钥加密 私钥解密 要传递给对方文件 用对方的公钥加密 所以只有对方的私钥可以解密 保证在网络中传递没有任何人可以改变 安全性 加密2 私钥加密 公钥解密 做数字签名用 为了使别人都能看到 密码学算法 非对称密码学特点优点 a 使用非对称密码技术时 用一个密钥加密的东西只能用另一个密钥来解密 密钥的增长是线性增长的 可以接受b 非对称加密是安全的c 因为不必发送密钥给接受者 所以非对称加密不必担心密钥被中途截获的问题d 需要分发的密钥数目和参与者的数目一样e 非对称密码技术没有复杂的密钥分发问题f 非对称密钥技术不需要事先在各参与者之间建立关系以交换密钥g 非对称密码技术支持数字签名和不可否认性缺点 a 非对称加密速度相对较慢b 非对称加密会造成密文变长注 公钥不安全 任何人都有可能利用对方的公钥加密数据 密码学算法 各取所长 这两个算法各有所长和弱点 所以现代密码系统都在努力做到适当的使用这两类算法以利用它们的长处 同时避开它们各自的缺点比较一下对称和非对称密码技术 会发现 在每个领域 如果一类算法比较脆弱 那么另一个算法就会比较强 所以各取所长结合两种解决方案 密码学算法 在Internet上广泛使用的思想 理想的解决方案该解决方案必须是安全的a 加密的速度必须快 对称密钥加密得到的密文必须紧凑b 该解决方案必须能够适应参与者数目很多的情况 非对称密钥该解决方案必须能够抗密钥窃听攻击该解决方案一定不能要求事先在参与者之间建立某种关系该解决方案必须支持数字签名和不可否认性 密码学算法 密码学算法 到目前为止 源认证和完整性的问题还没有得到解决 只是加密的流程很完美了 IPsecVPN基本概念 通过增加一个新的头部 提供了网络层的安全性提供的是IP的安全性IP头部不加密 后面的数据全部加密 如果IP头部被加密路由器将无法查询路由在IP头部和数据之间加入新的头部在IPv6中IPsec是强制性的 两个概念 1 两个概念 2 两个概念 3 IPsecVPN基本概念 IPSEC的两种保护模式1 Transportmode不产生新的IP头部 要求原IP包可在INTERNET路由 要求通信点和加密点为同一IP2 Tunnelmode产生新的可路由IP头 可解决不同私有网络之间跨越INTERNET数据包的加密传送 IPsecVPN基本概念 SA 安全联盟 安全联盟 IPSec术语 常常简称为SA 是构成IPSec的基础SA是两个通信实体经协商建立起来的一种协定 它们决定了用来保护数据包安全的IPSec协议 转码方式 密钥以及密钥的有效存在时间等等任何IPSec实施方案始终会构建一个SA数据库 SADB 它包含每个活动安全关联的参数 SA是单向的如果两个主机 比如A和B 正在通过ESP进行安全通信 那么主机A就需要有一个SA 即SA out 用来处理外发的数据包 另外还需要有一个不同的SA 即SA in 用来处理进入的数据包 主机A的SA out 和主机B的SA in 将共享相同的加密参数 比如密钥 SA还是 与协议相关 的每种协议都有一个SA 如果主机A和B同时通过AH和ESP进行安全通信 那么每个主机都会针对每一种协议来构建一个独立的SA IPsecVPN基本概念 SPD 安全策略数据库SPD存储了策略定义 他们决定了如何处理两个IPSec对等体之间的所有IP数据流 入站和出站的 该数据库定义了各种选择符 以标识需要IPSec的分组 这些选择符如下 1 目的IP地址2 源IP地址3 名称4 数据敏感性等级5 传输层协议6 源和目的端口 IPsecVPN基本概念 IPSEC的组成部分1 ESP 负载安全封装 协议2 验证包头 AH 协议3 Internet密钥交换 IKE 协议AH协议号51 ESP协议号50 ESPandAHHeader ESPallowsencryptionandauthenticatestheoriginalpacket AHauthenticatesthewholepacket includingtheheader anddoesnotallowencryption ESPProtocol ProvidesconfidentialitywithencryptionProvidesintegritywithauthentication IPsecVPN基本概念 IKE介绍IKE负责在两个IPsec对等体间协商一条IPsec隧道的协议协商协议参数交换公共密钥对双方进行认证在交换后对密钥进行管理 IPsecVPN基本概念 IKE的三个组成部分SKEME 提供为认证目的使用公开密钥加密的机制 定义一种密钥交换方式 Oakley 提供在两个IPSEC对等体间达成相同加密密钥的基本模式的机制 对多模式的支持 例如对新的加密技术 并没有具体的定义 交换什么样的信息 ISAKMP 定义了消息交换的体系结构 包括两个IPSEC对等体间分组形式和状态转变 定义封装格式和协商包交换的方式 IPsecVPN基本概念 IPsecVPN基本概念 两个大的阶段 Phase1 ISAKMPSA建立一个安全通道认证对方 然后在安全通道内对第二阶段的IPSEC相应的策略进行协商阶段1主要提供验证 你到底是谁 有密钥 数字证书 peer的密钥等等 要交换一个密钥Phase2 使用ESP或AH来保护IP数据流 以协商并确定IPSecSA IPsecVPN基本概念 IKE的三个模式 2020 1 30 33 可编辑 Site to SiteIPsecVPNOperations FiveStepsofIPsec Step1 InterestingTraffic Step2 IKEPhase1 IKEPolicy NegotiatesmatchingIKEtransformsetstoprotectIKEexchange Diffie HellmanKeyExchange AuthenticatePeerIdentity Peerauthenticationmethods PresharedkeysRSAsignaturesRSAencryptednonces Step3 IKEPhase2 NegotiatesIPsecsecurityparameters IPsectransformsetsEstablishesIPsecSAsPeriodicallyrenegotiatesIPsecSAstoensuresecurityOptionally performsanadditionalDiffie Hellmanexchange IPsecTransformSets Atransformsetisacombinationofalgorithmsandprotocolsthatenactasecuritypolicyfortraffic Step4 IPsecSession SAsareexchangedbetweenpeers Thenegotiatedsecurityservicesareappliedtothetraffic Step5 TunnelTermination Atunnelisterminatedbyoneofthefollowing ByanSAlifetimetimeoutIfthepacketcounterisexceededIPsecSAisremoved Ipsec应用 IPsecVPN应用 RouterLan to Lan IPsecVPN应用 动态vs静态cryptomap IPsecVPN应用 IPsecoverGRE IPsecVPN应用 GREoverIPsec IPsecVPN应用 IPsecVPN应用 RRI IPsecVPN应用 IPsecVPN应用 VPN的访问控制列表 IPsecVPN应用 ISAKMPkeepalive IPsecVPN应用 HA高可用性VPN 链路备份 IPsecVPN应用 RemoteaccessVPN IPsecVPN应用 EZVPN IPsecVPN应用 DMVPN IPsecVPN应用 IPsecVPN应用 DMVPN IPsec VPN简单Troubleshooting 没有Debug的情况a 理解VPN触发过程1 包进入VPN设备 检查对方通讯点的路由 路由引导流量出适当接口2 包在出接口过程中撞击上MAP3 流量匹配上MAP的ACL 感兴趣流 触发加密4 发起和PEER的IKE协商 VPN设备检查去往PEER的路由 IPsec VPN简单Troubleshooting b 可能的错误1 nologgingconsole2 缺少去往对方通讯点的路由 或者没有引导对出接口3 正确的接口下没有map4 MAP配置的ACL错误 不能够匹配上感兴趣流 5 缺少对方peer 加密点 的路由6 由于NAT 感兴趣流改变 需要在NAT里排除感兴趣流 注意