第10章-网络安全协议.ppt

网络协议分析 TCP IP 第10章网络安全协议 要求 理解网络层安全协议IPSec 掌握基于IPSec的VPN配置方法 熟悉传输层安全协议SSL 了解应用层安全系统PGP 1 一 网络安全概述 网络信息安全主要包括两个方面 信息的保密性和通信的可靠性 信息的保密性主要是通过加密来实现 目前主要有两种加密技术 即保密密钥加密和公开密钥加密 实现通信可靠性的技术有数字签名和基于第三方授权证书的认证技术等 因特网各种安全协议就是将这些技术进行有效的结合以提供安全服务 2 二 网络层安全协议 1 概述网络层安全协议 InternetProtocolSecurity IPSec 是IETF提供因特网安全通信的一系列规范之一 它提供私有信息通过公用网的安全保障 IPSec能提供的安全服务包括访问控制 无连接的完整性 数据源认证 拒绝重发包 部分序列完整性形式 保密性和有限传输流保密性 IPSec的基本目的是把密码学的安全机制引入IP 通过使用现代密码学方法支持保密和认证服务 使用户能有选择地使用 并得到所期望的安全服务 3 IPSec功能域 IPSec主要包含3个功能域 鉴别机制 机密性机制和密钥管理 鉴别机制确保收到的报文来自该报文首部所声称的源实体 并保证该报文在传输过程中未被非法篡改 机密性机制使得通信内容不会被第三方窃听 密钥管理机制则用于配合鉴别机制和机密性机制处理密钥的安全交换 4 2 IPSec体系结构 IPSec给出了应用于IP层上网络数据安全的一整套体系结构 包括IP首部鉴别协议 AuthenticationHeader AH 和封装安全载荷协议 EncapsulatingSecurityPlayload ESP 密钥管理协议 InternetKeyExchange IKE 和用于网络验证及加密的一些算法等 5 说明 SA 安全关联 是构成IPSec的基础 是两个通信实体经协商 利用IKE协议 建立起来的一种协定 它决定了用来保护数据分组安全的安全协议 AH协议或者ESP协议 转码方式 密钥及密钥的有效存在时间等 因特网密钥交换协议IKE是IPSec默认的安全密钥协商方法 IKE通过一系列报文交换为两个实体 如网络终端或网关 进行安全通信派生会话密钥 6 3 鉴别首部协议 IP首部鉴别AH协议为IP通信提供数据源认证 数据完整性和反重播保证 它能保护通信免受篡改 但不能防止窃听 适合用于传输非机密数据 AH的工作原理是在每一个数据报上添加一个鉴别首部 此首部包含一个带密钥的哈希散列 该哈希散列在整个数据报中计算 因此对数据的任何更改将致使散列无效 从而对数据提供了完整性保护 7 1 AH报文格式 AH首部位置IP数据报首部和传输层协议首部之间 8 2 AH处理方式 IP数据报外出处理使用相应的选择符 目的IP地址 端口号和传输协议 查找安全策略数据库SPD获取策略 如需要对IP数据报进行IPSec处理 且到目的主机的SA已经建立 那么符合数据报选择符的SPD将指向外出SAD的一个相应SA条目 如果SA还未建立 IPSec将调用IKE协商一个SA 并将其连接到SPD条目上 产生或增加序列号 当一个新的SA建立时 序列号计数器初始化为0 以后每发一个分组 序列号加1 计算ICV 转发IP数据报到目的节点 9 2 AH处理方式 续 IP数据报进入处理若IP数据报采用了分片处理 要等到所有分片到齐后重组 使用IP数据报首部中的SPI 目的IP地址以及IPSec在进入的SAD中查找SA 如果查找失败 则抛弃该数据报 并记录事件 使用已查到的SA进行IPSec处理 使用数据报中的选择符进入SPD查找一条域选择符匹配的策略 检查策略是否相符 检查序列号 确定是否为重放分组 使用SA指定的MAC算法计算ICV 整性检查值 并与认证数据域中的ICV比较 如果两值不同 则抛弃数据报 10 4 封装安全载荷协议 ESP协议用于提高IP层的安全性 它可为IP提供机密性 数据源验证 抗重放以及数据完整性等安全服务 ESP属于IPSec的机密性服务 其中 数据机密性是ESP的基本功能 而数据源身份认证 数据完整性检验以及抗重传保护都是可选的 ESP主要保障IP数据报的机密性 它将需要保护的用户数据进行加密后再重新封装到新的IP数据包中 11 1 ESP报文格式 12 2 ESP的处理方式 IP数据报外出处理使用分组的相应选择符 目的IP地址 端口 传输协议等 查找安全策略数据库 SPD 获取策略 如分组需要IPSec处理 且其SA已建立 则与选择符相匹配的SPD项将指向安全关联数据库中的相应SA 否则则使用IKE建立SA 生成或增加序列号 加密分组 SA指明加密算法 一般采用对称密码算法 计算完整性校验值 13 2 ESP的处理方式 续 IP数据报进入处理若IP分组分片 先重组 使用目的IP地址 IPSec SPI进入SAD索引SA 如果查找失败 则丢弃分组 使用分组的选择符进入SPD中查找与之匹配的策略 根据策略检查该分组是否满足IPSec处理要求 检查抗重播功能 如SA指定需要认证 则检查数据完整性 解密 14 5 IPSec传输模式 IPSec的传输模式 IPSec隧道模式和IPSec传输模式 隧道模式的特点是数据包最终目的地不是安全终点 通常情况下 只要IPSec双方有一方是安全网关或路由器 就必须使用隧道模式 在传输模式下 IPSec主要对上层协议即IP包的载荷进行封装保护 通常情况下 传输模式只用于两台主机之间的安全通信 15 两个模式下的数据封装格式 16 6 IPSecVPN 主要包括两种形式 点对点IPSecVPN 对客户机是透明 不需要安全客户端软件 远程访问IPSecVPN easyvpn 需要为客户端安装客户端软件 17 1 点对点IPSecVPN配置 实验拓扑图 18 配置过程 router1模拟internet 不提供对私有地址的路由 这里采用的是 router0和router2采用静态路由 router1不配置路由的方式 还可以采用其他方式 如都配置动态路由 在router1中配置访问控制列表 禁止私有地址的访问 IPsecVPN配置的方法 router0和router2 sa 安全联盟 在通过配置使router0可以访问router2 为router0和router1配置静态路由 之后 然后做如下的vpn配置 分两个阶段 router0 第一阶段 IKE配置1 配置认证策略 预共享密钥 cryptoisakmppolicy10encr3deshashmd5authenticationpre share2 配置预共享密钥cryptoisakmpkeytomtowaddress200 1 1 2 tomtow为密钥 3 配置主机标识 有ip地址和hostname 不配置默认用ip地址 19 配置过程 续 第二阶段 IPSec配置4 配置数据流 扩展访问控制列表 access list101permitip192 168 1 00 0 0 255192 168 2 00 0 0 2555 配置变换集合 transform set cryptoipsectransform settimesp 3desesp md5 hmac tim为转换集合名 6 配置加密映射cryptomaptom10ipsec isakmp 加密映射名tom settransform settim 引用转换集合tim setpeer200 1 1 2matchaddress101 7 在对应的接口上应用加密映射interfaceFastEthernet0 1cryptomaptom 将加密映射应用到接口 20 2 easyVPN配置 EasyVPN拓扑图 21 配置说明 XAUTH 扩展授权 的easy vpn 当远程客户端开始一个VPN连接的请求的时候 VPN网关通过XAUTH 扩展验证 强行中断VPN协商的过程 并要求客户端必须输入合法的用户名的密码进行验证 网关在接收到来自客户端提供的用户名和密码之后首先在本地数据库校验信息是否合法 如果在本地数据库找不到相对应的用户名 则将信息转发到RADIUS服务器进行校验 如果判断为合法 则继续VPN的协商过程并且在连结成功后为远程客户端分配IP地址 如果用户不合法 则中断VPN连接 增加了扩展授权过程 22 配置过程 easyvpn的配置策略 1 定义本地验证数据usernameciscopassword0cisco 定义验证用户名 2 启动AAAaaanew model3 XAUTH配置 扩展授权配置 aaaauthenticationloginvpn authenlocal 或groupradius cryptoisakmpxauthtimeout20 cryptomapciscoclientauthenticationlistvpn authen4 组策略配置aaaauthorizationnetworkvpn authorlocal 或groupradius iplocalpoolvpn pool10 2 1 1010 2 1 20cryptomapciscoclientconfigurationaddressrespondcryptoisakmpclientconfigurationgroupmobilekeycisco DNS DOMAIN poolvpn poolcryptomapciscoisakmpautorizationlistvpn author 23 配置过程 续 5 配置IKE策略cryptoiskmppolicy10encr3desauthenticationpre sharehashmd5group26 设置转换集合cryptoipsectransform setvpn setesp 3desesp sha hmac7 建立动态加密映射cryptodynamic mapvpn dyn10settransform setvpn setreverse route 反向路由注入 8 将IKE策略应用到动态映射 配置加密映射cryptomapcisco10ipsec isakmpdynamicvpn dyn9 在对应的接口上应用加密映射interfaceSerial0 0cryptomapcisco 24 三 传输层安全协议 安全套接层协议 SecuritySocketLayer SSL 是Netscape公司开发的网络安全协议 其主要目的是为网络通信应用进程间提供一个安全通道 于1996年由Netscape公司推出SSL3 0 得到了广泛的应用 并已被IETF的传输层安全工作小组 TLSworkinggroup 所采纳 目前 SSL协议已经成为因特网事实上的传输层安全标准 SET协议 SET协议 SecureElectronicTransaction 被称之为安全电子交易协议 是由MasterCard和Visa联合Netscape Microsoft等公司 于1997年6月1日推出的一种新的电子支付模型 SET协议是B2C上基于信用卡支付模式而设计的 它保证了开放网络上使用信用卡进行在线购物的安全 它成为目前公认的信用卡网上交易的国际标准 SET协议由于其实现起来非常复杂 商家和银行都需要改造系统来实现相互操作 实际应用上 SET要求持卡人在客户端安装电子钱包 增加了顾客交易成本 交易过程又相对复杂 因此比较少顾客接受这种网上即时支付方式 在中国 信用卡支付这种方式还没有普及 因此SET协议在我国的使用也相对较少 25 1 SSL协议的结构 SSL位于TCP层之上 应用层之下 独立于应用层协议 其主要提供3种基本的安全服务 连接的保密性可靠性相互认证 协议规定通信分为两个阶段 握手 通信双方通过数次交互 协商加密算法 会话密钥 同时为客户程序认证服务器程序 或由服务器程序认证客户程序 此项为可选 认证基于被鉴定的不对称公钥机制 传输应用数据 用握手时协商的会话密钥对所有数据进行加密传输 26 SSL协议的结构 续 SSL是个分层协议 由两层组成 SSL协议的底层是SSL记录协议 SSLRecordProtocol 用于封装各种高层协议 SSL协议的高层协议主要包括SSL握手协议 SSLHandshakeProtocol 改变加密约定协议 ChangeCipherSpecProtocol 和警报协议 AlertProtocol 27 SSL协议的结构 续 28 2 握手协议 握手协议用来在客户端和服务器真正传输应用层数据之前建立安全机制 包括协商一个协议版本 选择密码算法 对彼此进行认证 使用公开密钥加密技术产生共享密码等 Ssl中最复杂最核心的部分是ssl握手协议 29 3 SSL记录协议 记录协议建立在可靠传输协议TCP之上 用来封装高层的协议 即根据SSL握手协议协商的参数 对应用层送来的数据进行加密 压缩 计算MAC MessageAuthenticationCode 然后经网络传输层发送给通信对方 报文格式如下 30 4 SSL协议的工作流程 服务器认证阶段阶段 1 客户端向服务器发送一个hello包 开始一个新的回话连接 2 服务器根据客户信息确定是否要生成新的主密钥 如需要则服务器响应客户的hello信息 并生成主密钥所需的信息 3 客户根据收到的服务器响应信息 产生一个主密钥 并用服务器的公钥加密后传给服务器 4 服务器回复给主密钥 并返回给客户一个用主密钥认证的信息 以此让客户认证服务器 用户认证阶段 在此之前 服务器已通过了客户认证 这一阶段主要完成对客户的认证 经认证的服务器发送一个提问给客户 客户则返回数字签名后的提问和其公开密钥 从而向服务器提供认证 31 5 HTTPS协议 当Web客户机使用HTTPS协议连接一个支持SSL的服务器 启动了SSL回话 HTTPS使用的端口号为443 HTTP传输的信息是明文传输 而HTTPS则使用具有安全性的SSL加密传输协议的安全超文本传输协议 用户使用网上银行时 为保证用户的账号安全 就是用是HTTPS协议来实现 使用https传输数据时 发送方首先把数据交给ssl协议加密 然后交给网络传输 接收方收到密文 先提交给ssl协议解密成明文 让后把明文交给HTTP 因此数据在传输过程中式安全的 32 6 SSL VPN SSL VPN是利用用户浏览器内建的SSL封包处理功能 用浏览器连接公司内部的SSL VPN服务器 然后通过网络封包的方式 让使用者可以在远程计算机执行应用程序 读取公司内部的服务器数据 SSL VPN克服了IPSecVPN的不足 用户可以轻松实现安全易用 无需安全客户端 且配置简单 从而降低了用户总成本并提高了用户的工作效率 在同样的环境下 由于NAT和防火墙技术 IPSecVPN难以实现遍历 无力解决IP地址冲突 SSLVPN正好可以弥补这些 33 SSLVPN的运行步骤 管理员在配置完SSLVPN资源后 远程用户首先通过SSL协议访问总部的SSLVPN 用户在浏览器输入https格式访问地址 在http层将用户需求翻译成http请求并送至SSL层 SSL层借助下层协议的信道协商出一份加密密钥 并用此密钥来加密HTTP请求 加密后的HTTP请求通过TCP443端口与SSLVPN建立连接 传送SSL处理后的数据 SSLVPN收到加密后的数据报 在SSL层通过协商的密钥进行解密 在将解密数据送到应用层 此后 远程用户将打开SSLVPN的资源管理web页面 并在http层下载Active控件来协商与中心的SSLVPN隧道 隧道协商成功 客户端将启动一个虚拟网卡 并显示为已连接的状态 此后可信任资源的访问都将通过SSLVPN加密传输 34 SSL VPN不足 SSL VPN有很多优势 为什么不是所有用户都是用SSLVPN 据调查 绝大部分企业任然采用IPSecVPN 为什么 1 必须依靠英特网进行访问 2 对新的或者复杂的WEB技术提供有限