IPSEC-VPN-基础知识解析课件

1、 IPSEC VPN 基础知识作者:lockeEmail:locke_pengSecurity R&S CCIE#12197Based on collins version必备知识学习本课程要求在R&S方面具备CCNP基础，良好的TCP/IP协议基础课程内容1。加密的历史和技术2。IP安全综述3。IPSEC体系4。ESP协议5。AH协议6。IKE协议加密历史和技术一。加密历史：恺撒大帝密码风语者（原始的也许是最好的）解密：最好的方法从密钥管理和密钥分发中寻找机会点，而不是从 算法本身寻找寻找脆弱点。 因此，一个密码系统的成功与否的关键是密钥的生成，分发，管理。二。加密技术现代的基本加密技术要依

2、赖于消息之目标接收者已知的一项秘密。通常，解密方法（亦即“算法”）是任何人都知道的就象所有人都知道怎样打开门一样。然而，真正用来解开这一秘密的“密钥（K e y）”却并非尽人皆知就象钥匙一样，一扇门的钥匙并不是任何人都拿得到的。因此，关键的问题是如何保障密钥的安全。当然，还有某些加密系统建立在一种保密的算法基础上通常把它叫作“隐匿保密”加密安全不存在“绝对安全”加密方法的“健壮度”是由其复杂程度来决定的。例如，假设某种特定的加密系统复杂程度是2的3 2次方，我们便认为为了破解它，需进行2的3 2次方次独立的运算。这个数量表面上似乎非常大，但对一部高速计算机来说，它每秒钟也许就能执行数百乃至上千

3、次这样的解密运算。所以对这种加密系统来说，其能力尚不足以保证秘密的安全。正是考虑到这样的情况，所以我们用“计算安全”来量度一个现代加密系统的安全程度。加密基础公共密钥加密系统，建立在“单向函数和活门”的基础上。“单向函数”，是指一个函数很容易朝一个方向计算，但很难（甚至不可能）逆向回溯；“活门”，是指一种可供回溯的“小道”1。因式分解问题： z=x.y 一个有限的范围内，很容易计算出数字的乘积，但却很难分解出生成那个乘积的各个乘数 RSA2。离散对数问题：一个大质数p，以及一个底数g。已知一个特定的值y，求指数x，如下所示： gxy mod p其中，m o d是“求余”的意思。模指数很容易便可

4、计算出来，但假若想通过一次离散对数运算恢复原来的指数，却是异常艰难的。3。活门函数从树叶到树干很容易；从树干到树叶的活门：左右右左右4。单向散列函数 定义：散列函数采用一条长度可变的消息作为自己的输入，对其进行压缩，再产生一个长度固定的摘要。一致的输入会产生一致的输出。 特点：COLLISION FREE,血崩效应 作用：身份验证，完整性校验 具体函数：M D 5（Message Digest 5，消息摘要5），S H A1（Secure HashA l g o r i t h m，安全散列算法），R I P E M D。5。异或（X O R）”函数 0 1 0 1 0 1 1 0 - 0 0

5、 1 1对称加密算法对数据输入处理方式：“块”的方式 “流”的方式无论块加密还是流加密，加密速度快，数据长度几乎不增加所以特别适用于批量加密，但是密钥分发和管理困难。工作模式： 1。电子密码本（Electronic Code Book，E C B） 2。加密块链接（C B C）cbc解密3。加密回馈模式（Cipher Feedback Mode，C F B）4。输出回馈模式（Output Feedback Mode，O F B)对称加密算法的特点在对称密码学中，同一个密钥既用于加密也用于解密。对称加密速度快。对称加密是安全的。对称加密得到的密文是紧凑的。因为接收者需要得到对称密钥，所以对称加密

6、容易受到中途拦截窃听的攻击。对称密码系统当中密钥的个数大约是以参与者数目的平方的速度增长，因此很难 将它的使用扩展到大范围的人群中。对称密码系统需要复杂的密钥管理。对称密码技术不适用于数字签名和不可否认性。不对称加密算法通俗的名称叫作“公共密钥算法”。其中要用到两个密钥，一个是公共的，一个是私人的。一个密钥负责加密（编码），另一个负责解密（译码），建立在单向函数基础上。1. RSA 目前最流行的公共密钥算法就是R S A，名字来源于它的发明者：Ron Rivest，Adi Shamir以及Leonard Adleman。R S A之所以能够保密，关键在于假如已知两个非常大的质数的乘积，那么很难

7、解析出到底是哪两个质数相乘的结果（因数分解）。R S A的重要特点是其中一个密钥可用来加密数据，另一个密钥可用来解密。这意味着任何人都能用你的公共密钥对一条消息进行加密，而只有你才能对它进行解密。另外，你也可用自己的私人密钥对任何东西进行加密，而拿到你的公共密钥的任何人都能对其解密。缺点：是速度非常慢，而且能处理的数据最多只能有它的密钥的模数大小应用：是密钥交换和数字签名的事实标准2. El-Gamal 一种公共密钥加密系统是E l - G a m a l，名字是从其发明者来的：Taher El-G a m a l。E l - G a m a l 数学基础:建立在“离散对数问题”的基础上。 E

8、 l - G a m a l的主要缺点就是密文长度达到了明文的两倍。不对称算法的特点使用非对称密码技术时，用一个密钥加密的东西只能用另一个密钥来解密。非对称加密是安全的。因为不必发送密钥给接受者，所以非对称加密不必担心密钥被中途截获的问题。需要分发的密钥数目和参与者的数目一样。非对称密码技术没有复杂的密钥分发问题。非对称密钥技术不需要事先在各参与者之间建立关系以交换密钥。非对称密码技术支持数字签名和不可否认性。非对称加密速度相对较慢。非对称加密会造成密文变长。身份验证和完整性为保守一个秘密，它的机密性是首先必须保证的。但假如不进行身份验证，也没有办法知道要同你分享秘密的人是不是他她所声称的那个

9、人！同时假如不能验证接收到的一条消息的完整性，也无法知道它是否确为实际发出的那条消息.对每个数据的身份验证和完整性保证 1.密钥化的单向散列函数. 2.数字签名(缺点是非常慢)对数据交换前的身份验证:数字证书+数字签名数字签名特点1)难以伪造：只有私人密钥的持有人才能生成签名；2) 无法抵赖：由于极难伪造，所以对于一份经过签名的文档来说，签署人很难抵赖这不是自己的“手迹”；3) 不可更改：一经签名，文档便不能修改；4) 不能转移：签名不能移走，并加入另一个不相干的文档。对数据流的密钥化散列对数据流的数字签名提前的身份验证:RSA签名单纯的数字签名不能完成身份验证,必须和数字证书相结合提前的身份

10、验证:DSA签名DSA（数字签名算法） 和R S A类似，既可用来加密，亦可用来签名。 数学基础:建立在“离散对数问题”的基础上。 D S A实际并不对生成的签名进行加密处理，也不对签名的验证进行解密处理（尽管它实际上有一个公共密钥和一个私人密钥）。相反，私人密钥用来生成两个1 6 0位的值，该值代表着签名，而签名的验证是一种数学上的求证（用公共密钥进行），证明那两个值只能由私人密钥生成。 D S A将S H A作为一种散列函数应用于签名。密钥交换(1)对称加密算法和对称M A C都要求使用一个共享的密钥一.D i ff i e - H e l l m a n密钥交换是第一种公共密钥加密系统。

11、D i ff i e - H e l l m a n密钥交换建立在“离散对数问题”的基础上D i ff i e - H e l l m a n交换过程中涉及到的所有参与者首先都必须隶属于一个组。这个组定义了要使用哪个质数p，以及底数g。D i ff i e - H e l l m a n密钥交换是一个两部分的过程。在每一端（A l i c e和B o b）的第一部分，需要选择一个随机的私人数字（由当事人的小写首字母表示），并在组内进行乘幂运算，产生一个公共值（当事人的大写首字母）：开始交换自己的公共密钥，A l i c e将A给B o b，而B o b将B给A l i c e，他们再次执行乘幂

12、运算，使用当事人的公共值作为底数，以生成共享的一个“秘密”密钥交换(2)D i ff i e - H e l l m a n密钥交换的一个缺点是易受“中间人”的攻击。解决方法: “中间人”攻击并不足以证明D i ff i e - H e l l m a n的脆弱，只要A l i c e和B o b为自己的公共值加上了数字签名，便能有效地防范此类攻击密钥交换(3)RSA密钥交换TOM拥有:TOM PRIVATE KEYJERRY PUBLIC KEYJERRY拥有:JERRY PRIVATE KEYTOM PUBLIC KEY产生一个随机数为共享密钥,用JERRY PUBLIC KEY加密传送给

13、JERRY 完美向前保密短暂的一次性密钥的系统称为“完美向前保密”（Perfect Forward Secrecy，P F S）如果加密系统中有一个秘密是所有对称密钥的衍生者（始祖），便不能认为那是一个“完美向前保密”的系统。在这种情况下，一旦破解了根密钥，便能拿到自它衍生的所有密钥，受那些密钥保护的全部数据都会曝光。在ISAKMP阶段的DH会产生三个密钥，一个用于加密，一个用于HMAC，一个用于衍生IPSEC阶段的密钥。PFS的作用就是通过在IPSEC SA协商阶段从新进行一次D-H交换来实现的.INTERNET面临的威胁每种通信方法的安全取决于建立通信的那种媒体（或媒介）。媒体越开放，消息

14、落入外人之手就越有可能。INTERNET是一个吵闹的大房间，大量的敏感信息不可靠传输。tomjerry对接受者jerry来说，收到从TOM过来的信息，她怀疑： 1。这个邀请是从TOM发过来的吗？ 2。这个邀请在传送过程有没有被别人偷看到呢？ 3。这个邀请里的时间对吗，地点对吗？TOM向JERRY发出约会邀请IPSEC基本概念IPSec is a defined encryption standard that encrypts the upper layers of the OSI model by adding a new predefined set of headers. A numbe

15、r of RFCs defined IPSec. IPSec is a mandatory requirement for IP version 6. (IPV6 is not covered in the examination.) IPSec ensures that the network layer of the OSI model is secured. In TCP/IPs case, this would be the IP network layer.IPSEC的两种保护模式Transport modeProtects payload of the original IP da

16、tagram; typically used for end-to-end sessionsTunnel modeProtects the entire IP datagram by encapsulating the entire IP datagram in a new IP datagram两个概念(1)通信点:实际通信的设备加密点:完成加密的设备通信点TOM通信点JERRY加密点A加密点B加密点A=通信点TOM?加密点B通信点JERRY两个概念(2)两个概念(3) 加密点A=通信点TOM加密点B=通信点JERRY怎么选取IPSEC保护模式?TUNNEL MODE:产生新的可路由IP头,

17、可解决不同私有网络之间跨越 INTERNET数据包的加密传送TRANSPORT MODE:不产生新的IP头部,要求原IP包可在INTERNET 路由,要求通信点和加密点为同一IP两种保护模式的包结构SA-安全联盟“安全联盟”（I P S e c术语，常常简称为S A）是构成I P S e c的基础。S A是两个通信实体经协商建立起来的一种协定。它们决定了用来保护数据包安全的I P S e c协议、转码方式、密钥以及密钥的有效存在时间等等。任何I P S e c实施方案始终会构建一个S A数据库（S A D B），由它来维护I P S e c协议用来保障数据包安全的S A记录。S A是单向的。如

18、果两个主机（比如A和B）正在通过E S P进行安全通信，那么主机A就需要有一个S A，即S A ( o u t )，用来处理外发的数据包；另外还需要有一个不同的S A，即S A ( i n )，用来处理进入的数据包。主机A的S A ( o u t )和主机B的S A ( i n )将共享相同的加密参数（比如密钥）S A还是“与协议相关”的。每种协议都有一个S A。如果主机A和B同时通过A H和E S P进行安全通信，那么每个主机都会针对每一种协议来构建一个独立的S A。至于S P D检索的输出，则可能有下面这几种情况：丢弃这个包。此时包不会得以处理，只是简单地丢掉。(pc上能够采用)绕过安全服

19、务。在这种情况下，I P层会在载荷内增添I P头，然后分发I P包。应用安全服务。在这种情况下，假如已建立了一个S A，就会返回指向这个S A的指针；假如尚未建立S A，就会调用I K E，将这个S A建立起来。如果S A已经建立，S P D内便会包含指向S A或S A集束的一个指针（具体由策略决定）。如果策略的输出规定强行将I P S e c应用于数据包，那么在S A正式建立起来之前，包是不会传送出去的。SPD-安全策略数据库选择符应用SPD的依据应用SPD的依据，主机和ROUTER处理的方式不同选择符利用ACL来定义，包括： 源地址 目的地址 协议 上层端口 名字IPSEC的组成部分ESP

20、（负载安全封装）协议认证头（AH）协议Internet密钥交换（IKE）协议Encapsulation Security Payload (ESP)The ESP security service is defined in RFC 2406. ESP provides a service to the IP data (payload),including upper-layer protocols such as TCP. The destination IP port number is 50. The ESP header is located between the user dat

21、a and original IP header。ESP does not encrypt the original IP header, and encrypts only the IP data by placing a header in between the original IP header and data. ESP provides data confidentiality, data integrity, and data origin authentication. ESP also prevents replay attacks.ESP包结构(1)ESP包结构(2)ES

22、P包字段解释S P I字段，和I P头之前的目标地址以及协议结合在一起，用来标识用于处理数据包的特定的那个安全联盟。序列号，使E S P具有了抵抗重播攻击的能力初始化向量（I V）:作为CBC加密的种子填充项（填充数据）用于在E S P中保证边界的正确和扰乱原始数据实际长度下一个头的字段表明数据类型，这一数据包含在载荷数据字段内。如果在通道模式下使用E S P，这个值就会是4，表示I P - i n - I P。如果在传送模式下使用E S P，这个值表示的就是它背后的上一级协议的类型，比如T C P对应的就是6。身份验证数据字段用于容纳数据完整性的检验结果防重放攻击的实现对每个接收到的数据包检

23、查: 1.接收的需要是否在滑动窗口以内 2.与原来收到的数据包序号是否相同ESP数据包的外出处理1。传送模式：E S P头紧跟在I P头（包括I P头可能有的任何选项）之后，插入一个外出的I P包中。I P头的协议字段被复制到E S P头的“下一个头”字段中，E S P头的其余字段则被填满S P I字段分配到的是来自S A D B的、用来对这个包进行处理的特定S A的S P I；填充序列号字段的是序列中的下一个值；填充数据会被插入，其值被分配；同时分配的还有填充长度值。随后，I P头的协议字段得到的是E S P的值，或者5 0。 通道模式：E S P头是加在I P包前面的。一个I P v 4包

24、，那么E S P头的“下一个头”字段分配到值4；其他字段的填充方式和在传送模式中一样。随后，在E S P头的前面新增了一个I P头，并对相应的字段进行填充（赋值）源地址对应于应用E S P的那个设备本身；目标地址取自于用来应用E S P的S A；协议设为5 0；其他字段的值则参照本地的I P处理加以填充2。从恰当的S A中选择加密器（加密算法），对包进行加密（从载荷数据的开头，一直到“下一个头”字段）。3。使用恰当的S A中的验证器，对包进行验证（自E S P头开始，中间经过加密的密文，一直到E S P尾）。随后，将验证器的结果插入E S P尾的“验证数据”字段中。4。重新计算位于E S P前

25、面的I P头的校验和。ESP数据包的进入处理1。检查处理这个包的S A是否存在；2。检查序列号是否有效3。对数据包进行完整性和来源进行验证4。对数据包解密5。对数据包进行初步的有效性检验 验证模式是否匹配 传送模式：上层协议头与I P头是同步的，E S P头的下一个头字段被复制到I P头的协议字段中，并计算出一个新的I P校验和； 通道模式：就抛开外部I P头和E S P头我们需要的是这个解开封装的包。这时，必须进行另一个有效性检验。如果这个包和所要求的地址和或端口、和或协议（S A表明的）不相符，必须将它丢弃。6。传送模式：就会转送到一个高一级的协议层比如T C P或U D P由它们对这个包

26、进行处理 ； 通道模式包：就会重新插入到I P处理流中，继续转发到它的最终目的地（也许在同一个主机上）ESP对分片包的处理先分段，后加密 传输模式：验证，解密，收集分片包，送给上层协议 通道模式：验证，解密，路由先加密，后分段 收集完分片包后，才能验证，解密Authentication Header (AH)AH is described in RFC 2402. The IP protocol destination port is 51.The fields in the IP datagram that are encrypted and authenticated.AH provide

27、s data origin authentication and optional replay-detection services.AH doesnt provide data confidentiality (or encryption). AH包结构(1)-传输模式序列号下一个头Ip 头保留SPI数据UDP/TCP数据头验证数据载荷长度验证 AH包结构(2)隧道模式序列号下一个头保留SPI数据新的Ip 头UDP/TCP数据头验证数据载荷长度验证原始IP头AH的处理输出处理1。检查外出数据包，是否与一个S P D条目匹配时，然后S A D B查看是否存在一个合适的S A。如果没有，可用I

28、 K E动态地建立一个。如果有，就将A H应用到这个与之相符的数据包，该数据包在S P D条目指定的那个模式中。2。S P I字段分配的值是取自S A的S P I；下一个头字段分配的是跟在A H头之后的数据类型值；“身份验证数据”字段设成0。3。A H将安全保护扩展到外部I P头的原有的或预计有的字段。因此，将“完整性检查值（I C V）”之前的不定字段调成零是必要的AH的处理输出处理4。根据身份验证器的要求，或出于排列方面的原因，可能需要进行适当的填充；5。利用密钥对整个I P包进行IC V进行计算。由于不定字段已设成零，它们就不会包括在I C V计算中。接下来，I C V值被复制到A H的

29、“身份验证数据”字段中，I P头中的不定字段就可根据I P处理的不同得以填充。6。输出数据包AH的处理输入处理1。找出用来保护这个包的S A。然后用I P头的目的地址、特定协议（这里是5 1）和取自A H头的S P I这三者再对S A进行识别。如果没有找到合适的S A，这个包就会被丢弃。2。找到S A之后，进行序列号检查。如果检查失败，这个包就会被丢弃。3。检查I C V。首先将A H头的“验证数据”字段中的I C V值保存下来，然后将那个字段清零。I P中的所有不定字段也被清零（。取决于身份验证器算法以及载荷长度，可能还要进行隐式填充，使验证数据的长度符合算法的要求。隐式填充包含的值必须全为

30、零。随后，对整个数据包应用“身份验证器”算法，并将获得的摘要同保存下来的I C V值进行比较。如相符，I P包就通过了身份验证；如不符，便丢弃该包。4。I C V一经验证，滑动接收窗口的序列号就可能递增。5。传输模式：把数据包交给上层协议 隧道模式：路由数据包AH和ESP共同作用（1）嵌套通道，是指我们对一个已经通道化的数据包再进行一次通道化处理通道1。hostARB通道2。routerA-routerBAH和ESP共同作用（2）对同一数据同时进行AH和ESP处理由于数据的完整性应以尽可能多的数据为基础计算出来。如果先用E S P保护以后，再用A H重新保护一遍数据包，那么数据的完整性就能同时

31、应用于E S P载荷，其中包含了传送载荷。IKE介绍IKE负责在两个IPSEC对等体间协商一条IPSEC隧道的协议。协商协议参数交换公共密钥对双方进行认证在交换后对密钥进行管理IKE的三个组成部分SKEME：提供为认证目的使用公开密钥加密的机制。（定义一种密钥交换方式）Oakley：提供在两个IPSEC对等体间达成相同加密密钥的基本模式的机制。（对多模式的支持，例如对新的加密技术。并没有具体的定义交换什么样的信息）ISAKMP：定义了消息交换的体系结构，包括两个IPSEC对等体间分组形式和状态转变（定义封装格式和协商包交换的方式）IKE是一个混合协议IKE的三个模式IKE Phase I Me

32、ssages Types 1-6（1，2）Negotiates IKE policy (message types 1 and 2). Information exchanges in these message types include IP addresses. Proposals, such as Diffie-Hellman group number and encryption algorithm, are also exchanged here. All messages are carried in UDP packets with a destination UDP port

33、 number of 500. The UDP payload comprises a header, an SA payload, and one or more proposals. Message type 1 offers many proposals, and message type 2 contains a single proposal.IKE Phase I Messages Types 1-6（3，4）Performs authenticated Diffie-Hellman exchange (message types 3 and 4). Messages type 3

34、 and 4 carry out the Diffie-Hellman (DH) exchange. Messages type 3 and 4 contain the key exchange payload, which is the DH public value and a random number. Messages type 3 and 4 also contain the remote peers public key hash and the hashing algorithm. A common session key created on both ends, and t

35、he remaining IKE messages exchanged from here are encrypted. If perfect forward secrecy (PFS) is enabled, another DH exchange will be completed.DH 算法数学难题Z=X*Y (RSA)Xa=ga mod p(DH)发起方： 接受方：Xi=gi mod p Xr=gr mod p 共享秘密（ Xi=gi mod p ）r= （ Xr=gr mod p ）i=gri3个密钥IKE Phase I Messages Types 1-6（5，6）Protect

36、s IKE peers identitiesidentities are encrypted. Message types 5 and 6 are the last stage before traffic is sent over the IPSec tunnel. Message type 5 allows the responder to authenticate the initiating device. Message type 6 allows the initiator to authenticate the responder. These message types are

37、 not sent as clear text. Messages type 5 and 6 will now be encrypted using the agreed upon encryption methods established in message types 1 and 2.Hash_I=PRF(SKEYID,CKY-I,CKY-R,Pre-shared Key(PK-I),SA Payload,Proposals+Transforms,ID_I)IKE Phase I SummaryIKE Phase II Message Types 1-3IKE phase II neg

38、otiates the SA and the keys that will be used to protect the user data. IKE phase II messages occur more frequently and typically every few minutes, where IKE phase I messages might occur once a day.Message type I allows the initiator to authenticate itself and selects a random (nonce) number and pr

39、oposes a security association to the remote peer. Additionally, a public key is provided (can be different than a key exchanged in IKE phase I).IKE phase II message type II allows the responding peer to generate the hash. Message type 2 allows the responder to authenticate itself,and selects a rando

40、m number and accepts the SA offered by the initiating IPSec peer.IKE Message type III acknowledges information sent from quick mode message 2 so that the phase II tunnel can be established.IKE Phase II SummaryIKE Phase I/II SummaryIKE phase I ：Authenticates IPSec peers, negotiates matching policy to

41、 protect IKE exchange,exchanges keys via Diffie-Hellman, and establishes the IKE SA.IKE phase II：Negotiates IPSec SA parameters by using an existing IKE SA. Establishes IPSec security parameters. Periodically renegotiates IPSec SAs to ensure security and that no intruders have discovered sensitive d

42、ata. Can also perform optional additional Diffie-Hellman exchange.IKE Phase I/II 图IKE prevent attacks: Denial of ServiceWhen messages are constructed with unique cookies that can be used to identify and reject invalid messages. Man in the middlePrevents the intruder from modifying messages and refle

43、cting them back to the source or replaying old messages.IKE AND IPSec CHARTCisco IOS IPSec Configuration （Step 1）Step 1 Enable ISAKMP with the IOS command crypto isakmp enable. This step globally enables or disables ISAKMP at your peer router.ISAKMP is enabled by default (optionally, define what int

44、eresting traffic will be encrypted using defined access lists).Cisco IOS IPSec Configuration （Step 2）Step 2 Define an ISAKMP policy, a set of parameters used during ISAKMP negotiation: crypto isakmp policy priority You will enter config-isakmp command mode. Options available include the following: Router(config-isakmp)#? authentication rsa-sig | rsa-encr | pre-share default encryption des exit group hash md5 | sha lifetime secondsCisco IOS IPSec Configuration （Step 3）Step 3 Set the ISAKMP identity (can be IP address or host name based). crypto