網(wǎng)絡(luò)安全技術(shù)培訓(xùn)

1、IPSec VPN,VPN概述VPN的功能VPN的工作原理VPN的配置,VPN技術(shù),什么是VPNVPN的優(yōu)點(diǎn)現(xiàn)有的VPN協(xié)議,VPN概述,VPN是企業(yè)網(wǎng)在因特網(wǎng)等公共網(wǎng)絡(luò)上的延伸,什么是VPN,VPN是Virtual Private Network即虛擬專用網(wǎng),通過一個(gè)公用網(wǎng)絡(luò)（通常是因特網(wǎng)）建立一個(gè)臨時(shí)的、安全的連接，是一條穿過混亂的公用網(wǎng)絡(luò)的安全、穩(wěn)定的隧道。,VPN通過一個(gè)私有的通道來創(chuàng)建一個(gè)安全的連接，將遠(yuǎn)程用戶、公

2、司分支機(jī)構(gòu)、公司的業(yè)務(wù)伙伴等跟企業(yè)網(wǎng)連接起來，形成一個(gè)擴(kuò)展的公司企業(yè)網(wǎng)。,VPN的優(yōu)點(diǎn),利用VPN，可節(jié)省專用和撥號連接的成本基于VPN技術(shù)，能夠迅速建立和重構(gòu)網(wǎng)絡(luò)簡化了企業(yè)聯(lián)網(wǎng)和廣域網(wǎng)操作 提高了網(wǎng)絡(luò)可靠性VPN網(wǎng)絡(luò)有很好的兼容性和可擴(kuò)展性 企業(yè)可以利用 VPN 迅速開展新的服務(wù)和連接全球的設(shè)施,現(xiàn)有VPN協(xié)議,PPTP：1996年Microsoft 和Ascend等在PPP協(xié)議上開發(fā)的。L2F：1996年Cisco開發(fā)的

3、。L2TP：1997年底，Microsoft 和Cisco共同開發(fā)。IPSec：IETF正在完善，通過對數(shù)據(jù)加密、認(rèn)證、完整性檢查來保證數(shù)據(jù)傳輸?shù)目煽啃?、私有性和保密性。IPSec由IP認(rèn)證頭（AH）、IP安全載荷封裝（ESP）和密鑰管理協(xié)議（ISAKMP）,,公司內(nèi)部網(wǎng),撥號連接,因特網(wǎng),用于該層的協(xié)議主要有： L2TP：Lay 2 Tunneling Protocol PPTP：Point-to-Point Tunnelin

4、g Protocol L2F：Lay 2 Forwarding,基于第二層的VPN,PPTP/L2TP,優(yōu)點(diǎn)：（1）對用Microsoft操作系統(tǒng)的用戶很方便（2）支持多種協(xié)議。（3）支持流量控制，通過減少丟棄包來改善網(wǎng)絡(luò)性能。缺點(diǎn)：（1）安全性相對差。（2）不對兩個(gè)節(jié)點(diǎn)間的信息傳輸進(jìn)行監(jiān)視或控制。（3）最多只能連接255個(gè)用戶。（4）端點(diǎn)用戶需要在連接前手工建立加密信道。,VPN概述VPN的功能VPN的工作原理

5、VPN的具體應(yīng)用,VPN技術(shù),,,遠(yuǎn)程訪問,,安全網(wǎng)關(guān),安全網(wǎng)關(guān),ISP接入設(shè)備,端到端數(shù)據(jù)通路的典型構(gòu)成,,,撥入段,外部段（公共因特網(wǎng)）,內(nèi)部段公司的內(nèi)部網(wǎng)絡(luò),,,,網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn),撥入段數(shù)據(jù)泄漏風(fēng)險(xiǎn) 因特網(wǎng)上數(shù)據(jù)泄漏的風(fēng)險(xiǎn) 安全網(wǎng)關(guān)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn) 內(nèi)部網(wǎng)中數(shù)據(jù)泄漏的風(fēng)險(xiǎn),VPN網(wǎng)絡(luò)面臨的風(fēng)險(xiǎn),VPN的功能,數(shù)據(jù)機(jī)密性保護(hù)數(shù)據(jù)完整性保護(hù)數(shù)據(jù)源身份認(rèn)證重放攻擊保護(hù),,數(shù)據(jù)機(jī)密性保護(hù),數(shù)據(jù)完整性保護(hù),,,,,,內(nèi)部子網(wǎng)

6、,,,,,,下屬機(jī)構(gòu),DDN/FRX.25專線,,,,,,,原始數(shù)據(jù)包,對原始數(shù)據(jù)包進(jìn)行Hash,,Hash,摘要,對原始數(shù)據(jù)包進(jìn)行加密,,加密后的數(shù)據(jù)包,,,,,加密,,,,,,,,加密后的數(shù)據(jù)包,摘要,,摘要,解密,原始數(shù)據(jù)包,,Hash,原始數(shù)據(jù)包,,,,與原摘要進(jìn)行比較，驗(yàn)證數(shù)據(jù)的完整性,,,數(shù)據(jù)源身份認(rèn)證,,,,,,內(nèi)部工作子網(wǎng),,,,,,下屬機(jī)構(gòu),DDN/FRX.25專線,,,,,,,原始數(shù)據(jù)包,對原始數(shù)據(jù)包進(jìn)行Hash

7、,,Hash,摘要,,,,,,加密,,,,,,,,摘要,,摘要,取出DSS,原始數(shù)據(jù)包,,Hash,原始數(shù)據(jù)包,,,,兩摘要相比較,,,私鑰,,DSS,將數(shù)字簽名附在原始包后面供對方驗(yàn)證簽名,得到數(shù)字簽名,DSS,,解密,,,,相等嗎？,驗(yàn)證通過,,AH協(xié)議頭,ESP協(xié)議頭,,,SA建立之初，序列號初始化為0，使用該SA傳遞的第一個(gè)數(shù)據(jù)包序列號為1，序列號不允許重復(fù)，因此每個(gè)SA所能傳遞的最大IP報(bào)文數(shù)為232—1，當(dāng)序列號達(dá)到最大時(shí)，

8、就需要建立一個(gè)新的SA，使用新的密鑰。,,重放攻擊保護(hù),IPSec防止了數(shù)據(jù)包被捕捉，并重新投放到網(wǎng)上，即目的地會拒絕老的或重復(fù)的數(shù)據(jù)包，它通過報(bào)文的序列號實(shí)現(xiàn)。,VPN概述VPN的功能VPN的工作原理VPN的具體應(yīng)用,VPN技術(shù),,VPN的工作原理,隧道基本概念 IPSec協(xié)議棧組成IPSec的工作模式IPSecVPN的建立方式,隧道基本概念,隧道可在網(wǎng)絡(luò)的任一層實(shí)現(xiàn)最常用的是兩層：數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層數(shù)據(jù)鏈路層隧道：

9、一個(gè)鏈路幀被放到了其它鏈路層的協(xié)議數(shù)據(jù)單元（PDU）中,該鏈路層還包括另外的鏈路幀，如：PPTP, L2F, L2TP 構(gòu)成的VPN網(wǎng)絡(luò)層隧道：第三層的包被放到其它層或另外的第三層包中，如IPsec 的AH和ESP隧道模式；封裝：當(dāng)某層的PDU被放到另外一個(gè)PDU中的有效載荷時(shí)，把這種處理方式叫做封裝,隧道基本概念,隧道在VPN中的三大作用是什么？將一種協(xié)議封裝到不同的協(xié)議是為了在IP基礎(chǔ)設(shè)施中傳輸；通過公共尋址設(shè)施路由私有地址

10、包；提供數(shù)據(jù)完整性和機(jī)密性服務(wù)。,IPSec 概念,,IPSec協(xié)議不是一個(gè)單獨(dú)的協(xié)議，它給出了應(yīng)用于IP層上網(wǎng)絡(luò)數(shù)據(jù)安全的一整套體系結(jié)構(gòu)。 身份認(rèn)證報(bào)頭——AH協(xié)議 提供數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性保護(hù)、重放攻擊保護(hù)功能 負(fù)載安全封裝——ESP協(xié)議提供數(shù)據(jù)保密、數(shù)據(jù)源身份認(rèn)證、數(shù)據(jù)完整性、重放攻擊保護(hù)功能 因特網(wǎng)安全關(guān)聯(lián)和密鑰管理協(xié)議——IKE(以前被叫ISAKMP/Oakley) 提供自動(dòng)建立安全關(guān)聯(lián)和管理密

11、鑰的功能,IPSec 框架的組成,,驗(yàn)證頭(Authentication Header，AH)是一個(gè)安全協(xié)議頭，可在傳輸模式和隧道模式下使用，為IP包提供：數(shù)據(jù)完整性：可判定數(shù)據(jù)包在傳輸過程中是否被修改驗(yàn)證服務(wù)：終端系統(tǒng)或網(wǎng)絡(luò)設(shè)備可對用戶或應(yīng)用進(jìn)行驗(yàn)證，過濾通信流；還可防止地址欺騙攻擊及重播攻擊。AH頭插在IP頭和上層協(xié)議頭（如TCP或UDP頭）之間。,驗(yàn)證頭(AH),IPsec協(xié)議棧組成,,封裝安全載荷(Encapsul

12、ating Security Payload)也是一個(gè)安全協(xié)議頭；采用加密和驗(yàn)證機(jī)制，為IP數(shù)據(jù)報(bào)提供數(shù)據(jù)源驗(yàn)證、數(shù)據(jù)完整性、抗重播和機(jī)密性安全服務(wù)；可在傳輸模式和隧道模式下使用；ESP頭插在IP頭和上層協(xié)議頭（如TCP或UDP頭）之間，隧道模式下，要對整個(gè)IP包封裝，ESP頭位于內(nèi)外IP頭之間。,封裝安全載荷（ESP）,IPsec協(xié)議棧組成,,IPsec的密鑰管理包括密鑰的確定和分配，有手工和自動(dòng)兩種方式。IPsec默認(rèn)的

13、自動(dòng)密鑰管理協(xié)議是IKE。IKE規(guī)定了自動(dòng)驗(yàn)證IPsec對等實(shí)體、協(xié)商安全服務(wù)和產(chǎn)生共享密鑰的標(biāo)準(zhǔn)。,RFC2409對Internet密鑰交換即IKE進(jìn)行了描述。,密鑰交換（IKE）,IPsec協(xié)議棧組成,,RFC2411對IPsec AH和ESP使用的加密和驗(yàn)證算法的規(guī)范進(jìn)行了描述，并在其他一些文檔中對DES、HMACMD5、HMACSHA1等算法標(biāo)準(zhǔn)進(jìn)行了描述。,,IPsec加密算法用于ESP。目前的IPsec標(biāo)準(zhǔn)要求任何IP

14、sec實(shí)現(xiàn)都必須支持DES。另外，IPsec標(biāo)準(zhǔn)規(guī)定可使用3DES、RC5、IDEA、3IDEA、CAST 和Blowfish 。,加密和驗(yàn)證算法,IPsec協(xié)議棧組成,,IPsec的工作模式,IPsec使用傳輸模式和隧道模式保護(hù)通信數(shù)據(jù)。IPsec協(xié)議和模式有4種可能的組合：AH傳輸模式；AH隧道模式；ESP傳輸模式；ESP隧道模式。,傳輸模式,傳輸模式用于兩臺主機(jī)之間，保護(hù)傳輸層協(xié)議頭，實(shí)現(xiàn)端到端的安全。它所保護(hù)的數(shù)據(jù)包的

15、通信終點(diǎn)也是IPsec終點(diǎn)。實(shí)施點(diǎn)：當(dāng)數(shù)據(jù)包從傳輸層遞給網(wǎng)絡(luò)層時(shí)，AH和ESP會進(jìn)行“攔截”，在IP頭與上層協(xié)議頭之間需插入一個(gè)IPsec頭（AH頭或ESP頭）。實(shí)施順序：當(dāng)同時(shí)應(yīng)用AH和ESP傳輸模式時(shí)，應(yīng)先應(yīng)用ESP，再應(yīng)用AH，這樣數(shù)據(jù)完整性可應(yīng)用到ESP載荷。,隧道模式,實(shí)施場景：隧道模式用于主機(jī)與路由器或兩部路由器之間，保護(hù)整個(gè)IP數(shù)據(jù)包。處理：它將整個(gè)IP 數(shù)據(jù)包（稱為內(nèi)部IP頭）進(jìn)行封裝，然后增加一個(gè)IP頭（稱為外部

16、IP頭），并在外部與內(nèi)部IP頭之間插入一個(gè)IPsec頭。該模式的通信終點(diǎn)由受保護(hù)的內(nèi)部IP頭指定，而IPsec終點(diǎn)則由外部IP頭指定。如果IPsec終點(diǎn)為安全網(wǎng)關(guān)，則該網(wǎng)關(guān)會還原出內(nèi)部IP包，再轉(zhuǎn)發(fā)到最終的目的地。IPsec支持嵌套隧道，即對已隧道化的數(shù)據(jù)包再進(jìn)行隧道化處理。,保留,負(fù)載長度,認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長,序列號,安全參數(shù)索引（SPI）,下一頭部,,,,,,,,,,認(rèn)證數(shù)據(jù)：一個(gè)變長字段，也叫Integrit

17、y Check Value，由SA初始化時(shí)指定的算法來計(jì)算。長度=整數(shù)倍32位比特,保留,負(fù)載長度,認(rèn)證數(shù)據(jù)（完整性校驗(yàn)值ICV）變長,序列號,安全參數(shù)索引（SPI）,下一頭部,,,,,,,,,,,,,下一頭部：8比特，標(biāo)識認(rèn)證頭后面的下一個(gè)負(fù)載類型,負(fù)載長度：8比特，表示以32比特為單位的AH頭部長度減2，Default=4,保留字段：16比特，保留將來使用，Default=0,SPI：32比特，用于標(biāo)識有相同IP地址和相同安全協(xié)議

18、的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義,序列號：32比特，一個(gè)單項(xiàng)遞增的計(jì)數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號不允許重復(fù),,,,,,,,,,,,,,,,,,,,,,32位,認(rèn)證頭部（AH）,,Internet,,,,Host A,Host B,,,,,,,,,,,,,,,,VPN網(wǎng)關(guān),VPN網(wǎng)關(guān),,,,,,,,,,,,,,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,,傳輸模式下的AH認(rèn)證工作

19、原理,Internet,Host A,Host B,,,,,,,,,,,VPN網(wǎng)關(guān)1,VPN網(wǎng)關(guān)2,,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,,,,隧道模式下的AH認(rèn)證工作原理,,認(rèn)證數(shù)據(jù)：一個(gè)變長字段，也叫Integrity Check Value，由SA初始化時(shí)指定的算法來計(jì)算。長度=整數(shù)倍32位比特,下一頭部：8比特，標(biāo)識認(rèn)證頭后面的下一個(gè)負(fù)載類型,填充字段：8比特，大多數(shù)加密算法要求輸入數(shù)據(jù)包含整數(shù)個(gè)分

20、組，因此需要填充,負(fù)載數(shù)據(jù)：包含由下一頭部字段給出的變長數(shù)據(jù),SPI：32比特，用于標(biāo)識有相同IP地址和相同安全協(xié)議的不同SA。由SA的創(chuàng)建者定義，只有邏輯意義,填充長度：8比特，給出前面填充字段的長度，置0時(shí)表示沒有填充,下一頭部,填充長度,認(rèn)證數(shù)據(jù)（變長的）,序列號,安全參數(shù)索引（SPI）,,,,,,,,,,,,,,,,,,,,,32位,,,,,,,,ESP頭部,ESP尾部,ESP認(rèn)證數(shù)據(jù),,,,加密的,認(rèn)證的,,,,,,,,,,

21、,,,,,序列號：32比特，一個(gè)單項(xiàng)遞增的計(jì)數(shù)器，用于防止重放攻擊，SA建立之初初始化為0，序列號不允許重復(fù),,,,,,,,負(fù)載安全封裝（ESP）,Internet,Host A,Host B,,,,,,,,,,,,,,,,VPN網(wǎng)關(guān),VPN網(wǎng)關(guān),,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,傳輸模式下的ESP工作原理,Internet,Host A,Host B,,,,,,,,,,VPN網(wǎng)關(guān)1,VPN網(wǎng)關(guān)2,,,

22、,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,,,隧道模式下的ESP工作原理,,Internet,Host A,Host B,,,,,,,,,,VPN網(wǎng)關(guān)1,VPN網(wǎng)關(guān)2,,,,,經(jīng)過IPSec 核心處理以后,經(jīng)過IPSec 核心處理以后,組合IPSec 協(xié)議,ESP認(rèn)證,ESP尾,負(fù) 載,ESP頭,IP頭,,,,,負(fù) 載,IP頭部,,認(rèn)證數(shù)據(jù),,,,AH頭部,,認(rèn)證數(shù)據(jù),,,,,,AH協(xié)議,ESP協(xié)議,,身份

23、認(rèn)證 數(shù)據(jù)加密 數(shù)據(jù)完整性校驗(yàn) 重放攻擊保護(hù),身份認(rèn)證數(shù)據(jù)完整性校驗(yàn) 重放攻擊保護(hù),,,,,AH與ESP協(xié)議區(qū)別,Host 對 Host Host 對 VPN 網(wǎng)關(guān) VPN 對 VPN 網(wǎng)關(guān)Remote User 對 VPN 網(wǎng)關(guān),VPN隧道的建立方式,,,,,Internet,VPN網(wǎng)關(guān)A,VPN網(wǎng)關(guān)B,,,,Host to Host 模式： 該模式要求兩邊主機(jī)都支持IPSec VPN網(wǎng)關(guān)可支持也可不支持IPS

24、ec,安全通道,,安全通道,,安全通道,,主機(jī)必須支持IPSec,主機(jī)必須支持IPSec,Gateway 可支持也可不支持IPSec,Gateway 可支持也可不支持IPSec,,Host to Host,,,,,,Internet,VPN網(wǎng)關(guān)A,VPN網(wǎng)關(guān)B,,,Host to VPN 模式： 該模式要求一邊的主機(jī)都支持IPSec 另一邊的VPN網(wǎng)關(guān)必須支持IPSec,安全通道,,安全通道,,主機(jī)必須支持IPSec,主機(jī)可以

25、不支持IPSec,Gateway 可支持也可不支持IPSec,Gateway 必須支持IPSec,,非安全通道,,Host to VPN,Host to VPN Gateway,,,,,Internet,VPN網(wǎng)關(guān)A,VPN網(wǎng)關(guān)B,,,VPN to VPN 模式： 該模式不要求主機(jī)支持IPSec 兩邊的VPN網(wǎng)關(guān)必須都支持IPSec,非安全通道,,安全通道,,主機(jī)可以不支持IPSec,主機(jī)可以不支持IPSec,Gateway

26、必須支持IPSec,Gateway 必須支持IPSec,非安全通道,,,VPN Gateway to VPN Gateway,,,,,Internet,ISP接入服務(wù)器,VPN網(wǎng)關(guān)B,,安全通道,,安全通道,,主機(jī)必須支持IPSec,Gateway 必須支持IPSec,,非安全通道,,PSTN,,,Remote User to VPN Gateway,,,,,,,Internet,VPN網(wǎng)關(guān)B,,192.168.1.25,,雙方使用

27、ISAKMP/Oakley密鑰交換協(xié)議建立安全關(guān)聯(lián)，產(chǎn)生或者刷新密鑰,,,,,,,192.168.2.34,,,,,,,,,,,,,,,,,,,,VPN網(wǎng)關(guān)A,查找SPD數(shù)據(jù)庫決定為流入的IP數(shù)據(jù)提供那些安全服務(wù),查找對應(yīng)SA的參數(shù),要求建立安全相應(yīng)的關(guān)聯(lián),對原有數(shù)據(jù)包進(jìn)行相應(yīng)的安全處理,建立SAD,建立相應(yīng)的SA,,一個(gè)完整的VPN工作原理圖,,VPN概述VPN的功能VPN的工作原理VPN的具體應(yīng)用,VPN技術(shù),VPN應(yīng)用,用V

28、PN連接分支機(jī)構(gòu) 用VPN連接業(yè)務(wù)伙伴 用VPN連接遠(yuǎn)程用戶,,,,,,Internet,VPN網(wǎng)關(guān)A,VPN網(wǎng)關(guān)B,,,通道只需定義在兩邊的網(wǎng)關(guān)上,,Gateway 必須支持IPSec,Gateway 必須支持IPSec,,,,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是加密的,ISP,ISP,用VPN連接分支機(jī)構(gòu),,,,,Internet,VPN網(wǎng)關(guān)A,VPN網(wǎng)關(guān)B,,,,主機(jī)必須支持IPSec,主機(jī)必須支持IPSec,,,,,,,,通

29、道建立在兩邊的主機(jī)之間，因?yàn)闃I(yè)務(wù)伙伴內(nèi)的主機(jī)不是都可以信任的,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是加密的,ISP,ISP,用VPN連接合作伙伴,,,,,,Internet,ISP接入服務(wù)器,VPN網(wǎng)關(guān)B,,主機(jī)必須支持IPSec,Gateway 必須支持IPSec,,PSTN,,,,,,,,,數(shù)據(jù)在這一段是加密的,數(shù)據(jù)在這一段是認(rèn)證的,數(shù)據(jù)在這一段是

30、加密的,數(shù)據(jù)在這一段是認(rèn)證的,通道建立在移動(dòng)用戶與公司內(nèi)部網(wǎng)的網(wǎng)關(guān)處,用VPN連接遠(yuǎn)程用戶,,創(chuàng)建IKE策略集policy，指明身份認(rèn)證方式、加密算法、DH算法組、摘要算法、生存期。crypto isakmp policy使用共享密鑰進(jìn)行身份認(rèn)證crypto isakmp key _____ address 對端地址配置IPSec 參數(shù)，,IPSec VPN的配置步驟,顯示IKE策略show crypto isakmp po