So führen Sie IPSec-Anweisungen und eine Tunnelfallanalyse durch

1. Einführung in IPSEC

IPSec umfasst das Sicherheitsprotokoll (Security Protocol) und das Schlüsselaustauschprotokoll (IKE). Es wurde von der IETF (Internet Engineering Task Force) entwickelt. Ein allgemeiner Begriff für eine Reihe von Netzwerksicherheitsprotokollen, die Dienste wie Zugriffskontrolle, verbindungslose Integrität, Datenquellenauthentifizierung, Anti-Replay, Verschlüsselung sowie Datenstromklassifizierung und -verschlüsselung für kommunizierende Parteien bereitstellen Protocol) und ESP (Secure Encapsulation Payload); und IKE ist ein TCP/IP-Framework, das auf ISAKMP (Internet Security Association and Key Management Protocol, Internet Security Association and Key Management Protocol) basiert und einen Teil von Oakley (Key Exchange Protocol) A-Hybrid enthält Protokoll mit SKEME (Key Technology Protocol).

2. IPSEC-Sicherheitsfunktionen

(1) Unbestreitbarkeit: „Nichtabstreitbarkeit“ kann bestätigen, dass der Absender der Nachricht der einzig mögliche Absender ist, und zwar der Absender Ich kann es nicht leugnen. Nachricht gesendet. „Nichtabstreitbarkeit“ ist ein Merkmal der Verwendung der Public-Key-Technologie. Bei der Verwendung der Public-Key-Technologie generiert der Absender mit dem privaten Schlüssel eine digitale Signatur und sendet diese mit der Nachricht, und der Empfänger verwendet den öffentlichen Schlüssel des Absenders, um die digitale Signatur zu verifizieren Unterschrift. Da theoretisch nur der Absender über den privaten Schlüssel verfügt und nur der Absender die digitale Signatur generieren kann, kann der Absender nicht leugnen, dass die Nachricht gesendet wurde, solange die digitale Signatur die Überprüfung besteht. Aber „Nicht-Zurückweisung“ ist kein Merkmal der authentifizierungsbasierten Shared-Key-Technologie, da bei der authentifizierungsbasierten Shared-Key-Technologie Sender und Empfänger denselben Schlüssel haben.

(2) Anti-Replay: Der IPsec-Empfänger kann die Einzigartigkeit jedes IP-Pakets anhand der vor dem Datensegment des Datenpakets hinzugefügten 32-Bit-Sequenznummer erkennen und den Empfang veralteter oder doppelter Daten ablehnen Nachrichten, um zu verhindern, dass Angreifer Informationen abfangen und entschlüsseln und dann dasselbe Informationspaket verwenden, um sich illegalen Zugriff zu verschaffen (selbst wenn dieser Betrug Monate später auftritt).

(3) Datenintegrität: Der IPsec-Empfänger verwendet Hash-Algorithmen wie md5 und sha-1, um die vom Absender gesendeten Pakete zu authentifizieren, um zu verhindern, dass Daten während der Übertragung manipuliert werden. Stellen Sie die Konsistenz der ausgehenden Daten sicher und empfangene Daten.

(4) Datenzuverlässigkeit (Vertraulichkeit): Der IPsec-Absender verschlüsselt das Paket vor der Übertragung über das Netzwerk mithilfe symmetrischer Verschlüsselungsalgorithmen wie des, 3des, aes usw., um dies während des Übertragungsprozesses sicherzustellen , auch wenn die Daten Das Paket wird abgefangen und die Informationen können nicht gelesen werden. Abhängig von den spezifischen Einstellungen der IPSec-Richtlinie kann diese Funktion in IPSec aktiviert oder deaktiviert werden.

(5) Datenquellenauthentifizierung (Datenauthentifizierung): IPsec kann durch vorinstallierten Schlüssel (gemeinsamer Domänenschlüssel), Zertifikat, Kerberos v5 usw. authentifizieren, ob das sendende Ende der IPsec-Nachricht legitim ist Empfangsende.

3. IPSEC-Arbeitsmodus

(1) Tunnelmodus: Das gesamte IP-Datenpaket des Benutzers wird zur Berechnung des AH- oder ESP-Headers und des ESP verwendet -Verschlüsselte Benutzerdaten werden in einem neuen IP-Paket gekapselt. Typischerweise wird der Tunnelmodus für die Kommunikation zwischen zwei Sicherheits-Gateways verwendet.

(2) Transportmodus: Zur Berechnung des AH- oder ESP-Headers werden nur die Transportschichtdaten verwendet, und der AH- oder ESP-Header sowie die ESP-verschlüsselten Benutzerdaten werden hinter dem ursprünglichen IP-Header platziert. Im Allgemeinen wird der Transportmodus für die Kommunikation zwischen zwei Hosts oder zwischen einem Host und einem Sicherheits-Gateway verwendet.

4. Vergleich zweier Protokolle im IPSEC-Sicherheitsmechanismus

Das AH-Protokoll (IP-Protokollnummer ist 51) bietet Datenquellenauthentifizierung, Datenintegritätsüberprüfung und Paketverhinderung schützt die Kommunikation vor Manipulation, aber nicht vor Abhören, ist für die Übertragung nicht vertraulicher Daten geeignet. Das Funktionsprinzip von AH besteht darin, jedem Datenpaket einen Authentifizierungsheader hinzuzufügen. Dieser Header wird hinter dem Standard-IP-Header eingefügt, um den Integritätsschutz der Daten zu gewährleisten. , sondern weil der IP-Header viele Variablen enthält, wie z. B. den Typ des Dienstes (TOS), Flags, Fragment-Offset, TTL und Header-Prüfsumme. Daher müssen diese Werte vor der Authentifizierung gelöscht werden. Andernfalls stimmt der Hash nicht überein und es kommt zu Paketverlusten. Daher unterstützt AH keine NAT-Übersetzung.

ESP-Protokoll, Nummer 50 im IP-Protokoll, kann Funktionen zur Datenverschlüsselung, Datenquellenüberprüfung, Datenintegritätsprüfung und Verhinderung wiederholter Übertragungen bereitstellen. Das Funktionsprinzip von ESP besteht darin, nach dem Standard-IP-Header jedes Datenpakets einen ESP-Header und nach dem Datenpaket einen ESP-Trailer hinzuzufügen. Der Unterschied des ESP-Protokolls besteht darin, dass es die zu schützenden Benutzerdaten verschlüsselt und sie dann in IP-Pakete kapselt, um die Vertraulichkeit der Daten sicherzustellen.

Die folgende Abbildung erklärt die Verschlüsselung und Authentifizierung von Datenpaketen durch AH und ESP in den beiden Arbeitsmodi von IPSEC besser.

#🎜 🎜 #5.Grundlegende Konzepte von IPsec (basierend auf H3C)

1. Datenfluss: In IPSec eine Gruppe mit derselben Quelladresse/Maske/Port, Zieladresse/Maske/Port und Protokoll der oberen Schicht Der Datensatz wird als Datenstrom bezeichnet. Normalerweise wird ein Datenfluss durch eine Zugriffskontrollliste (ACL) definiert und alle Pakete, die die ACL passieren dürfen, werden logischerweise als ein Datenfluss betrachtet.

Die Sicherheitsrichtlinie gibt die vom Benutzer manuell konfigurierten Sicherheitsmaßnahmen an, um anzugeben, welche Sicherheitsvorgänge für welche Datenflüsse verwendet werden. Die Definition von Datenflüssen erfolgt durch die Konfiguration mehrerer Regeln in einer Zugriffskontrollliste. Auf diese Zugriffskontrollliste wird in der Sicherheitsrichtlinie verwiesen, um die Datenflüsse zu bestimmen, die geschützt werden müssen. Eine Sicherheitsrichtlinie wird durch „Name“ und „Sequenznummer“ eindeutig bestimmt.

3. Sicherheitsrichtliniengruppe: eine Sammlung aller Sicherheitsrichtlinien mit demselben Namen. Auf einer Schnittstelle können Sie eine Sicherheitsrichtliniengruppe anwenden oder aufheben, sodass mehrere Sicherheitsrichtlinien in der Sicherheitsrichtliniengruppe gleichzeitig auf die Schnittstelle angewendet werden können, wodurch unterschiedliche Sicherheitsschutzmaßnahmen für unterschiedliche Datenflüsse implementiert werden. In derselben Sicherheitsrichtliniengruppe hat die Sicherheitsrichtlinie mit der kleineren Sequenznummer eine höhere Priorität.

4. Security Association (SA): Die von IPSec bereitgestellten Sicherheitsdienste für Datenflüsse werden durch die Security Association SA implementiert. Sie umfasst Protokolle, Algorithmen, Schlüssel usw. und legt insbesondere fest, wie verarbeitet wird IP-Pakete. Eine SA ist eine unidirektionale logische Verbindung zwischen zwei IPSec-Systemen. Der Eingabedatenfluss und der Ausgabedatenfluss werden von der Eingabesicherheitsassoziation bzw. der Ausgabesicherheitsassoziation verarbeitet. Eine Sicherheitsassoziation wird durch ein Triplett (Sicherheitsparameterindex (SPI), IP-Zieladresse, Sicherheitsprotokollnummer (AH oder ESP)) eindeutig identifiziert.
Sicherheitszuordnungen können durch manuelle Konfiguration und automatische Aushandlung hergestellt werden.
Die Methode zum manuellen Einrichten einer Sicherheitszuordnung bedeutet, dass der Benutzer alle Informationen der SA auf beiden Seiten manuell festlegt und dann Sicherheitsrichtlinien auf der Schnittstelle anwendet, um die Sicherheitsallianz einzurichten. Der Nachteil besteht darin, dass die Konfiguration komplex ist und unterstützt einige erweiterte Funktionen (z. B. geplante Updates) für kleine Unternehmen nicht.
Die automatische Verhandlungsmethode wird von IKE generiert und verwaltet. Die kommunizierenden Parteien stimmen auf der Grundlage ihrer jeweiligen Sicherheitsrichtlinienbibliotheken überein und stellen schließlich eine Sicherheitsallianz her, ohne dass der Benutzer eingreifen muss. Die automatische Aushandlung ist in den Hauptmodus und den aggressiven Modus unterteilt. Der Hauptunterschied zwischen dem aggressiven Modusaustausch und dem Hauptmodusaustausch besteht darin, dass der aggressive Modus keinen Identitätsschutz bietet. In Situationen, in denen die Anforderungen an den Identitätsschutz nicht hoch sind, kann die Verwendung des aggressiven Modus, der weniger Pakete austauscht, die Aushandlungsgeschwindigkeit erhöhen. In Situationen, in denen die Anforderungen an den Identitätsschutz hoch sind, sollte der Hauptmodus verwendet werden.

Jede IPSec-Nachricht trägt einen 32-Bit-Sicherheitsparameterindex (SPI). Das Triplett besteht aus SPI, Ziel-IP-Adresse und Sicherheitsprotokollnummer und wird zur eindeutigen Identifizierung einer bestimmten Sicherheitszuordnung verwendet. Wenn Sie eine Sicherheitszuordnung manuell konfigurieren, müssen Sie den SPI-Wert manuell angeben. Um die Einzigartigkeit der Sicherheitszuordnung sicherzustellen, muss jede Sicherheitszuordnung einen anderen SPI-Wert angeben. Bei Verwendung der IKE-Aushandlung zum Generieren einer Sicherheitszuordnung wird der SPI zufällig generiert.

6. Sicherheitsvorschlag: einschließlich Sicherheitsprotokollen, von Sicherheitsprotokollen verwendeten Algorithmen und der Kapselungsform von Paketen durch Sicherheitsprotokolle. Es legt die Art und Weise fest, wie gewöhnliche IP-Pakete in IPSec-Pakete umgewandelt werden. Sicherheitsrichtlinien können die verwendeten Protokolle, Algorithmen usw. unter Angabe von Sicherheitsempfehlungen spezifizieren.

6. IPsec IPSEC-Konfigurationsschritte

Erstellen Sie eine verschlüsselte Zugriffskontrollliste

Abhängig davon, ob sie mit der verschlüsselten Zugriffskontrollliste übereinstimmt, können Sie feststellen Welche IP-Pakete werden verschlüsselt gesendet? Diese IP-Pakete werden

direkt weitergeleitet. Der sichere Datenverkehr, der geschützt werden muss, wird mithilfe erweiterter IP-Zugriffskontrolllisten definiert.

acl-acl-number

rule { normal |. Special }{permit | port1 [ port2 ] ] [ Ziel-Ziel-Adresse Ziel-Platzhalter | beliebig ][Ziel-Port-Operator Port1 [ Port2 ] ] [ICMP-Typ ICMP-Typ ICMP-Code][Protokollierung]

Sicherheit definieren Vorschlag

Definieren Sie den Sicherheitsvorschlag IPSec-Vorschlag Vorschlagsname

Legen Sie den Kapselungsmodus des Sicherheitsprotokolls für IP-Pakete fest encapsulation-mode { transport |. tunnel }

#🎜🎜 # Wählen Sie die Sicherheitsprotokolltransformation { ah-new |. esp-new }

Wählen Sie den Verschlüsselungsalgorithmus und den Authentifizierungsalgorithmus aus Es ist { ah-neu |. ah-esp-neu }

transform { ah-neu | Protokoll #Sicherheitsrichtlinie erstellen

Die Konfiguration zum manuellen Erstellen einer Sicherheitsrichtlinie umfasst:

Manuelles Erstellen einer Sicherheitsrichtlinie IPSec-Richtlinie Richtlinienname Sequenznummer manuell

# 🎜🎜#Konfiguration Die Zugriffskontrollliste, auf die von der Sicherheitsrichtlinie security acl access-list-number verwiesen wird

Gibt den Start- und Endpunkt der lokalen IP-Adresse des Sicherheitstunnels an

#🎜 🎜#Tunnel-Remote-IP-Adresse#🎜🎜 #

Konfigurieren Sie den Sicherheitsvorschlag, auf den in der Sicherheitsrichtlinie verwiesen wird.

Konfigurieren Sie den SPI der Sicherheitsrichtlinienallianz und den verwendeten Schlüssel.#🎜 🎜#

SPI-Konfiguration sa inbound { ah |. esp } spi spi-number

sa outbound { ah | 🎜#

AH16 Schlüssel sa { inbound |. ah hex-key-string hex-key

AH Zeichenschlüssel sa { inbound |. ah string-key string-key#🎜🎜 #

ESP16-Hexadezimalschlüssel sa { eingehend |. 🎜🎜 # Sicherheitsrichtliniengruppe auf der Schnittstelle anwenden

IPSec-Richtlinie Richtlinienname

IKE Die Konfiguration zum Erstellen einer Sicherheitsrichtlinienallianz umfasst:

Verwenden Sie IKE, um eine Allianz für Sicherheitsrichtlinien zu erstellen.

IPsec-Richtlinie, Sequenznummer des Richtliniennamens isakmp Tunnel

Tunnel-Remote-IP-Adresse

Konfigurieren Sie den Sicherheitsvorschlag, auf den in der Sicherheitsrichtlinie verwiesen wird

Vorschlagsvorschlagsname1 [Vorschlagsname2...Vorschlagsname6]

Konfigurieren Sie die Überlebenszeit der Sicherheitszuordnung (optional)

Konfigurieren Sie die globale Zeit

ipsec für die globale Dauer in zeitbasierten Sekunden

ipsec für die globale Dauer in verkehrsbasierten Kilobytes

Konfigurieren Sie die unabhängige Zeit

in einer Dauer {zeitbasierte Sekunden in Kilobytes}

IPsec Konfigurationsfall: Verwenden Sie das IPSec-Tunnelprotokoll, um die Unternehmenssicherheit zu vervollständigen. Kommunikation. Experimentelle Ausrüstung: drei Huawei AR1220-Router, ein Huawei S5700-Switch. Topologiediagramm:

Konfigurationsprozess:

Switch: (Um einen Port hinzuzufügen Schalter, Sie müssen den Port-Modus aktivieren, um darauf zugreifen zu können int vlan 10

ip add 1.1.1.2 255.255.255. 0

int vlan 20

ip add 1.1.2.2 255.255.255.0

int vlan 24

ip add 1.1.3.2 255. 255.255.0

R1

system-view

sysname R1

int eth0/0/0

ip add 192.168.1.1 24

loopback

int eth0/0/1

ip add 1.1.1.1. 24

quit

IP-Route 0.0 .0.0 0 1.1.2.2

ping 1.1.1.1

R2

system -view

sysname R2

int eth0/0/0

ip add 192.168.2.1 24

loopback

int eth0/0/ 1

ip add 1.1.2.1 24

quit

ip route 0.0. 0.0 0 1.1.2.2

ping 1.1.1.1

R3

system-view

sysname R3

int etth 0/0/0

ip add 192.168.3.1 24

backloop

int eth0/0/1

ip add 1.1.3.1 24

quit

ip route 0.0.0.0 0 1.1.3.2

ping. 1.1 .1.1

R1 bis R2, R3 Tunnel

ACL-Nummer 3000 Übereinstimmungsreihenfolge automatisch

Regel 10 IP-Quelle zulassen 192.168.1.0 0.0.0.255 Ziel 192.168.2.0 0.0.0.255

Regel 20 IP-Quelle jedes Ziel verweigern beliebige

ACL-Nummer 001 Spiel- Automatisch bestellen

Regel 10 IP-Quelle 192.168.1.0 0.0.0 .255 zulassen Ziel 192.168 .3.0 0.0.0.255

Regel 20 IP-Quelle verweigern Beliebiges Ziel Beliebig

Beenden

Sicherheitsvorschlag

IPSEC. PROPO SAL Tran1

encapSulation- Modus Tunnel

transform ESP

ESP HM MD5 (Verifizierungsalgorithmus)

esp-Verschlüsselungsalgorithmus des (Verschlüsselungsalgorithmus)

ipsec-Vorschlag tran2

encapsulation-mode tunnel

transform esp

esp-Authentifizierungsalgorithmus md5

esp-Verschlüsselungsalgorithmus des

quit

Konfigurieren Sie das entsprechende IKE

ike peer R2

remote-address 1.1.2.1

pre-shared-key simple abcdef

ike peer R3

remote-address 1.1.3.1

Pre-Shared-Key einfach 123456

wie Peer R3

Security ACL 3000

proposal tran2

auf der ausgehenden Schnittstelle Strategie anwenden

int e0 /0/1

ipsec-Richtlinie Policy1

R2 bis R1

acl-Nummer 3000 Match-Order Auto

Regel 10 Permitip-Quelle 192.168.2.0 0,0. 0,255 Ziel 192.168.1.0 0.0.0.255

Regel 20 verweigert IP-Quelle jedes Ziel beliebig

Quit

IPsec-Vorschlag Tran1

Encapsulation-Mode-Tunnel

Transform ESP

ESP-Authentifizierungsalgorithmus. MD5

insbesondere Verschlüsselungsalgorithmus des

quit

ike peer R1

remote-ad dress 1.1.1.1

pre-shared-key simple abcdef

quit

ipsec Policy Policy1 10 isakmp

ike peer R1

security acl. 3000

Vorschlagstran1

Richtlinie auf ausgehende Schnittstelle anwenden

int e0/0/1

IPsec-Richtlinie Richtlinie1

R3 bis R1

ACL-Nummer 3000 Übereinstimmungsreihenfolge automatisch

Regel 10 GenehmigungIP-Quelle 192.168.3.0 0.0.0.255 Ziel 192.16 8.1.0 0.0 .0.255

Regel 20 IP-Quelle verweigern, beliebiges Ziel, beliebige

quit

ipsec-Vorschlag tran1

encapsulation-mode tunnel

transform esp

esp-Authentifizierungsalgorithmus MD5

esp-Verschlüsselungsalgorithmus des

aufhören

like Peer R1

Remote-Adresse 1.1.1.1

Pre-Shared-Key Simple 123456

Quit

IPsec-Richtlinie Policy1 10 isakmp

ike Peer R1

Security ACL 3000

Proposal Tran1

Richtlinie auf ausgehende Schnittstelle anwenden

int e0/0/1

ipsec-Richtlinie Policy1

Das ist es!

Das obige ist der detaillierte Inhalt vonSo führen Sie IPSec-Anweisungen und eine Tunnelfallanalyse durch. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!