IPSec ××× :
加密算法:
1) 对称加密算法:使用同一密钥对信息提供安全的保护、 DES、3DES、AES 这三种算法
2) 非对称加密算法:使用两个不同的密钥公钥和私钥进行解密和加密、DH算法cisco有1 2 5
3) 密钥交换:加密对称加密算法的密钥、在用对称加密算法加密实际要传输的数据、
数据报文验证:
1) HMAC散列消息验证码:双方共享执行Hash算法的密钥key、路由器A的用户数据与共享密钥key通过hash算法得到数字签名、路由器A将数字签名和用户数据一同传送给路由器B、路由器B执行相同的算法过程得到数字签名、路由器B比对数字签名是否一致
2) MD5和SHA: 1、md5信息摘要算法 2、SHA安全散列算法
IPSec连接:
1) 流量触发IPSec:当流量通过、就已经开始建立连接了
2) 建立管理连接:IPsec使用isakmp/IKE阶段1来构建一个安全的管理连接、实现如何实现验证、使用何种加密及认证算法、使用哪种DH组
3) 建立数据连接:使用ISAKMP/IKE阶段2完成、明确使用何种安全协议、针对具体的安全协议应使用加密或验证算法、以及数据的传输模式、
ISAKMP/IKE 阶段 1 :
ISAKMP/IKE阶段1的交换过程中有两个模式:主模式和积极模式、主模式比积极模式更安全、主模式可以完成三个任务:协商采用何种方式建立管理连接、通过DH算法共享密钥信息、对等体彼此进行身份验证、
ISAKMP/IKE阶段1 的建立过程:
1. 加密算法:DES、3DES、AES、
2. HMAC功能:MD5和SHA-1
3. 设备验证的类型:预共享密钥
4. DH组的密钥组:cisco只支持1 2 5
5. 管理连接的生存周期
ISAKMP/IKE 阶段 1 的配置:
Crypto isakmp policy 1-1000
Encryption des/3des/aes
Hash sha/md5
Authentication pre-share | ras-encr | rsa-sig
Group 1 2 5
Crypto isakmp key 0 或 6 名 address 对等体的 iP
ISAMKP/ IKE阶段 2 的建立过程“
安全关联:
SA连接:是在原点和重点之间的单向连接,如果需要双向连接,就需要两个SA连接。每个方向一个,SA连接是由三个要素定义:
1) 安全参数索引(SPI):用于唯一标示每条SA连接
2) 安全协议的类型:IPSec定义了两种安全协议、AH和ESP、
3) 源IP地址
ISAKMP/IKE阶段2 的传输集:
数据连接的传输定义了数据连接时如何被保护的。
安全协议:AH协议 ESP协议
连接模式:隧道模式 传输模式
加密方式:对于ESP而言有DES、3DES、AES-128、AES-192、AES-256
验证方式:MD5或SHA-1
ISAKMP/IKE阶段2 的安全协议:
AH 使用 IP 协议号 51 、 ESP 使用 IP 协议号 50
AH协议:
1) 数据完整性服务
2) 数据验证
3) 保护数据回放***
AH 只认证不加密 ESP 既加密又认证
阶段二的的配置命令:
配置 cryptoACL : Access-list access-list-number deny/permit protocol source source-widcard destination destination-widcard 其中 permit 指定了那些流量需要保护 deny 制定那些流量不需要保护
配置传输集: crypto ipsec transform-set transform-set-name esp-aes ah-sha-hmac
Mode tunnul/transport
配置 Crypto Map :
Crypto map map-name seq-num ipsec-isakmp 其中 seq-num 序列号越小优先级越高
Match address acl-name-or-num 调用 crypto ACL 的名字和编号
Set peer hostname / ip 指定对等体 IP
Set transform-set name 指定传输集的名称
Set pfs 1 2 5 ( pfs 完美转发保密)保证两个阶段的密钥只能使用一次、
Set security-association lifetime ( seconds seconds | kilobytes kilobrtes )指定 SA 的生存周期
Set security-assoctation idle-time seconds 设定空闲超时计时器
在 cisco 防火墙上实现 IPsec×××
基本配置:
Int e0/0
Nameif outside
Security-level 0
Ip address 100.0.0.1 255.255.255.0
No sh
Iint e0/1
Nameif inside
Security –levlel 100
Ip add 172.16.10.1 255.255.255.0
No sh
Route outside 0 0 100.0.0.2
Nat-control
Nat (inside) 1 0 0
Global (outside) 1 int
Nat-control
Access-list nonat extended permit ip 10.10.1.0 255.255.255.0 192.168.1.0 255.255.255.0
Nat (inside) 0 access-list nonat
Crypto isakmp policy 1
指定他的优先级越小越优先
Crypto isakmp policy 1
Encryption aes 定义加密算法
Hash sha 如何验证
Authentication pre-share
设备之间的认证
Group 1
用DH那个组 ASA有:1 2 5
7
Isakmp key benet address 200.0.0.1 配置预共享密钥 指定对等体IP
Access-list *** extended permit ip 172.16.10.0 255.255.255.0 10.10.33.0 255.255.255.0
Crypto ipsec transform-set benet-set esp-aes esp-sha-hmac 交换数据的传输集
Crypto map benet-map 1 match address ***
调用ACL
Crypto map benet-map 1 set peer 200.0.0.1
指定对等体IP
Crypto map benet-map 1 set transform-set benet-set 调用传输集
Crypto map benet-map interface outside 应用到outside接口上
1)、默认情况下防火墙默认的加密算法变为3des,默认的DH组使用2,默认的设备验证方法变为预共享密钥,而默认的hash算法以及生存周期没有变化。而且防火墙只支持ESP协议。
2)、IKE协商在防火墙上市关闭的,路由器是开启的。在防火墙上开启IKE协商使用命令:
Crypto isakmp enable outside
1) 防火墙存在一种限制,如果流量从一个接口进入,就不能从相同安全级别的端口流出,即流量不能再同一安全级别的端口之间传输。
2) AH协议只提供认证的功能,且要求对整个三层数据,包括IP包头,ESP协议同时提供加密和认证的功能,担认证只对三层数据的有效载荷,不包括IP包头、
路由器实现NAT-T穿越:
Ip nat inside source list access-list-number intface f0/1
Ip nat inside source static udp local-ip 4500 interface f0/1
Ip nat inside source static udp local-ip 500 interface f0/1
路由器的故障诊断和排查:
1) show crypto isakmp sa 了解管理连接的所处的状态
常见参数:
MM-NO-STATE ISAKMP SA 建立的初始状态,管理连接失败也会处于该状态
MM-SA-SETUP: 对等体之间ISAKMP策略协商成功后处于该状态
MM-KEY-EXCH:对等体通过DH算法成功建立共享密钥,此时还没有进行设备验证,
MM-KEY-AUTH:对等体成功进行设备验证,之后会过度到QM-IDLE状态下,
QM-IDLE:管理连接成功建立,即将过度到阶段2的数据连接建立过程
2) debug crypto isakmp 常用于诊断和排查管理连接的
常见参数:
Main Mode :isakmp 阶段1的管理连接是通过主模式建立的。
转载于:https://blog.51cto.com/2923341/561428
