如何进行ipsec说明以及隧道案例分析

2023-05-25 14:01:55 隧道 案例分析 IPsec

1.IPSEC简介

IPSec 是包括安全协议(Security Protocol)和密钥交换协议(IKE),由IETF(Internet Engineering TaskForce,Internet 工程任务组)开发的,可为通讯双方提供访问控制、无连接的完整性、数据来源认证、反重放、加密以及对数据流分类加密等服务的一系列网络安全协议的总称,其中安全协议又包括AH(头验证协议)和ESP(安全封装载荷);而IKE是一种基于ISAKMP(Internet Security Association and Key Management Protocol,互联网安全关联和密钥管理协议)中TCP/IP框架,合并了Oakley(密钥交换协议)的一部分和SKEME(密钥技术协议)的混合协议。

2.IPSEC的安全特性

(1)不可否认性:"不可否认性"可以证实消息发送方是唯一可能的发送者,发送者不能否认发送过消息。"不可否认性"是采用公钥技术的一个特征,当使用公钥技术时,发送方用私钥产生一个数字签名随消息一起发送,接收方用发送者的公钥来验证数字签名。由于在理论上只有发送者才唯一拥有私钥,也只有发送者才可能产生该数字签名,所以只要数字签名通过验证,发送者就不能否认曾发送过该消息。但"不可否认性"不是基于认证的共享密钥技术的特征,因为在基于认证的共享密钥技术中,发送方和接收方掌握相同的密钥。

(2)抗重播性(Anti-Replay): IPsec接收方可根据数据包数据段前加入的32位序列号来检测每个IP包的唯一性并拒绝接收过时或重复的报文,以防止***者截取破译信息后,再用相同的信息包冒取非法访问权(即使这种冒取行为发生在数月之后)。

(3)数据完整性(Data Integrity): IPsec接收方利用md5,sha-1等哈希算法对发送方发送来的包进行认证,防止传输过程中数据被篡改,确保发出数据和接收数据的一致性。

(4)数据可靠性(Confidentiality):IPsec发送方在通过des,3des,aes等对称加密算法在网络传输包前对包进行加密,保证在传输过程中,即使数据包遭截取,信息也无法被读。与IPSec策略的具体设置相关,该特性可在IPSec中选择是否开启。

(5)数据来源认证(Data Authentication):IPsec在接收端通过preshared key(域共享密钥),证书,kerberos v5等可以认证发送IPsec报文的发送端是否合法。

3.IPSEC的工作模式

(1)隧道(tunnel)模式:用户的整个IP数据包被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被封装在一个新的IP数据包中。通常,隧道模式应用在两个安全网关之间的通讯。

(2)传输(transport)模式:只是传输层数据被用来计算AH或ESP头,AH或ESP头以及ESP加密的用户数据被放置在原IP包头后面。常见的情况是,传输模式用于两个主机之间或一台主机和安全网关之间的通信。

4.IPSEC安全机制中两种协议的比较

AH协议(IP协议号为51)提供数据源认证、数据完整性校验和防报文重放功能,它能保护通信免受篡改,但不能防止窃听,适合用于传输非机密数据。AH的工作原理是在每一个数据包上添加一个身份验证报文头,此报文头插在标准IP包头后面,对数据提供完整性保护。,但因为IP头部分包含很多变量,比如type of service(TOS),flags,fragment offset,TTL以及header checksum。所以这些值在进行authtication前要全部清零。否则hash会mismatch导致丢包。因此AH不支持NAT转换。

ESP协议,在IP协议中的编号为50,能够提供数据加密、数据来源验证、数据完整性检查以及防止重复传输的功能。ESP的工作原理是在每一个数据包的标准IP包头后面添加一个ESP报文头,并在数据包后面追加一个ESP尾。ESP协议的不同之处在于它会对需要保护的用户数据进行加密,然后再将其封装到IP包中,以确保数据的机密性。

下图更好的解释了AH和ESP在IPSEC两种工作模式下对数据包的加密与认证

如何进行ipsec说明以及隧道案例分析

5.IPsec基本概念(基于H3C)

1. 数据流:在 IPSec 中,一组具有相同源地址/掩码/端口、目的地址/掩码/端口和上层协议的数据集称为数据流。通常,一个数据流采用一个访问控制列表(acl)来定义,所有为ACL 允许通过的报文在逻辑上作为一个数据流。

安全策略指定了用户手动配置的安全措施,用于规定对于哪些数据流采用何种安全操作。对数据流的定义是通过在一个访问控制列表中配置多条规则来实现,在安全策略中引用这个访问控制列表来确定需要进行保护的数据流。一条安全策略由“名字”和“顺序号”共同唯一确定。

3.安全策略组:所有具有相同名字的安全策略的集合。在一个接口上,可应用或者取消一个安全策略组,使安全策略组中的多条安全策略同时应用在这个接口上,从而实现对不同的数据流进行不同的安全保护。在同一个安全策略组中,顺序号越小的安全策略,优先级越高。

4.安全联盟(Security Association,简称SA):IPSec 对数据流提供的安全服务通过安全联盟SA 来实现,它包括协议、算法、密钥等内容,具体确定了如何对IP 报文进行处理。一个SA 就是两个IPSec 系统之间的一个单向逻辑连接,输入数据流和输出数据流由输入安全联盟与输出安全联盟分别处理。安全联盟由一个三元组(安全参数索引(SPI)、IP 目的地址、安全协议号(AH或ESP))来唯一标识。
安全联盟可通过手工配置和自动协商两种方式建立。
手工建立安全联盟的方式是指用户通过在两端手工设置SA的全部信息,然后在接口上应用安全策略建立安全联盟,缺点是配置复杂,而且不支持一些高级特性(如定时更新密钥),适用于小型企业。
自动协商方式由IKE 生成和维护,通信双方基于各自的安全策略库经过匹配和协商,最终建立安全联盟而不需要用户的干预,配置简单,适用于大型企业。在自动协商中又分为主模式与野蛮模式,野蛮模式交换与主模式交换的主要差别在于,野蛮模式不提供身份保护。在对身份保护要求不高的场合,使用交换报文较少的野蛮模式可以提高协商的速度;在对身份保护要求较高的场合,则应该使用主模式。

每个IPSec报文都携带32位的安全参数索引(SPI)。三元组由SPI、目的IP地址和安全协议号构成,被用来唯一标识一个特定的安全联盟。在手工配置安全联盟时,需要手工指定SPI 的取值。为保证安全联盟的唯一性,每个安全联盟需要指定不同的SPI 值;使用IKE协商产生安全联盟时,SPI 将随机生成。

6.安全提议:包括安全协议、安全协议使用的算法、安全协议对报文的封装形式,规定了把普通的IP 报文转换成IPSec报文的方式。安全策略可通过引用安全建议来规定所采用的协议、算法等。

6.IPsecIPSEC配置步骤

创建加密访问控制列表

根据是否与加密访问控制列表匹配,可以确定那些 IP 包加密后发送,那些IP 包直

接转发。需要保护的安全数据流使用扩展IP 访问控制列表进行定义。

acl acl-number

rule { normal | special }{ permit | deny } pro-number[source source-addr source-wildcard | any ][source-port operator port1 [ port2 ] ] [ destination dest-addr dest- wildcard | any ][destination-port operator port1 [ port2 ] ] [icmp-type icmp-type icmp-code][logging]

定义安全提议

定义安全提议 ipsec proposal proposal-name

设置安全协议对 IP 报文的封装模式encapsulation-mode { transport | tunnel }

选择安全协议transform { ah-new | ah-esp-new | esp-new }

选择加密算法与认证算法

在 ESP 协议中,转换选项可以是 { ah-new | ah-esp-new | esp-new }

AH协议下 transform { ah-new | ah-esp-new | esp-new }

创建安全策略

手工创建安全策略的配置包括:

手工创建安全策略ipsec policy policy-name sequence-number manual

配置安全策略引用的访问控制列表 security acl access-list-number

指定安全隧道的起点与终点 tunnel local ip-address

tunnel remote ip-address

配置安全策略中引用的安全提议 proposal proposal-name

配置安全策略联盟的 SPI 及使用的密钥

SPI的配置 sa inbound { ah | esp } spi spi-number

sa outbound { ah | esp } spi spi-number

密钥的配置

AH16进制密钥 sa { inbound | outbound } ah hex-key-string hex-key

AH 字符密钥 sa { inbound | outbound } ah string-key string-key

ESP16进制密钥 sa { inbound | outbound } esp encryption-hex hex-key

ESP字符密钥 sa { inbound | outbound } esp string-key string-key

在接口上应用安全策略组

ipsec policy policy-name

IKE 创建安全策略联盟的配置包括:

用 IKE 创建安全策略联盟

ipsec policy policy-name sequence-number isakmp

配置安全策略引用的访问控制列表

security acl access-list-number

指定安全隧道的终点

tunnel remote ip-address

配置安全策略中引用的安全提议

proposal proposal-name1 [ proposal-name2...proposal-name6 ]

配置安全联盟的生存时间(可选)

配置全局时间

ipsec sa global-duration time-based seconds

ipsec sa global-duration traffic-based kilobytes

配置独立时间

sa duration { time-based seconds |traffic-based kilobytes }

IPsec配置案例:使用ipsec隧道协议完成企业安全通信

实验器材:三台华为AR1220路由器,一台华为s5700交换机

拓扑图:

如何进行ipsec说明以及隧道案例分析

配置过程:

交换机:(本交换机添加端口需要开启端口模式为access)

vlan 10

port GE0/0/10

vlan 20

port GE0/0/20

vlan 24

port GE0/0/24

int vlan 10

ip add 1.1.1.2 255.255.255.0

int vlan 20

ip add 1.1.2.2 255.255.255.0

int vlan 24

ip add 1.1.3.2 255.255.255.0

R1

system-view

sysname R1

int eth0/0/0

ip add 192.168.1.1 24

loopback

int eth0/0/1

ip add 1.1.1.1 24

quit

ip route 0.0.0.0 0 1.1.2.2

ping 1.1.1.1

R2

system-view

sysname R2

int eth0/0/0

ip add 192.168.2.1 24

loopback

int eth0/0/1

ip add 1.1.2.1 24

quit

ip route 0.0.0.0 0 1.1.2.2

ping 1.1.1.1

R3

system-view

sysname R3

int etth0/0/0

ip add 192.168.3.1 24

loopback

int eth0/0/1

ip add 1.1.3.1 24

quit

ip route 0.0.0.0 0 1.1.3.2

ping 1.1.1.1

R1到R2、R3的隧道

acl number 3000 match-order auto

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.2.0 0.0.0.255

rule 20 deny ip source any destination any

acl number 3001 match-order auto

rule 10 permit ip source 192.168.1.0 0.0.0.255 destination 192.168.3.0 0.0.0.255

rule 20 deny ip source any destination any

quit

安全提议

ipsec proposal tran1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5 (校验算法)

esp encryption-algorithm des (加密算法)

ipsec proposal tran2

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

quit

配置相应的IKE

ike peer R2

remote-address 1.1.2.1

pre-shared-key simple abcdef

ike peer R3

remote-address 1.1.3.1

pre-shared-key simple 123456

添加策略

ipsec policy policy1 10 isakmp

ike peer R2

security acl 3000

proposal tran1

ipsec policy policy1 20 isakmp

ike peer R3

security acl 3000

proposal tran2

在外出接口上应用策略

int e0/0/1

ipsec policy policy1

R2到R1

acl number 3000 match-order auto

rule 10 permitip source 192.168.2.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 20 deny ip source any destination any

quit

ipsec proposal tran1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

quit

ike peer R1

remote-address 1.1.1.1

pre-shared-key simple abcdef

quit

ipsec policy policy1 10 isakmp

ike peer R1

security acl 3000

proposal tran1

在外出接口上应用策略

int e0/0/1

ipsec policy policy1

R3到R1

acl number 3000 match-order auto

rule 10 permitip source 192.168.3.0 0.0.0.255 destination 192.168.1.0 0.0.0.255

rule 20 deny ip source any destination any

quit

ipsec proposal tran1

encapsulation-mode tunnel

transform esp

esp authentication-algorithm md5

esp encryption-algorithm des

quit

ike peer R1

remote-address 1.1.1.1

pre-shared-key simple 123456

quit

ipsec policy policy1 10 isakmp

ike peer R1

security acl 3000

proposal tran1

在外出接口上应用策略

int e0/0/1

ipsec policy policy1

这样就完成了!

相关文章