安全防御 --- IPSec理论(02)

这篇具有很好参考价值的文章主要介绍了安全防御 --- IPSec理论(02)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

附:

协议与模式分类

esp 和 ah 的分类:

  1. 数据的安全性:ESP有机密性;AH无机密性
  2. 场景:ESP适合公网场景;AH适合内网 / 私网场景

(数据的安全性主要依赖于传输端之间需要做认证)

传输模式和隧道模式的分类:

  1. 传输端的可达性:传输模式有可达性;隧道模式无可达性
  2. 场景:传输模式(私网数据通过公网传输;异种网络之间通过其他网络传输);隧道模式(专线,隧道已做,本身路由可达)

ipsec配置(路由器)

安全防御 --- IPSec理论(02)

静态路由协议下的IPSec

保证基础网络可达
[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ip add 100.1.1.1 24
[r1]ip route-static 0.0.0.0 0 100.1.1.2


[ISP]int g0/0/0
[ISP-GigabitEthernet0/0/0]ip add 100.1.1.2 24
[ISP]int g0/0/1
[ISP-GigabitEthernet0/0/1]ip ad 100.1.2.1 24

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ip add 100.1.2.2 24
[r2]ip route-static 0.0.0.0 0 100.1.2.1

[r1]int LoopBack 0
[r1-LoopBack0]ip add 172.16.10.1 24
[r2]int LoopBack 0
[r2-LoopBack0]ip add 172.16.1.1 24

安全防御 --- IPSec理论(02)

(1)配置 IKE SA

<1> 安全提议

[r1]ike proposal 1  // 安全提议编号
[r1-ike-proposal-1]encryption-algorithm 3des-cbc // 加密算法(3des)
[r1-ike-proposal-1]authentication-algorithm sha1 // 认证算法(sha1)
[r1-ike-proposal-1]authentication-method pre-share  // 认证模式(预共享:pre)
[r1-ike-proposal-1]dh group2 // 非对称加密算法强度

[r1]dis ike proposal --- 查看未显示以及默认配置

Number of IKE Proposals: 2

-------------------------------------------
 IKE Proposal: 1
   Authentication method      : pre-shared
   Authentication algorithm   : SHA1
   Encryption algorithm       : 3DES-CBC
   DH group                   : MODP-1024
   SA duration                : 3600
   PRF                        : PRF-HMAC-SHA
-------------------------------------------

-------------------------------------------
 IKE Proposal: Default
   Authentication method      : pre-shared
   Authentication algorithm   : SHA1
   Encryption algorithm       : DES-CBC
   DH group                   : MODP-768
   SA duration                : 86400
   PRF                        : PRF-HMAC-SHA
-------------------------------------------

[r2]ike proposal 1
[r2-ike-proposal-1]encryption-algorithm 3des-cbc
[r2-ike-proposal-1]dh group2
[r2-ike-proposal-1]sa duration 3600

PRF:完美向前法。

<2> 安全认证

[r1]ike peer 12 v1  // ike认证名称和版本
[r1-ike-peer-12]exchange-mode main // 模式选择(默认主模式)
[r1-ike-peer-12]pre-shared-key cipher 234  // 编译预共享密钥
[r1-ike-peer-12]ike-proposal 1 // 调用安全提议
[r1-ike-peer-12]remote-address 100.1.2.2 // 调用远端地址

[r2]ike peer 12 v1
[r2-ike-peer-12]ike-proposal 1
[r2-ike-peer-12]pre-shared-key cipher 234
[r2-ike-peer-12]remote-address 100.1.1.1
[r2-ike-peer-12]exchange-mode main

(2)配置IPSec  SA 安全提议信息

[r1]ipsec proposal 1 // ipsec提议
[r1-ipsec-proposal-1]transform esp  // 选择传输协议
[r1-ipsec-proposal-1]esp authentication-algorithm sha2-512 // 认证算法
[r1-ipsec-proposal-1]esp encryption-algorithm aes-128 // 加密算法
[r1-ipsec-proposal-1]encapsulation-mode tunnel // 封装模式(隧道模式)

[r1]dis ipsec proposal --- 查看

Number of proposals: 1

IPSec proposal name: 1                            
 Encapsulation mode: Tunnel                            
 Transform         : esp-new
 ESP protocol      : Authentication SHA2-HMAC-512                             
                     Encryption     AES-128

[r2]ipsec proposal 1
[r2-ipsec-proposal-1]transform esp 
[r2-ipsec-proposal-1]encapsulation-mode tunnel
[r2-ipsec-proposal-1]esp authentication-algorithm sha2-512
[r2-ipsec-proposal-1]esp encryption-algorithm aes-128

(3)定义加密流量(感兴趣流)

[r1]acl 3000
[r1-acl-adv-3000]rule 5 permit ip source 172.16.10.1 0.0.0.0 destination 172.16.1.1 0.0.0.0

[r2]acl 3000
[r2-acl-adv-3000]rule 5 permit ip source 172.16.1.1 0.0.0.0 destination 172.16.10.1 0.0.0.0

(4)配置安全策略集

[r1]ipsec policy k 10 isakmp --- 定义名为k,序列号为10,运用isakmp(IKE)进行协商
[r1-ipsec-policy-isakmp-k-10]ike-peer 12 // 关联ike-peer
[r1-ipsec-policy-isakmp-k-10]security acl 3000 // 关联感兴趣流
[r1-ipsec-policy-isakmp-k-10]pfs dh-group2 // pfs:完美向前法

[r2]ipsec policy k 10 isakmp 
[r2-ipsec-policy-isakmp-k-10]ike-peer 12
[r2-ipsec-policy-isakmp-k-10]proposal 1
[r2-ipsec-policy-isakmp-k-10]security acl 3000
[r2-ipsec-policy-isakmp-k-10]pfs dh-group2

(5)接口调用安全策略集

[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ipsec policy k
[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ipsec policy k

进行触发:

安全防御 --- IPSec理论(02)

(6)查看安全联盟建立情况

<r1>dis ike sa
    Conn-ID  Peer            VPN   Flag(s)                Phase  
  ---------------------------------------------------------------
        2    100.1.2.2       0     RD|ST                  2     
        1    100.1.2.2       0     RD|ST                  1     

  Flag Description:
  RD--READY   ST--STAYALIVE   RL--REPLACED   FD--FADING   TO--TIMEOUT
  HRT--HEARTBEAT   LKG--LAST KNOWN GOOD SEQ NO.   BCK--BACKED UP
<r1>dis ipsec sa
    [Outbound ESP SAs] 
      SPI: 1407390962 (0x53e314f2)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-512-256
      SA remaining key duration (bytes/sec): 1887329280/2740
      Max sent sequence-number: 5
      UDP encapsulation used for NAT traversal: N

    [Inbound ESP SAs] 
      SPI: 3197321182 (0xbe933fde)
      Proposal: ESP-ENCRYPT-AES-128 SHA2-512-256
      SA remaining key duration (bytes/sec): 1887436380/2740
      Max received sequence-number: 5
      Anti-replay window size: 32
      UDP encapsulation used for NAT traversal: N

动态路由协议下的IPSec

新建环回
[r1]int LoopBack 0
[r1-LoopBack1]ip ad 1.1.1.1 24
gre下的隧道配置
[r1]int  t0/0/0
[r1-Tunnel0/0/0]tunnel-protocol gre
[r1-Tunnel0/0/0]source g0/0/0
[r1-Tunnel0/0/0]destination 100.1.2.2
[r1-Tunnel0/0/0]ip add 10.1.1.1 24

[r2]int lo 1
[r2-LoopBack1]ip add 2.2.2.2 24
[r2]int t0/0/0
[r2-Tunnel0/0/0]tunnel-protocol gre 
[r2-Tunnel0/0/0]source g0/0/0
[r2-Tunnel0/0/0]destination 100.1.1.1
[r2-Tunnel0/0/0]ip add 10.1.1.2 24

ospf配置
[r1]ospf 1
[r1-ospf-1]a 0
[r1-ospf-1-area-0.0.0.0]network 1.1.1.1 0.0.0.0
[r1-ospf-1-area-0.0.0.0]network 10.1.1.1 0.0.0.0
[r2]ospf 1
[r2-ospf-1]a 0
[r2-ospf-1-area-0.0.0.0]network 2.2.2.2 0.0.0.0
[r2-ospf-1-area-0.0.0.0]network 10.1.1.2 0.0.0.0

查看邻居建立情况
[r1]dis ospf peer brief 
	 OSPF Process 1 with Router ID 100.1.1.1
		  Peer Statistic Information
 ----------------------------------------------------------------------------
 Area Id          Interface                        Neighbor id      State    
 0.0.0.0          Tunnel0/0/0                      100.1.2.2        Full        
 ----------------------------------------------------------------------------

(1)配置 IKE SA 

<1> 安全提议

[r1]ike proposal 10
[r1-ike-proposal-10]encryption-algorithm 3des-cbc 
[r1-ike-proposal-10]authentication-algorithm sha1
[r1-ike-proposal-10]authentication-method pre-share 
[r1-ike-proposal-10]dh group2

[r2]ike proposal 10
[r2-ike-proposal-10]encryption-algorithm 3des-cbc 
[r2-ike-proposal-10]authentication-algorithm sha1
[r2-ike-proposal-10]authentication-method pre-share
[r2-ike-proposal-10]dh group2

<2> 安全认证

[r1]ike peer gre v1
[r1-ike-peer-gre]pre-shared-key simple aaa  // 设置预共享密钥(simple:本地不加密)
[r1-ike-peer-gre]exchange-mode aggressive  // 采用野蛮模式
[r1-ike-peer-gre]local-id-type name  // 采用name定义
[r1-ike-peer-gre]remote-name a1  // 远端name为a1
[r1-ike-peer-gre]remote-address 100.1.2.2 // 远端IP
[r1-ike-peer-gre]ike-proposal 10  // 引用ike
[r1]ike local-name a1 // 全局定义本地name

[r2]ike peer gre v1
[r2-ike-peer-gre]ike-proposal 10 
[r2-ike-peer-gre]pre-shared-key simple aaa
[r2-ike-peer-gre]remote-address 100.1.1.1
[r2-ike-peer-gre]exchange-mode aggressive 
[r2-ike-peer-gre]local-id-type name
[r2-ike-peer-gre]remote-name a1

(2)配置ipsec sa 的安全提议信息

[r1]ipsec proposal gre
[r1-ipsec-proposal-gre]encapsulation-mode transport 

[r2]ipsec proposal gre 
[r2-ipsec-proposal-gre]encapsulation-mode transport 

(3)定义加密流量(感兴趣流)

[r1]acl 3001
[r1-acl-adv-3001]rule 10 permit gre source 100.1.1.1 0 destination 100.1.2.2 0

[r2]acl 3001
[r2-acl-adv-3001]rule 10 permit gre source 100.1.2.2 0 destination 100.1.1.1 0

(4)配置安全策略集

[r1]ipsec policy gre 10 isakmp 
[r1-ipsec-policy-isakmp-gre-10]ike-peer gre 
[r1-ipsec-policy-isakmp-gre-10]proposal gre
[r1-ipsec-policy-isakmp-gre-10]security acl 3001

[r2]ipsec policy gre 10 isakmp
[r2-ipsec-policy-isakmp-gre-10]security acl 3001
[r2-ipsec-policy-isakmp-gre-10]proposal gre
[r2-ipsec-policy-isakmp-gre-10]ike-peer gre

(5)接口调用安全策略集

[r1]int g0/0/0
[r1-GigabitEthernet0/0/0]ipsec policy gre

[r2]int g0/0/0
[r2-GigabitEthernet0/0/0]ipsec policy gre

ping进行触发:

安全防御 --- IPSec理论(02)

安全防御 --- IPSec理论(02)
流量已加密

(6)分析

安全防御 --- IPSec理论(02)文章来源地址https://www.toymoban.com/news/detail-479144.html

到了这里,关于安全防御 --- IPSec理论(02)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 安全防御--IPsec VPN点到点的实验

    在计算机和网络安全领域中,数据认证是指验证数据在传输和存储过程中的完整性、真实性和合法性的过程。数据在传输和存储过程中容易受到数据篡改、损坏或未经授权的访问和修改的风险,数据认证可以帮助防止这些风险并提高数据的安全性和可靠性。 数据认证的主要作

    2024年02月04日
    浏览(40)
  • 安全防御——三、网络安全理论知识

    下边基于这次攻击演示我们介绍一下网络安全的一些常识和术语。 资产 任何对组织业务具有价值的信息资产,包括计算机硬件、通信设施、IT 环境、数据库、软件、文档资料、信息服务和人员等。 网络安全 网络安全是指网络系统的硬件、软件及其系统中的数据受到保护,不

    2024年02月04日
    浏览(44)
  • 网络安全协议之IPSec协议

    IPSec即IP安全协议 网络层在传输的时候可能会遭到攻击,这时我们需要用IPSec协议来进行保护 就像使用SSL协议来保护传输层一样 IPSec经常用于建立虚拟专用网络(VPN),它通过对IP数据包进行加密和认证,来提供两台计算机之间的安全加密通信 1. AH只提供认证和完整性保护,不

    2024年02月12日
    浏览(38)
  • 网络协议 — IPSec 安全隧道协议族

    2024年02月06日
    浏览(62)
  • 详解IP安全:IPSec协议簇 | AH协议 | ESP协议 | IKE协议_ipsec esp

    目录 IP安全概述 IPSec协议簇 IPSec的实现方式 AH(Authentication Header,认证头) ESP(Encapsulating Security Payload,封装安全载荷) IKE(Internet Key Exchange,因特网密钥交换) IKE的两个阶段 大型网络系统内运行多种网络协议(TCP/IP、IPX/SPX和NETBEUA等),这些网络协议并非为安全通信设计

    2024年01月19日
    浏览(38)
  • IPsec、安全关联、网络层安全协议

    ·IP 几乎不具备任何安全性, 不能保证 :         1.数据机密性         2.数据完整性         3.数据来源认证 ·由于其在设计和实现上存在安全漏洞,使各种攻击有机可乘。例如:攻击者很容易构造一个包含虚假地址的 IP 数据报。 · IPsec 提供了标准、健壮且包含广泛的机

    2024年02月19日
    浏览(52)
  • 安全防御——四、防火墙理论知识

    20世纪90年代,随着互联网的普及,出现了路由器访问控制列表无法抵御的攻击和非法访问等一系列威胁,因此出现了针对这些威胁的防范策略需求。1992年OECD组织发布了“信息系统安全指导书\\\",其中定义了为构建安全网络体系而需要遵循的CIA基本理念。CIA是机密性(Confidential

    2024年02月04日
    浏览(38)
  • 网络安全--防御保护02

    第二天重要的一个点是 区域 这个概念 防火墙的主要职责在于控制和防护---安全策略---防火墙可以根据安全策略来抓取流量之后做出对应的动作 单一主机防火墙:专门有设备作为防火墙 路由集成:核心设备,可流量转发 分布式防火墙:部署多个 吞吐量 --- 防火墙同一时间处

    2024年01月24日
    浏览(44)
  • 5.2 IPSec之二----安全协议

    1、安全协议 认证头AH协议只提供认证服务 封装安全荷载协议ESP提供认证和加密两种服务 认证服务是可选的,加密服务必须实现   2、认证头协议AH 传输模式的AH进行认证的范围是除了IP头部的可变部分之外的整个IP数据包 隧道模式的AH对整个内部IP包及其外部IP包头部的不变部

    2024年02月07日
    浏览(36)
  • 网络安全——网络层IPSec安全协议(4)

    作者简介:一名云计算网络运维人员、每天分享网络与运维的技术与干货。   座右铭:低头赶路,敬事如仪 个人主页:网络豆的主页​​​​​​ 目录 前言 一.IPSec安全协议 1.IPSec提供的安全服务 2.IPSec结构 3.IPSce提供的两种机制 二.Authentication Header 协议 1. Authentication Heade

    2024年02月03日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包