网络安全与管理
第一章 网络安全概述,密码学,及PGP邮件加密实施
网络中存在着很大的安全威胁。
黑客采用的攻击方法:非授权使用,破坏完整性,信息泄露和丢失,破坏通信协议,传播计算机病毒,DOS攻击,DDOS攻击。
非专业用户可能连肉机都听不懂,还以为是吃呢?
先有小偷后有警察,先有病毒后有杀毒软件。不断的更换病毒的特征码。每年查杀出的病毒百万个以上,而且成几何增长。你把编程搞的熟一点,你有一种设计思路,找到一个漏洞你也可以开发出一些病毒和木马。
网络安全的基本需求:保密,可控,完整,可用。
常用的网络安全技术:数据加密,身份认证,数字签名,防火墙,入侵检测,安全监控,网络扫描,网络防毒。
如果你要保证个人计算机的安全,其实并不复杂:装一套东西。瑞星,江民,360.
企业方面的网络安全产品:绿盟,H3C等。
可以上网查看一些关于网络安全讨论的视频,网络安全谁来保证等 ,网络安全军情连连看。
加密算法原理及示例
了解加解密的基本概念和术语。
掌握加密技术的分类。
掌握对称加密技术的原理及主要算法的技术实现。
掌握公钥加密技术的原理及主要算法的技术实现、。
了解PGP算法及其应用。
通过加密,可以实现的安全服务:保密性,完整性,不可否认性。
加密的相关术语:明文,密文,算法,密钥,加密,解密。
基本的加密思想:
置换,移位,应用于现代密码学当中。加密的实现不只依赖于以上这些基本的思想,也有很多巧妙的设计,。
加密算法分类:
密码设计的基本公理是和前提是算法公开。
系统的安全性仅依赖于密钥的保密性。
分为:
对称密钥密码算法:私钥密码算法。加密密钥和解钥是相同的。
对称密钥要保存很多密钥而变的很复杂。
密钥传送变的很复杂。
对称密钥的长度从48位到128位。
著名的对称加密算法:
DES数据加密标准(是一种块和分组加密算法,对块模式为64位的数据块进行加密,密钥是固定的56位,是基本思想的灵活应用。3DES是将DES算法执行了2遍。使用仍然很广泛)。
IDEA国际数据加密算法:分组长度为64位,密钥长度为128位,设计原则是来自不同代数群的混合运算。如异或,模216加,模216+1乘。软件实现的IDEA比DES快两倍。
可以在网上下载一些DES或IDEA加解程序,也可以自己编写该类程序。
RC系列,密钥长度,分组长度等都可变。
CAST,
AES高级数据加密标准。
非对称密钥密码算法:公钥密码算法。加密密钥和解钥是不同的。公钥加密使用两个密钥,一个密钥用于加密信息,另一个密钥用于解密信息,
公钥加密算法:已知公钥推不出私钥,已知私钥推不出公钥。安全性非常的高。
公钥加密:加密和解密慢。可以与对称加密结合。
著名的公钥加密算法:DH密钥交换。安全性来自于很难计算机出离散性很大的对数。非常重要的一个应用就是在IPSEC当中用于实现密钥的交换。
RSA:主要用于加密,数字 签名。比用软件实现的DES算法慢100倍。
PGP邮件加密安全实施
PGP邮件系统加密。网上的信息绝大多数以明文信息传输。使用的邮件系统存在安全问题。信息加密,数字签名。PGP电子邮件安全程序
PGP简单介绍:pretty good privacy
PGP密钥管理--密钥生成与公钥导入
利用PGP发送加密邮件。直接使用OUTLOOK
解密
发送方用自己的私钥做签名,用接收方的公钥加密正文。
PGP实际应用::::
问题提出,假设你在某软件公司负责某系统软件的开发和测试工作,现在要对公司新开发的某个软件进行测试,按照惯例使用电子邮件将该程序的源代码和核心数据发给北京总公司的小王和深圳公司的小李,由于程序中的代码和核心数据属于该公司的核心机密,所以应当注意如下问题:数据不可以被竞争对手截获。即使该公司的其他人员,也不可以接触到该邮件,即使打开信箱,没有口令和解密手段也不能够打开。
在网络上使用什么邮件服务器无所谓,关键是客户端上你得是PGP加上OUTLOOK的组合。
安装PGP.安装邮件服务器,并使用两台客户机测试OUTLOOK。
使用PGP也可以在本地加密解密。非常方便。使用非对称密钥。相当于一个保险柜。
对称加密技术简单,用硬件和软件皆可以实现,适宜处理大块数据,非对称加密复杂,运算速度慢,只适用于加密小部分数据,在现在 计算机网张当中,利用非对称来加密传输过程中的对称加密密钥,用对称加密对加密解密数据。
PGP是基于RSA的邮件加密软件,既提供加密服务,也提供解密服务。也提供数字签名服务。
有了哈希函数的参与,完整性可以得到很好的实现。著名的有MD5,SSH。
数字信封:同时使用了对称加密和非对称加密。
数字签名:验证发送方的签名,先对原文做一次哈希函数,生成摘要,然后再进行加密。
数据加密解密流程
假设A用户想要发送给B用户。
A用户首先将明文使用HASH函数生成摘要,A用户使用自己的私钥对摘要进行加密生成数字答名。
然后将明文,数字签名,用户A的公钥使用对称加密进行加密。将对称加密密钥用非对称加密技术加密。做成数字信封,然后发送。
用户B收到以后用自己的私钥解开对称加密的密钥,然后对其中的明文进行HASH去处,得到摘要二(用来验证完整性),然后将A的摘要1 还原,并与摘要2对比。若一样,则保密性,完整性,不可否认性均可得到验证。
第三章
本章目标
CA数字认证服务
CA服务器配置
证书申请及应用
SSL协议
SSL实现WEB加密通信
SSL-VPN
银行的网是专网。所以你不会看到在ATM服款机上谁的帐号被破解。
CA----认证中心
CA为电子商务,电子政务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书。它是电子商务和网上银行交易的权威性,可信赖性,及公证性的第三方机构。
CA对数字证书的签名使得它不可以被修改和伪造。
PKI公钥基础设施,签发证书,证书回收列表。
PKI是用于发放公开密钥的一种渠道。包括:CA认证中心,RA注册,Direcotry目录服务。
CA可以使用分层次的认证功能。可以授权其它服务器。
CA的功能:
证书的申请,在线申请或离线申请。
证书的审核,在线审核或离审核。
证书的发放,在线发放和离线发放。
证书的归档,比如重装系统或证书丢失了。可以重新获得。
证书的撤销。
证书的更新。人工密钥更新或自动更新。
证书的表现形式以及证书上的信息:
公钥证书的主要内容:持有者标识,序列号,公钥,有效期。签发者标识。CA的数字签名。
证书导入以后。通过浏览器的选项菜单可以查看证书的内容。包括公钥。
在Windows系统下也可以生成证书。
CA认证中心配置及实现SSL WEB加密通信
安装CA证书服务,及一些应用程序服务,如ASP.net
可以添加数据恢复代理。
DOS下添加用户命令:net user a1 123 /add
WEB认证与专有信道
安装CA证书服务,同时安装ASP.net。在安装完CA证书服务后,它会提示要允许证书服务提供WEB注册服务,必须启用ASP,
如果大家是先装了CA,后装了ASP,必须在DOs中使用命令:certutil -vroot
实现SSL通信,https
SSL协议概述
数据保密:加密算法为私钥加密算法。
身份认证:公钥加密算法。
数据完整性。HASH验证。如MD5,SSH
SSL协议层次:SSL握手协议,SSL记录协议,SSL密码变更协议。
SSL VPN原理介绍
基于SSL的一个完整的访问过程:
1.客户机浏览器的的数字证书及公钥
2.服务器也要提供它自己的数字证书及公钥
客户端用服务器的公钥加密信息,服务器用自己的私钥解密信息。
服务器用客户端的公钥加密信息。客户端用自己的私钥解密信息。
VPN:虚拟专有网络。
SSL VPN采用了SSL协议,介于HTTP和TCP之间。
通过SSL VPN是接入了企业内部的应用,而不是企业的整个网络。没有控制的接入企业的整个网络是非常安全的。
采用SSL安全协议在网络中传输,对于网关上的防火墙来讲,只需开放某些安全端口443,而不需要将所有对应应用的端口开放给用户,这样大大降低了整个网络被公网攻击的可能性。
数据加密的安全性有加密算法来保证。黑客想要解开网络中的这些数据,必须能够解开这些加密算法后的数据包。
SESSIon保护,在会话停止一段时间后自动来结束会话,如果需要继续访问则需要重新登陆。防止数据被窃听后伪装的访问。
SSL VPN起到的安全功能
首先由于SSL VPN一般在网关或者在防火墙后面,把企业内部需要授权给外部访问的应用注册到VPN上,这样对于网关来讲,只需要访问443号端口,如有黑客发起攻击,也只能攻击到VPN这里。
不改变病毒策略,如果您采用了IPSEC VPN的产品,当客户端有一台电脑连入VPN网络后,该网络的防病毒的策略将完全崩溃。因为联入内部网络的电脑并不受原来的防病毒策略的保护。而SSL VPN不存在这个问题。
不改变防火墙策略,基本原理同防病毒策略,如果有一台电脑通过VPN连入内部网络后,如果该电脑被黑客攻击安装了木马,这台电脑将成为攻击内部网络的跳板。
关于SSL VPN的产品,可以上网查看深信服的产品。其销量具有比较好的趋势。
第四章IPSec工作原理
本章目标
IPsec体系结构
IPsec安全协议
IPsec安全算法
IPsec密钥管理
基于Windows实现传输模式VPN
斟于Windows实现隧道模式VPN
IPsec为什么安全?主要它是在网络层进行加密和解密,密钥协商的的开销被大大的消减了,需要改动的应用程序很少,很容易构建VPN。
缺点是很骓解决抗抵赖的问题。
IPsec的目标:
为IPv4和IPv6提供具有较强的互操作能力。
高质量和基于密码的安全。
在IP层实现多种安全服务,包括访问控制,无连接完整性,数据源验证,抗重播,机密性和有限的业务流机密性。
IPsec体系结构下有两种安全的协议:ESP协议和AH协议 。
验证头部协议AH:为IP包提供数据完整性验证和身份认证,验证算法由SA指定。验证范围是整个包。
封装安全载荷ESP:提供机密性,数据源认证,抗重播以及数据完整性等安全服务,加密算法和身份认证由SA指定。
sa指的是安全联盟。
密钥管理:ISAKMP定义了密钥管理框架。
IKE是目前正式确定用于IPsec的密钥交换协议。
IPsec工作的模式有两种:传输模式和隧道模式。
隧道模式与传输模式的不同:
原始的IP数据包:IP头,TCP头,数据
传输模式下的数据包:IP头,IPsec,TCP头,数据
隧道模式下的数据包:外部IP头,IPsec头,IP头,TCP头,数据
AH的处理过程:
创建一个外出SA(手工或通过IKE)
产生序列号
填充AH头的各部分
计算ICV(完整性检验值)
内容包括:IP头中部分域,AH自身,上层协议数据。
AH头中的下一头部置为原IP报头中的协议字段的值,原IP报头的协议字段的值置为51(代表AH)
对于接受到的包的处理:
分片装配
查找SA:依据目标IP地址,AH协议,SPI
检查序列号
ICV检查
ESP的处理流程:
对于发出去的包处理:
查找SA
加密
封装必要的数据,放到playload data域中,不同的模式,封装数据的范围不同。
增加必要的padding数据。
加密。
验证。
计算ICV值。针对加密后的数据计算。
也就是说,在发送方使用加密算法和密钥加密,在接收方使用相同的算法解密,如果能够协商出来这个密钥而不让第三方知道呢。
这取决于SA安全联盟。
SA是单向的,根据Sa不能够推出算法和密钥。
SA是协议相关的。
每个SA 只包含三个参数值,SPI,全全参数索引,是一个密码和密钥的编号。并不包含密码和密钥,而密码和密钥放在了两个数据库里面。第二个参数是对方IP地址。第三个参数是安全协议标识:AH或者ESP
SA与两个数据库有关:
安全策略数据库SPD
安全关联数据库SAD
收发双方通信,首先要确定出一个安全策略数据库,可以通过打电话协商,只有收发双方知道。第三方不知道。然后根据协商的结果生成算法和密钥的数据库,安全关联数据库只有算法和密钥。只有收发双方完全一样,但第三方并不知道。
IKE协议定义了如何建立安全联盟并初始化密钥。
IPsec经常被用来做VPN。要求:数据私秘性,数据完整性,数据来源鉴别,防重放。
IPsec-vpn用到的协议和算法:
IP安全协议:AH,ESP
数据加密标准:DES,3DES
公区密钥管理协议:DH
散列算法:MD5,SHA-1
公钥加密算法:RSA
Internet密码交换:IKE
证书授权中心:CA
Windows传输模式IPsec配置
有两台计算机AB,装windows系统,我们要在上面估VPN。
A计算机IP:200.0.0.101
B计算机IP:200.0.0.102
如果要配置IPsec,大家选中管理工具,在管理工具中选择本地安全策略,选择IP安全策略,在本地计算机上,然后新建一个安全策略。名称为ip安全策略-1,暂不激活默认规则。完成后在上面点右键选择新建规则。在其中可以添加一个筛选器列表,添加我的IP到特定IP之间数据传输的一个加密。后面都可以添加筛选器。新建好之后,把该安全策略指派。
然后你再去ping对方的IP地址,根本 就ping不通了。
然后在另一台计算机上做一个相同的安全策略才可以。然后两台计算机就可以连接通了。。
Windows隧道模式IPsec配置
在配置Windows隧道模式时,必须指定隧道终结点。一个出方向的结点,一个入方向的结点。
也就是必须要配置两条规则。一条用于对方的IP地址,一条用于自己的IP地址终点点。其它的与传输模式的配置相同。
在 创建隧道模式时,规则一定要成对出现。
使用Sniffer抓包软件可以对TCP/IP分析。使用IPsec加密后的不可以分析到网络层以上。
测试SSL的加密和IPsec的加密存在的差异
使用Sniffer抓包:第一次明文访问网站。
第二次使用SSL协议:https://100.0.0.1 端口号为443
第三次使用IPsec协议:
可以发现,如果你在人家网站上注册一个帐号和密码,人家以明文的方式给你反回来, 这样安全吗?谁还敢用。
使用SSL抓包只可以分析到传输层,使用IPsec只可以分析到网络层。
使用SSL证书认证,每次都需要协商。比较麻烦,而使用IPsec只需要协商一次就可以了。只 需要在两台路由器上协商后,其它应用程序或者用户并不需要再做协商。IPv4可以选择安装IPsec,而IPv6强调必须安装IPsec。
第一章 网络安全概述,密码学,及PGP邮件加密实施
网络中存在着很大的安全威胁。
黑客采用的攻击方法:非授权使用,破坏完整性,信息泄露和丢失,破坏通信协议,传播计算机病毒,DOS攻击,DDOS攻击。
非专业用户可能连肉机都听不懂,还以为是吃呢?
先有小偷后有警察,先有病毒后有杀毒软件。不断的更换病毒的特征码。每年查杀出的病毒百万个以上,而且成几何增长。你把编程搞的熟一点,你有一种设计思路,找到一个漏洞你也可以开发出一些病毒和木马。
网络安全的基本需求:保密,可控,完整,可用。
常用的网络安全技术:数据加密,身份认证,数字签名,防火墙,入侵检测,安全监控,网络扫描,网络防毒。
如果你要保证个人计算机的安全,其实并不复杂:装一套东西。瑞星,江民,360.
企业方面的网络安全产品:绿盟,H3C等。
可以上网查看一些关于网络安全讨论的视频,网络安全谁来保证等 ,网络安全军情连连看。
加密算法原理及示例
了解加解密的基本概念和术语。
掌握加密技术的分类。
掌握对称加密技术的原理及主要算法的技术实现。
掌握公钥加密技术的原理及主要算法的技术实现、。
了解PGP算法及其应用。
通过加密,可以实现的安全服务:保密性,完整性,不可否认性。
加密的相关术语:明文,密文,算法,密钥,加密,解密。
基本的加密思想:
置换,移位,应用于现代密码学当中。加密的实现不只依赖于以上这些基本的思想,也有很多巧妙的设计,。
加密算法分类:
密码设计的基本公理是和前提是算法公开。
系统的安全性仅依赖于密钥的保密性。
分为:
对称密钥密码算法:私钥密码算法。加密密钥和解钥是相同的。
对称密钥要保存很多密钥而变的很复杂。
密钥传送变的很复杂。
对称密钥的长度从48位到128位。
著名的对称加密算法:
DES数据加密标准(是一种块和分组加密算法,对块模式为64位的数据块进行加密,密钥是固定的56位,是基本思想的灵活应用。3DES是将DES算法执行了2遍。使用仍然很广泛)。
IDEA国际数据加密算法:分组长度为64位,密钥长度为128位,设计原则是来自不同代数群的混合运算。如异或,模216加,模216+1乘。软件实现的IDEA比DES快两倍。
可以在网上下载一些DES或IDEA加解程序,也可以自己编写该类程序。
RC系列,密钥长度,分组长度等都可变。
CAST,
AES高级数据加密标准。
非对称密钥密码算法:公钥密码算法。加密密钥和解钥是不同的。公钥加密使用两个密钥,一个密钥用于加密信息,另一个密钥用于解密信息,
公钥加密算法:已知公钥推不出私钥,已知私钥推不出公钥。安全性非常的高。
公钥加密:加密和解密慢。可以与对称加密结合。
著名的公钥加密算法:DH密钥交换。安全性来自于很难计算机出离散性很大的对数。非常重要的一个应用就是在IPSEC当中用于实现密钥的交换。
RSA:主要用于加密,数字 签名。比用软件实现的DES算法慢100倍。
PGP邮件加密安全实施
PGP邮件系统加密。网上的信息绝大多数以明文信息传输。使用的邮件系统存在安全问题。信息加密,数字签名。PGP电子邮件安全程序
PGP简单介绍:pretty good privacy
PGP密钥管理--密钥生成与公钥导入
利用PGP发送加密邮件。直接使用OUTLOOK
解密
发送方用自己的私钥做签名,用接收方的公钥加密正文。
PGP实际应用::::
问题提出,假设你在某软件公司负责某系统软件的开发和测试工作,现在要对公司新开发的某个软件进行测试,按照惯例使用电子邮件将该程序的源代码和核心数据发给北京总公司的小王和深圳公司的小李,由于程序中的代码和核心数据属于该公司的核心机密,所以应当注意如下问题:数据不可以被竞争对手截获。即使该公司的其他人员,也不可以接触到该邮件,即使打开信箱,没有口令和解密手段也不能够打开。
在网络上使用什么邮件服务器无所谓,关键是客户端上你得是PGP加上OUTLOOK的组合。
安装PGP.安装邮件服务器,并使用两台客户机测试OUTLOOK。
使用PGP也可以在本地加密解密。非常方便。使用非对称密钥。相当于一个保险柜。
对称加密技术简单,用硬件和软件皆可以实现,适宜处理大块数据,非对称加密复杂,运算速度慢,只适用于加密小部分数据,在现在 计算机网张当中,利用非对称来加密传输过程中的对称加密密钥,用对称加密对加密解密数据。
PGP是基于RSA的邮件加密软件,既提供加密服务,也提供解密服务。也提供数字签名服务。
有了哈希函数的参与,完整性可以得到很好的实现。著名的有MD5,SSH。
数字信封:同时使用了对称加密和非对称加密。
数字签名:验证发送方的签名,先对原文做一次哈希函数,生成摘要,然后再进行加密。
数据加密解密流程
假设A用户想要发送给B用户。
A用户首先将明文使用HASH函数生成摘要,A用户使用自己的私钥对摘要进行加密生成数字答名。
然后将明文,数字签名,用户A的公钥使用对称加密进行加密。将对称加密密钥用非对称加密技术加密。做成数字信封,然后发送。
用户B收到以后用自己的私钥解开对称加密的密钥,然后对其中的明文进行HASH去处,得到摘要二(用来验证完整性),然后将A的摘要1 还原,并与摘要2对比。若一样,则保密性,完整性,不可否认性均可得到验证。
第三章
本章目标
CA数字认证服务
CA服务器配置
证书申请及应用
SSL协议
SSL实现WEB加密通信
SSL-VPN
银行的网是专网。所以你不会看到在ATM服款机上谁的帐号被破解。
CA----认证中心
CA为电子商务,电子政务等网络环境中各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书。它是电子商务和网上银行交易的权威性,可信赖性,及公证性的第三方机构。
CA对数字证书的签名使得它不可以被修改和伪造。
PKI公钥基础设施,签发证书,证书回收列表。
PKI是用于发放公开密钥的一种渠道。包括:CA认证中心,RA注册,Direcotry目录服务。
CA可以使用分层次的认证功能。可以授权其它服务器。
CA的功能:
证书的申请,在线申请或离线申请。
证书的审核,在线审核或离审核。
证书的发放,在线发放和离线发放。
证书的归档,比如重装系统或证书丢失了。可以重新获得。
证书的撤销。
证书的更新。人工密钥更新或自动更新。
证书的表现形式以及证书上的信息:
公钥证书的主要内容:持有者标识,序列号,公钥,有效期。签发者标识。CA的数字签名。
证书导入以后。通过浏览器的选项菜单可以查看证书的内容。包括公钥。
在Windows系统下也可以生成证书。
CA认证中心配置及实现SSL WEB加密通信
安装CA证书服务,及一些应用程序服务,如ASP.net
可以添加数据恢复代理。
DOS下添加用户命令:net user a1 123 /add
WEB认证与专有信道
安装CA证书服务,同时安装ASP.net。在安装完CA证书服务后,它会提示要允许证书服务提供WEB注册服务,必须启用ASP,
如果大家是先装了CA,后装了ASP,必须在DOs中使用命令:certutil -vroot
实现SSL通信,https
SSL协议概述
数据保密:加密算法为私钥加密算法。
身份认证:公钥加密算法。
数据完整性。HASH验证。如MD5,SSH
SSL协议层次:SSL握手协议,SSL记录协议,SSL密码变更协议。
SSL VPN原理介绍
基于SSL的一个完整的访问过程:
1.客户机浏览器的的数字证书及公钥
2.服务器也要提供它自己的数字证书及公钥
客户端用服务器的公钥加密信息,服务器用自己的私钥解密信息。
服务器用客户端的公钥加密信息。客户端用自己的私钥解密信息。
VPN:虚拟专有网络。
SSL VPN采用了SSL协议,介于HTTP和TCP之间。
通过SSL VPN是接入了企业内部的应用,而不是企业的整个网络。没有控制的接入企业的整个网络是非常安全的。
采用SSL安全协议在网络中传输,对于网关上的防火墙来讲,只需开放某些安全端口443,而不需要将所有对应应用的端口开放给用户,这样大大降低了整个网络被公网攻击的可能性。
数据加密的安全性有加密算法来保证。黑客想要解开网络中的这些数据,必须能够解开这些加密算法后的数据包。
SESSIon保护,在会话停止一段时间后自动来结束会话,如果需要继续访问则需要重新登陆。防止数据被窃听后伪装的访问。
SSL VPN起到的安全功能
首先由于SSL VPN一般在网关或者在防火墙后面,把企业内部需要授权给外部访问的应用注册到VPN上,这样对于网关来讲,只需要访问443号端口,如有黑客发起攻击,也只能攻击到VPN这里。
不改变病毒策略,如果您采用了IPSEC VPN的产品,当客户端有一台电脑连入VPN网络后,该网络的防病毒的策略将完全崩溃。因为联入内部网络的电脑并不受原来的防病毒策略的保护。而SSL VPN不存在这个问题。
不改变防火墙策略,基本原理同防病毒策略,如果有一台电脑通过VPN连入内部网络后,如果该电脑被黑客攻击安装了木马,这台电脑将成为攻击内部网络的跳板。
关于SSL VPN的产品,可以上网查看深信服的产品。其销量具有比较好的趋势。
第四章IPSec工作原理
本章目标
IPsec体系结构
IPsec安全协议
IPsec安全算法
IPsec密钥管理
基于Windows实现传输模式VPN
斟于Windows实现隧道模式VPN
IPsec为什么安全?主要它是在网络层进行加密和解密,密钥协商的的开销被大大的消减了,需要改动的应用程序很少,很容易构建VPN。
缺点是很骓解决抗抵赖的问题。
IPsec的目标:
为IPv4和IPv6提供具有较强的互操作能力。
高质量和基于密码的安全。
在IP层实现多种安全服务,包括访问控制,无连接完整性,数据源验证,抗重播,机密性和有限的业务流机密性。
IPsec体系结构下有两种安全的协议:ESP协议和AH协议 。
验证头部协议AH:为IP包提供数据完整性验证和身份认证,验证算法由SA指定。验证范围是整个包。
封装安全载荷ESP:提供机密性,数据源认证,抗重播以及数据完整性等安全服务,加密算法和身份认证由SA指定。
sa指的是安全联盟。
密钥管理:ISAKMP定义了密钥管理框架。
IKE是目前正式确定用于IPsec的密钥交换协议。
IPsec工作的模式有两种:传输模式和隧道模式。
隧道模式与传输模式的不同:
原始的IP数据包:IP头,TCP头,数据
传输模式下的数据包:IP头,IPsec,TCP头,数据
隧道模式下的数据包:外部IP头,IPsec头,IP头,TCP头,数据
AH的处理过程:
创建一个外出SA(手工或通过IKE)
产生序列号
填充AH头的各部分
计算ICV(完整性检验值)
内容包括:IP头中部分域,AH自身,上层协议数据。
AH头中的下一头部置为原IP报头中的协议字段的值,原IP报头的协议字段的值置为51(代表AH)
对于接受到的包的处理:
分片装配
查找SA:依据目标IP地址,AH协议,SPI
检查序列号
ICV检查
ESP的处理流程:
对于发出去的包处理:
查找SA
加密
封装必要的数据,放到playload data域中,不同的模式,封装数据的范围不同。
增加必要的padding数据。
加密。
验证。
计算ICV值。针对加密后的数据计算。
也就是说,在发送方使用加密算法和密钥加密,在接收方使用相同的算法解密,如果能够协商出来这个密钥而不让第三方知道呢。
这取决于SA安全联盟。
SA是单向的,根据Sa不能够推出算法和密钥。
SA是协议相关的。
每个SA 只包含三个参数值,SPI,全全参数索引,是一个密码和密钥的编号。并不包含密码和密钥,而密码和密钥放在了两个数据库里面。第二个参数是对方IP地址。第三个参数是安全协议标识:AH或者ESP
SA与两个数据库有关:
安全策略数据库SPD
安全关联数据库SAD
收发双方通信,首先要确定出一个安全策略数据库,可以通过打电话协商,只有收发双方知道。第三方不知道。然后根据协商的结果生成算法和密钥的数据库,安全关联数据库只有算法和密钥。只有收发双方完全一样,但第三方并不知道。
IKE协议定义了如何建立安全联盟并初始化密钥。
IPsec经常被用来做VPN。要求:数据私秘性,数据完整性,数据来源鉴别,防重放。
IPsec-vpn用到的协议和算法:
IP安全协议:AH,ESP
数据加密标准:DES,3DES
公区密钥管理协议:DH
散列算法:MD5,SHA-1
公钥加密算法:RSA
Internet密码交换:IKE
证书授权中心:CA
Windows传输模式IPsec配置
有两台计算机AB,装windows系统,我们要在上面估VPN。
A计算机IP:200.0.0.101
B计算机IP:200.0.0.102
如果要配置IPsec,大家选中管理工具,在管理工具中选择本地安全策略,选择IP安全策略,在本地计算机上,然后新建一个安全策略。名称为ip安全策略-1,暂不激活默认规则。完成后在上面点右键选择新建规则。在其中可以添加一个筛选器列表,添加我的IP到特定IP之间数据传输的一个加密。后面都可以添加筛选器。新建好之后,把该安全策略指派。
然后你再去ping对方的IP地址,根本 就ping不通了。
然后在另一台计算机上做一个相同的安全策略才可以。然后两台计算机就可以连接通了。。
Windows隧道模式IPsec配置
在配置Windows隧道模式时,必须指定隧道终结点。一个出方向的结点,一个入方向的结点。
也就是必须要配置两条规则。一条用于对方的IP地址,一条用于自己的IP地址终点点。其它的与传输模式的配置相同。
在 创建隧道模式时,规则一定要成对出现。
使用Sniffer抓包软件可以对TCP/IP分析。使用IPsec加密后的不可以分析到网络层以上。
测试SSL的加密和IPsec的加密存在的差异
使用Sniffer抓包:第一次明文访问网站。
第二次使用SSL协议:https://100.0.0.1 端口号为443
第三次使用IPsec协议:
可以发现,如果你在人家网站上注册一个帐号和密码,人家以明文的方式给你反回来, 这样安全吗?谁还敢用。
使用SSL抓包只可以分析到传输层,使用IPsec只可以分析到网络层。
使用SSL证书认证,每次都需要协商。比较麻烦,而使用IPsec只需要协商一次就可以了。只 需要在两台路由器上协商后,其它应用程序或者用户并不需要再做协商。IPv4可以选择安装IPsec,而IPv6强调必须安装IPsec。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
