51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

IPsec VPN基础:认识IPsec VPN

作者:佚名
安全
VPN的用途大家应该有所了解,那么在这之中,应用非常广泛的IPsec VPN也非常重要。那么对于IPsec VPN你是否了解呢?下面我们就简单介绍一下IPsec VPN。

1.IPSEC 提供了下列服务:

数据的机密性----------这是通过加密来防止数据遭受窃听攻击。

数据的完整性和验证--------通过HMAC功能来验证数据包没有被损坏,并通过一个有效地对等体收到。

抗回放检测--------这是通过在数据包中包括加密的序列号确保来自中间人攻击设备的抗回放攻击不能发生。

对等体验证--------这是为了在两个对等体之间传递之前。对方就是"他说它是"的设备。设备验证支持对称欲共享密钥、非对称欲共享密钥、以及数字证书。远程访问连接也支持使用XAUTH的用户认证。

2.IPSEC VPN的基本过程:

ISAKMP/IKE阶段1

1>一个VPN网关对等体发起了到另外一个远端的VPN网关对等体的会话。

2>ISAKMP/IKE阶段1开始,两个对等体协商如何保护管理连接。

3>DH用于在管理连接上对加密算法和HMAC功能安全地共享密钥。

4>在安全的管理连接上执行设备认证。

ISAKMP/IKE阶段2

5>对等体协商参数和密钥消息来保护数据连接(通过安全的管理连接来实现的,或者可选性的再次使用DH)

6>建立数据连接,VPN网关现在可以通过数据连接保护用户的流量。阶段2结束。

3.远程访问IPSEC VPN的基本过程

ISAKMP/IKE阶段1

1>远程访问客户发起到远程VPN网关的连接。

2>当用户和VPN网关协商如何保护管理连接时,IKE阶段1开始。

3>DH用于在管理连接上对加密算法和HMAC功能安全的共享密钥。

4>在安全的管理连接上实行设备认证。

ISAKMP/IKE阶段1.5

5>可选的,执行用户认证。这是通过XAUTH标准实现的。VPN网关要求用户输入用户名和口令。

6>可选的,IPSEC网关会把策略推送到客户方,厂商在实施的时候可能存在私有性,例如,一个非cisco客户可能不理解被一个cisco VPN网关推送的策略。在cisco实施中,客户可以推送一个内部的IP地址,一个域名、DNS和WINS服务器的地址、隧道分离的策略、防火墙的策略和其他的连接策略。

7>可选的,可以发生反向路由注入。这就是为什么客户可以可选的通过IPSEC的管理连接向VPN的网关注入路由选择信息,而VPN网关可以将这个路由选择信息注入到内部的的网络。

ISAKMP/IKE阶段2

8>阶段2开始:客户和VPN网关协商参数和密钥信息来保护数据连接。

9>数据连接建立,阶段2结束:VPN网关现在可以通过数据连接保护用户数据了。

10>最终与管理和数据连接相关的生存周期将会到期,这些连接将会重新构建。

4.加密算法

加密算法中包括对称加密和非对称加密。

对称加密的优点是加密速度快,加密后的数据少,缺点是密钥交换不安全。主要有DES、3DES、AES等

非对称加密的优点是密钥交换安全。既能用于既能用于加密,也能用于认证。缺点是加密缓慢,加密后数据较长。主要有RSA等。

5.数据包认证(HMAC功能+DH算出的密钥)

VPN主要启用散列消息验证码(HMAC)功能来实现数据包的认证和设备的认证(对数据包的完整性认证和源认证)。通常散列函数有一个缺点:如果一个窃听者可以截获被发送的数据,他可以很容易的产生关于这个数据的签名。HMAC通过一个共享密钥来产生数字签名从而克服了这个问题。只有知道密钥的另一方才能建立并检验发送的数据的签名。这里只能确定数据是完整的,没有确定源或目的就是想要建立连接的那位,因为虽然他们的密钥是相同的,但是这个密钥是通过DH方法交换来的,DH也不能确定对方是其应该交换密钥的一方。也就是说这里的源或者目的可能是攻击者。

HMAC的基本及制图如下:

HMAC的另一个问题就是当你的数据在两个设备之间发送的时候,你的签名可能被一个中间设备破坏。例如一个地址转换设备。或者需要更改QOS信息。解决方法就是:在使用HMAC功能计算数字签名的时候不要包括数据包中某些字段。这些字段包括IP数据包中下述字段:IP地址字段、存活时间字段、服务类型、TCP或者UDP端口号字段和可能的其他字段。

6.密钥交换(DH算法)

DH算法可以分为1、2、3、4、5、7、14、15等类型。Cisco路由器只是支持1、2、5三种。

DH算法可以是直线算法或椭圆曲线两种。

DH算法能够动态的、安全地、带内的方式来周期性的刷新密钥。将实际管理它们的时间缩小到一个很少的时间。

DH算法为数据加密和数据完整性认证(HMAC)提供密钥

DH密钥交换过程是在一个不安全的网络上进行的,公钥不能确定发送到了想要发送的对等体上。也就是说存在中间人攻击。所以还需要进行对等体的认证也就是设备认证。

7.设备认证和用户认证(这部分进行了源认证)

设备认证通常使用下面三种方法:

欲共享对称密钥(HMAC功能+配置的欲共享密钥)

欲共享非对称密钥

数字证书

远程访问VPN增加了一个额外的特性:将用户放入到组的能力,这个时候的欲共享密钥就是组欲共享密钥,对组进行认证,同一组的用户认证VPN网关使用相同的欲共享密钥,VPN网关使用与共享密钥认证一个组。但是如果VPN网关要认证一个用户,则要进行用户认证,也就是用户需要提供一个用户名和密码。这是在VPN1.5阶段XAUTH中进行的。

 

责任编辑:佟健 来源: 51CTO整理
IPsec VPN
相关推荐
IPsec VPN基础IPsec VPN相关概念与协议
本篇文章主要讲解了IPsecVPN的一些基础概念和有关的协议,希望对网管员们能够有所帮助。

2011-11-25 13:34:56

IPsec VPNIPsec VPN协议
IPsec VPN配置
如今,IPsecVPN的配置问题,被越来越多的人关注。

2011-11-29 16:08:30

IPsec VPN
IPsec VPN配置:IPsec VPN的高可用性
对于IPsecVPN的基本配置我们已经有一个大概的了解了,那么这篇文章我们主要讨论IPsecVPN的高可用性及其相关配置。

2011-11-25 13:24:56

VPN实战2:构建IPSec VPN
实现IPSec要求主机安装上ipsectoolsRPM软件包,RedHatEnterpriseLinux5一般默认安装。执行下述命令可以看到它的版本号为ipsectools0.6.513.el53.1。

2012-09-28 09:44:32

IPSec VPN 与SSL VPN简介
VPN(VirtualPrivateNetwork)虚拟专用网,指在公共网络(如Internet)上构建临时的、安全的逻辑网络的技术。机构遍布各地的公司,尤其跨越国家的公司,可以通过VPN接入总部网络。

2012-09-26 09:49:44

IPSec VPN快速入门
什么是IPSecVPN?IPSecVPN即指采用IPSec协议来实现远程接入的一种VPN技术,IPSec全称为InternetProtocolSecurity,是由InternetEngineeringTaskForce(IETF)定义的安全标准框架,用以提供公用和专用网络的端对端加密和验证服务。

2011-11-29 12:27:54

IPsec VPN和MPLS VPN之比较
建立在IP技术基础之上的VPN(虚拟专网)正快速成为新一代网络服务的基础,众多的服务供应商都纷纷推出了基于自身VPN传输网的各类增值服务,如下我们将IPsecVPN和MPLSVPN进行了一个比较。

2011-11-07 10:49:16

IPsec VPNMPLS VPN
Ipsec VPN的网络拓扑
IPsec是专门用来解决IPv4的一些基础安全性问题的。在本篇文章中,您将学习到IpsecVPN的网络拓扑。

2010-12-15 11:24:35

IPSec VPN 配置基本步骤
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解,下面我们给大家介绍一下有关IPSECVPN配置的基本步骤,希望对大家有所帮助。

2011-11-29 14:50:19

IPSecVPN
IPSec VPN的详细介绍
IPSec(IPSECURITY)是为实现VPN功能而最普遍使用的协议。通过相应的隧道技术,可实现VPN。IPSec有两种模式:隧道模式和传输模式。

2011-11-29 12:13:21

VPN
IPSEC VPN配置名词解释
IPSEC是一套比较完整成体系的VPN技术,它规定了一系列的协议标准。如果不深入探究IPSEC的过于详细的内容,我们对于IPSEC大致按照以下几个方面理解,下面我们给大家介绍一下有关IPSECVPN配置名词的解释。

2011-11-29 13:23:29

IPSec VPN基本原理
IPSecVPN是目前VPN技术中点击率非常高的一种技术,同时提供VPN和信息加密两项技术,这一期专栏就来介绍一下IPSecVPN的原理。

2011-11-29 12:17:00

基于PSK的IPsec VPN配置
我们知道IPsec是比较常用的VPN技术,它的协议也相对比较多,应用也很广泛。所以,对于网络管理员来说,掌握IPsecVPN的配置也是必要的。

2011-11-25 11:23:29

IPsec VPNIPsec VPN配置
解析IPSec VPN 9大优势
IPSecVPN技术在IP传输上通过加密隧道,在用公网传送内部专网的内容的同时,保证内部数据的安全性,从而实现企业总部与各分支机构之间的数据、话音、视频业务互通。

2009-04-08 10:34:00

IPSec VPN协议
IPSec VPN和SSL VPN:对比两种VPN的安全风险
虚拟专用网络(VPN)已经成为了公司合作伙伴或员工远程安全访问公司资源的事实标准。在本文中,我们将试图解释两种特定的VPN类型,即IPSecVPN和SSLVPN,以及这两种类型应该如何选择。

2011-05-30 09:27:44

CISCO 3640系列IPsec VPN配置步骤
举列:一公司和其分公司需要经常的数据交换,为了达到数据传输的安全性,保密性,采取了站点之间的VPN搭建,其技术是基于IPSEC的VPN虽然在现实生活中用的并不多。

2011-11-25 14:15:02

IPsec VPNIPsec VPN配置
信息化的发展 从IPSec VPN到加速VPN
社会信息化的发展,让每一个人都已经深深的意识到:构建统一的信息平台,实现资源共享成为是每个机构追求发展进步不可或缺的一步,如下我们给大家介绍一些关于VPN的发展趋势。

2011-11-29 13:42:55

解析IPSec VPN网络安全体系
目前,采用IPSec标准的VPN技术已经基本成熟,得到国际上几乎所有主流网络和安全供应商的鼎力支持,并且正在不断丰富完善。可以断定,IPSec将成为未来相当一段时间内企业构筑VPN的主流标准,因此企业在构造VPN基础设施时应该首先考虑IPSec标准。

2011-05-23 10:52:58

飞鱼星VE产品支持IPSec-VPN功能
现在,飞鱼星科技给企业带来了利好消息,其旗下上网行为管理路由器系列产品VE1000及以上型号,在以往仅支持PPTPVPN的基础上,全面支持IPSecVPN功能,实现防火墙、上网行为管理、VPN三合一,让企业购置一台即可拥有三台设备的效果,正可谓“一举三得”。

2010-06-01 13:53:33

IPSec VPN在多分支企业中的应用
随着社会经济的发展,保险、餐饮、加油站等行业呈现快速增长的趋势,连锁分支机构数目随之不断增加。鉴于连锁企业地理位置分散、网点众多,为了便捷地掌握各网点的实时状况,提高管理质量和效益,同时应对加入WTO和经济全球化所带来的挑战。

2011-11-29 14:10:43

点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服