您好,欢迎访问三七文档
VPN(隧道+安全)隧道技术:(tunnel)-在目标IP为私有IP的数据包外面封装公网IP,实现远程网络之间私有IP通信的技术--:在隧道中传递的数据至少有两个IP包头隧道协议:GRE;IPsec;SSL/TLS;PPTP;L2TP;协议分类:PPTPVPN;L2TPVPN;IPsecVPN;应用分类;远程访问VPN;SiteToSiteVPN;实现方式:VPN服务器;硬件VPN;集成VPN;GRE-:GenericRoutingEncapsulation通用路由封装---:在两个远程网络之间模拟出直连链路,从而使网络间达到直连的效果1,原始IP数据包包头的IP地址为私有IP地址2,将原始IP数据包封装进GRE协议,封装的包头IP地址为虚拟直连链路两端的IP地址3,将整个GRE数据包当做数据,在外层封装IP包头私有IP地址包头:SA:10.1.1.2DA:192.168.1.4GRE包头:SA:1.1.1.1DA:1.1.1.2真实的IP包头:SA:100.1.1.1DA:200.1.1.1GRETunnel:要求至少一端有固定IP地址;只支持路由器,不支持ASA和PIX;分三步;1,创建虚拟链路(隧道)接口,号码任意;2,配置GRE包头地址;3,定义隧道的源和目标,就是在公网中指导路由器转发数据包的公网IP地址GREKeepalive使得双方隧道接口状态保存一致:-隧道之间定期向对端发送Keepalive默认10S发送一个,一次发送三次Inttunnel1Keepalive53(每隔5秒发一次,连续发送3个包)一,加密--:DES密钥长度:64位3DES密钥长度:168位AES1.对称加密加密和解密都使用一个密钥如果密钥被盗取,则数据不安全A---BB把公钥给A,A用公钥加密=G--B再用公钥解密2.非对称加密--:DH(Diffie-Hellman)RSADSA对公钥进行加密,用私钥进行解密;公钥对外公开私钥仅自己拥有公钥和私钥成对使用A--BB把公钥给A,A用公钥加密=G--B再用私有解密公钥速度快,但不安全,私钥安全,但是速度慢----解决办法:用对称加密数据,用非对称加密密钥!!!二,HMAC--:数据完整性,实现数据报文(身份)验证Hash-BaseMessageAuthenticationCodes散列消息验证码——Hash的一个子集!!A—BA在发送加密的数据G之前进行Hash得到一个数字签名--一起发送给BB也是一样进行Hash也得到一个数字签名与A的进行比较(一致的华就可以)特点;固定大小:MD5--128bitSHA-1--160bit雪崩效应:数据微小改动,结果巨大变化单向计算:无法逆向运算冲突避免:几乎找不到一个数据与当期数据计算的数字签名相同三,Ipsec(IPSecurity):保证数据安全,让数据加密传输--定义了一些方法和策略,不是一个协议作用:数据源认证-保证数据是真正的发送者发过来的,不会被伪造保护数据完整性-不被攻击者改动保证数据私密性别人得到了看不懂,只有接受者才能看懂;防止中间人攻击-被第三放修改,截获防止数据被重放;为IPSec服务的协议IKE(InternetKeyExchange)-互联网密钥交换协议主要是对密钥进行保护,并不保护实际的数据IKE会在VPN对等体之间采用认证机制认证方式:预共享密钥(Pre-Share-Keys)PKI证书(PublicKeyInfrastructure)RSAencryptednonceESP(EncapsulatingSecurityProtocol)-封装安全协议--数据AH(AuthenticationHeader)-认证头-数据密钥算法:使用DH算法在VPN对等体之间建立安全的密钥用来加密数据Group1:--密钥的长度:768bitGroup2:-密钥长度为:1024bitGroup5:-密钥长度为:1536bit四,SA(安全会话)-SecurityAssociationIPsec的所有会话都是在SA通道中传输的,包括协商密钥,传递用户数据SA是一组规则,是需要会话的对等体之间必须遵守的一份合同SA中的规则能够保证所有数据的安全传递密钥安全--IKE负责-ISAKMPSecurityAssociation(IKESA)-lifetime:默认为一天,没有流量限制数据安全-IPSec负责-IPsecSecurityAssociation(IPsecSA)Lifetime:默认时间为一小时,流量为4.608G每个SA都有lifetime(生存时间),使用时间或者流量来衡量由于SA有两个,所有IKE的整个过程也分为两个阶段ISAKMP/IKE阶段1:--协商采用何种方式建立管理连接--对等体A-B之间协商(签一份合同)(1)加密算法:3DES,AES(2)HMAC:MD5,SHA-1(3)验证类型:预共享密钥,PKI证书(4)DH密钥组:Group1,Group2,Group5(5)管理连接的生存时间:默认时间,或者自行更改通过DH算法共享密钥信息(6)使用非对称加密算法加密密钥对等体彼此进行身份验证-A--B之间彼此合法(安全)(7)使用密钥加密用户身份信息(8)使用密钥和用户信息通过HASH算法计算数字签名(9)对方比对数字签名确认身份ISAKMP/IKE阶段2:-保护数据(1)定义A--B之间需要保护何种流量-扩展ACL(2)定义用来保护数据的安全协议AH:ah-md5-hmac;ESP验证:esp-md5-hmac;ESP加密:esp-nullesp-aes128ah-sha-hmac;esp-sha-hmac;esp-desesp-aes192esp-aesesp-aes256(3)定义传输模式:tunnelmode;Transportmode;Transportmode;封装模式简单,传输效率高;IP包头未被保护;-只封装有效载荷不适合在Internet使用;lan网使用Tunnelmode;IP包头被保护(4)定义数据连接的生存周期及密钥刷新的方式NAT-T(nat穿越)VPN+NAT(VPN;上网;)路由器开启,ASA没开启;IPsecVPN的连接端口号;管理连接:UDP500;数据连接:UDP4500;R:ipnatinsidesourcestaticlocal_ip500intf0/1500Ipnatinsidesourcestaticlocal_ip4500intf0/14500Easy-vpnAAA定义:Authentication:认证-对用户的合法性进行验证,包括用户名,密码Authorization:授权-当用户验证后,为用户制定相应权限Accounting:统计-在用户验证,授权成功后,记录用户的操作信息,以便于记账,审计和报告AAA服务使用的协议RADIUS(远程验证拨入用户服务)-基于UDP协议;是一个全开放的标准协议厂商或用户可以灵活修改RADIUS,只加密用户名和密码,。端口号:1812/1813认证和授权---1812;统计---1813TACACS+(终端访问控制器访问控制系统)--cisco私有:基于TCP协议,对整个数据包进行加密,端口号:49
本文标题:VPN理论很实用
链接地址:https://www.777doc.com/doc-2866661 .html