IPSEC总结及实验

IPSEC v*n
IPSec-v*n是基于IPSec协议簇构建的在IP层实现的安全虚拟专用网。通过在数据包中插入一个预定义头部的方式，来保障OSI上层协议数据的安全，主要用于保护TCP、UDP、ICMP和隧道的IP数据包。
安全三要素：机密性、完整性、认证（合法性）——安全黄金三角
1完整性：数据没有遭到损坏或篡改。
完整性算法：哈希算法是不可逆算法。MD5 SHA
MD5（原始数据+**）=key1
原始数据+key1 发送邻居
MD5（原始信息+本地**）=key2
If key1=key2 认证成功
2.私密性：数据通过转化形式成另外一种格式（看不见、看不懂）
私密性算法：对称加密算法（DES、3DES、IDEA、AES）-可逆算法加解密用同一个**
对称加密算法由于是可逆的，可以报暴力**，密码需要定期更换
加密数据和对称**一般不能使用同一个通道传递
强度由**的复杂性和加密过程的复杂性决定
原始数据+**（公钥） 通过复杂的加密过程得到加密数据
一般**和数据不能用同一通道传递
对称**的缺陷
1.传输不安全->解决：DH算法 加密对称公钥
2.数据和**传递的分离
3.**的管理->邮差原理
非对称加密算法（DH、RSA、ECC、Rabin）

不可逆算法 加解密使用不同的钥匙
DH算法（1985年）：做**交换的非对称加密算法
RSA算法：公钥+私钥 成对出现
数据安全：原始数据+公钥=加密数据 加密数据必须用私钥解密
数字签名：原始数据+私钥=加密数据 加密数据必须用公钥解密
ECC算法（椭圆曲线加密）*应用：用非对称加密算法加密对称机密算法的公钥

不可否认性：
可信机构CA：对用户的公钥进行认证
PKI（公开**体系）是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
数字证书认证
1.签名证书：主要用于对用户信息进行签名，以保证信息的真实性和不可否认性。
2.加密证书：主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性。
可信机构CA：对用户的公钥进行认证-PKI（公开**体系）是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
数字证书认证
1.签名证书：主要用于对用户信息进行签名，以保证信息的真实性和不可否认性。
2.加密证书：主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性。
数据传输过程：

发送者Alice将原始信息经过Hash算法得到定长的信息摘要，并和自己的私钥运算得到数字签名；然后将Alice的原始信息和CA证书以及运算得到的数字签名用对称**进行加密，然后将加密信息进行传送；用Bob的公钥加密对称**得到**信封；用公网传递加密信息和**信封；
接受者Bob，用Bob的私钥对**信封解密出对称**；用Alice和Bob之间的对称**对加密信息解密得到传送的数据，即Alice的原始信息、证书和数字签名；Bob再用可靠的Alice的公钥解开数字签名得到原始信息的摘要；Bob将得到的原始信息进行相同的HASH运算与刚刚解密得到的摘要比对；若比对成功则数据没问题接受，若比对不成功则丢弃数据；数据传输完成。
IPSec协议簇
是一组基于网络层的，应用密码学的安全通信协议族。IPSec不是具体指哪个协议，而是一个开放的协议族。
提供的安全服务：机密性、完整性、不可否认性、重传攻击保护、数据源鉴别
防重放攻击：产生一个随机数附在加密信息里面，由于原始数据是加密的，黑客获取数据时不能知道随机数，当重放攻击时，接收端发现随机数用过则丢弃
阶段一负责交换**
阶段二负责传递数据
传输模式应用于主机到主机或者隧道已经建立的场景

隧道模式
经常用于私网与私网之间通过公网进行通信；封装方式：增加新的IP（外网IP）头，其后是ipsec包头，之后再将原来的整个数据包封装

通信保护协议AH　　协议号：51
功能：无连接数据完整性、数据源认证、抗重放服务
在传输模式下封装：将原有数据包整体进行HASH摘要，将值放入插入的包头

在隧道模式下封装：将原有数据包整体和新的IP包头进行HASH摘要，将值放入插入的包头

封装安全载荷ESP　 协议号：50
功能：无连接数据完整性、数据源认证、抗重放服务、数据保密、有限的数据流保护传输模式下：将数据进行加密算法，并将ESP包头和加密后的数据及填充进行HASH运算后做摘要

隧道模式下：将数据和原IP包头进行加密算法，并将ESP包头和加密后的数据及填充进行HASH运算后做摘要，并添加新的IP包头

AH和ESP对比

安全联盟SA　
是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA
SA由三元组来唯一标识：安全参数索引、目的IP地址、安全协议号
安全参数：加密算法，哈希算法，DH的强度，认证的方式，**有效期

第一阶段：做安全环境，在安全的环境下做认证，为第二阶段的数据加密提供**传递
第二阶段在第一阶段的基础上来传递真正要保护的数据，只要快速的模式，因为其它的第一阶段都做了
第一阶段的协商过程

第二阶段的协商过程

实验

测试

代码
R1
interface Loopback0
ip address 10.1.1.1 255.255.255.255
interface Ethernet0/0
ip address 10.1.12.1 255.255.255.0
crypto map K
ip route 0.0.0.0 0.0.0.0 10.1.12.2
access-list 100 permit ip host 10.1.1.1 host 10.3.3.3
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key 6 cisco address 10.1.23.3
crypto ipsec transform-set openlab esp-3des esp-md5-hmac
mode tunnel
crypto map K 10 ipsec-isakmp
set peer 10.1.23.3
set transform-set openlab
match address 100
R2
interface Ethernet0/0
ip address 10.1.23.2 255.255.255.0
interface Ethernet0/1
ip address 10.1.12.2 255.255.255.0
R3
interface Ethernet0/1
ip address 10.1.23.3 255.255.255.0
crypto map K
interface Loopback0
ip address 10.3.3.3 255.255.255.255
ip route 0.0.0.0 0.0.0.0 10.1.23.2
access-list 100 permit ip host 10.3.3.3 host 10.1.1.1
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-shareg
roup 2
crypto isakmp key 6 cisco address 10.1.12.1
crypto ipsec transform-set openlab esp-3des esp-md5-hmac
crypto map K 10 ipsec-isakmp
set peer 10.1.12.1
set transform-set openlab
match address 100