防火墙——IKE(IPSec2)
目录
基本概念
IKE与IPSec的关系
IKE版本
IKE组件
IKE安全机制
身份认证
身份保护
DH密钥分发算法
PFS
IKEv1协商安全联盟
阶段1——协商IKE SA建立安全通道
阶段2——利用安全通道协商IPSec SA
DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系
IKEv2协商安全联盟的过程
IKEv2定义了三种交换
ISAKMP报文
UDP头部:
ISAKMP头部:
IKEv1和IKEv2之间的区别
基本概念
IKE协议建立在 ISAKMP(Internet安全联盟和密钥管理协议)框架之上,是基于UDP的应用层协议,为IPSec提供了自动协商密钥、建立IPSec安全联盟的服务
IKE与IPSec的关系
IKE数据通过ISAKMP协议传输
IPSec数据通过ESP/AH协议传输
IKE版本
IKE协议分为IKEv1和IKEv2两个版本
IKE组件
IKE是一个复合协议,主要由三部分组成
IKE安全机制
IKE的安全机制可以实现在网络上安全地认证身份、分发密钥、建立IPSec SA
身份认证
确认双方的身份。
认证方式——预共享密钥认证、数字认证RSA认证、数字信封认证
认证算法——散列算法(MD5、SHA1、SHA2-256、SHA2-384、SHA2-512、SM3)
认证类型——IP地址,可识别名称-DN,设备序列号-ESN,名称-fqdn,用户域名-User-fqdn
认证方式与认证类型的关系
预共享密钥认证:双方采用共享的密钥对报文进行Hash计算,判断双方是否一致
数字签名认证、数字信封认证原理再加解密章节有讲解
数字签名认证是设备只需要上传本端证书,数字信封认证时需要上传本端和对端证书
注意事项
本端ID和对端ID类型无需一致,可以分别通过命令来指定本端、对端的ID类型
IKEv1使用主模式时,只可以通过IP地址来标识对等体
IKEv1使用野蛮模式时,支持IP地址和名称来标识对等体
身份保护
身份数据在密钥产生后加密传送,实现对身份数据的保护
加密算法——对称加密密钥(DES、3DES、AES-128、AES-192、AES-256、SM1、SM4)
DH密钥分发算法
产生密钥材料,并通过ISAKMP消息在发送和接收设备之间进行密钥材料交换
两端通过算法各自计算出完全相同的对称密钥(基础密钥SKEYID),然后通过基础密钥推导出相关的加密、验证密钥(a、e、d)
在任何时候,双方都不交换真正的密钥
注意事项
- IKEv1在主模式的情况下,当两端的DH组不同时,会协商(例如A用DH1,B用DH1、DH2,经过协商就会使用DH1)
- IKEv2在野蛮模式下,两端的DH组必须相同,他们不会进行DH组协商
PFS
通过执行一次额外的DH交换,保证IKE SA密钥的安全
IKEv1协商安全联盟
IKEv1协商SA分为两个阶段
阶段1——协商IKE SA建立安全通道
支持两种协商模式
主模式(Main Mode)
三次双向交换,使用六条ISAKMP信息
消息1到4 不加密,消息5、6加密
野蛮模式(Aggressive Mode)
使用3条ISAKMP消息
3条消息均没有加密
阶段2——利用安全通道协商IPSec SA
只有一种模式-快速模式
快速模式
3条信息均加密,信息1、2、3通过skid-e进行加密
身份验证通过skid-a进行验证,通过skid-d生成的密钥用于IPSec传输数据加密(保证每个IPSec SA都有自己独一无二的密钥)。加密后的数据会通过安全协议进行传输。
DH算法生成密钥、IKE安全提议中的算法、IPSec安全提议中算法之间的关系
- 第一阶段中通过DH算法和IKE安全提议中的算法结合生成Skid-a、e密钥
- 第一阶段中通过DH酸和和IPSec安全提议中的算法结合生成Skid-d密钥
IKEv2协商安全联盟的过程
建立IPSec SA正常情况下只需要 2次交换4条信息就可以完成一对IPSec SA的建立
IKEv2定义了三种交换
初始交换
正常情况下通过初始交换就可以完成IKE SA和IPSec SA的协商建立
创建子SA交换
2条消息建立一对IPSec SA
当一个IKE SA需要创建多对IPSec SA时,需要使用此交换来协商多于1对的IPSec SA
当需要进行重协商时,也可以使用此交换
必须在IKE初始交换完成后才能进行
通知交换
运行IKE协商的两端会传递一些控制信息(错误信息或者通告信息)
2此信息都加密
ISAKMP报文
UDP头部:
正常情况下源目端口都是500
在NAT穿越情况下,会有报文使用4500端口
ISAKMP头部:
Initiator Cookie:
IKEv1中表示发起方Cookie,验证对方身份是否真实。IKEv2中表示IKE的SPI,唯一标识一个IKE SA
Responder Cookie:
应答方,同上
Next Playload:
下一个载荷,表示ISAKMP后的第一个载荷是什么类型(目前13种)
一个ISAKMP报文中可以携带多个载荷,当字段为0表示是最后一个载荷
Version
ISAKMP版本号,包括主版本号和次版本号
Exchange Type
8位,目前只是用了3位
IKE定义的交换类型,定义了ISAKMP消息遵循的交换顺序
后面IKEv1中的主模式、野蛮模式、快速模式,IKEv2中的初始交换、子SA交换都属于IKE定义的交换类型
Message ID
报文ID,表示第二阶段的协议状态
Message Length
包围长度,头部+若干载荷的长度
IKEv1和IKEv2之间的区别
防火墙——IKE(IPSec2)相关推荐
- 华为防火墙基础自学系列 | IKE介绍
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- 华为防火墙基础自学系列 | Site to Site IPSec VdPdNd
视频来源:B站<乾颐堂HCIP-HCIE-security安全 2019年录制> 一边学习一边整理老师的课程内容及试验笔记,并与大家分享,侵权即删,谢谢支持! 附上汇总贴:华为防火墙基础自 ...
- cisco PIX防火墙的配置及注解完全手册
PIX Version 6.3(1) interface ethernet0 auto 设定端口0 速率为自动 interface ethernet1 100full 设定端口1 速率为100兆全双工 ...
- Juniper 防火墙简明配置手册
Juniper SRX防火墙简明配置手册 SRX系列防火墙是Juniper公司基于JUNOS操作系统的安全系列产品,JUNOS集成了路由.交换.安全性和一系列丰富的网络服务.目前Juniper公司的 ...
- juniper防火墙做ipsec ***必须开放的端口
我们网络环境边缘常常有防火墙,主要起到隔离网络保护内外网安全,如在边缘网络MIP一个公网地址给内网的一个×××设备,此时为了安全起见需要边缘网络有选择性的开放端口或协议,MIP如下: 在做IPSEC ...
- ipsec在企业网中的应用(IKE野蛮模式)
ipsec在企业网中的应用(IKE野蛮模式) 案例: 本实验采用华为三台F100防火墙,和一台s3526交换机,实现ipsec野蛮模式下的***通道的建立.Fw1是总部,实现fw1可以与fw2的内部 ...
- 思科pix防火墙配置实例大全
在配置PIX防火墙之前,先来介绍一下防火墙的物理特性.防火墙通常具有至少3个接口,但许多早期的防火墙只具有2个接口:当使用具有3个接口的防火墙时,就至少产生了3个网络,描述如下: 内部区域(内网):内 ...
- 使用IKE预共享密钥配置IPsec
使用IKE预共享密钥配置IPsec 配置IKE预共享密钥的过程 1 为IKE和IPSEC准备 1检查当前配置 show running-config ...
- windows ad 域下配置L2TP ***服务器 企业防火墙端口配置
一 环境: 服务器:windows server 2012 R2 防火墙:天融信 TopGate500 二 配置: windows服务器配置的L2TP 使用域账号和共享密钥认证 防火墙上需要开放的端口 ...
最新文章
- ubuntu16.04 + cuda8.0安装
- python super 理解(四)
- SAP中:ALE控制单元是什么?
- SAP中PDF文件本地保存方法
- 查询数据库中所有表的行数(sqlserver 2000)
- ubuntu16.04安装wordpress
- jwt和传统session的区别?
- 潘多拉 搭建 php服务器,OpenWrt/LEDE/潘多拉固件4G网卡上网之【HiLink模式上网教程】...
- 雨林木风SP3YN9.9 装机版09年09月更新(终结版)
- python基于朴素贝叶斯算法实现新闻分类
- 嵌入式软件开发学习路线
- vue中rule数据校验
- 二级路由器设置,二级路由器无法上网
- 【5G NAS】5G SUPI 和 SUCI 标识符详解
- 思科曹图强:勒索软件将打破安全防御平衡
- 如何将Word转成两页并排为一页的PDF文档?
- “穷X”事件程序员致歉:以后老实写代码,正紧写注释
- 移动设备屏幕尺寸换算
- 二手手机泄露用户隐私?要“反杀”其实并不难
- 免费申请情侣连号QQ的妙法