IPSEC 002 ---- Internet危机四伏,IPSec闪亮登场
危机四伏
随着GRE和L2TP的广泛应用,民间组织天地会也与时俱进,在总舵和各个分舵之间部署了GRE和L2TP。总舵和分舵通过GRE隧道和L2TP隧道传递消息,互通有无,反清复明事业开展得如火如荼。但好景不长,总舵和分舵之间传递的机密信息被官府查获,分舵的堂主帮众悉数被抓,一时间Internet上暗潮汹涌,天地会危机四伏。
事关帮派存亡,陈总舵主赶忙召集会议商讨对策,究其原因,无论是GRE还是L2TP,建立的隧道都没有任何安全加密措施,总舵和分舵之间的消息在GRE隧道或L2TP隧道中都是明文传输,机密信息很容易就被官府获取。如何保证信息安全传输是摆在天地会面前的一道难题,购买专线是个解决方法,但由于四十二章经中的宝藏还未找到,天地会的财力不足以搭建总舵到各个分舵的专线,所以还得利用现有的公共资源---Internet来想办法。
遍访高人之后,天地会终于找到了解决问题之道:IPSec(IP Security)。作为新一代的VPN技术,IPSec可以在Internet上建立安全稳定的专用线路。与GRE和L2TP相比,IPSec更加安全,能够保证总舵与分舵之间消息的安全传输。
两大绝技
要说这IPSec可不简单,它不是一个单一的招式,而是一整套招法。IPSec巧妙借用了密码学门派所擅长的易容障眼之法,融会到自创的AH(Authentication Header,验证头)和ESP(Encapsulating Security Payload,封装安全载荷)两大绝技中,既可改头换面瞒天过海,也能验明正身完璧归赵。即便消息被截获了也没人能看懂,被篡改了也能及时发现。
- 改头换面,瞒天过海---加密
IPSec借用了易容术的巧妙之处,一方传递消息之前,先使用加密算法和加密密钥,将消息改头换面,该过程称为加密;另一方收到消息后,使用相同的加密算法和加密密钥,逆向将消息恢复为真实面貌,该过程称为解密。而消息在传递过程中绝不以真容示人,令窃密者一无所获。
当天地会的总舵和分舵需要互通消息时,双方事先商议好相同的加密算法和加密密钥,假设总舵要向分舵发布命令“八月十五,太湖岸边,共举大事”,总舵先使用颠三倒四加密算法,将文字颠倒位置,然后再将加密密钥“反清复明”插入其中,加密后的命令最终变成“反十五太湖清岸边共举复大事八月明”这样的一段消息,然后传递出去。即使该消息在路上被官府截获,也会让官府看的一头雾水,不会发现任何蛛丝马迹。而分舵收到消息后,使用相同的颠三倒四加密算法和加密密钥“反清复明”,便可将消息恢复成原始的命令“八月十五,太湖岸边,共举大事”。
总舵和分舵使用相同的密钥来加密和解密,这种方式也叫对称加密算法,主要包括DES、3DES和AES
项目 |
DES |
3DES |
AES |
全称 |
Data Encryption Standard |
Triple Data Encryption Standard |
Advanced Encryption Standard |
密钥长度 |
56位 |
168位 |
128位、192位、256位 |
安全级别 |
低 |
中 |
高 |
- 验明正身,完璧归赵---验证
古有蔺相如忠肝义胆,完璧归赵,今有IPSec火眼金睛,明辨是非。一方传递消息之前,先使用验证算法和验证密钥对消息进行处理,得到签字画押的文书,即签名。然后将签名随消息一同发出去。另一方收到消息后,也使用相同的验证算法和验证密钥对消息进行处理,同样得到签名,然后比对两端的签名,如果相同则证明该消息没有被篡改。
除了对消息的完整性进行验证,IPSec还可以对消息的来源进行验证,即验明消息的正身,保证消息来自真实的发送者。
通常情况下,验证和加密配合使用,加密后的报文经过验证算法处理生成签名。常用的验证算法有MD5和SHA系列。
项目 |
MD5 |
SHA1 |
SHA2 |
全称 |
Message Digest 5 |
Secure Hash Algorithm 1 |
Secure Hash Algorithm 2 |
签名长度 |
128位 |
160位 |
SHA2-256:256位 SHA2-384:384位 SHA2-512:512位 |
安全级别 |
低 |
中 |
高 |
IPSec的两大绝技中,AH只能用来验证,没有加密的功能,而ESP同时具有加密和验证的功能,AH和ESP可以单独使用也可以配合使用。
安全封装
天地会不能将反清复明的招牌挂于明处,所以只能用合法生意作为掩护。例如,总舵对外的公开身份是当铺,分舵对外的公开身份是票号,当铺和票号之间正常的生意往来就是最好的保护伞。在为了更好地利用这个保护伞,IPSec设计了两种封装模式:
- 明修栈道暗度陈仓---隧道模式
在隧道模式下,AH头或ESP头***到原始IP头之前,另外生成一个新的报文头放到AH头或ESP头之前:
隧道模式使用新的报文头来封装消息,可以保护一个网络的消息,适用于两个网关之间通信,是比较常用的封装模式。总舵和分舵内部私网之间的信息经过加密和封装处理后,在外看来只是总舵和分舵的公开身份(公网地址),即当铺和票号之间的通信,不会被人怀疑。
- 开门见山直来直往---传输模式
在传输模式中,AH头或ESP头***入到IP头与传输层协议头之间:
传输模式不改变报文头,隧道的源和目的地址就是最终通信双方的源和目的地址,通信双方只能保护自己发出的消息,不能保护一个网络的消息。所以该模式只适用于两台主机之间通信,不适用于天地会总舵和分舵内部私网之间通信。
互信盟友
IPSec中通信双方建立的连接叫做安全联盟SA(Security Association),顾名思义,通信双方结成盟友,使用相同的封装模式、加密算法、加密密钥、验证算法、验证密钥,相互信任亲密无间。
安全联盟是单向的逻辑连接,为了使每个方向都得到保护,总舵和分舵的每个方向上都要建立安全联盟。总舵入方向上的安全联盟对应分舵出方向上的安全联盟,总舵出方向上的安全联盟对应分舵入方向上的安全联盟。
为了区分这些不同方向的安全联盟,IPSec为每一个安全联盟都打上了唯一的标识符,这个标识符叫做SPI(Security Parameter Index)。
建立安全联盟最直接的方式就是分别在总舵和分舵上人为设定好封装模式、加密算法、加密密钥、验证算法、验证密钥,即手工方式建立IPSec安全联盟。
初显神威
了解到IPSec的强大威力后,天地会陈总舵主决定先在总舵和一个分舵之间使用手工方式部署IPSec隧道,对总舵和分舵内部网络之间传递的消息进行保护,验证IPSec隧道的安全效果。
为了让加密、验证、安全联盟的配置关系更清晰,IPSec为手工方式定义了四个步骤:
1、 定义需要保护的数据流
只有总舵和分舵内部网络之间交互的消息才被IPSec保护,其他消息不受保护。
2、 配置IPSec安全提议
总舵和分舵根据对方的提议,决定能否成为盟友。封装模式、ESP、加密算法和验证算法均在安全提议中设置。
3、 配置手工方式的IPSec安全策略
指定总舵和分舵的公网地址、安全联盟标识符SPI,以及加密密钥和验证密钥。
4、 应用IPSec安全策略
手工方式的IPSec配置关系如下图所示:
天地会总舵和分舵的关键配置和解释如下:
配置项 |
天地会总舵 |
天地会分舵 |
ACL |
acl number 3000 rule 5 permit ip source 192.168.0.0 0.0.0.255 destination 172.16.0.0 0.0.0.255 |
acl number 3000 rule 5 permit ip source 172.16.0.0 0.0.0.255 destination 192.168.0.0 0.0.0.255 |
IPSec安全提议 |
ipsec proposal pro1 transform esp encapsulation-mode tunnel esp authentication-algorithm sha1 esp encryption-algorithm aes |
ipsec proposal pro1 transform esp encapsulation-mode tunnel esp authentication-algorithm sha1 esp encryption-algorithm aes |
IPSec安全策略 |
ipsec policy policy1 1 manual security acl 3000 proposal pro1 tunnel local 1.1.1.1 tunnel remote 2.2.2.2 sa spi inbound esp 54321 sa spi outbound esp 12345 sa string-key inbound esp huawei@123 sa string-key outbound esp huawei@456 |
ipsec policy policy1 1 manual security acl 3000 proposal pro1 tunnel local 2.2.2.2 tunnel remote 1.1.1.1 sa spi inbound esp 12345 sa spi outbound esp 54321 sa string-key inbound esp huawei@456 sa string-key outbound esp huawei@123 |
应用IPSec安全策略 |
interface GigabitEthernet0/0/1 ip address 1.1.1.1 255.255.255.0 ipsec policy policy1 |
interface GigabitEthernet0/0/0 ip address 2.2.2.2 255.255.255.0 ipsec policy policy1 |
注:除了上述IPSec的配置之外,防火墙安全策略也需要配置,允许总舵和分舵之间建立安全联盟,以及允许总舵私网和分舵私网之间互访。
部署完成后,总舵内部网络向分舵内部网络发出ping消息,分舵内部网络回复ping消息,天地会在Internet上模拟官府设卡检查,发现两个方向的ping消息都已经被IPSec安全联盟保护。两个方向上IPSec安全联盟的标识符SPI分别为0x3039(十进制12345)以及0xd431(十进制54321),与上文配置相符。
分析报文的内容,发现ping消息已经被加密,面目全非无法辨识,这样即使该消息真的被官府查获,也不能获取到任何有价值的信息。
为了对比ESP和AH的作用,天地会又使用IPSec中的另一绝技AH来建立安全联盟。AH只有验证功能,没有加密的功能,官府从查获到的消息中看到私网报文头和ping消息真容。因此,如果要实现加密,还是要使用ESP,或者AH和ESP配合使用。
自从使用了IPSec后,天地会总舵和分舵之间通信顺畅,没过多久,又新发展了好几个分舵,新建立的分舵也要和总舵建立IPSec隧道。如果继续使用手工方式的话,每个分舵都需要配置各种参数,工作量大也不便于维护。IPSec也考虑到了这种情况,除了手工方式之外,IPSec还支持总舵和分舵自动协商建立IPSec安全联盟,该招式名为IKE。欲知IKE详情,请听下回分解。
IPSEC 002 ---- Internet危机四伏,IPSec闪亮登场相关推荐
- 配置 IPsec *** and Internet Using Split Tunneling
配置 IPsec *** and Internet Using Split Tunneling 详细配置见附件
- 三、IPSec(Internet Protocol Security,互联网安全协议)
3 IPSec(Internet Protocol Security,互联网安全协议) 3.1 概念 IPSec(Internet Protocol Security,互联网安全协议),是一组基于网络 ...
- 计算机合成生物学博士,重磅!Tim Lu 出任 CEO,合成生物学新锐今日闪亮登场
原标题:重磅!Tim Lu 出任 CEO,合成生物学新锐今日闪亮登场 今日,业内传来一条引入关注的新闻--位于南旧金山的合成生物学新锐 Senti Biosciences 闪亮登场,获得了 5300 ...
- IPsec ***基础:认识IPsec ***
1.IPSEC 提供了下列服务: 数据的机密性----------这是通过加密来防止数据遭受窃听***. 数据的完整性和验证--------通过HMAC功能来验证数据包没有被损坏,并通过一个有效地对等 ...
- 明晚9点 华为新款折叠屏手机MateXs即将闪亮登场
[TechWeb]折叠屏手机是未来2-3年高端手机的代表雏形,华为在去年Q1季度发布的旗下首款折叠屏手机--华为Mate X,初试啼声便已惊艳全球. 现在,华为Mate X升级版--新一代折叠屏机皇华 ...
- Vista下最好用输入法 - 搜狗拼音输入法4.0正式版闪亮登场!
Vista之家(www.vista123.com): 搜狗拼音4.0正式版闪亮登场!十亿中国人名,一次拼写成功! 人名智能组词:是搜狗拼音通过对输入的拼音进行智能分析,根据拼音对应的文字组合为成千上万 ...
- 糅合了《魔兽》和《第二人生》优点的新式游戏闪亮登场!
糅合了<魔兽>和<第二人生>优点的新式游戏闪亮登场! 文/花纯春 魔兽虽好,但也有其让玩家不爽的地方---那就是自由!除了自由还是TMD的自由.没有自由搞毛啊. 魔兽算是传统网 ...
- ipsec与服务器协议失败,IPSEC SA无法协商成功
1.故障现象 通过IPSEC加密的业务无法正常开通,在IPSEC中心点或客户端路由器上执行show crypto isakmp sa命令发现isakmp sa已经成功建立: Ruijie#show c ...
- JAVA版本微信管家平台—JeeWx 捷微 4.1 微服务版本发布,微信砍价活动闪亮登场!...
捷微 4.1 微服务版本发布,微信砍价活动闪亮登场 ^_^ JEEWX 从4.0版本开始,技术架构全新换代更名 "捷微H5".这是一款开源免费的微信运营平台,是jeewx的新一 ...
- 熊猫逝去,舞男头闪亮登场,感染下载者何时休?
转自杭州志愿者论坛 自从熊猫作者 在熊猫病毒体中留言说不再更新熊猫后,另一个感染下载者闪亮登场,图标是黑色的人头,群里有人说叫舞男头 或灯泡男.姑且不管其名字 这个感染下载者 从目前看没达到熊猫的感染 ...
最新文章
- appium+python自动化45-夜神模拟器连不上(adb server version (36) doesn't match this client (39); killing...)...
- sql leftjoin from a,b区别
- mysql死锁的排查方法_MySQL死锁系列-线上死锁问题排查思路
- java单词测试,java单词 - 在线打字测试(dazi.kukuw.com)
- 国家和货币(符号/图片)数组(countries and currency symbol array)
- matlab 0x1表示什么意思,(x ^ 0x1)!= 0是什么意思?(What does (x ^ 0x1) != 0 mean?)
- 中条码一般为四色怎么转单色黑_条码机适用的耗材判断标准
- 基于《MySQL5.7从入门到精通》学习记录(20220608_持续更新)
- 易速联服务器稳定吗,异速联如何保障应用安全性?
- creo扫描选择多条链作为轨迹_跟阿铭学Creo产品设计,乌比莫斯之环框架模型设计你掌握了吗?...
- PHPwebshell2022免杀bypass阿里云盾等所有安全设备
- 地图采集车的那些事 | 惯性导航
- 31.4k,这是我见过最强横的后台管理系统 !!
- 安卓app之按键美化
- 物联网卡的使用规则,用物联卡的朋友注意了!
- 学习黑客技术打败黑客才是突破技术巅峰!
- 划重点!百度、阿里、腾讯大厂Android面试必问知识点系统梳理,啃一半公司随便挑
- 对于CNN卷积神经网络的前向传播和反向传播的理解
- mysql数据库 排序中文字段_MySQL对中文进行排序的实例
- android 视频通话开启呼叫等待后,来第三方的视频通话,接通后通话时间一直显示为0,过几秒之后视频通话自动挂断