10 元
下载资源

6、路由交换安全与VPN讲义

上传人:仙*** 文档编号:253059153 上传时间:2024-11-28 格式:PPTX 页数:82 大小:770.30KB
返回 下载 相关 举报
6、路由交换安全与VPN讲义_第1页
第1页 / 共82页
6、路由交换安全与VPN讲义_第2页
第2页 / 共82页
6、路由交换安全与VPN讲义_第3页
第3页 / 共82页
点击查看更多>>
资源描述
Main Slide Title,|,*,*,Sun Yat-sen University,广东省信息安全技术重点实验室,单击此处编辑母版文本样式,第二级,第三级,第四级,路由交换平安与,VPN,讲义,副教授,2006,年,11,月,局域网与VLAN,局域网标准,冲突域与播送域,虚拟局域网VLAN,2,|,11/28/2024,局域网设备在OSI/RM中的位置,路由器,网络层,网络地址寻址、路由,网桥,/,交换机,数据链路层,用,MAC,地址寻址,集线器,/,中继器,工作物理层 ,没有寻址能力,网络层,数据链路层,物理层,3,|,11/28/2024,局域网标准,IEEE, 1884,年成立,,320,000,成员,,147,国家,IEEE 802.2 LLC,IEEE 802.3 Ethernet,IEEE 802.5 Token Ring,IEEE 802.6 MAN(DQDB),IEEE 802.10,,,1Q VLAN,IEEE 802.11 Wireless LAN,FDDI, ANSI,ATM , ATM Forum & ITU-T,4,|,11/28/2024,How Switches Learn Host Locations,Initial MAC address table is empty,MAC address table,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,A,B,C,D,5,|,11/28/2024,How Switches Learn Hosts Locations,Station A sends a frame to Station C,Switch caches station A MAC address to port E0 by learning the source address of data frames,The frame from station A to station C is flooded out to all ports except port E0 (unknown unicasts are flooded),MAC address table,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0: 0260.8c01.1111,E0,E1,E2,E3,D,C,B,A,6,|,11/28/2024,How Switches Learn Host Locations,Station D sends a frame to station C,Switch caches station D MAC address to port E3 by learning the source Address of data frames,The frame from station D to station C is flooded out to all ports except port E3 (unknown unicasts are flooded),MAC address table,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0: 0260.8c01.1111,E3: 0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,7,|,11/28/2024,How Switches Filter Frames,Station A sends a frame to station C,Destination is known, frame is not flooded,E0: 0260.8c01.1111,E2: 0260.8c01.2222,E1: 0260.8c01.3333,E3: 0260.8c01.4444,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,X,X,D,C,A,B,MAC address table,8,|,11/28/2024,Station D sends a broadcast or multicast frame,Broadcast and multicast frames are flooded to all ports other than the originating port,0260.8c01.1111,0260.8c01.2222,0260.8c01.3333,0260.8c01.4444,E0,E1,E2,E3,D,C,A,B,E0: 0260.8c01.1111,E2: 0260.8c01.2222,E1: 0260.8c01.3333,E3: 0260.8c01.4444,MAC address table,Broadcast and Multicast Frames,9,|,11/28/2024,播送域和冲突域,冲突域:在同一个冲突域中的每一个节点都能收到所有被发送的帧,播送域:网络中能接收任一设备发出的播送帧的所有设备的集合,播送域可以跨网段,而冲突域只是发生的同一个网段。,HUB 所有端口都在同一个播送域,冲突域内。Switch所有端口都在同一个播送域内,而每一个端口就是一个冲突域。,10,|,11/28/2024,冲突域和播送域,Collision Domain 1,Collision Domain 2,Broadcast Domain,Bridges terminate collision domains,11,Multicast, broadcast, and unknown destination events be e global events,Server A,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,I need to know the MAC address for Server A,ARP,ARP,ARP,ARP,ARP,ARP,ARP,ARP,播送风暴引起的性能问题,12,Broadcasts can consume all available bandwidth,Each device must decode the broadcast frame,Server A,播送风暴,13,10.1.1.0,10.1.2.0,10.1.3.0,LAN broadcasts terminate at the router interface,LAN 1,LAN 2,LAN 3,通过路由器隔离播送域,14,Segmentation,Flexibility,Security,3rd floor,2nd floor,1st floor,SALES,HR,ENG,A VLAN = A broadcast domain = Logical network (subnet),通过VLAN实现播送域的隔离,15,|,11/28/2024,VLAN的类型,基于物理端口划分的VLAN,基于MAC地址划分的VLAN,基于网络层协议划分的VLAN,基于网络层地址IP地址的VLAN,16,|,11/28/2024,基于物理端口分组Port Based,主机,A,主机,B,主机,C,主机,D,以太网交换机,VLAN,表,端口,所属,VLAN,Port 1,VLAN 5,Port 2,VLAN 10,Port 7,VLAN 5,Port 10,VLAN 10,Port 1,Port 2,Port 7,Port 10,17,|,11/28/2024,基于物理端口分组Port Based,优点,配置简单,缺点,不允许一个端口同时属于多过,VLAN,当终端计算机位置变化时,必须由管理员重新配置,VLAN,的接口。,18,|,11/28/2024,二层,VLAN,:根据,MAC Address,分组,MAC Address,VLAN,1212354145121,1,2389234873743,2,35,2,5483573475843,1,基于MAC 地址分组MAC Based,19,|,11/28/2024,基于MAC 地址分组MAC Based,VLAN,表,MAC,地址,所属,VLAN,MAC A,MAC B,MAC C,MAC D,VLAN 10,VLAN 5,VLAN 10,VLAN 5,主机,A,主机,B,主机,C,主机,D,MAC A,MAC B,MAC C,MAC D,以太网交换机,20,|,11/28/2024,基于,MAC,地址分组,MAC Based,优点,工作站物理移动时,不需要重新配置,依然属于原来的,VLAN,。,缺点,在初始时所有的用户必须在至少一个,VLAN,上初始化,21,|,11/28/2024,基于网络层协议分组,VLAN,表,协议类型,所属,VLAN,IPX,协议,IP,协议,VLAN 5,VLAN 10,主机,A,主机,B,主机,C,主机,D,使用,IPX,协议,运行,IP,协议,使用,IPX,协议,运行,IP,协议,以太网交换机,22,|,11/28/2024,基于网络地址分组,VLAN,表,IP,网络,所属,VLAN,IP,1.1.1.1/24,IP,1.1.2.1/24,VLAN 5,VLAN 10,主机,A,主机,B,主机,C,主机,D,1.1.1.5,1.1.2.88,1.1.1.8,1.1.2.99,以太网交换机,23,|,11/28/2024,基于网络地址分组,优点,可以根据协议类型划分,物理移动时,无需修改网络地址,缺点,交换机检查网络层协议信息,消耗资源,对于没有层次结构的协议不可路由不适用,24,|,11/28/2024,交换机之间传输VLAN成员信息,交换机之间必须知道每个工作站属于哪一个,VLAN,,否则,VLAN,只能限制在同一台交换机上。,交换机之间三种交换信息的方式,Trunk Tagging,Sigaling,Time-Division Multiplexing,INTER-SWITCH,COMMUNICATION,SWITCH #1,SWITCH #2,25,|,11/28/2024,交换机之间传输VLAN成员信息,Frame Tagging,在交换机之间的主干链路,Trunck-Link,上传输的,Frame,中,在,MAC,头标中插入,VLAN,标识符,Signalling,当一台工作站发送第一个,frame,时,交换机记录它的,MAC,地址、端口,在地址表中缓存,并定期向其他的交换机播送。,Time Division Multiplexing,通过时分多路复用技术,在交换机之间的链路上为每个,VLAN,建立一个独立的信道,26,|,11/28/2024,VLAN的优点,易于维护容易解决人员位置的变动,有效地控制播送流量,提高性能,增强网络平安性,27,|,11/28/2024,VLAN的优点 易于维护,公司每年有,20%-40%,的工作人员需要改变工作位置。这种移动、添加和改变是网络管理中开支的重点。许多移动需要重新布线、重新分配地址、重新配置,HUB,和路由器。,VLAN,提供了一种有效的机制来管理这种业务。,同一,VLAN,中的用户,不管其位置如何,都可以使用同一网络地址。当用户移动时,只要还连接至交换机并在同一个,VLAN,中,就可以使用原来的网络地址。,VLAN,需要很少的重新布线、配置和调试,是对传统,LAN,技术的重大改进。路由器的配置也不受影响,当用户搬迁时,只要还在原来的子网,路由配置就不用改变。,28,|,11/28/2024,每个网络都有播送流量。播送的频率与应用类型、效劳器类型、物理分段以及网络资源的使用方式密切相关。,如果需要预先测试网络,确保不会有与播送相关的问题。一种有效的方式是对物理网络进行分段,用防火墙隔离各个段。,即使一个网段上有过量的播送数据,其他网段不会受影响。这种分段能力提供了更高的可靠性,是播送流量尽可能减小,从而应用有更多的带宽可用。,VLAN的优点 控制播送流量,29,|,11/28/2024,当两个交换机之间没有路由器时,播送流量被转发至每个交换机端口。这种整个网络中只有一个播送域的网络被称为平坦型网络。,优点:低延迟,高流通率,易于管理。,缺点:容易受到播送数据报的攻击。,VLAN,能有效地提供路由器的防火墙功能,从而保护网络不受有害播送数据的影响。另外,,VLAN,有所有交换机的优点。,VLAN,的组越小,一个,VLAN,中的播送风暴所影响的用户就越少。可以根据应用类型以及应用的播送频率来划分,VLAN,。,VLAN的优点 控制播送流量,30,|,11/28/2024,监听的威胁,经常有重要的、机密的数据通过,LAN,。机密数据需要平安的访问控制机制。,LAN,的一个缺点就是它太容易被渗透。插入一个可用的接口,一个恶意的用户就可获得整个网段上的数据。,通过物理隔离,可以实现,控制一个组中的用户数量,防止其它用户在没有申请的情况下进入,VLAN,把未使用的端口划到一个低性能的网段,VLAN的优点 增强网络平安性,31,|,11/28/2024,实现这种结构的,VLAN,相当直观。交换机端口按应用类型和访问级别进行分组。有平安要求的应用和资源一般放在一个平安的,VLAN,中。交换机限制对平安,VLAN,的访问。可以根据主机地址、应用类型和协议类型设置平安控制机制。,可以用访问控制列表来增强平安性,这种技术在,VLAN,之间通讯时特别有用。在平安子网中,路由器也象交换机一样提供平安控制。路由器可以根据工作站地址、应用类型和协议类型甚至时间来设置平安控制机制。,VLAN的优点 增强网络平安性,32,|,11/28/2024,VLAN的问题,互操作性问题,标准滞后,实现上的不一致,不同厂商实现方式不同,除非选择单一厂家的产品,硬件设备、,VLAN,软件、管理软件,设备的废弃,造成投资的浪费,增加了管理的复杂性,33,|,11/28/2024,目录,VPN,技术概述,IP,平安体系结构,认证头协议,( AH),封装平安载荷,( ESP),平安关联,( SA),密钥管理,34,|,11/28/2024,VPN概述,Virtual Private Network,虚拟专用网,虚拟专用网不是真的专用网络,但却能够实现专用网络的功能。虚拟专用网指的是依靠,ISP,Internet,效劳提供商和其它,NSP,网络效劳提供商,在公用网络中建立专用的数据通信网络的技术。,利用像,Internet,这样的公共的或不平安的媒体,通过应用多种技术提供用户认证、数据完整性和访问控制,从而提供网络应用程序之间的平安通信。,在虚拟专用网中,任意两个节点之间的连接并没有传统专网所需的端到端的物理链路,而是利用某种公众网的资源动态组成的。,VPN,不是一种单一的技术,而是具有假设干特性的系统,35,|,11/28/2024,VPN概述,IETF,草案理解基于,IP,的,VPN,为:“使用,IP,机制仿真出一个私有的广域网。通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术。,虚拟:用户不再需要拥有实际的长途数据线路,而是使用公共网络资源。但它建立的只是一种临时的逻辑连接,一旦通信会话结束,这种连接就断开了。,专用:用户可以定制最符合自身需求的网络。,以,IP,为主要通讯协议的,VPN,,也可称之为,IP-VPN,。,36,|,11/28/2024,VPN概述,VPN,技术虽然种类众多,但,IETF,下的,IPSec,工作组推出的,IPSec,协议是目前工业界,IP VPN,标准,以,IPSec,协议构建虚拟专用网已成为主流。,基于,IPSec,构建,IP VPN,是指利用实现,IPsec,协议的平安网关,Security Gateway,充当边界路由器,完成平安的远程接入和在广域网上内部网络的“虚拟专线互联等,37,|,11/28/2024,VPN概述,IPSec,的应用:,IPSec,提供对跨越,LAN/WAN,,,Internet,的通讯提供平安性,分支办公机构通过,Internet,平安互联,远程平安访问,Internet,与合作伙伴建立,extranet,与,intranet,的互连,增强电子商务平安性,38,|,11/28/2024,VPN的类型,每种VPN都具有特定的要求和优先权,实现的目的、解决的问题也不同,用于移开工作者的远程访问,Client-LAN VPN,也叫 Access VPN,替代早期的拨号远程访问网络,用于局域网间连接的PN,LAN-LAN型,IntranetVPN和ExtranetVPN,39,|,11/28/2024,VPN的平安性,VPN,的主要目的是保护传输数据,必须具备,4,个关键功能,认证:数据传输的来源确如其声明所言,目的地确实是数据期望到达的位置,访问控制:限制对网络未经授权的访问,机密性:防止数据在通过网络时被观察,数据完整性:防止传输中对数据的任何篡改,VPN,的目的是保护从信道的一个端点到另一端点传输的信息流,信道的端点之前和之后,,VPN,不提供任何的数据包保护,40,|,11/28/2024,VPN系统组成,41,|,11/28/2024,VPN系统组成,VPN,效劳器:接受来自,VPN,客户机的连接请求;,VPN,客户机:可以是终端计算机,也可以是路由器;,隧道:数据传输通道,在其中传输的数据必须经过封装;,VPN,连接:在,VPN,连接中,数据必须经过加密;,隧道协议:封装数据、管理隧道的通信标准,传输数据:经过封装、加密后在隧道上传输的数据;,公共网络:如,Internet,,也可以是其他共享型网络,42,|,11/28/2024,VPN关键技术,RFCRequest For Comments:“请求注解,包含了关于Internet的几乎所有重要的文字资料。RFC享有网络知识圣经之美誉。,RFC 2194:第一个VPN RFC,1997年9月14日发布。,自1999年4月17日之后,有10个RFC直接涉及VPN,如RFC 2401 - 2411和RFC2451。,有80多个RFC涉及隧道。,43,|,11/28/2024,VPN关键技术,隧道技术:,VPN,的基本技术,它在公用网建立一条数据通道隧道,让数据包通过这条隧道传输。,隧道由隧道协议形成,常用的有第,2,、,3,层隧道协议。,密码技术:,加解密技术:在,VPN,应用中将认证信息、通信数据等由明文转换为密文的相关技术,其可靠性主要取决于加解密的算法及强度。,身份认证技术:在正式的隧道连接开始之前需要确认用户的身份,以便系统进一步实施资源访问控制或用户授权。,密钥管理技术:如何在公用数据网上平安地传递密钥而不被窃取。,QoS,技术:保证,VPN,的性能稳定,在管理上满足企业的要求。,44,|,11/28/2024,VPN的隧道技术,对通过隧道的数据进行处理的两个基本过程:加密和封装。,加密:,保证,VPN,的“私有性;,通信双方数据的加密涉及到:加密方法的选择、密钥的交换、密钥的管理等。,封装:,构建隧道的基本手段;,使得隧道能够实现信息的隐蔽和信息的抽象。,将一种协议封装在另一种协议中传输,从而实现被封装协议对封装协议的透明性,保持被封装协议的平安特性。,45,|,11/28/2024,VPN的隧道技术,平安协议:就是构建隧道的“隧道协议。,IP,隧道协议:使用,IP,协议作为封装协议的隧道协议。,第二层隧道协议:首先把各种网络协议封装到数据链路层的,PPP,帧中,再把整个,PPP,帧装入隧道协议中。这种双层封装方法形成的数据包依靠第二层协议进行传输。如:,PPTP,点到点隧道协议,,Point-to-Point Tunneling Protocol,、,L2F,第二层转发协议,,Layer Two Forwarding,和,L2TP,第二层隧道协议,,Layer Two Tunneling Protocol,等;,46,|,11/28/2024,VPN的隧道技术,第三层隧道协议:把各种网络协议直接装入隧道协议中,封装的是网络层协议数据包。如:,GRE,通用路由封装协议,,Generic Routing Encapsulation,和,IPSec,IP,层平安协议,,Internet Protocol Security,IPSec,的应用最为广泛,是事实上的网络层平安标准。,不同协议层次的隧道协议各有优缺点,可考虑将其结合以构建虚拟专用网的完整解决方案。,47,|,11/28/2024,IPSec架构,IPSec是提供网络层通信平安的一套协议簇,IPSec只是一个开放的结构,通过在主IP报头后面接续扩展报头,为目前流行的数据加密或认证算法的实现提供统一的数据结构,需求:身份认证、数据完整性和保密性,IPSec在IPv 是强制的,在IPv4中是可选的,48,|,11/28/2024,IPSec开展历史,1994,年,IETF,专门成立,IP,平安协议工作组,来制定和推动一套称为,IPSec,的,IP,平安协议标准。,1995,年,8,月公布了一系列关于,IPSec,的建议标准。,1996,年,,IETF,公布下一代,IP,的标准,IPv6,,把鉴别和加密作为必要的特征,,IPSec,成为其必要的组成局部。,1999,年底,,IETF,平安工作组完成了,IPSec,的扩展,在,IPSec,协议中加上,ISAKMP,因特网平安关联和密钥管理协议,,IKE,密钥交换协议、,Oakley,密钥确定协议。,ISAKMP/IKE/Oakley,支持自动建立加密、鉴别信道,以及密钥的自动平安分发和更新。,幸运的是,,IPv4,也可以实现这些平安特性。,49,|,11/28/2024,IPSec的应用方式,端到端endend:主机到主机的平安通信,端到路由endrouter:主机到路由设备之间的平安通信,路由到路由routerrouter:路由设备之间的平安通信,常用于在两个网络之间建立虚拟专用网,50,|,11/28/2024,IPSec的内容,协议局部,分为:,AH,认证头,,Authentication Header,: 提供完整性保护和抗重放攻击;,ESP,封装平安载荷,,Encapsulating Security Payload, :提供机密性、完整性保护和抗重放攻击;,密钥管理,Key Management,SA,Security Association,ISAKMP,定义了密钥管理框架,IKE,是目前正式确定用于,IPSec,的密钥交换协议,51,|,11/28/2024,VPN概述,IPSEC,的优点,在防火墙或路由器中实现时,可以对所有通过其边界的流量实施强平安性,而公司内部或工作组内部的通信不会招致与平安处理相关的开销,防火墙内的,IPSec,能在所有外部流量均使用,IP,时阻止旁路,IPSec,在传输层以下,对所有应用透明,因此在防火墙或路由器使用,IPSec,时,不需要对用户系统或效劳系统做任何改变,IPSec,可以对最终用户透明,IPSec,可以为单个用户提供平安性,52,|,11/28/2024,IPSec平安体系结构,53,|,11/28/2024,IP平安体系结构,IPSEC,文档,体系结构,( Architecture),:定义,IPSec,技术的一般性概念、需求和机制,封装平安有效载荷,ESP -Encapsulating Security Payload,认证头,AH -Authentication Header,加密算法,Encryption Algorithm,认证算法,Authentication Algorithm,密钥管理,Key Management,:,ISAKMP,解释域,DOI -Domain of Interpretation,:其他文档需要的为了彼此间互相联系的一些值,包括经过检验的加密和认证算法的标识以及操作参数,比方密钥的生存期,54,|,11/28/2024,IP平安体系结构,IPSEC,协议框架:,综合了密码技术和协议平安机制,,IPSec,协议的设计目标是在,IPV4,和,IPV6,环境中为网络层流量提供灵活的平安效劳。,IPSEC,文档,RFC 2401: An overview of security architecture,RFC 2402: Description of a packet encryption extension to IPv4 and IPv6,RFC 2406: Description of a packet emcryption extension to IPv4 and IPv6,RFC 2408: Specification of key managament capabilities,55,|,11/28/2024,IP平安体系结构,IPSec,在,IP,层提供平安效劳,系统可以选择所需要的平安协议,确定该效劳所用的算法,并提供平安效劳所需加密密钥。,访问控制,无连接完整性,数据源认证,拒绝重放数据包,保密性加密,有限的信息流保密性,56,|,11/28/2024,IP平安体系结构,AH,ESP(,只加密,),ESP(,加密并认证,),访问控制,无连接的完整性,数据源发认证,检测重放攻击,机密性,有限的通信流保密,57,|,11/28/2024,IP平安体系结构,平安关联,(,Security Association),是两个通信实体经过协商建立起来的一种协定,他们决定了用来保护数据包平安的,IPSec,协议、密码算法、密钥等信息,,IPSec,实体要建立一个本地,SA,数据库,( SADB),,,SPI (SA Parameter Index),是,AH,或,ESP,中的一个字段,用来标识数据包对应的,SA,SA,是单向的,该连接为其运载的流量提供平安效劳。多个,SA,联合使用构成,SA,束,(SA bundle),。,SA,是协议相关的,根据平安协议不同,,SA,分为:,AH SA,和,ESP SA,;,根据使用模式不同,,SA,又分为传输模式,SA,和隧道模式,SA,58,|,11/28/2024,IP平安体系结构,SA,由三个参数唯一确定:,Security Parameters Index (SPI),IP,目的地址,IPDA,:,平安协议:,AH,或者,ESP,。,source,dst,proto,spi,SA,记录,1.1.1.1,2.2.2.2,AH,11,MD5, K1,2.2.2.2,1.1.1.1,ESP,12,DES, K2,2.2.2.2,1.1.1.1,AH,13,SHA, K3,A(1.1.1.1),B(2.2.2.2),A,的,SADB,59,|,11/28/2024,IP平安体系结构,SA,参数,序数计数器:一个,32,位用于生成,AH,或,ESP,头中的序数字段计数器溢出位:一个标志位说明该序数计数器是否溢出,如果是,将生成一个审计事件,并禁止本,SA,的进一步的包传送。,反重放窗口:用于确定一个入站的,AH,或,ESP,是否是一个回放,AH,信息:认证算法,密钥,密钥生存期,以及与密钥一起的其他参数,ESP,信息:加密和认证算法,密钥,初始值,密钥生存期,以及与密钥一起的其他参数,60,|,11/28/2024,IP平安体系结构,SA,的生存期:一个时间间隔或字节计数。到时候一个,SA,必须用一个新的,SA,替换或终止,IPSec,协议模式:隧道,传输,Path MTU,:最大传输单元不需要分段传输的最大包长度路径和迟滞变量,61,|,11/28/2024,IP平安体系结构,平安策略,( Policy),决定了为哪种类型的包提供何种平安效劳,,IP,信息流与,SA,关联的手段是通过平安策略数据库,SPD( Security Policy Database),每一个,SPD,入口通过一组,IP,和更高层协议域值,称选择符来定义,以下的选择符确定,SPD,入口:,源地址,目标地址,协议,TCP/UDP/ICMP,源端口和目标端口,用户,ID,数据敏感性级别,效劳类型,ToS,62,|,11/28/2024,IPSEC外发数据报处理,Look up SPD to find policy for datagram,Create new SA if needed.,Apply keys in SA for encryption/MACing.,Pass processed datagram down to Link Layer.,Pass to next instance of IPSec processing.,Further IPSec,processing,required?,Drop, pass,through or,process datagram?,63,|,11/28/2024,IP平安体系结构,平安策略数据库SPD和平安关联数据库SADB,source,dst,proto,spi,SA,记录,1.1.1.1,2.2.2.2,AH,11,MD5, K1,1.1.1.1,2.2.2.2,ESP,12,DES, K2,2.2.2.2,1.1.1.1,AH,13,DES, K3,A(1.1.1.1),B(2.2.2.2),A,的,SADB,source,dest,protocol,port,policy,1.1.1.1,2.2.2.2,TCP,80,AH,1.1.1.1,3.3.3.3,TCP,25,ESP,A,的,SPD,64,|,11/28/2024,传输模式,Header,Payload,IP datagram,Network,Header,Payload,IP datagram,IPSEC Transport Mode,65,|,11/28/2024,隧道模式,IPSEC Tunnel Mode,:,Protection for entire IP datagram.,Entire datagram plus security fields treated as new payload of outer IP datagram.,So original inner IP datagram,encapsulated,within outer IP datagram.,IPSec processing performed at,security gateways,on behalf of endpoint hosts.,Gateway could be perimeter firewall or router.,Gateway-to-gateway rather than end-to-end security.,Hosts need not be IPSec-aware.,Intermediate routers have no visibility of inner IP datagram.,Even orginal source and destination addresses encapsulated and so hidden.,66,|,11/28/2024,隧道模式,Header,Payload,Header,Payload,Header,Payload,Inner IP datagram,Outer,Header,Network,Header,Payload,Inner IP datagram,Inner IP datagram,Inner IP datagram,Security,Gateway,Security,Gateway,Outer,Header,IPSEC Tunnel Mode,67,|,11/28/2024,AH协议,AH = Authentication Header (RFC 2402).,Provides data origin authentication and data integrity.,AH authenticates whole payload and most of header.,Prevents IP address spoofing.,Source IP address is authenticated.,Creates stateful channel.,Use of sequence numbers.,Prevents replay of old datagrams.,AH sequence number is authenticated.,Uses MAC and secret key shared between endpoints,68,|,11/28/2024,AH协议,认证头支持数据完整性和,IP,包认证,数据完整性确保在包的传输过程中内容不可更改,认证确保终端系统或网络设备能对用户或应用程序进行认证,并相应地提供流量过滤功能,同时还能够防止地址欺诈攻击和重放攻击,在,IPV4,和,IPV6,中,,AH,使用约定的协议号,51,Next Header,Sequence Number,SPI,31,Authentication Data,完整性保护的数据,Payload Length,reserved,数据,IP,头,0,69,|,11/28/2024,AH协议,Next header,:,8 bit,,标识数据载荷中的封装方式或协议,Payload length(,有效载荷长度,),:,8 bit,,以,32,位字为单位的认证数据字段的长度。最小值是,0,,仅仅用于“,null,认证算法的情况。这不应该在,IPSec,中发生,,IPSec,中必须指定一位。,Reserved,:,16 bit,,保存以供将来使用。发送时必需设置为全零。,Security parameters index ( SPI),:,为数据报识别平安联合的,32,位伪随机值。,SPI,值,0,被,保存来说明“没有平安联合存在。,70,|,11/28/2024,AH协议,完整性校验值:认证数据域考虑因素,计算,MAC,值:,产生完整性校验值,(,Integrity Check Value, ICV),利用秘密密钥加密,双方必须协商好:,ICV,加密的秘密,密钥,采用何种,MAC,演算法,(,如,HMAC-SHA-1),选择那些数据域来计算,ICV,值,71,|,11/28/2024,AH Transport and Tunnel,Payload (eg TCP, UDP, ICMP),Inner,IP header,AH in transport mode:,AH in tunnel mode:,MAC scope - all immutable fields,Payload (eg TCP, UDP, ICMP),Original,IP header,Outer,IP header,MAC scope - all immutable fields,AH,Len, SPI, seqno, MAC,AH,Len, SPI, seqno, MAC,72,|,11/28/2024,ESP协议,ESP = Encapsulating Security Payload (RFC 2406).,Provides one or both of:,confidentiality for payload/inner datagram.,NB sequence number not protected by encryption.,authentication of payload/inner datagram,but,not,of any header fields (original header or outer header).,Traffic-flow confidentiality in tunnel mode.,Uses symmetric encryption and MACs based on secret keys shared between endpoints.,There are both engineering and political reasons for the separate existence of authentication in AH and in ESP.,73,|,11/28/2024,ESP协议,0,SPI,Sequence Number,受保护的数据,16,31,填充项,填充项长度,下一个头,验证数据,MAC,IP,头,加密保护的数据,完整性保护的数据,ESP,格式,74,|,11/28/2024,ESP协议,平安参数索引,(32bit),:标示一个平安关联,序号,32bit),:一个单调递增的计数器的值,提供反重放功能,有效载荷数据可变:通过加密保护的传输极报文段传输方式或,IP,分组隧道模式,填充,0255bytes),填充长度,8bit),:指出前面填充字节的数目,下一个首部,8bit),:通过指出有效载荷的第一个首部类型,来标示在有效载荷数据段中包含的数据类型,认证数据可变:一个包含了完整性检查值的可变长度字段。,75,|,11/28/2024,ESP协议,ESP,支持的加密和认证算法,密码分组链模式的,DES(CBC DES),3DES,RC5,IDEA,CAST,Blowfish,76,|,11/28/2024,ESP Transport and Tunnel,Payload,(eg TCP, UDP, ICMP),ESP hdr,SPI, seqno,Inner,IP header,ESP in transport mode:,ESP in tunnel mode:,MAC scope,Original,IP header,Outer,IP header,ESP,trlr,ESP,auth,Encryption scope,Payload,(eg TCP, UDP, ICMP),ESP,trlr,ESP,auth,ESP hdr,SPI, seqno,MAC scope,Encryption scope,77,|,11/28/2024,密钥管理,SPD,决定对流入和流出的哪些数据包进行平安操作认证或加密,/,解密,SA,决定如何对这些包进行平安操作,IPSec,的平安通信之前必须建立平安关联,(SAs),SA,存储在本地的平安关联数据库,(SADB),中,SA,的建立可以通过两种方式,手工,自动:,IKE = ISAKMP + Oakley,TCP/IP stack,Appl,IPsec,IKE,TCP/IP stack,Appl,IPsec,IKE,SPD,SPD,SADB,SADB,78,|,11/28/2024,密钥管理,Internet,密钥交换,IKE,RFC2409,,属于一种混合型协议,基于,ISAKMP,框架,结合了,Oakley,和,SKEME,的局部密钥交换技术,ISAKMP: Internet Security Association and Key Management Protocol,RFC 2408,是一个针对鉴别和密钥交换的框架,79,|,11/28/2024,IKE协议,IKE operates in two phases.,Phase 1,: Set up an SA and secure channel to carry further SA negotiation, as well as error and management traffic.,Bi-directional.,Heavy-duty entity authentication and key exchange.,Establishes ISAKMP channel (IPSec key management protocol) a secure channel for use in Phase 2.,Phase 2,: SAs for general use are negotiated.,Fast negotiation takes place over Phase 1 secure channel.,Many Phase 2 runs allowed for each run of Phase 1.,Multiple SAs can be negotiated per run,80,|,11/28/2024,The end. Thanks,81,|,11/28/2024,9,、静夜四无邻,荒居旧业贫。,11月-24,11月-24,Thursday, November 28, 2024,10,、雨中黄叶树,灯下白头人。,07:09:15,07:09:15,07:09,11/28/2024 7:09:15 AM,11,、以我独沈久,愧君相见频。,11月-24,07:09:15,07:09,Nov-24,28-Nov-24,12,、故人江海别,几度隔山川。,07:09:15,07:09:15,07:09,Thursday, November 28, 2024,13,、乍见翻疑梦,相悲各问年。,11月-24,11月-24,07:09:15,07:09:15,November 28, 2024,14,、他乡生白发,旧国见青山。,28 十一月 2024,7:09:15 上午,07:09:15,11月-24,15,、比不了得就不比,得不到的就不要。,。,十一月 24,7:09 上午,11月-24,07:09,November 28, 2024,16,、行动出成果,工作出财富。,2024/11/28 7:09:15,07:09:15,28 November 2024,17,、做前,能够环视四周;做时,你只能或者最好沿着以脚为起点的射线向前。,7:09:15 上午,7:09 上午,07:09:15,11月-24,9,、没有失败,只有暂时停止成功!。,11月-24,11月-24,Thursday, November 28, 2024,10,、很多事情努力了未必有结果,但是不努力却什么改变也没有。,07:09:15,07:09:15,07:09,11/28/2024 7:09:15 AM,11,、成功就是日复一日那一点点小小努力的积累。,11月-24,07:09:15,07:09,Nov-24,28-Nov-24,12,、世间成事,不求其绝对圆满,留一份缺乏,可得无限完美。,07:09:15,07:09:15,07:09,Thursday, November 28, 2024,13,、不知香积寺,数里入云峰。,11月-24,11月-24,07:09:15,07:09:15,November 28, 2024,14,、意志坚强的人能把世界放在手中像泥块一样任意揉捏。,28 十一月 2024,7:09:15 上午,07:09:15,11月-24,15,、楚塞三湘接,荆门九派通。,。,十一月 24,7:09 上午,11月-24,07:09,November 28, 2024,16,、少年十五二十时,步行夺得胡马骑。,2024/11/28 7:09:15,07:09:15,28 November 2024,17,、空山新雨后,天气晚来秋。,7:09:15 上午,7:09 上午,07:09:15,11月-24,9,、杨柳散和风,青山澹吾虑。,11月-24,11月-24,Thursday, November 28, 2024,10,、阅读一切好书如同和过去最杰出的人谈话。,07:09:15,07:09:15,07:09,11/28/2024 7:09:15 AM,11,、越是没有本领的就越加自命非凡。,11月-24,07:09:15,07:09,Nov-24,28-Nov-24,12,、越是无能的人,越喜欢挑剔别人的错儿。,07:09:15,07:09:15,07:09,Thursday, November 28, 2024,13,、知人者智,自知者明。胜人者有力,自胜者强。,11月-24,11月-24,07:09:15,07:09:15,November 28, 2024,14,、意志坚强的人能把世界放在手中像泥块一样任意揉捏。,28 十一月 2024,7:09:15 上午,07:09:15,11月-24,15,、最具挑战性的挑战莫过于提升自我。,十一月 24,7:09 上午,11月-24,07:09,November 28, 2024,16,、业余生活要有意义,不要越轨。,2024/11/28 7:09:15,07:09:15,28 November 2024,17,、一个人即使已登上顶峰,也仍要自强不息。,7:09:15 上午,7:09 上午,07:09:15,11月-24,MOMODA POWERPOINT,Lorem ipsum dolor sit amet, consectetur adipiscing elit. Fusce id urna blandit, eleifend nulla ac, fringilla purus. Nulla iaculis tempor felis ut cursus.,感谢您的下载观看,专家告诉,
展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 管理文书 > 施工组织


copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!