• 最佳VPN服务

    解锁Netflix,提供安全洪流,强大加密,快速下载,DNS泄漏保护,身份保护的顶级VPN,并具有低廉的VPN价格。

    阅读更多

    Hyper-V概念

    现在该熟悉Hyper-V虚拟化,虚拟服务器,虚拟交换机,虚拟CPU,虚拟部署基础结构(VDI)等。
    阅读更多

资料下载

IPSec协议 协议 -Internet协议安全

Posted in 网络协议

4.5666666666667 1 1 1 1 1 评分4.57(60投票)
 压住他

如今,IPSec是网络安全领域中的新时髦术语之一。它变得非常流行,并且在大多数操作系统中也成为标准。 视窗 2000完全支持IPSec,这很可能是您找到它的地方。如今的路由器还支持IPSec以建立安全链接,并确保没有人可以查看或读取它们交换的数据。

最初的IP(Internet协议)规范创建时,实际上并没有包含很多安全机制来保护它免受潜在黑客的攻击。他们没有为IP提供某种安全性的原因有两个。首先是因为当时(大约30年前),大多数人认为用户和管理员将继续表现良好,并且不会做出任何认真的尝试来破坏他人的流量。第二个原因是因为提供足够安全性所需的加密技术根本无法广泛使用,而且在大多数情况下甚至都不为人所知!

 

IPSec协议 协议 的工作方式

互联网安全协议/密钥管理协议和Oakley(ISAKMP)

ISAKMP为两台计算机提供了一种就安全设置达成一致并交换可用于安全通信的安全密钥的方式。一种 安全协会 (SA)提供两台计算机安全通信所需的所有信息。 SA包含策略协议,该协议控制两台计算机将使用哪些算法和密钥长度,以及用于安全地交换信息的实际安全密钥。

此过程分为两个步骤。首先,两台计算机必须在以下三件事上达成共识:

1)要使用的加密算法(DES,三重DES)

2)他们将使用哪种算法来验证消息的完整性(MD5或SHA-1)

3)如何验证连接:使用公钥证书,共享密钥或Kerberos。

一旦解决了所有问题,他们便开始另一轮谈判,涉及以下内容:

1)是否使用身份验证头(AH)协议

2)是否使用封装安全有效载荷(ESP)协议

3)哪种加密算法将用于ESP

4)AH将使用哪种身份验证协议

IPSec协议 协议 有两种机制可以共同为您提供最终结果,这是一种通过公共网络发送数据的安全方法。请记住,您可以同时使用这两种机制,也可以只使用其中一种。

这些机制是:

  • 认证头
  • 封装安全有效载荷-ESP

 

认证头(AH)机制

身份验证标头信息被添加到由发送方生成的数据包中,位于网络(第3层)和传输(第4层)层之间(请参见下图)。

身份验证可保护您的网络及其所载数据不受篡改。篡改可能是黑客坐在客户端和服务器之间,从而改变了客户端和服务器之间发送的数据包的内容,或者是试图冒充客户端或服务器的人,从而欺骗了对方并获得了对敏感数据的访问权限。

为解决此问题,IPSec使用了 认证头 (AH)对每个数据包的全部内容进行数字签名。此签名提供3个好处:

1)防止重放攻击。如果攻击者可以捕获数据包,保存它们并对其进行修改,然后将其发送到目的地,那么当该计算机不在网络上时,它们可以模拟该计算机。这就是我们所说的重播攻击。 IPSec协议 通过在所有数据包中包含发件人的签名来防止这种情况的发生。

2)防止篡改。 IPSec协议 添加到每个数据包的签名意味着您无法更改未检测到的数据包的任何部分。

3)防止欺骗。连接的每一端(例如客户端-服务器)都使用IPSec使用的身份验证标头验证对方的身份。

啊 是在整个数据包上计算的,包括有效负载(上层-4,5,6,7)和每一层的标头。下图显示了使用AH的数据包:

 ipsec-ah

 

 以下是对 认证头.

  ipsec-ah -2

 

啊 算法

对于点对点通信(例如客户端到服务器),合适的身份验证算法包括基于对称加密算法(例如DES)或单向哈希函数(例如MD5或SHA-1)的键控消息身份验证代码(MAC)。

对于多播通信(例如,一组路由器之间的多播通信),通常使用单向哈希算法和非对称签名算法相结合,但它们的CPU使用量也更大。

 

封装安全有效载荷-ESP

身份验证标头(),我们将保护您的数据免遭篡改,但不会阻止人们看到它。为了那个原因, IPSec协议 协议 使用提供以下内容的加密 封装安全有效载荷 (ESP)。 静电除尘器 用于加密 IPSec协议 协议 数据包(有效负载是数据包中包含上层数据的部分)。

静电除尘器 比...复杂一点 因为 单独 它可以提供身份验证,重播证明和完整性检查。它通过添加3个单独的组件来完成此任务:

1)ESP头

2)ESP拖车和

3)ESP身份验证块。

这些组件中的每一个都包含提供必要的身份验证和完整性检查所需的一些数据。为了防止篡改,ESP客户端必须将ESP标头,应用程序数据和ESP尾部签名到一个单元中,当然,ESP用于加密应用程序数据和ESP尾部以提供机密性。此重叠签名和加密操作的结合提供了良好的安全性。

让我们看一下使用IPSec-ESP的数据包:

ipsec-esp-1

ipsec-esp-2

IPSec协议 协议 会变得非常复杂和混乱。我已尝试使所有内容都尽可能简单,但是请记住,与本主题相比,本主题的研究范围更广!

在左侧,您会看到对 认证头.

啊 算法

对于点对点通信(例如客户端到服务器),合适的身份验证算法包括基于对称加密算法(例如DES)或单向哈希函数(例如MD5或SHA-1)的键控消息身份验证代码(MAC)。

对于多播通信(例如,一组路由器之间的多播通信),通常使用单向哈希算法和非对称签名算法相结合,但它们的CPU使用量也更大。

 

封装安全有效载荷-ESP

身份验证标头(),我们将保护您的数据免遭篡改,但不会阻止人们看到它。为了那个原因, IPSec协议 协议 使用提供以下内容的加密 封装安全有效载荷 ( 静电除尘器 )。 静电除尘器 用于加密 IPSec协议 协议 数据包(有效负载是数据包中包含上层数据的部分)。

静电除尘器 比...复杂一点 因为 单独 它可以提供身份验证,重播证明和完整性检查。它通过添加3个单独的组件来完成此任务:

1) An 静电除尘器 标头

2) An 静电除尘器 拖车和

3) An 静电除尘器 身份验证块。

这些组件中的每一个都包含提供必要的身份验证和完整性检查所需的一些数据。为了防止篡改, 静电除尘器 客户必须签署 静电除尘器 标头,应用程序数据和 静电除尘器 拖车成一个单元 静电除尘器 用于加密应用程序数据和 静电除尘器 拖车提供保密性。此重叠签名和加密操作的结合提供了良好的安全性。

让我们看一下使用IPSec-ESP的数据包:

 

IPSec协议 协议 会变得非常复杂和混乱。我已尝试使所有内容都尽可能简单,但是请记住,与本主题相比,本主题的研究范围更广!

 

回到 网络协议部分

 压住他

CCENT / CCNA

思科公司 路由器

  • SSL WebVPN
  • 保护路由器
  • 基于策略的路由
  • 棒上路由器

虚拟专用网 安全

  • 了解DMVPN
  • GRE / IPSec协议 配置
  • 站点到站点IPSec 虚拟专用网
  • IPSec协议 协议 模式

思科公司 救命

  • 视窗 8 虚拟专用网 客户端
  • 视窗 7的VPN客户端
  • CCP显示问题
  • 思科支持应用程序。

视窗 2012

  • 新的功能
  • 发牌
  • Hyper-V / VDI
  • 安装Hyper-V

的Linux

  • 文件权限
  • Webmin
  • 群组-用户
  • Samba设置