CCNP 筆記本

2009 年 02 月 17 日

CCNP-ISCW Module 03 IPSec VPNs(2)

Filed under: CCNP-ISCW Module 03 — nkongkimo @ 03:49:12
IPSec Framework 2大類

 

方式

步驟

細節

 

KEY management tunnel

建立一個安全的KEY的協商管道

IKE

(Internet Key Exchange)

實做的方法

Phase 1:

建立KEY management tunne相關的參數

*建立IKE SA

1.Authenticate the Peers驗證對方設備之間的驗證

 

2.協商雙向的SA(Security Association)

會把peer資訊、雙方相關的安全參數…放在一個Security的DB裡面

建立安全協商環境  利用Diffie-Hellman演算法(非對加密演算法)

目的在建立加密用的Key(HMAC)

*IKE SA為雙向

3.建立IKE SA的方法

建立控制訊號(SA)傳送所需要的參數

(1)Main mode: (標準)

優點 較安全
缺點 需要較多程序

(2)Aggressive mode: (較簡易 option)

優點 較簡單、快速
缺點 無法驗證對方的身分

Phase 1.5:

(option)

用於remote-to-site VPN

1.Xauth : User的驗證,用於remote-to-site VPN去驗證。

可用AAA OTP或本機其他驗證方式

2.Mode config : (option) 用於建立VPN後由server push相關的參數。

Phase 2:

建立Data management tunnel相關的參數

*建立IPSec SA

1.IPSec SA:

建立Data訊號(SA)傳送所需要的參數

*IPSec SA為單向分為Outbound或Inbound

2.Quick mode: (建立IPSec SA的方法)

Agreessive Mode協商方式類似,以達到快速協商。

ISAKMP

(Internet security association and Key managmant  protocol)

安全關聯跟key的管理協定。

 

Key management

1.ISAKMP: ISAKMPIKE來實做。

2.SKEME:  用來做keyreflash,自動更換key

3.Oakley: diffie-Hellman演算法,來安全交換加密用的key的演算法

4.key

交換的方法

Manual(手動交換較不方便)

Secret Key Exchange (diffie-hellman 自動交換)

Public Key Exchange (CA(憑證中心)來交換,類似數位憑證)

SA(Security Association)

單一方向認證,也可以說是Security policy(詳細資訊在此篇最下方)

Data management tunnel

建立一個安全的Data的傳輸管道

AH(Authentication Header)

只對來源ip header & 資料做正確性的驗證&認證,沒有對資料做加密(較少人使用)

Protocol number : 51

Transport mode:

*建立tunnel時不變更原來的ip header 只變更protocol number

*NAT & PAT下無法使用。

*適用於小型區網(host-to-host)

 

Tunnel mode:

*在區域網內用明文方式傳送,到Tunnel時加密傳送

*建立tunnel時插入新的ip header故新的IP可以routing

*驗證包含IP header & Payload

*NAT & PAT下可以使用。

*適用於大型區域網(client-to-site VPNgatway-to-gatwaysite-to-site)

ESP(Encapsulating Security Payload)

對來源 ip header & 資料做完整(正確)性&認證&加密payload(最常用的方式)

Protocol number : 50

Transport mode:

*建立tunnel時不變更原來的ip header 只變更protocol number

*NAT & PAT下無法使用。

*適用於小型區網(host-to-host)

Tunnel mode: (最常用的方式)

*在區域網內用明文方式傳送,到tunnel時加密傳送。

*建立tunnel時插入新的ip header故新的IP可以routing

*加密的部份&驗證的部份都是針對Payload做檢查,不包含IP header。

*NAT & PAT下可以使用。

*適用於大型區域網(client-to-site VPNgatway-to-gatwaysite-to-site)

*建議用ESP+AH就可以把IP hader & Payload做加密及驗證。 

SA (Security Association) 單一方向認證,也可以說是Security policy

步驟

名稱

細節

1.

Authentication method

驗證的方法

2.

Encryption algorithm

加解密的方法

3.

Encryption & authentication key

壓縮和認證的key

Encryption

Symmetric(對稱式):

*加密與解密的key是一樣的

*用於資料傳輸的加密

(1)DES:Key的長度為56bits

(2)3DES:做3次DES,key的長度為168bits

(3)AES:key的長度為128、192、256bits最常用(較安全且效率較好)

Asymmetric(非對稱式):

*加密與解密的key是不一樣的,每一個單位都會產生一個key,會產生公鑰與私鑰。

*用於key的加密

RSA:使用Diffie-Hellman Group 1、2來交換key。

PKI:利用CA的憑證驗證雙方

Authentication

Digital Signature(數位憑證)

MAC(hash的機制)

HMAC (hash的機制)

MD5(已遭破解)

*長度為128bits

SHA-1(較安全)

*長度為160bits

4.

Life time of  SA(時效性)

可設定時間(10sec)及傳遞資料量當作單位

5.

Sequence number

可避免replay攻擊

  

廣告

發表迴響 »

仍無迴響。

RSS feed for comments on this post. TrackBack URI

發表迴響

Please log in using one of these methods to post your comment:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google photo

您的留言將使用 Google 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

連結到 %s

在 WordPress.com 建立免費網站或網誌.

%d 位部落客按了讚: