详细介绍了野蛮的IPSec模型(教程)
评论:因特网协议安全(IPSec)是一种开放的标准框架,它通过使用加密的安全服务确保因特网协议(IP)网络上的安全通信。对野蛮模式的简要介绍:
IKE谈判模型
在rfc2409(Internet密钥交换IKE的第一阶段协商),可以采用两种模式:主要模式(主模式)和野蛮模式(攻击模式)。
主模式是单独设计的密钥交换信息的身份验证信息。这种分离保护身份信息;身份信息交换受生成共享密钥,但增加3短信费用。
野蛮模式允许与SA,载荷同时传输密钥交换和认证。结合这些负载信息降低了信息的往返次数,但它是不可能提供身份保护。虽然有野蛮模式的一些功能上的限制,一些特定的网络环境的需求能够得到满足,例如:远程访问,如果应答器(服务器)无法提前知道引发剂(最终用户)的地址,或赞助地址变化的整体,双方都想使用预共享密钥认证方法创建IKE SA,然后,没有身份保护的积极模式可能是唯一可行的交换方法;在另外如果发起者,策略已知响应或响应
野蛮模式的作用:
由于IP地址两端不固定,如ADSL拨号上网,双方都希望使用预共享密钥认证方法来创建IKE SA,我们需要使用野蛮模式。此外,如果已知发起人对策略作出响应,则可以使用野蛮模式更快地创建IKE。
IPSec中两种模型的区别:
1。野蛮模式协商比主模式要快,主模式需要与6个消息交互,而野蛮模式只需要与3个消息交互。
2。主模式协商比野蛮的模型更严格和更安全。因为主模式加密身份信息在5和6的消息。由于野蛮模式是通过交流人数有限,ID信息发送到对方在明文的方式在1和2的消息,主要模式保护端的身份,而野蛮的模式不。
在确定预共享密钥时,3种和两种模式是不同的,主模式只能根据IP地址来确定预共享密钥,正模式基于ID信息(主机名和IP地址)来确定预共享密钥。
野蛮模式的必要性:
当双方都是对方的名字时,我们必须用野蛮的方式进行谈判。如果我们使用主模式,我们找不到预共享密钥根据源IP地址,这样我们就不会产生skeyid。
1,因为在3年底的主要模式,4交换信息后,需要使用预共享密钥来计算skeyid,但由于双方的身份信息在消息将在5和6发送,该设备的主要方式只能用在源IP地址的消息3, 4找到其对应的预共享密钥如果主机名;的主要模式,主机名的信息中包含的信息5, 6,和IPSec 5,双方必须6找到对应的预共享密钥之前被报道,所以导致矛盾。
2、在野蛮的方式、身份信息(IP地址或主机名)已经在消息1和2发送,可以和对方找到相应的基于预共享密钥的身份信息,从而计算skeyid。
案例
在这个实验中,华为三的F100防火墙和S3526开关用于在IPSec野蛮mode.fw1建立VPN通道的总部,FW1的实施可以和FW2的内部网络互动,FW1和FW3的内部网络visits.fw2和FW3动态通过DHCP服务器获取地址。
实验图:
配置FW1:
语言中文
更改语言模式,确认
中国模式的百分之变化。
系统观
输入系统视图,并将Ctrl - Z类型返回到用户视图。
配置IP
{防火墙区域信任
{区域信任}添加接口以太网0 4
接口已被添加到信任的安全区域。
{区域信任}退出
{ }防火墙F1区的不信任
{信任}添加以太网接口F1区0 / 1
接口已被添加到DMZ安全区域。
{ }退出F1区的不信任
{ F1 }接口Ethernet0 / 4
{ 4 } f1-ethernet0 / IP添加192.168.10.1 24
{ 4 } f1-ethernet0 / / 1的以太网接口
{ 1 } f1-ethernet0 / IP添加192.168.110.200 24
{ 1 } f1-ethernet0 /
% 2012 / 3 / 29 19:26:47:341 F1 ifnet / 4 /向上向下:链路协议改变了接口Ethernet0 / 1
{ 1 } f1-ethernet0 /退出
默认路由:
{ F1 }静态路由0.0.0.0 0.0.0.0 192.168.110.1
定义用于过滤数据流的ACL实现
{ f1 ACL编号3000
{ f1-acl-adv-3000 }规则允许源IP 192.168.110.0 0.0.0.255目的192.168.120.0 0.0.0.255
{ f1-acl-adv-3000 }规则否认IP源的任何目的地的任何
{ f1-acl-adv-3000 }退出
{ f1 ACL编号3001
{ f1-acl-adv-3001 }规则允许源IP 192.168.110.0 0.0.0.255目的192.168.130.0 0.0.0.255
{ f1-acl-adv-3001 }规则否认IP源的任何目的地的任何
{ f1-acl-adv-3001 }退出
配置安全建议:
{ } tran1 F1安全提议创建一个安全协议称为tran1
{ }封装模式f1-ipsec-proposal-tran1隧道报文封装使用隧道模
f1-ipsec-proposal-tran1 }的{变换ESP安全协议使用ESP协议
{ f1-ipsec-proposal-tran1 } ESP加密算法DES加密算法
{ f1-ipsec-proposal-tran1 } ESP认证算法MD5认证算法
{ f1-ipsec-proposal-tran1 }退出
{ } tran2 F1安全提议创建一个安全协议称为tran2
{ }封装模式f1-ipsec-proposal-tran2隧道
{ }变换f1-ipsec-proposal-tran2 ESP
{ f1-ipsec-proposal-tran2 } ESP加密算法DES
{ f1-ipsec-proposal-tran2 } ESP认证算法MD5
{ f1-ipsec-proposal-tran2 }退出
创建IKE对等点并输入IKE对等视图:
{ }艾克F1的本地名称FW1配置IKE协商当地ID
{ } IKE对等Peer1 F1
{ f1-ike-peer-peer1 }交换模式积极配置IKE协商作为一个野蛮的模型
{ 123456 } f1-ike-peer-peer1预共享密钥简单配置预共享密钥
{ f1-ike-peer-peer1 } ID类型名称配置结束ID类型
{ f1-ike-peer-peer1 }远程名称FW2配置端的名字
{ f1-ike-peer-peer1 }退出
{ } IKE对等代办F1
{ f1-ike-peer-peer2 }交换模式攻击
{ f1-ike-peer-peer2 }预共享密钥简单ABCDEF
{ f1-ike-peer-peer2 } ID类型名称
{ f1-ike-peer-peer2 }远程名称FW3
{ f1-ike-peer-peer2 }退出
创建安全策略,协商方式是动态的
{ 10 } IPSec策略ISAKMP 1 F1
{ f1-ipsec-policy-isakmp-policy1-10 }建议tran1引用安全建议
{ f1-ipsec-policy-isakmp-policy1-10 }安全ACL访问列表3000参考文献
{ f1-ipsec-policy-isakmp-policy1-10 } IKE对等Peer1
{ f1-ipsec-policy-isakmp-policy1-10 }退出
{ 20 } IPSec策略ISAKMP 1 F1
{ f1-ipsec-policy-isakmp-policy1-20 }建议tran2
{ 3001 }安全f1-ipsec-policy-isakmp-policy1-20 ACL
{ f1-ipsec-policy-isakmp-policy1-20 } IKE对等代办
{ f1-ipsec-policy-isakmp-policy1-20 }退出
在接口上应用安全策略组:
{ F1 }接口Ethernet0 / 1
{ 1 } f1-ethernet0 / IPSec策略}
{ 1 } f1-ethernet0 /退出
查看配置信息:
配置FW2:
语言的下巴
更改语言模式,确认
中国模式的百分之变化。
系统
系统观
输入系统视图,并将Ctrl - Z类型返回到用户视图。
防火墙区域信任
{区域信任}添加接口以太网0 4
{区域信任}退出
{ }防火墙F2区的不信任
{ F2区不信任}添加接口以太网0 / 1
{ }退出F2区的不信任
{ }内的以太网 / 4 F2
{ 4 } f2-ethernet0 / IP地址192.168.20.1 24
{ 4 }间f2-ethernet0 / / 1的以太网
{F2-Ethernet0/1}ip address dhcp-alloc configuring DHCP dynamic access address
{ 1 } f2-ethernet0 /
% 2012 / 3 / 29 19:48:16:393 F2 ifnet / 4 /向上向下:链路协议改变了接口Ethernet0 / 1
{ 1 } f2-ethernet0 /退出
{ F2 }静态路由0.0.0.0 0.0.0.0 192.168.120.1
3000
{ f2-acl-adv-3000 }规则允许源IP 192.168.120.0 0.0.0.255目的192.168.110.0 0.0.0.255
{ f2-acl-adv-3000 }规则否认IP源的任何目的地的任何
{ f2-acl-adv-3000 }退出
{ } IPSec方案tran1 F2
{ }封装模式f2-ipsec-proposal-tran1隧道
{ }变换f2-ipsec-proposal-tran1 ESP
{ f2-ipsec-proposal-tran1 } ESP加密算法DES
{ f2-ipsec-proposal-tran1 } ESP认证算法MD5
{ f2-ipsec-proposal-tran1 }退出
{ }艾克本地名称FW2 F2
{ } IKE对等Peer1 F2
{ f2-ike-peer-peer1 }交换模式攻击
{ f2-ike-peer-peer1 }预共享密钥的简单123456
{ f2-ike-peer-peer1 } ID类型名称
{ }远程名称f2-ike-peer-peer1 FW1
{ f2-ike-peer-peer1 }退出
{ 10 } IPSec策略2 ISAKMP F2
{ f2-ipsec-policy-isakmp-policy2-10 }建议tran1
{ 3000 }安全f2-ipsec-policy-isakmp-policy2-10 ACL
{ f2-ipsec-policy-isakmp-policy2-10 } IKE对等Peer1
{ f2-ipsec-policy-isakmp-policy2-10 }退出
{ }内的以太网 / 1 F2
{ 1 } f2-ethernet0 / IPSec策略2
{ 1 } f2-ethernet0 /退出
查看配置信息:
配置FW3:
朗琴
更改语言模式,确认
中国模式的百分之变化。
系统
系统观
输入系统视图,并将Ctrl - Z类型返回到用户视图。
防火墙区域信任
{区域信任}添加接口以太网0 4
{区域信任}退出
{三}防火墙的信任区
{ F3区不信任}添加接口以太网0 / 1
{ }退出信任F3区
{三}间Ethernet0 / 4
{ 4 } f3-ethernet0 / IP添加192.168.30.1 24
{ 4 }间f3-ethernet0 / / 1的以太网
{ 1 } f3-ethernet0 / DHCP分配的IP地址
{ 1 } f3-ethernet0 /
% 2012 / 3 / 29 19:06:42:711 F3 ifnet / 4 /向上向下:链路协议改变了接口Ethernet0 / 1
{F3-Ethernet0/1}quit
{三}静态路由0.0.0.0 0.0.0.0 192.168.130.1
3000
{ f3-acl-adv-3000 }规则允许源IP 192.168.130.0 0.0.0.255目的192.168.110.0 0.0.0.255
{ f3-acl-adv-3000 }规则否认IP源的任何目的地的任何
{ f3-acl-adv-3000 }退出
{三} IPSec方案tran2
{ }封装模式f3-ipsec-proposal-tran2隧道
{ }变换f3-ipsec-proposal-tran2 ESP
{ f3-ipsec-proposal-tran2 } ESP加密算法DES
{ f3-ipsec-proposal-tran2 } ESP认证算法MD5
{ f3-ipsec-proposal-tran2 }退出
{三}艾克本地名称FW3
{三} IKE对等代办
{ f3-ike-peer-peer2 }交换模式攻击
{ f3-ike-peer-peer2 }预共享密钥简单ABCDEF
{ f3-ike-peer-peer2 } ID类型名称
{ }远程名称f3-ike-peer-peer2 FW1
{ f3-ike-peer-peer2 }退出
{ 20 } IPSec策略3 ISAKMP F3
{ f3-ipsec-policy-isakmp-policy3-20 }建议tran2
{ 3001 }安全f3-ipsec-policy-isakmp-policy3-20 ACL
{ f3-ipsec-policy-isakmp-policy3-20 } IKE对等代办
{ f3-ipsec-policy-isakmp-policy3-20 }退出
{三}间Ethernet0 / 1
{ 1 } f3-ethernet0 / IPSec策略3
查看配置信息:
Configuration of Switch1:
朗琴
更改语言模式,确认
中国模式的百分之变化。
系统观
输入系统视图,并将Ctrl - Z类型返回到用户视图。
分区VLAN并将其添加到接口:
{ 10 } VLAN SW1
{ sw1-vlan10 }端口以太网 / 1
{ 20 } VLAN sw1-vlan10
{ sw1-vlan20 }端口以太网 / 5
{ 30 } VLAN sw1-vlan20
{ sw1-vlan30 }端口以太网 / 3
{ }间sw1-vlan30
{ sw1-vlan30 }退出
配置VLAN地址:
{ SW1 }接口VLAN接口10
{ sw1-vlan-interface10 }
2012 / 3 / 29 20:13:12:150 SW1 l2inf / 5 / vlanif链路状态变化:
对vlan-interface10状态:链接成为了
{ sw1-vlan-interface10 } IP添加192.168.110.1 255.255.255.0
{ sw1-vlan-interface10 }
2012 / 3 / 29 20:13:36:503 SW1 ifnet / 5 /上下:
链路协议改变了界面vlan-interface10
{ sw1-vlan-interface10 }接口VLAN接口20
{ sw1-vlan-interface20 }
2012 / 3 / 29 20:13:45:493 SW1 l2inf / 5 / vlanif链路状态变化:
对vlan-interface20状态:链接成为了
{ sw1-vlan-interface20 } IP添加192.168.120.1 255.255.255.0
{ sw1-vlan-interface20 }
2012 / 3 / 29 20:13:55:184 SW1 ifnet / 5 /上下:
链路协议改变了界面vlan-interface20
{ sw1-vlan-interface20 }接口VLAN接口30
{ sw1-vlan-interface30 }
2012 / 3 / 29 20:14:02:434 SW1 l2inf / 5 / vlanif链路状态变化:
对vlan-interface30状态:链接成为了
{ sw1-vlan-interface30 } IP添加192.168.130.1 255.255.255.0
{ sw1-vlan-interface30 }
2012 / 3 / 29 20:14:12:405 SW1 ifnet / 5 /上下:
链路协议改变了界面vlan-interface30
{ sw1-vlan-interface30 }退出
配置DHCP服务:
{ }的DHCP服务器的IP地址池FW2 SW1
{ } 192.168.120.0 sw1-dhcp-fw2网络掩码为255.255.255.0
{ sw1-dhcp-fw2 }退出
{ }的DHCP服务器的IP地址池FW3 SW1
{ } 192.168.130.0 sw1-dhcp-fw3网络掩码为255.255.255.0
{ sw1-dhcp-fw3 }退出
{ } DHCP使SW1
DHCP任务已经启动!
查看配置信息:
{ SW1 } DIS铜
#
配置SW1
#
本地服务器NAS IP 127.0.0.1关键华为
本地用户user1
简单的密码123
服务类型telnet第3级
#
DHCP服务器的IP地址池FW2
网络192.168.120.0掩码255.255.255.0
#
DHCP服务器的IP地址池FW3
网络192.168.130.0掩码255.255.255.0
#
VLAN 1
#
VLAN 10
#
VLAN 20
#
VLAN 30
#
接口vlan-interface10
IP地址192.168.110.1 255.255.255.0
#
接口vlan-interface20
IP地址192.168.120.1 255.255.255.0
#
接口vlan-interface30
IP地址192.168.130.1 255.255.255.0
#
接口aux0 / 0
#
接口Ethernet0 / 1
端口访问VLAN 10
#
接口Ethernet0 / 2
#
接口Ethernet0 / 3
端口访问VLAN 30
#
接口Ethernet0 / 4
#
接口Ethernet0 / 5
端口访问VLAN 20
#
接口Ethernet0 / 6
#
接口Ethernet0 / 7
#
返回
测试:
平PC1和PC2 PC3之间的访问:
平PC2和PC1之间的访问:
平PC3和PC1之间的访问: