IPSEC提供的安全服务
IPSEC协议簇安全体系架构
IPSEC协议簇
传输模式
主要用于主机和主机之间的端到端通信的数据保护
封装方式:不改变原有包头,在其之后插入IPsec包头,保护的是数据部分
隧道模式
主要用于私网与私网之间的通讯,建立安全的v*n通道
封装方式:增加新的IP(外网IP)其后是ipsec包头,保护的是原始IP包头和数据
AH协议
提供的安全服务:
AH再传输模式下的封装
AH在隧道模式下的封装
ESP
ESP提供的安全服务
ESP在传输模式下的封装
ESP在隧道模式下的封装
IPSEC建立
IKE协商
安全联盟SA
SA(Security Association)是通信对等体间对某些要素的约定 ,通信的双方符合SA约定的内容,就可以建立SA
由三元组来唯一标识:
安全参数所以;目的IP地址;安全协议号
IKE用途
IKE为IPSec协商生成密钥,供AH/ESP加解密和验证使用
第一阶段交换:通信各方彼此间建立了一个已通过身份验证和安全保护的通道,此阶段的交换建立了一个ISAKMP安全联盟,即ISAKMP SA(也可称为IKE SA)。第一阶段交换有两种协商模式:
主模式协商
野蛮模式协商
第二阶段交换:用已经建立的安全联盟(IKE SA)为IPSec协商安全服务,即为IPSec协商具体的安全联盟,建立IPSec SA,产生真正可以用来加密数据流的密钥,IPSec SA用于最终的IP数据安全传送。
NAT端口复用技术(IKE协商阶段一)
发包时将原有的tcp5123端口转为5000和6000端口
NAT下只要ESP的隧道模式可用
NAT-T技术
NAT-T允许多个IPSec v*n同时连接
重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服务器。重放