目录
数据安全三要素
- **机密性:**数据被别人拿到了无法被查看
- **完整性:**保证数据是完整的送到自己手里
- **身份验证:**明确是某个人对数据进行操作
加密技术
对称加密
- 加密与解密使用相同的密钥
- 密钥是通信双方协商生成,生成过程是明文通信
- 对称加密的密钥容易泄露
- **常用对称加密算法:**DES、3DES、AES
非对称加密
- 使用公钥加密数据,私钥解密数据
- 公钥与私钥成对生成,互为加解密关系
- 公私钥不能相互推算
- 双方之间只有公钥进行交换
- **常见的算法:**DH、RSA
VPN介绍
- 虚拟专用网(Virtual Private Network,VPN)是一种利用公共网络来构建的专用网络技术。
- VPN使用了PKI技术,用来保证数据安全的三要素。
VPN类型
- **远程访问VPN:**一般用在个人到安全连接企业内部(客户端------站点)
- **点到点VPN:**一般用在企业对企业的安全连接(站点------站点)
**注意:**常见远程VPN协议(PPTP、L2TP、SSTP)常见的点到点VPN(IPsecVPN)
VPN隧道技术
案例使用
注意:
- 建VPN的两端机构必须各有一个路由器具有公网IP地址用作隧道,这样他们各自的专用网才能利用公网进行隧道通信。
- VPN隧道技术主要使用了重新封装技术和加解密技术。
传输模式
**理解:**只是加密上层数据,不会对私有的IP包头进行加密,更快速。
以10.1.0.3访问10.2.0.3为例
10.1.0.1要访问10.2.0.3,查看目标IP不在该网段,就会将数据包发送到路由器R1(源IP:10.1.0.3,目标IP:10.2.0.3;数据:未加密数据)路由器R1根据路由表将该数据路由到右接口,因为该接口配置了VPN技术,首先VPN判断那些流量可以做隧道,若流量吻合,则R1右接口尝试和R2左接口建立隧道;隧道建立好后,将数据包的数据部分加密并在加密后的数据前后添加加密开始和加密结束符,并将IP包头的源IP和目标IP拿出来放入可选项内;之后将R1的右接口IP作为源IP,将R2的左接口IP作为目标IP(源IP:125.1.2.3,目标IP:194.4.5.6;数据:加密开始+加密数据+加密结束)并将数据包送入隧道,R2路由器接收到该数据后由于左接口配置VPN,就将该数据IP包头中可选项内的源IP和目标IP拿出并替换,并且把加密开始和加密结束符拿掉后对内部数据进行解密;之后将数据包恢复(源IP:10.1.0.3,目标IP:10.2.0.3;数据:未加密的数据)后送入内网传播
**注意:**VPN技术配置在外网端口的出接口上。
隧道模式
**理解:**加密整个私有IP包,包括IP包头,更安全,速度慢。
以10.1.0.3访问10.2.0.3为例
10.1.0.1要访问10.2.0.3,查看目标IP不在该网段,就会将数据包发送到路由器R1(源IP:10.1.0.3,目标IP:10.2.0.3;数据:未加密数据)路由器R1根据路由表将该数据路由到右接口,因为该接口配置了VPN技术,首先VPN判断那些流量可以做隧道,若流量吻合,则R1右接口尝试和R2左接口建立隧道;隧道建立好后,将数据包的IP包头和数据部分加密并在加密前后分别添加加密开始和加密结束符,之后将R1的右接口IP作为源IP,将R2的左接口IP作为目标IP(源IP:125.1.2.3,目标IP:194.4.5.6;数据:加密开始+加密的私有IP包头和数据部分+加密结束)生成新IP包头并将数据包送入隧道,R2路由器接收到该数据后由于左接口配置VPN,就将该数据IP包头丢弃,并且把加密开始和加密结束符拿掉后对内部私有IP包头和数据部分进行解密;之后将数据包恢复(源IP:10.1.0.3,目标IP:10.2.0.3;数据:未加密的数据)后送入内网传播。
**注意:**若不配置VPN模式,那么大部分厂家的VPN默认为隧道模式
IPsecVPN
前言:
- IPsecVPN属于点到点VPN,可以在两家企业之间建立VPN隧道,进而合并两家企业
- **路由器工作先后顺序:**先路由,在匹配NAT,之后匹配VPN后将包发出
- 若使用这种VPN连接,双方路由器都需要在外网接口配置如下命令
IPsecVPN两阶段
管理连接
理解: 通信双方设备通过非对称加密算法来加密自己所协商的对称加密算法所使用的密钥
命令
进入全局配置模式
**进入传输集/策略集配置模式:**crypto isakmp policy 传输集策略名称(如1)
进入了传输级配置模式
**协商对称加密算法:**encryption 对称加密算法(des/3des/aes)
**协商完整性算法:**hash md5/sha
**选择非对称加密算法DH版本:**group 1/2/5(IPsecVPN默认就是DH算法)
**身份验证算法:**authenentication pre-share(这里使用预共享密钥算法)
**对称密钥更换时间:**lifetime 秒数(双方每过一段时间就更换一次对称密钥)
进入全局配置模式申请建立隧道: crypto isakmp key 随意写的预共享密钥 address 对方公网IP地址
注意:
- 上面命令的大致含义就是自己新建一张表,书写表的内容后发给对方,要求以表中的方式建立隧道。
- 在一个路由器中不只是可以配置一张传输集(表号代表优先级,表号越低优先级越高)
- 双方在建立隧道的过程中,仅有表号和对方公网IP地址可以不一致,其他的参数必须一致
数据连接
**理解:**通过对称加密算法加密实际所要传输的私网数据
命令
进入全局配置模式
定义VPN触发的流量
- access-list 100 permit ip 私网1IP 通配符掩码 私网2IP 通配符掩码
定义传输数据的加密及认证方式
- crypto ipsec transform-set 自定义传输模式名 esp-对称加密算法 esp/ah-协商完整性算法-hmac
注意:
- 传输模式名表示为自己所定义的加密和认证方式这种组合起一个名字
- esp:支持加密及认证(身份验证+完整性)
- ah:只是支持认证
- hmac表示把上面阶段1中的预共享密钥调用过来
- 通信双方一端选定加密及身份验证方式,那么另一方的方式必须和自己完全一样
将IPsecVPN两阶段应用在外网端口
**前言:**阶段一定义了传输集表,阶段2定义了VPN触发流量表,阶段2定义了传输模式名组合方式,这里我们需要将上面该表放入总表中(MAP映射表)然后将总表应用到路由器外网端口上。
创建map映射表
进入全局配置模式
**进入map表配置模式:**crypto map map表名 隧道标识(1) ipsec-isakmp(这个isakmp表示将阶段1映射过来)
进入了map表的配置模式
**匹配VPN流量:**match address 100(这个100表示阶段2的ACL表)
**匹配数据的传输模式:**set transform-set 上面的传输模式名
set peer 对方公网IP
理解:
- 用isakmp和对方交换密钥,交换密钥之后凡是匹配100表名的人就用数据传输名这个手段进行真正的加密认证传输数据(与对方的公网IP设备一起做)。
- 一个外网接口只能应用一张map映射表。所以若一个公司和多个地区建立VPN连接时可以将map表名相同,map表内容不同,不同的map表内容通过隧道标识来区分(标识可以为多个)
将map表应用到外网端口
进入路由器的外网端口配置模式
**应用到外网端口:**crypto map 上面的map表名
注意:
- 一个外网接口只能应用一张map映射表
- 敲完这条命令的时候VPN就已经处于监听开启的状态了,但此时路由器并没有与对方建立隧道,直到自己的公司有人到达网关想和对方联系并且匹配ACL表才开始触发和对方建立连接。
VPN连接查看命令
进入特权模式
**查看第一阶段策略集:**show crypto isakmp policy
查看阶段1的状态:showcrypto isakmp sa
**查看阶段2的状态:**show crypto ipsec sa
**查看阶段2的传输模式:**show crypto ipsec transform-set