理解的IPSec
IPSec的概況
IPSec是一套規程,是由互聯網工程任務組( IETF ) ,以保護數據的簽署和加密的數據,然後才在公開的網絡傳播。 的IETF徵求意見( RFCs ) 2401至09年定義的IPSec協議在安全方面的協議,安全關聯和密鑰管理,以及驗證和加密算法。 IPSec是一個框架的開放標準加密TCP / IP流量的網絡環境。 通過加密的IPSec工程中所載的資料IP數據通過封裝。 這反過來又提供網絡級數據的完整性,數據保密,數據來源驗證,並重放保護。
主要功能的IPSec是:
- 認證;保護私有網絡和私人數據它包含。 IPSec的保護私人數據的人在中間的攻擊,從攻擊者試圖訪問網絡,從攻擊的內容發生變化的數據包。
- 加密;掩蓋了實際內容的數據包,以便它不能被解釋的未經授權的當事方。
IPSec的可用於提供數據包過濾功能。 它也可以驗證兩個主機之間的流量和加密流量的主機之間傳遞。 IPSec的可用於創建一個虛擬專用網絡( VPN ) 。 IPSec的還可以用來使遠程辦公室之間的溝通和遠程訪問客戶端在互聯網上。
IPSec的運作在網絡層提供端到端的加密。 這基本上意味著,數據加密在源計算機發送數據。 所有中間系統處理加密的部分數據包的有效載荷。 中間系統,如路由器只是提出了數據包,其最終目的地。 中間制度不解密加密的數據。 加密的數據只能解密到達目的地。
IPSec的接口的TCP / UDP傳輸層和網絡層,應用透明的應用程序。 IPSec是透明的,用戶以及。 這基本上意味著,可以提供安全的IPSec的大部分範圍內的協議TCP / IP協議套件。 當涉及到應用軟件,所有的應用程序,使用TCP / IP可以享受的安全功能的IPSec 。 您沒有配置安全的每個特定的TCP / IP的應用程序。 使用規則和過濾器,可接收IPSec的網絡流量,並選擇所需的安全協議,確定哪些算法使用,並可以申請密鑰所需要的任何服務。
安全特性和功能的IPSec可用於安全的專用網絡和私人機密數據從以下
- 拒絕服務( DoS )攻擊
- 數據偷竊。
- 數據損壞。
- 盜竊用戶憑據
在Windows Server 2003中的IPSec使用認證頭( AH )的協議和封裝安全負載( ESP )協議提供數據安全:
- 客戶端計算機
- 域服務器
- 企業工作組
- 局域網( LAN )
- 廣域網( WANs )
- 遠程辦公
安全功能和特性提供的IPSec概述如下:
- 認證;數字簽名是用來驗證身份的發件人的信息。 IPSec的可以使用Kerberos ,預共享密鑰或數字證書進行身份驗證。
- 數據的完整性;散列算法,以確保數據不會篡改。 校驗稱為散列消息身份驗證代碼( HMAC )計算的數據包。 當一個數據包被修改,而在過境,計算HMAC變化。 這一變化將檢測到接收計算機。
- 個人資料私隱;加密算法的使用,以確保數據傳送是undecipherable 。
- 抗重放;防止攻擊者重新包裝,企圖獲取私人網絡。
- 不可否認性;公共密鑰數字簽名是用來證明消息來源。
- 動態密鑰更新;鑰匙可以建立在數據發送到保護部分的通信不同鍵。
- 密鑰的生成;的迪菲- Hellman密鑰協議算法用於使兩台計算機交換共享的加密密鑰。
- IP數據包過濾的數據包過濾功能的IPSec可用於過濾和攔截特定類型的流量,基於下列任何一種元素或組合:
- IP地址
- 議定書
- 港口
哪些新的Windows Server 2003中的IPSec
有幾個新的IPsec功能已包括在Windows Server 2003中,連同增強的IPSec功能,其中一些存在於先前的Windows作業系統:
- Windows Server 2003包括新的IP安全監視器工具,它的實施作為一個MMC管理單元。 IP安全監視器工具提供了增強的IPSec安全監測。 隨著IP安全監視器工具,您可以執行以下的行政活動:
- 自定義IP安全監視器顯示
- 監測的IPSec信息在本地計算機上。
- 監測的IPSec遠程計算機上的信息。
- 查看IPSec的統計數據。
- 查看信息IPSec策略
- 鑑於安全關聯的信息。
- 查看通用過濾器
- 查看具體的過濾器
- 搜索特定的過濾器為基礎的IP地址
- 您可配置IPSec使用netsh命令行實用工具。 Netsh命令行實用程序取代了以前使用Ipsecpol.exe命令行實用工具。
- IPSec的支持新的策略的結果集( RSoP )功能的Windows Server 2003 。 由此產生的一系列政策( RSoP )計算器可以用來確定的政策,已應用到特定的用戶或計算機。 策略的結果集( RSoP )總結所有集團的政策是適用於用戶和計算機在一個域中。 這包括所有的過濾器和例外。 您可以使用該功能通過策略的結果集( RSoP )嚮導或命令行,以查看IPSec策略的實施。
- IPSec的整合與Active Directory ,您可以集中管理安全策略。
- 5 Kerberos身份驗證默認身份驗證方法所使用的IPSec策略來驗證身份的電腦。
- IPSec是向後兼容的Windows 2000的安全框架。
- 如果一個地方的政策或Active Directory的政策不能適用於一台電腦,你現在可以選擇的政策,創造一個持久的特定計算機。 的特點,持續的政策是:
- 持久性的政策只能通過配置Netsh命令行實用工具。
- 持續的政策總是積極的。
- 持久性的政策不能被推翻。
- 在Windows Server 2003 IPSec的部署,只有Internet密鑰交換( IKE )交通不受IPSec的。 此前,資源預留協議( RSVP協議)交通, Kerberos通信,交通和IKE的IPSec免除。
- IPSec在Windows Server 2003包括支持第三組的2048位迪菲- Hellman密鑰交換。 該集團3個關鍵是更強大和更複雜的比第2組的1024位迪菲- Hellman密鑰交換。 然而,如果您需要向後兼容Windows 2000和Windows XP ,那麼您必須使用第2組的1024位迪菲- Hellman密鑰交換。
- IPSec的ESP數據包可以通過在網絡地址轉換( 網絡地址轉換 ) ,通過用戶數據報協議,封裝安全有效負載(尿苷ESP )的封裝在Windows Server 2003 IPSec的部署。
理解的IPSec術語
本節的文章列出了常用的IPSec術語和概念:
- 認證報頭( AH )的:這是一個主要的安全協議IPSec的使用。 架AH提供數據驗證和完整,因此可以使用自己當數據完整性和認證的相關因素和保密性卻不是。 這是因為架AH不提供加密,因此無法提供數據保密。 認證報頭( AH )和封裝安全負載( ESP )是主要的安全協議中使用IPSec的。 這些安全協議,可以單獨使用,或一起。
- 封裝安全負載( ESP ) :這是一個主要的安全協議IPSec的使用。 電除塵器,確保數據的保密性,通過加密,數據完整性,數據驗證,以及其他功能,支持可選的抗重播服務。 為了確保數據的機密性,一些對稱加密算法的使用。
- 證書頒發機構( CA ) :這是一個實體,生成和驗證數字證書。 該CA添加自己簽名的公開密鑰的客戶端。 核證機關的問題,並撤銷數字證書。
- 迪菲-赫爾曼組 :迪菲- Hellman密鑰協議使兩台電腦上建立共同的私鑰加密和驗證數據的IP數據。 不同迪菲-赫爾曼團體這裡列出:
- 第1組;提供768位密鑰強度
- 第2組;提供了1024位主要力量
- 第3組;提供了2048位主要力量
- Internet密鑰交換( IKE ) :在IKE協議所使用的電腦上建立一個安全關聯( SA )和信息交流創造迪菲-赫爾曼鍵。 管理和交流的IKE加密鑰匙,使計算機可以有一個共同的安全設置。 談判發生在該身份驗證方法,並加密算法和散列算法的計算機將使用。
- IPSec驅動程序 : IPSec驅動程序執行了一系列行動,使安全網絡通信,包括下列內容:
- 創建IPSec的數據包
- 生成校驗。
- 啟動的IKE通信
- 增加了AH和ESP頭
- 加密數據,然後才轉交。
- 計算哈希和校驗的傳入數據包。
- IPSec策略 : IPSec策略確定何時以及如何數據應當擔保,並規定安全使用方法,以確保數據。 IPSec策略包含的一些內容:
- 行動。
- 規則
- 篩選器列表
- 篩選器操作。
- IPSec策略代理 :這是一個服務運行在一台運行Windows Server 2003中訪問的IPSec策略的信息。 IPSec策略代理訪問的IPSec策略的信息或者Windows註冊表或Active Directory中。
- 奧克利關鍵決心協議 :該迪菲-赫爾曼算法用於兩個認證實體進行談判,並達成了一個秘密的關鍵。
- 安全關聯( SA ) :阿SA是設備之間的關係界定如何使用保安服務和設置。
- 三重數據加密( 3DES加密) :這是一個強大的加密算法使用的客戶機運行Windows ,並在Windows Server 2003計算機。 3DES加密使用56位密鑰進行加密。
了解的IPSec工程
有一個安全關聯( SA )必須先建立在兩台計算機之間的數據可以通過安全的計算機之間。 一個安全關聯( SA )之間的關係是一種裝置,確定如何使用保安服務和設置。 該公司提供了必要的信息溝通兩台計算機安全。 互聯網安全關聯和密鑰管理協議( ISAKMP )和IKE協議的機制,使兩台計算機建立安全關聯。 當SA是兩台計算機之間建立的計算機上進行談判的安全設置,利用,保護資料。 有一個安全的關鍵是交換和使用,以使計算機通信安全。
安全關聯( SA )包含以下內容:
- 該政策要求該協議的算法和密鑰長度的兩台計算機將使用安全可靠的數據。
- 安全密鑰用於安全數據通信。
- 安全參數索引( SPI ) 。
用IPSec ,兩個單獨的磺胺建立每個方向的數據通訊:
- 一個公司擔保輸入流量。
- 一個公司保證流量。
除了以上,還有一個獨特的公司為每個IPSec安全協議。 因此,基本上有兩種類型的SAS :
- 了ISAKMP公司:當流量是兩個方向和IPSec需要建立連接的計算機之間,一個了ISAKMP SA的建立。 該公司確定了ISAKMP和處理安全性參數之間的兩台電腦。 兩台計算機商定的一些內容,建立了ISAKMP公司:
- 確定哪個連接應當驗證。
- 確定加密算法使用。
- 確定算法來驗證郵件的完整性。
- 判斷是否驗證頭( AH )的IPSec協議應當用於連接。
- 確定身份驗證協議,應使用的AH協議,用於連接。
- 判斷是否封裝安全負載( ESP ) IPSec協議應當用於連接。
- 加密算法確定應使用的電除塵器議定書連接。
- IPSec的公司: IPSec的磺胺涉及IPSec隧道和IP數據包,並確定安全參數中使用一個連接。 的IPSec SA是來自上述四個要素之間的談判只是兩台電腦。
在上述因素已談判達成的兩台電腦,電腦使用奧克利議定書商定了ISAKMP萬能鑰匙。 這是共同的萬能鑰匙將用於上述內容,使安全數據通信。
經過擔保的溝通渠道,建立兩國之間的計算機,計算機開始談判下列內容:
為了安全和保護數據,採用加密的IPSec提供以下功能:
- 身份驗證:驗證涉及核實身份的計算機發送數據,或身份的計算機接收的數據。 該方法的IPSec可以用來驗證發送或接收的數據是:
- 數字證書:提供了最可靠的手段驗證身份。 證書頒發機構( CA ) ,如Netscape ,委託, VeriSign表示,微軟提供的證書可用於認證的目的。
- Kerberos身份驗證:一個下行使用Kerberos v5身份驗證協議的身份仍然是加密的電腦最多的點,整個有效載荷將被加密在身份驗證。
- 預共享密鑰;時,應當使用無前的驗證方法都可以使用。
- 數據完整性:數據完整性處理確保收到的數據在收件人沒有被篡改。 阿散列算法用於確保數據不會被修改,因為它是通過在網絡上。 該散列算法可以使用IPSec的是:
- 信息摘要( MD5編碼) ;單向散列結果在128位的散列用於完整性檢查。
- 安全散列算法1 ( SHA1 ) ; 160位的密鑰生成一個160位的信息摘要,提供更安全的MD5比。
- 數據機密性:確保數據保密的IPSec採用加密算法的數據,然後才在網絡上發送。 如果數據截獲,加密確保入侵者不能解釋的數據。 為了確保數據的機密性, IPSec的可以使用下面的加密算法:
- 數據加密標準( DES ) ;默認的加密算法使用Windows Server 2003中使用56位加密。
- 三月12日電( 3DES加密) ;數據是一個關鍵的加密,解密的另一個關鍵,和加密再次以不同的關鍵。
- 40位的DES ;最安全的加密算法。
抗重放確保驗證數據不能被解釋為它是在網絡上發送。 除了認證, IPSec的可提供不可否認性。 與不可否認性,發件人的數據不能在稍後階段否認實際發送數據。
理解的IPSec模式
的IPSec可以在下列其中一個模式:
- 隧道模式 : IPSec隧道模式可以用來提供安全WAN和VPN連接使用互聯網作為連接介質。 在隧道模式下, IPSec的加密IP報頭和IP的有效載荷。 與隧道,所載的數據包被封裝在一個額外的數據包。 新的數據包,然後通過網絡發送。
- 服務器到服務器
- Server以網關
- 網關到網關
- 數據傳輸使用未受保護的IP數據從一台計算機上的專用網絡。
- 當數據包到達路由器,路由器的壓縮包使用IPSec安全協議。
- 然後路由器轉發數據包的路由器上的另一端連接。
- 該路由器的完整性檢查的數據包。
- 數據包解密。
- 的數據包,然後添加到不受保護的IP數據,並傳送到目標計算機上的專用網絡。
- 運輸方式 :這是默認的運作模式中IPSec使用的IP ,只有有效載荷將被加密通過電除塵器的AH協議或議定書。 傳輸模式是用於端到端通信安全的兩台計算機之間的網絡。
隧道模式通常用於以下配置:
溝通的過程中時所發生的隧道模式的定義是IPSec的模式詳述如下:
IPsec組件
主要的兩個組成部分時安裝IPSec的部署是:
- IPSec策略代理:這是一個服務運行在一台運行Windows Server 2003中訪問的IPSec策略的信息。 IPSec策略代理訪問的IPSec策略的信息或者Windows註冊表或Active Directory中。 主要職能的IPSec策略代理提供列舉如下:
- IPSec策略代理通行證信息IPSec驅動程序。
- IPSec策略代理訪問IPSec策略信息從本地Windows註冊表當計算機不屬於域。
- IPSec策略代理訪問IPSec策略信息從Active Directory時,該計算機是一個域成員。
- IPSec策略代理掃描IPSec策略的任何配置更改。
- IPSec驅動程序: IPSec驅動程序執行了一系列行動,使安全網絡通信,包括下列內容:
- 創建IPSec的數據包
- 生成校驗。
- 啟動的IKE通信
- 增加了AH和ESP頭
- 加密數據,然後才轉交。
- 計算哈希和校驗的數據包
了解IPSec協議
如前所述,主要IPSec安全協議的驗證頭( AH )和封裝安全負載( ESP )協議。 還有其他的IPSec協議,如了ISAKMP , IKE協議,和Oakley使用迪菲-赫爾曼算法。
認證報頭( AH )的協議
這架AH協議提供以下安全服務,以安全的數據:
- 認證
- 抗重放
- 數據完整性
這架AH協議確保數據不會被修改,使其能在網絡上。 它還確保數據來自發件人。
這架AH協議雖然沒有提供數據保密,因為它不加密的數據在IP數據包。 這基本上意味著,如果使用的AH議定書本身;入侵者,能夠捕獲數據將能夠讀取數據。 他們不會儘管能夠改變數據。 這架AH議定書可結合電除塵器議定書如果您需要確保數據保密的。
通信過程發生時的AH協議是使用如下所示:
- 一台計算機的數據傳輸到另一台計算機。
- 的IP頭標頭,數據本身是簽署,以確保數據的完整性。
- 這架AH標題之間插入IP頭和IP有效載荷提供認證和完整性。
該領域內的AH頭,連同所發揮的作用是每一個領域這裡列出:
- 下一步頭 ;用於指定類型的知識產權的有效載荷通過IP協議編號後存在的AH頭。
- 長度 ;顯示的長度的AH頭。
- 安全參數索引( SPI ) ;顯示正確的安全性協會的溝通,通過的組合如下:
- IPSec安全協議。
- 目標IP地址
- 序列號 ;用於提供IPSec的抗重放保護的通信。 序列號1開始,並遞增1在每個隨後包。 數據包具有相同的序列號與安全協會將被丟棄。
- 身份驗證數據 ;持有完整性校驗值(側腦室)計算傳送電腦提供數據的完整性和驗證。 接收計算機計算側腦室通過IP頭標頭,和IP有效載荷,然後比較兩個側腦室價值觀。
封裝安全負載( ESP )協議
在電除塵器議定書提供以下安全服務,以安全的數據:
- 認證
- 抗重放
- 數據完整性
- 數據保密
主要的區別的AH協議和議定書是電除塵器的電除塵器議定書規定的所有安全所提供的服務的AH協議,連同數據保密通過加密。 電除塵器可用於自己的,可以一起使用的AH協議。 在運輸模式中,電除塵器議定書只有標誌和保護知識產權的有效載荷。 IP標頭是得不到保護。 如果電除塵器議定書一起使用的AH協議,那麼整個數據包簽名。
電除塵器的電除塵器插入頁眉和ESP拖車,基本上圈有效載荷的IP數據。 所有數據後,電除塵器標題點的電除塵器拖車,實際電除塵器拖車將被加密。
該領域內的電除塵器頭,連同所發揮的作用每個外地這裡列出:
- 安全參數索引( SPI ) ;顯示正確的安全性協會的溝通,通過的組合如下:
- IPSec安全協議。
- 目標IP地址
- 序列號 ;用於提供IPSec的抗重放保護的通信。 序列號1開始,並遞增1在每個隨後包。 數據包具有相同的序列號與安全協會將被丟棄。
該領域內的電除塵器拖車,以及所發揮的作用每個外地這裡列出:
- 填充 ;所要求的加密算法,以確保字節邊界存在。
- 填充長度 ;表明長度(字節)的填充這是用於填充字段。
- 下一步頭 ;用於指定類型的知識產權的有效載荷通過IP協議編號。
- 身份驗證數據 ;持有完整性校驗值(側腦室)計算傳送電腦提供數據的完整性和驗證。 接收計算機計算側腦室通過IP頭標頭,和IP有效載荷,然後比較兩個側腦室價值觀。
了解IPSec安全過濾器,安全方法和安全政策
安全過濾器基本符合安全協議,以一個特定的網絡地址。 IPSec篩選器可以用來過濾掉未經授權的流量。 該過濾器包含以下信息:
- 源和目標IP地址
- 協議利用
- 來源國和目的地港口
每個IP地址包含一個網絡ID部分和一個主機ID部分。 通過安全過濾器,您可以過濾流量按照下列:
- 交通允許通過
- 交通保障
- 交通封鎖
安全過濾器可分為過濾器列表。 有沒有數量限制的過濾器可以包含在過濾列表中。 IPSec策略使用的IP過濾器,以確定是否一個IP安全規則應該用在一包。
您可以使用安全的方法,以指定的方式,一個IPSec策略應處理交通匹配一個IP篩選器。 安全方法也稱為篩選器操作。 該過濾器的行動造成的任何下列活動:
- 滴眼液交通
- 允許交通
- 談判的安全。
適用於您的網絡安全, IPSec策略的使用。 在IPSec策略時,如何確定數據應得到保障。 在IPSec策略還確定哪些安全方法來保護數據時使用的不同層次的網絡。 您可以配置IPSec策略,使不同類型的交通受到影響每一個人的政策。
IPSec策略可應用於以下各級網內:
- Active Directory域
- Active Directory站點
- Active Directory組織單位
- 計算機
- 應用
不同組成部分的一個IPSec策略這裡列出:
- IP篩選器 ;通知IPSec驅動程序類型的入站通信和出站流量應擔保。
- IP篩選器列表 ;用於集團多個IP篩選器到一個單一的名單,以孤立一組特定的網絡流量。
- 篩選器操作 ;用於確定如何在IPSec驅動程序應確保交通。
- 安全的方法 ;是指安全類型和算法用於密鑰交換進程和驗證。
- 連接類型 :列出的連接類型的IPSec策略的影響。
- 隧道設置 ;隧道端點的IP地址/ 的DNS名稱。
- 第一個分組的下列組件,以確保一個特定的子集在一個特定的交通方式:
- IP篩選器
- 篩選器操作。
- 安全方法
- 連接類型
- 隧道設置。
 |
書籤理解的IPSec
