理解的IPSec
IPSec的概况
IPSec是一套规程,是由互联网工程任务组( IETF ) ,以保护数据的签署和加密的数据,然后才在公开的网络传播。 的IETF征求意见( RFCs ) 2401至09年定义的IPSec协议在安全方面的协议,安全关联和密钥管理,以及验证和加密算法。 IPSec是一个框架的开放标准加密TCP / IP流量的网络环境。 通过加密的IPSec工程中所载的资料IP数据通过封装。 这反过来又提供网络级数据的完整性,数据保密,数据来源验证,并重放保护。
主要功能的IPSec是:
- 认证;保护私有网络和私人数据它包含。 IPSec的保护私人数据的人在中间的攻击,从攻击者试图访问网络,从攻击的内容发生变化的数据包。
- 加密;掩盖了实际内容的数据包,以便它不能被解释的未经授权的当事方。
IPSec的可用于提供数据包过滤功能。 它也可以验证两个主机之间的流量和加密流量的主机之间传递。 IPSec的可用于创建一个虚拟专用网络( VPN ) 。 IPSec的还可以用来使远程办公室之间的沟通和远程访问客户端在互联网上。
IPSec的运作在网络层提供端到端的加密。 这基本上意味着,数据加密在源计算机发送数据。 所有中间系统处理加密的部分数据包的有效载荷。 中间系统,如路由器只是提出了数据包,其最终目的地。 中间制度不解密加密的数据。 加密的数据只能解密到达目的地。
IPSec的接口的TCP / UDP传输层和网络层,应用透明的应用程序。 IPSec是透明的,用户以及。 这基本上意味着,可以提供安全的IPSec的大部分范围内的协议TCP / IP协议套件。 当涉及到应用软件,所有的应用程序,使用TCP / IP可以享受的安全功能的IPSec 。 您没有配置安全的每个特定的TCP / IP的应用程序。 使用规则和过滤器,可接收IPSec的网络流量,并选择所需的安全协议,确定哪些算法使用,并可以申请密钥所需要的任何服务。
安全特性和功能的IPSec可用于安全的专用网络和私人机密数据从以下
- 拒绝服务( DoS )攻击
- 数据偷窃。
- 数据损坏。
- 盗窃用户凭据
在Windows Server 2003中的IPSec使用认证头( AH )的协议和封装安全负载( ESP )协议提供数据安全:
- 客户端计算机
- 域服务器
- 企业工作组
- 局域网( LAN )
- 广域网( WANs )
- 远程办公
安全功能和特性提供的IPSec概述如下:
- 认证;数字签名是用来验证身份的发件人的信息。 IPSec的可以使用Kerberos ,预共享密钥或数字证书进行身份验证。
- 数据的完整性;散列算法,以确保数据不会篡改。 校验称为散列消息身份验证代码( HMAC )计算的数据包。 当一个数据包被修改,而在过境,计算HMAC变化。 这一变化将检测到接收计算机。
- 个人资料私隐;加密算法的使用,以确保数据传送是undecipherable 。
- 抗重放;防止攻击者重新包装,企图获取私人网络。
- 不可否认性;公共密钥数字签名是用来证明消息来源。
- 动态密钥更新;钥匙可以建立在数据发送到保护部分的通信不同键。
- 密钥的生成;的迪菲- Hellman密钥协议算法用于使两台计算机交换共享的加密密钥。
- IP数据包过滤的数据包过滤功能的IPSec可用于过滤和拦截特定类型的流量,基于下列任何一种元素或组合:
- IP地址
- 议定书
- 港口
哪些新的Windows Server 2003中的IPSec
有几个新的IPsec功能已包括在Windows Server 2003中,连同增强的IPSec功能,其中一些存在于先前的Windows作业系统:
- Windows Server 2003包括新的IP安全监视器工具,它的实施作为一个MMC管理单元。 IP安全监视器工具提供了增强的IPSec安全监测。 随着IP安全监视器工具,您可以执行以下的行政活动:
- 自定义IP安全监视器显示
- 监测的IPSec信息在本地计算机上。
- 监测的IPSec远程计算机上的信息。
- 查看IPSec的统计数据。
- 查看信息IPSec策略
- 鉴于安全关联的信息。
- 查看通用过滤器
- 查看具体的过滤器
- 搜索特定的过滤器为基础的IP地址
- 您可配置IPSec使用netsh命令行实用工具。 Netsh命令行实用程序取代了以前使用Ipsecpol.exe命令行实用工具。
- IPSec的支持新的策略的结果集( RSoP )功能的Windows Server 2003 。 由此产生的一系列政策( RSoP )计算器可以用来确定的政策,已应用到特定的用户或计算机。 策略的结果集( RSoP )总结所有集团的政策是适用于用户和计算机在一个域中。 这包括所有的过滤器和例外。 您可以使用该功能通过策略的结果集( RSoP )向导或命令行,以查看IPSec策略的实施。
- IPSec的整合与Active Directory ,您可以集中管理安全策略。
- 5 Kerberos身份验证默认身份验证方法所使用的IPSec策略来验证身份的电脑。
- IPSec是向后兼容的Windows 2000的安全框架。
- 如果一个地方的政策或Active Directory的政策不能适用于一台电脑,你现在可以选择的政策,创造一个持久的特定计算机。 的特点,持续的政策是:
- 持久性的政策只能通过配置Netsh命令行实用工具。
- 持续的政策总是积极的。
- 持久性的政策不能被推翻。
- 在Windows Server 2003 IPSec的部署,只有Internet密钥交换( IKE )交通不受IPSec的。 此前,资源预留协议( RSVP协议)交通, Kerberos通信,交通和IKE的IPSec免除。
- IPSec在Windows Server 2003包括支持第三组的2048位迪菲- Hellman密钥交换。 该集团3个关键是更强大和更复杂的比第2组的1024位迪菲- Hellman密钥交换。 然而,如果您需要向后兼容Windows 2000和Windows XP ,那么您必须使用第2组的1024位迪菲- Hellman密钥交换。
- IPSec的ESP数据包可以通过在网络地址转换( 网络地址转换 ) ,通过用户数据报协议,封装安全有效负载(尿苷ESP )的封装在Windows Server 2003 IPSec的部署。
理解的IPSec术语
本节的文章列出了常用的IPSec术语和概念:
- 认证报头( AH )的:这是一个主要的安全协议IPSec的使用。 架AH提供数据验证和完整,因此可以使用自己当数据完整性和认证的相关因素和保密性却不是。 这是因为架AH不提供加密,因此无法提供数据保密。 认证报头( AH )和封装安全负载( ESP )是主要的安全协议中使用IPSec的。 这些安全协议,可以单独使用,或一起。
- 封装安全负载( ESP ) :这是一个主要的安全协议IPSec的使用。 电除尘器,确保数据的保密性,通过加密,数据完整性,数据验证,以及其他功能,支持可选的抗重播服务。 为了确保数据的机密性,一些对称加密算法的使用。
- 证书颁发机构( CA ) :这是一个实体,生成和验证数字证书。 该CA添加自己签名的公开密钥的客户端。 核证机关的问题,并撤销数字证书。
- 迪菲-赫尔曼组 :迪菲- Hellman密钥协议使两台电脑上建立共同的私钥加密和验证数据的IP数据。 不同迪菲-赫尔曼团体这里列出:
- 第1组;提供768位密钥强度
- 第2组;提供了1024位主要力量
- 第3组;提供了2048位主要力量
- Internet密钥交换( IKE ) :在IKE协议所使用的电脑上建立一个安全关联( SA )和信息交流创造迪菲-赫尔曼键。 管理和交流的IKE加密钥匙,使计算机可以有一个共同的安全设置。 谈判发生在该身份验证方法,并加密算法和散列算法的计算机将使用。
- IPSec驱动程序 : IPSec驱动程序执行了一系列行动,使安全网络通信,包括下列内容:
- 创建IPSec的数据包
- 生成校验。
- 启动的IKE通信
- 增加了AH和ESP头
- 加密数据,然后才转交。
- 计算哈希和校验的传入数据包。
- IPSec策略 : IPSec策略确定何时以及如何数据应当担保,并规定安全使用方法,以确保数据。 IPSec策略包含的一些内容:
- 行动。
- 规则
- 筛选器列表
- 筛选器操作。
- IPSec策略代理 :这是一个服务运行在一台运行Windows Server 2003中访问的IPSec策略的信息。 IPSec策略代理访问的IPSec策略的信息或者Windows注册表或Active Directory中。
- 奥克利关键决心协议 :该迪菲-赫尔曼算法用于两个认证实体进行谈判,并达成了一个秘密的关键。
- 安全关联( SA ) :阿SA是设备之间的关系界定如何使用保安服务和设置。
- 三重数据加密( 3DES加密) :这是一个强大的加密算法使用的客户机运行Windows ,并在Windows Server 2003计算机。 3DES加密使用56位密钥进行加密。
了解的IPSec工程
有一个安全关联( SA )必须先建立在两台计算机之间的数据可以通过安全的计算机之间。 一个安全关联( SA )之间的关系是一种装置,确定如何使用保安服务和设置。 该公司提供了必要的信息沟通两台计算机安全。 互联网安全关联和密钥管理协议( ISAKMP )和IKE协议的机制,使两台计算机建立安全关联。 当SA是两台计算机之间建立的计算机上进行谈判的安全设置,利用,保护资料。 有一个安全的关键是交换和使用,以使计算机通信安全。
安全关联( SA )包含以下内容:
- 该政策要求该协议的算法和密钥长度的两台计算机将使用安全可靠的数据。
- 安全密钥用于安全数据通信。
- 安全参数索引( SPI ) 。
用IPSec ,两个单独的磺胺建立每个方向的数据通讯:
- 一个公司担保输入流量。
- 一个公司保证流量。
除了以上,还有一个独特的公司为每个IPSec安全协议。 因此,基本上有两种类型的SAS :
- 了ISAKMP公司:当流量是两个方向和IPSec需要建立连接的计算机之间,一个了ISAKMP SA的建立。 该公司确定了ISAKMP和处理安全性参数之间的两台电脑。 两台计算机商定的一些内容,建立了ISAKMP公司:
- 确定哪个连接应当验证。
- 确定加密算法使用。
- 确定算法来验证邮件的完整性。
- 判断是否验证头( AH )的IPSec协议应当用于连接。
- 确定身份验证协议,应使用的AH协议,用于连接。
- 判断是否封装安全负载( ESP ) IPSec协议应当用于连接。
- 加密算法确定应使用的电除尘器议定书连接。
- IPSec的公司: IPSec的磺胺涉及IPSec隧道和IP数据包,并确定安全参数中使用一个连接。 的IPSec SA是来自上述四个要素之间的谈判只是两台电脑。
在上述因素已谈判达成的两台电脑,电脑使用奥克利议定书商定了ISAKMP万能钥匙。 这是共同的万能钥匙将用于上述内容,使安全数据通信。
经过担保的沟通渠道,建立两国之间的计算机,计算机开始谈判下列内容:
为了安全和保护数据,采用加密的IPSec提供以下功能:
- 身份验证:验证涉及核实身份的计算机发送数据,或身份的计算机接收的数据。 该方法的IPSec可以用来验证发送或接收的数据是:
- 数字证书:提供了最可靠的手段验证身份。 证书颁发机构( CA ) ,如Netscape ,委托, VeriSign表示,微软提供的证书可用于认证的目的。
- Kerberos身份验证:一个下行使用Kerberos v5身份验证协议的身份仍然是加密的电脑最多的点,整个有效载荷将被加密在身份验证。
- 预共享密钥;时,应当使用无前的验证方法都可以使用。
- 数据完整性:数据完整性处理确保收到的数据在收件人没有被篡改。 阿散列算法用于确保数据不会被修改,因为它是通过在网络上。 该散列算法可以使用IPSec的是:
- 信息摘要( MD5编码) ;单向散列结果在128位的散列用于完整性检查。
- 安全散列算法1 ( SHA1 ) ; 160位的密钥生成一个160位的信息摘要,提供更安全的MD5比。
- 数据机密性:确保数据保密的IPSec采用加密算法的数据,然后才在网络上发送。 如果数据截获,加密确保入侵者不能解释的数据。 为了确保数据的机密性, IPSec的可以使用下面的加密算法:
- 数据加密标准( DES ) ;默认的加密算法使用Windows Server 2003中使用56位加密。
- 三月12日电( 3DES加密) ;数据是一个关键的加密,解密的另一个关键,和加密再次以不同的关键。
- 40位的DES ;最安全的加密算法。
抗重放确保验证数据不能被解释为它是在网络上发送。 除了认证, IPSec的可提供不可否认性。 与不可否认性,发件人的数据不能在稍后阶段否认实际发送数据。
理解的IPSec模式
的IPSec可以在下列其中一个模式:
- 隧道模式 : IPSec隧道模式可以用来提供安全WAN和VPN连接使用互联网作为连接介质。 在隧道模式下, IPSec的加密IP报头和IP的有效载荷。 与隧道,所载的数据包被封装在一个额外的数据包。 新的数据包,然后通过网络发送。
- 服务器到服务器
- Server以网关
- 网关到网关
- 数据传输使用未受保护的IP数据从一台计算机上的专用网络。
- 当数据包到达路由器,路由器的压缩包使用IPSec安全协议。
- 然后路由器转发数据包的路由器上的另一端连接。
- 该路由器的完整性检查的数据包。
- 数据包解密。
- 的数据包,然后添加到不受保护的IP数据,并传送到目标计算机上的专用网络。
- 运输方式 :这是默认的运作模式中IPSec使用的IP ,只有有效载荷将被加密通过电除尘器的AH协议或议定书。 传输模式是用于端到端通信安全的两台计算机之间的网络。
隧道模式通常用于以下配置:
沟通的过程中时所发生的隧道模式的定义是IPSec的模式详述如下:
IPsec组件
主要的两个组成部分时安装IPSec的部署是:
- IPSec策略代理:这是一个服务运行在一台运行Windows Server 2003中访问的IPSec策略的信息。 IPSec策略代理访问的IPSec策略的信息或者Windows注册表或Active Directory中。 主要职能的IPSec策略代理提供列举如下:
- IPSec策略代理通行证信息IPSec驱动程序。
- IPSec策略代理访问IPSec策略信息从本地Windows注册表当计算机不属于域。
- IPSec策略代理访问IPSec策略信息从Active Directory时,该计算机是一个域成员。
- IPSec策略代理扫描IPSec策略的任何配置更改。
- IPSec驱动程序: IPSec驱动程序执行了一系列行动,使安全网络通信,包括下列内容:
- 创建IPSec的数据包
- 生成校验。
- 启动的IKE通信
- 增加了AH和ESP头
- 加密数据,然后才转交。
- 计算哈希和校验的数据包
了解IPSec协议
如前所述,主要IPSec安全协议的验证头( AH )和封装安全负载( ESP )协议。 还有其他的IPSec协议,如了ISAKMP , IKE协议,和Oakley使用迪菲-赫尔曼算法。
认证报头( AH )的协议
这架AH协议提供以下安全服务,以安全的数据:
- 认证
- 抗重放
- 数据完整性
这架AH协议确保数据不会被修改,使其能在网络上。 它还确保数据来自发件人。
这架AH协议虽然没有提供数据保密,因为它不加密的数据在IP数据包。 这基本上意味着,如果使用的AH议定书本身;入侵者,能够捕获数据将能够读取数据。 他们不会尽管能够改变数据。 这架AH议定书可结合电除尘器议定书如果您需要确保数据保密的。
通信过程发生时的AH协议是使用如下所示:
- 一台计算机的数据传输到另一台计算机。
- 的IP头标头,数据本身是签署,以确保数据的完整性。
- 这架AH标题之间插入IP头和IP有效载荷提供认证和完整性。
该领域内的AH头,连同所发挥的作用是每一个领域这里列出:
- 下一步头 ;用于指定类型的知识产权的有效载荷通过IP协议编号后存在的AH头。
- 长度 ;显示的长度的AH头。
- 安全参数索引( SPI ) ;显示正确的安全性协会的沟通,通过的组合如下:
- IPSec安全协议。
- 目标IP地址
- 序列号 ;用于提供IPSec的抗重放保护的通信。 序列号1开始,并递增1在每个随后包。 数据包具有相同的序列号与安全协会将被丢弃。
- 身份验证数据 ;持有完整性校验值(侧脑室)计算传送电脑提供数据的完整性和验证。 接收计算机计算侧脑室通过IP头标头,和IP有效载荷,然后比较两个侧脑室价值观。
封装安全负载( ESP )协议
在电除尘器议定书提供以下安全服务,以安全的数据:
- 认证
- 抗重放
- 数据完整性
- 数据保密
主要的区别的AH协议和议定书是电除尘器的电除尘器议定书规定的所有安全所提供的服务的AH协议,连同数据保密通过加密。 电除尘器可用于自己的,可以一起使用的AH协议。 在运输模式中,电除尘器议定书只有标志和保护知识产权的有效载荷。 IP标头是得不到保护。 如果电除尘器议定书一起使用的AH协议,那么整个数据包签名。
电除尘器的电除尘器插入页眉和ESP拖车,基本上圈有效载荷的IP数据。 所有数据后,电除尘器标题点的电除尘器拖车,实际电除尘器拖车将被加密。
该领域内的电除尘器头,连同所发挥的作用每个外地这里列出:
- 安全参数索引( SPI ) ;显示正确的安全性协会的沟通,通过的组合如下:
- IPSec安全协议。
- 目标IP地址
- 序列号 ;用于提供IPSec的抗重放保护的通信。 序列号1开始,并递增1在每个随后包。 数据包具有相同的序列号与安全协会将被丢弃。
该领域内的电除尘器拖车,以及所发挥的作用每个外地这里列出:
- 填充 ;所要求的加密算法,以确保字节边界存在。
- 填充长度 ;表明长度(字节)的填充这是用于填充字段。
- 下一步头 ;用于指定类型的知识产权的有效载荷通过IP协议编号。
- 身份验证数据 ;持有完整性校验值(侧脑室)计算传送电脑提供数据的完整性和验证。 接收计算机计算侧脑室通过IP头标头,和IP有效载荷,然后比较两个侧脑室价值观。
了解IPSec安全过滤器,安全方法和安全政策
安全过滤器基本符合安全协议,以一个特定的网络地址。 IPSec筛选器可以用来过滤掉未经授权的流量。 该过滤器包含以下信息:
- 源和目标IP地址
- 协议利用
- 来源国和目的地港口
每个IP地址包含一个网络ID部分和一个主机ID部分。 通过安全过滤器,您可以过滤流量按照下列:
- 交通允许通过
- 交通保障
- 交通封锁
安全过滤器可分为过滤器列表。 有没有数量限制的过滤器可以包含在过滤列表中。 IPSec策略使用的IP过滤器,以确定是否一个IP安全规则应该用在一包。
您可以使用安全的方法,以指定的方式,一个IPSec策略应处理交通匹配一个IP筛选器。 安全方法也称为筛选器操作。 该过滤器的行动造成的任何下列活动:
- 滴眼液交通
- 允许交通
- 谈判的安全。
适用于您的网络安全, IPSec策略的使用。 在IPSec策略时,如何确定数据应得到保障。 在IPSec策略还确定哪些安全方法来保护数据时使用的不同层次的网络。 您可以配置IPSec策略,使不同类型的交通受到影响每一个人的政策。
IPSec策略可应用于以下各级网内:
- Active Directory域
- Active Directory站点
- Active Directory组织单位
- 计算机
- 应用
不同组成部分的一个IPSec策略这里列出:
- IP筛选器 ;通知IPSec驱动程序类型的入站通信和出站流量应担保。
- IP筛选器列表 ;用于集团多个IP筛选器到一个单一的名单,以孤立一组特定的网络流量。
- 筛选器操作 ;用于确定如何在IPSec驱动程序应确保交通。
- 安全的方法 ;是指安全类型和算法用于密钥交换进程和验证。
- 连接类型 :列出的连接类型的IPSec策略的影响。
- 隧道设置 ;隧道端点的IP地址/ 的DNS名称。
- 第一个分组的下列组件,以确保一个特定的子集在一个特定的交通方式:
- IP筛选器
- 筛选器操作。
- 安全方法
- 连接类型
- 隧道设置。
 |
书签理解的IPSec
