2. 程式人生 > >第10章 網路安全(4)_網路層安全IPSec

第10章 網路安全(4)_網路層安全IPSec

阿新 發佈:2018-11-27

5. 網路層安全IPSec

5.1 IPSec協議

(1)前面使用Outlook進行數字簽名和數字加密是應用層實現的安全安全套接字實現的安全是在應用層和傳輸層之間插入了一層來實現資料通訊安全。而IPSec是網路層實現的安全。不需要應用程式的支援,只要配置通訊雙方的安全規則,傳輸層的資料傳輸單元就會被加密後封裝到網路層,實現資料通訊安全。IPSec工作在OSI模型的網路層

(2)IPSec主要的兩個協議

  ①鑑別首部(Authentication Header, AH)協議:提供源點鑑別和資料完整性,但不能保密。AH協議的功能都包含在ESP協議中,因此不再使用AH協議。

  ②封裝安全有效載荷

(Encapsulation Security Payload, ESP)協議:提供源點鑑別、資料完整性和保密,支援IPv4和IPv6。

5.2 安全關聯

(1)IPSec協議的IP資料報(簡稱IPSec資料報),可以在兩個主機之間、兩個路由器之間或一個主機和一個路由器之間傳送。但傳送IPSec資料報之前,源實體和目的實體之間必須建立一條網路邏輯連線,即安全關聯(Security Association, SA)

(2)安全關聯的狀態資訊(以Client到Web伺服器的安全關聯SA1為例)

  ①源點(Client的IP)和終點(Web伺服器的地址)

  ②一個32位的連線識別符號,稱為安全引數索引(Security Parameter Index, SPI)

  ③所使用的加密型別(如DES)、加密密碼

  ④完整性檢查型別(例如,使用報文摘要MD5的報文鑑別碼MAC)

  ⑤鑑別使用的金鑰(比如指定身份驗證金鑰為abc)

【注意】要實現安全通訊,Web伺服器與Client傳送IPSec資料報之前,也要建立一條安全關聯SA。

5.3 實戰:在Windows系統上配置IPSec實現安全通訊

(1)實驗環境:Win2003Web(192.168.80.20)WinXP(192.168.80.50)

(2)IPSec(IP安全策略)規則的主要組成

  ①篩選器:定義SA的條件,如源地址、目標地址、協議和埠號等

  ②篩選器動作

(允許、拒絕和加密通訊):只有“協商安全”才需要指明加密演算法和完整性演算法,以及身份驗證方法。如果是允許和拒絕,則不需要指定上述內容。

  ③身份驗證方法(Kerberos、數字證書、共享金鑰):預設使用Kerberos來驗證,這是為域中的計算機準備的身份驗證方法。共享金鑰則要求通訊雙方要使用相同的金鑰(可自定義,如abc123)

(3)在Win2003虛擬機器上建立IP安全策略

  ①執行“secpol.msc”(也可以從管理工具中找到)開啟“本地安全策略”→“IP安全策略”→“建立IP安全策略”。(注意,Windows可以有多個IP安全策略,但同一時間只有一個生效,在“本地安全設定”中有三個預設的IP安全策略,他們是針對加入域的計算機預設的,這裡我們要建立自己的IP安全策略)

  ②新增“篩選器”:名稱為toWindowsXP,源地址為我的IP、目標地址為192.168.80.50、協議為任意,並選中該篩選器。

  ③設定toWindowsXP篩選器的操作:安全措施為協商安全,並設定資料完整性和加密演算法以及新金鑰的生成時間。同時勾選“接受不安全的通訊,但總是用IPSec響應”(這意味著只允許進行安全通訊)和勾選“使用會話金鑰完全向前保密”(意味著通訊過程中生成的新的會話金鑰就不會使用以前用過的會話金鑰)

  ④將身份驗證方法修改為“預共享金鑰”,如abc123。(可編輯預設的Kerberos來達到修改驗證方法的目的)。

  ⑤最後右擊建立好的“WebIPSec”,並點選“指派”使策略生效。

(4)在WinXP虛擬機器上建立IP安全策略

  ①參照Win2003上操作新增篩選器,目標地址填寫192.168.80.20,也就是Win2003Web的地址。

  ②按同樣的方法建立篩選器操作和指定身份驗證方法(預共享金鑰也應設為abc123)

  ③指定新建立的IP安全策略,然後ping 192.168.80.20(注意,第一個響應是Negotiating IP Security,即協商IP安全,說明Win2003返回的ICMP響應資料包是經過IPSec策略加密通訊的

5.4 實戰:檢視安全關聯和加密資料包

(1)XP上檢視安全關聯:執行“mmc” →“檔案”→“新增/刪除管理單元”→新增“獨立管理單元”並選中“IP安全監視器”

(2)Win2003上抓包分析IPSec資料包的格式

  ①IPSec資料包格式

    A.當使用ESP(封裝安全有效載荷)時,網路層IP資料包的首部的協議欄位變為50。當目標主機檢查到協議欄位為50時,就知道在IP首部後面緊接著是ESP首部。

    B.在ESP首部中,有標誌一個安全關聯的安全引數索引SPI(32位)和序號(32位)。同時,在原IP資料報後面增加了兩個欄位,即ESP尾部和ESP鑑別碼(MAC)。

    C.ESP尾部和傳輸層報文(IP的資料報)一起加密因此攻擊者無法得知所使用的傳輸層協議(它在IP資料報的資料部分中)

    D.SA指明的演算法和金鑰,對“ESP首部+傳輸層報文段(或IP資料報)+ESP尾部”生成報文鑑別碼MAC。

  ②抓包分析IPSec資料包

 

相關推薦

10 網路安全4_網路安全IPSec

5. 網路層安全IPSec 5.1 IPSec協議 (1)前面使用Outlook進行數字簽名和數字加密是應用層實現的安全。安全套接字實現的安全是在應用層和傳輸層之間插入了一層來實現資料通訊安全。而IPSec是網路層實現的安全。不需要應用程式的支援,只要配置通訊雙方的安全規則,傳輸層的資料傳輸

10 網路安全2_應用安全(數字簽名)

3. 應用層安全——數字簽名 3.1 數字簽名 (1)數字簽名細節   ①A有一個金鑰對(A的私鑰SK和公鑰PK)。傳送檔案前先使用雜湊函式生成該檔案的摘要,再使用A的私鑰加密摘要(這個過程稱為簽名,私鑰持有者才能做這個操作)。   ②然後將加密後的摘要、A的公鑰和檔案(不加密

10 網絡安全4_網絡安全IPSec

配置ip 分享 發送 eight 管理工具 win2003 soci 程序 插入 5. 網絡層安全IPSec 5.1 IPSec協議 (1)前面使用Outlook進行數字簽名和數字加密是應用層實現的安全。安全套接字實現的安全是在應用層和傳輸層之間插入了一層來實現數據通信安全

MySQL5.7從入門到精通--------讀書筆記4

7.5.1  帶ANY、SOME、ALL的子查詢         子查詢是指一個查詢語句巢狀在另外一個查詢語句中的查詢。         在SELECT子句中先計運算元查詢,子查詢結果作為來外外層另外一個查詢的過濾條件。即另外一個查詢的查詢條件就是子查詢中返回的資料記錄。

基礎紋理4

xtu sha rgba rename 都是 {} 學習 lba 同時 目錄 遮罩紋理 1.實踐 2.其它遮罩紋理 @ 遮罩紋理 什麽是遮罩呢?簡單來講,遮罩

10 網路安全5_訪問控制列表ACL

6. 訪問控制列表ACL 6.1 標準訪問控制列表 (1)標準ACL   ①標準ACL是基於IP資料包的源IP地址作為轉發或是拒絕的條件。即,所有的條件都是基於源IP地址的。   ②基本不允許或拒絕整個協議組。它不區分IP流量型別。如Telnet、UDP等服務。 (2)實戰:只允

10 網路安全1_對稱加密和非對稱加密

1 網路安全概述 1.1 計算機網路面臨的安全威協 (1)截獲:攻擊者從網路上竊聽他人的通訊內容,通常把這類攻擊稱為“截獲”。在被動攻擊中,攻擊者只是觀察和分析某一個協議資料單元(PDU)而不干擾資訊流。 (2)篡改:攻擊者篡改網路上傳遞的報文。這裡包括徹底中斷傳遞的報文,甚至把完

網路的時代—網路開發4

8.5輕量級的資料交換格式—JSON8.5.1 客戶端與伺服器端的資料互動在Android應用開發中,尤其是網路應用的開發,我們經常需要從網路上獲取資料,而不僅僅從本地資料庫或者本地檔案中取得資料,這個時候就涉及到客戶端與伺服器端的資料互動了。客戶端如何需要與伺服器端進行資料

4 數據鏈路4_擴展以太網

style 由於 crc prior 運行 選擇 兩個 需要 指定端口 4. 擴展以太網 4.1 集線器(hub) (1)集線器組網   ①10BASE-T雙絞線以太網的通信距離短,每個站到集線器的距離不超過100m(註意,10表示10Mb/s的數據傳輸率,BASE表示連接

5 IP地址和子網劃分4_超網合並網段

8.0 str ges 分析 需求 由於 子類 log spa 7. 超網合並網段 7.1 合並網段 (1)子網劃分是將一個網絡的主機位當網絡位,來劃分出多個子網。而多個網段合並成一個大網段,合並後的網段稱為超網。 (2)需求分析   某企業有一個網段,該網段有200臺計算

9 應用4_超文本傳輸協議HTTP

span 關閉連接 多圖 帳戶 通過 從服務器 -668 傳輸協議 分享 5. 超文本傳輸協議HTTP 5.1 統一資源定位符URL (1)URL的一般形式:<協議>://<主機>:<端口>/<路徑>   ①協議後面必須寫上“

深入理解計算機系統_3e 家庭作業部分 CS:APP3e chapter 4 homework

ray design sed copy default ror this 處理 implement 4.52以後的題目中的代碼大多是書上的,如需使用請聯系 [email protected] 流水線部分只寫了偶數題號的,這幾天太浮躁,落下了好多課。。。 4.

7 網路協議1_網路首部

1. 網路層首部 1.1 網路層協議 (1)TCP/IP協議棧網路層的4個協議:IP協議、ICMP協議、IGMP協議和ARP協議。 (2)IP協議:動態路上協議的統稱,包括RIP和OSPF協議。 (3)TCP/IP協議分成四層:應用層定義了客戶端和伺服器通訊規範,傳輸層實現可靠

網路是怎樣連線的學習筆記--光纖接入網FTTH

4.2 光纖接入網(FTTH) 4.2.1 光纖的基本知識 FTTH,是一種基於光纖的接入網技術。FTTH 的關鍵點在於對光纖的使用,所以先來介紹一些光纖的基本知識。 光纖的結構 它是由一種雙層結構的纖維狀透明材質(玻璃和塑料)構成的,通過在裡面的纖芯中傳導光訊號來傳輸數字資訊。

9 應用4_超文字傳輸協議HTTP

5. 超文字傳輸協議HTTP 5.1 統一資源定位符URL (1)URL的一般形式:<協議>://<主機>:<埠>/<路徑>   ①協議後面必須寫上“://”,不能省略;   ②主機是指該主機在因特網上的域名或IP地址;   ③埠和

1 計算機網路和協議1_網路的概念

1.計算機網路 (1)網路:多臺計算機使用集線器或交換機連線起來構成的一個網路(這樣連線起來的所有計算機將處於同一個網段)。集線器或交換機負責在同一個網路中轉發資料包。 (2)網際網路絡:使用路由器將多個網路(處於不同網段的網路)連線起來,就形成網際網路。路由器負責在

Kali Linux 網路掃描祕籍 埠掃描

第三章 埠掃描(一) 作者:Justin Hutchens 譯者:飛龍 3.1 UDP埠掃描 由於 TCP 是更加常用的傳輸層協議,使用 UDP 的服務常常被人遺忘。雖然 UDP 服務本質上擁有被忽視的趨勢,這些服務可以列舉,

【機器學習實戰】10 K-MeansK-均值聚類演算法

第 10章K-Means(K-均值)聚類演算法 K-Means 演算法 聚類是一種無監督的學習, 它將相似的物件歸到一個簇中, 將不相似物件歸到不同簇中. 相似這一概念取決於所選擇的相似度計算方法. K-Means 是發現給定資料集的 K 個簇的聚類演算法, 之

Kali Linux 網路掃描祕籍 埠掃描

第三章 埠掃描(二) 作者:Justin Hutchens 譯者:飛龍 3.6 Scapy 隱祕掃描 執行 TCP 埠掃描的一種方式就是執行一部分。目標埠上的 TCP 三次握手用於識別埠是否接受連線。這一型別的掃描指代隱祕掃描

04-VTK基礎2

輸入 per 系統 相關 bsp 開發者 框模型 bject -h 【譯者:這個系列教程是以Kitware公司出版的《VTK User’s Guide -11th edition》一書作的中文翻譯(出版時間2010年,ISBN: 978-1-930934-23-8),