🍬 部落客介紹
- 👨🎓 部落客介紹:大家好,我是_PowerShell ,很高興認識大家~
- ✨主攻領域:【滲透領域】【資料通信】 【通訊安全】 【web安全】【面試分析】
- 🎉點贊➕評論➕收藏 == 養成習慣(一鍵三連)😋
- 🎉歡迎關注💗一起學習👍一起讨論⭐️一起進步📝文末有彩蛋
- 🙏作者水準有限,歡迎各位大佬指點,互相學習進步!
指采用 IPsce 協定來實作遠端接入的一種VPN技術,IPSec全稱為Internet Protocol Security,是由Internet Engineering Task Force (IETF) 定義的安全标準架構,在公網上為兩個私有網絡提供安全通信通道,通過加密通道保證連接配接的安全——在兩個公共網關間提供私密資料封包服務
IPSEC是一套比較完整成體系的VPN技術,它規定了一系列的協定标準。
目錄
🍬 部落客介紹
一、IPSec VPN應用場景
二、IPSec架構
三、安全協定:(AH、ESP)
1. AH
2. ESP
四、IPSec封裝方式(傳輸 隧道)
1. 傳輸模式:
2. 隧道模式:(預設,可部署網關)
五、IPsce基本元件
六、IPSce特性
七、專欄分享
一、IPSec VPN應用場景
企業分支可以通過IPSec VPN接入到企業總部網絡。(重要資料 ipsce vpn加密)
隧道 不管中間有多少裝置客戶是無感覺的
二、IPSec架構
Ipsce 不是一個協定 而是一個架構(三個協定組成)
它通過AH和ESP這兩個安全協定來實作IP資料封包的安全傳送。
AH(51) 保證資料的完整性 ESP(50) 對封包的加密過程 用的最多
IKE 協定提供密鑰協商,建立和維護安全聯盟SA等服務。
傳輸層不存在端口号 傳輸層協定提供端口号給應用層
傳輸層有的是協定号 端口号封裝在傳輸層 提供給應用層來打開
網絡層提供協定号給傳輸層
三、安全協定:(AH、ESP)
1. AH
認證頭協定AH (Authentication Header) : 提供資料來源認證、資料完整性校驗和封包抗重放功能[ 虛拟專用網 ] IPsce 虛拟區域網路(安全的IP協定的虛拟專用網)詳解(一) AH會對隧道内的整個資料包進行哈希 對方收到驗證哈希
(AH跟NAT不能同時使用 NAT會改變IP 驗證失敗)
AH不能對資料進行加密
2. ESP
封裝安全載荷協定ESP (Encapsulating Security Payload) :除提供AH的功能之外,還提供對有效載荷的加密功能[ 虛拟專用網 ] IPsce 虛拟區域網路(安全的IP協定的虛拟專用網)詳解(一) ESP協定允許對封包同時進行加密和認證,或隻加密,或隻認證
ESP沒有對IP頭的内容進行保護
ESP可以對資料進行加密 尾部認證資料就是哈希值(ESP頭部到加密塊)
加密塊:入DES 64位 不滿64 填滿
Nat可用
混合使用:AH認證時不會對nat位元組哈
密鑰交換:
網際網路密鑰交換協定IKE (Internet Key Exchange)
四、IPSec封裝方式(傳輸 隧道)
區分: 是否有兩個IP頭 (主機主機之前 主機網管之間)
隧道模式: 網關與網關之間(路由器和路由器之前)(公網)
1. 傳輸模式:
用的少 網絡裝置預設隧道模式
把原始IP直接提取用于資料内部
一般用在主機與主機之間 全網可達模式
不可部署在網關網關之間(公網不可允許私網位址)
Windows可部署傳輸模式
在傳輸模式下,AH或ESP報頭位于IP報頭和傳輸層報頭之間。
通常把兩個協定結合使用
IP頭部和tcp頭部分别加入AH和ESP的報頭 在尾部加ESP 加密塊,ESP的認證方式
針對tcp頭到esp尾部進行加密
針對esp頭到esp尾部進行ESP認證
針對整個資料包進行AH認證
不僅對資料進行加密,還對IP頭部進行了認證
2. 隧道模式:(預設,可部署網關)
在隧道模式下,IPSec會另外生成一個新的IP報頭, 并封裝在AH或ESP之前。
兩個IP頭 一個新的在最前面 一個舊的在tcp頭前
五、IPsce基本元件
IPSec對等體 接入裝置
IPSce隧道 隧道模式
安全聯盟 SA
六、IPSce特性
IPsec可以提供如下特性:
通路控制 身份認證技術
無連接配接的完整性、資料來源驗證 哈希技術
防重放 防止重複讀取資料
機密性(加密) 加解密技術
重播攻擊:黑客雖然不能破解加密資料,但是可以重複利用輔助的合法資料與接收端建立協商關系,接收端誤認為是同一人,進行認可