隧道模式

兩個(gè)通信保護(hù)協(xié)議（兩個(gè)安全協(xié)議）

AH（鑒別頭協(xié)議）

GRE協(xié)議號(hào)47

可以提供的安全服務(wù)

報(bào)頭

安全索引參數(shù)SPI

序列號(hào)

認(rèn)證數(shù)據(jù)

AH要保護(hù)數(shù)據(jù)是以完整性校驗(yàn)來(lái)保護(hù)的，它會(huì)將后面數(shù)據(jù)hash，然后放在認(rèn)證數(shù)據(jù)里面

AH保護(hù)范圍

傳輸模式

隧道模式

ESP(封裝安全載荷協(xié)議)

屬于網(wǎng)絡(luò)層協(xié)議，封裝在IP協(xié)議之上,協(xié)議號(hào)：50

可以提供的安全服務(wù)

ESP的頭部

ESP報(bào)尾，當(dāng)加密時(shí)使用分組交換的時(shí)候，要滿足一定位數(shù)，當(dāng)位數(shù)不夠的時(shí)候，報(bào)尾的填充和填充頭部就可以用來(lái)補(bǔ)充。下一頭部可以標(biāo)識(shí)上層協(xié)議。認(rèn)證數(shù)據(jù)是所有東西都校驗(yàn)完了放東西的地方。

ESP保護(hù)范圍

傳輸模式

IP頭部不加密原因是要過(guò)其他層加密了就過(guò)不去了

隧道模式

AH和ESP對(duì)比

AD和ESP傳輸模式聯(lián)合使用

IKE

IPSec手工創(chuàng)建流程

1、創(chuàng)建acl抓取流量

2、配置IPSec安全提議，首先選擇協(xié)議類型也就是選AH還是ESP，然后再選擇加密算法、再選擇校驗(yàn)算法、如果選了AH的話就選AH的校驗(yàn)，再選擇封裝模式。

3、做IPSec策略，首先關(guān)聯(lián)流量和安全提議，再去定義自己的通道和對(duì)端的通道地址。標(biāo)識(shí)SPI的id，再配置一個(gè)和認(rèn)證有關(guān)的，也就是對(duì)方過(guò)來(lái)的時(shí)候需要的證書(shū)

4、接口處調(diào)用相應(yīng)的安全策略

（注：手工建立后這個(gè)通道將一直存在）

IPSec自動(dòng)創(chuàng)建流程

使用IKE，動(dòng)態(tài)建立IPSEC SA

IKE版本

IKE協(xié)議包含的三個(gè)協(xié)議

ISAKMP是IKE協(xié)議的主體，剩下的兩個(gè)協(xié)議用來(lái)提供支持

SKEME ：提供有關(guān)密鑰的一些支持

OAKLEY ：提供加密算法有關(guān)的支持

ISAKMP（互聯(lián)網(wǎng)安全聯(lián)盟密鑰管理協(xié)議 ）：用來(lái)協(xié)商

ISAKMP是一個(gè)應(yīng)用層協(xié)議基于傳輸層工作，他在傳輸層是基于UDP500端口，且ISAKMP要求源和目標(biāo)端口都是UDP的500，協(xié)商成功與否與這個(gè)有很大關(guān)系，所以配置的時(shí)候防火墻需要放通UDP的500端口。

IKE的兩個(gè)階段

階段1

協(xié)商構(gòu)建IKE SA（ISAKMP SA）其主要目的是獲得建立IPSEC SA時(shí)參數(shù)協(xié)商過(guò)程中的安全通道，對(duì)協(xié)商參數(shù)進(jìn)行安全保護(hù)。IKE SA和IPSec SA不同IKE SA是不區(qū)分源和目標(biāo)也就是單向的。

階段1過(guò)程

主模式

默認(rèn)使用IP地址作為身份標(biāo)識(shí)（因?yàn)樯矸輼?biāo)識(shí)發(fā)送是在第五六個(gè)數(shù)據(jù)包中，但是我們?cè)谇懊娴膸讉€(gè)數(shù)據(jù)包過(guò)程都需要提取預(yù)共享密鑰計(jì)算，需要身份標(biāo)識(shí)來(lái)確定是要用哪個(gè)預(yù)共享密鑰，要是等身份標(biāo)識(shí)的話等不下去了，因?yàn)檫@里有一個(gè)時(shí)間上的錯(cuò)位，所以只能看IP地址了，然后在第五六個(gè)數(shù)據(jù)包的時(shí)候?qū)P地址和ID對(duì)比，再進(jìn)行身份認(rèn)證確認(rèn)。所以這個(gè)東西也很怕NAT），這個(gè)身份標(biāo)識(shí)和身份認(rèn)證是不一樣的，在IPSec中多使用預(yù)共享密鑰進(jìn)行身份認(rèn)證，然后這個(gè)預(yù)共享密鑰可能一個(gè)人和另外好幾個(gè)人都有。如何區(qū)分不同的人的預(yù)共享密鑰就依靠這個(gè)身份標(biāo)識(shí)。

交互過(guò)程的數(shù)據(jù)包

需要經(jīng)過(guò)6個(gè)數(shù)據(jù)包交互來(lái)完成IKE SA的建立，安全性較高

第一，二個(gè)數(shù)據(jù)包：SA的交換，也就是安全聯(lián)盟的參數(shù)交換

Ci，Cr攜帶的是cookie，這個(gè)是IKEV1版本中的做法，唯一標(biāo)識(shí)一個(gè)SA。到了V2版本，這里使用的是SPI，在V1版本中，其作用是相似

Sai,Sar用來(lái)進(jìn)行進(jìn)行安全參數(shù)協(xié)商，使用“五元組”來(lái)協(xié)商，下面是五元組

加密算法，哈希算法，身份認(rèn)證，DH組，SA存活時(shí)間

DES???????????? MD5 ? ? ?? PSK ? ? ?? ?? DH2????? 86400S

注意：這里協(xié)商的所有參數(shù)，是為了構(gòu)建IKE SA使用參數(shù)

注意：如果是手工建立的SA，則將永久有效，但是，如果使用IKE建立的SA，則將存在老化時(shí)間，默認(rèn)是86400S，如果時(shí)間到了，則將拆除通道，重新建立。

注意：DH算法分組，常用分組為DH1，DH2，DH5，DH14，組號(hào)越大，則安全性越高

注意：這里的身份認(rèn)證是在協(xié)商身份認(rèn)證的方式

如果對(duì)方在回復(fù)時(shí)，發(fā)現(xiàn)里面的參數(shù)本地不支持，則將回復(fù)一個(gè)負(fù)載拒絕報(bào)文，則中斷SA的構(gòu)建。但是，其中的SA存活時(shí)間可以不同，如果不同，則按照較小的來(lái)執(zhí)行

第三，四個(gè)數(shù)據(jù)包

Ni，Nr --- 是兩端發(fā)送時(shí)攜帶的一個(gè)隨機(jī)數(shù),參與DH算法

X，Y --- DH算法中需要交換的兩個(gè)參數(shù)

在DH算法中我們會(huì)生成4把密鑰

且在密鑰的計(jì)算中就用到了預(yù)共享密鑰，不用傳遞預(yù)共享而是直接蘊(yùn)涵在計(jì)算的過(guò)程中。所有其他密鑰在計(jì)算時(shí)，都需要加入種子密鑰

SKEYID_e是加密密鑰，可以用于第5.6個(gè)數(shù)據(jù)包以及第二階段IPSEC SA協(xié)商過(guò) 程中的數(shù)據(jù)加密

CKY_I，CKY_R --- 前面過(guò)程中傳遞的cookie值

SKEYID_a是驗(yàn)證密鑰，他是在第一階段5，6個(gè)數(shù)據(jù)包以及第二個(gè)階段中進(jìn)行HASH算法時(shí)使用的密鑰，哈希算法也可以結(jié)合密鑰一起使用，其技術(shù)叫做HMAC（HMAC是融入密鑰的hash相比普通的hash來(lái)說(shuō)更安全）

SKEYID_d是推導(dǎo)密鑰，他可以用來(lái)計(jì)算最終密鑰（建立IPSec SA用來(lái)加密數(shù)據(jù)的密鑰）的一個(gè)參數(shù)

第五，六個(gè)數(shù)據(jù)包用來(lái)進(jìn)行身份認(rèn)證以及數(shù)據(jù)驗(yàn)證,這兩個(gè)數(shù)據(jù)包是進(jìn)行加密的

第五、六個(gè)數(shù)據(jù)包進(jìn)行身份認(rèn)證是依靠上面種子密鑰計(jì)算時(shí)用到的預(yù)共享密鑰，另外一方只要可以解密這兩個(gè)數(shù)據(jù)包就可以用到這個(gè)預(yù)共享密鑰，所以數(shù)據(jù)包種就不用攜帶預(yù)共享密鑰了

Idi/Idr --- 身份標(biāo)識(shí)(IP地址)

Hashi/Hashr --- 使用哈希算法來(lái)校驗(yàn)之前傳遞的安全參數(shù) --- 通過(guò)HMAC來(lái)進(jìn)行運(yùn)算，使用之前計(jì)算的驗(yàn)證密鑰SKEYID_a

野蠻模式

可以自定義身份標(biāo)識(shí)，并且，速度較快，僅需使用3個(gè)數(shù)據(jù)包就可以完成IKE SA的建立

建立過(guò)程

注意：野蠻模式前兩個(gè)數(shù)據(jù)包中的參數(shù)用來(lái)協(xié)商密鑰信息，則第三個(gè)數(shù)據(jù)包可以進(jìn)行加密傳輸，因?yàn)?#xff0c;身份信息是通過(guò)明文傳遞的，所以，安全性較低

主模式和野蠻模式區(qū)別

階段2????????????????????????????????????????????

通過(guò)階段一構(gòu)建的安全通道，傳遞需要建立IPSEC SA使用的安全參數(shù)，用來(lái)協(xié)商最終的密鑰。

快速模式

階段2過(guò)程