论坛 › Cisco › CISCO安全 ***技术

coverl 发表于 2018-7-11 13:15:03

CISCO安全 ***技术

CISCO将***定义为一种在公共网络上介于私有网络之间的加密连接。***是一种专用虚拟网络。　　两种基于路由器的***网络
　　1远程访问远程访问***的目标用户是移动用户和在家工作的远程工作者。
　　2站到站
　　cisco***路由器产品线
　　1大型环境下的CISCO *** 路由器   CISCO 7100 7200 7400系列路由器以及CISCO CATALYST 6500的IPSEC ***服务模块
　　2小到中等环境的CISCO ***路由器
　　CISCO路由器型号         最大隧道数      性能(Mbit/s)         硬件加密
　　cisco830               <50            6                      无
　　cisco900               <50            6                      有
　　cisco1700                100            8                      ***模块
　　cisco2600XM            800            14                     AIM-***/BP
　　cisco2691                1000             80                     AIM-***/BP
　　cisco3725                2000             150                  AIM-***/BP
　　IPSEC概念：
　　ipsec服务提供4种主要功能：
　　机密性（加密）
　　数据完整性
　　起源认证
　　反重放保护
　　机密性（加密）
　　加密类型：有两种类型的加密密钥：对称（每个对等体使用相同的密钥来加密和解密数据）和不对称（本地端用一个密钥加密流量，远程端使用另一个密钥来解密流量）
　　DH密钥交换：DES,3DES,HMAC和HMAC-SHA要求一个对称的共享密钥来执行加密和解密。而DH（Diffie-Hellman）公钥交换 来为加密和解密设备提供共享密钥。
　　DH密钥协议是一种公钥交换方法，她可以被用来为两个对等体建立共享密钥，虽然它们是通过一个不安全的通道通信，但产生的公钥只有他们自己知道。
　　加密算法：DES,3DES和AES用于加密IPSEC数据包。
　　数据完整性（保证数据在发送前和接受后中间没有被更改过）
　　因此数据通过internet传输中，存在着被中途截取和修改的潜在危险，为了防止这种情况，每个消息附件一个散列数。
　　用散列数来保证原来的信息的完整性。通过发送和接受的散列数匹配，来确认信息是否被篡改。
　　HMAC及其算法：
　　HMAC确保信息的完整性，有两种通用的HMAC算法1HMAC-MD52HMAC-SHA-1
　　起源认证（说白了就是确认这个东西的来源）
　　起源认证可用于在***隧道建立的初始化过程中来认证隧道两端的对等体。起源认证的实施方法就是
　　数字签名。目前数字签名算法：RSA和路径系统代理
　　1对等体认证(确认通讯双方)有下面三种认证方法    预共享密钥   RSA签名RSA-加密nonces
　　2预共享密钥 在隧道协商之前，提供给每个对等体一个密钥值。该密钥被手动输入到每个对等体，用于认证对等体。
　　3RSA加密的Nonces0
　　反重放保护
　　两种类型的IPSEC数据包，AH和ESP都包含一个32位的序列号，该数字用于提供保护来防止***者偷听IPSEC会话，截取数据包，修改他们并在随后又将他们重新插入会话。
　　IPSEC通过比较目的主机和安全网关上滑动窗口和接收到的数据包包含的序列数来实现该功能。
　　IPSEC协议框架
　　285/561
　　IPsec协议：一个公开标准的框架结构，精心设计报文以确保通信安全，但它还是依赖于实施加密和认证的已有算法，DES和3DES。
　　两种IPsec框架协议：
　　1认证头AH：当机密性不被要求或不允许时，AH是合适的协议，它为通过两个系统的数据包提供数据认证和完整性检查。 缺点：使用明文传输，暴露的被传输的数据有潜在的危险
　　2封装安全的有效载荷ESP：提供机密性和认证的安全协议。
　　ESP通过在IP数据包层执行加密来提供保密性。IP数据包加密隐藏了数据有效载荷和最终源和目的标识。
　　ESP为内部IP数据包和ESP头提供认证。提供数据源起源认证和数据完整性。
　　加密和认证在ESP中都可选，但是它们两者中的一个必须被选择。
　　AH认证头有以下特性：
　　1确保数据的完整性
　　2提供原始认证
　　3使用带有密钥的散列机制
　　4不提供机密性
　　5提供反重放保护
　　AH认证和完整性
　　AH功能应用到整个数据报，除了在传送过程中变化的IP头域。
　　AH以如下方式工作
　　1对IP头和数据有效载荷作散列运算
　　2散列数用于建立一个AH头，附于原来的数据包后；
　　3新的数据包被传送到IPsec对端路由器
　　4对端路由器对IP头和数据有效载荷作散列运算
　　5对端路由器从AH头提取传送来的散列
　　AH支持HMAC-MD5和HMAC-SHA-1算法
　　封装安全有效载荷
　　ESP通过加密有效载荷来提供数据加密性，它支持多种对称加密算法。IPsec的默认算法是56位DES.cisco产品也支持使用3DES以获得更强的加密。
　　ESP可以单独使用或和AH结合使用。带AH的ESP也提供对数据报的完整性检测和认证。整个过程：首先 有效载荷被加密，然后加密了的有效载荷被动到散列算法作运算：HMAC-MD5或HMAC-SHA-A.散列为数据有效载荷提供起起源认证和数据的完整性。
　　ESP也可以实施反重放保护。

查看完整版本: CISCO安全 ***技术