IPsec简单介绍

VPN相关介绍

VPN:虚拟私有网络

  • 例如:像这种不加密的

    • PPTP
    • L2TP
      ------- 一般用在windows server 服务端(但是大多数企业不用这个)
  • 假如总公司内部的PC1要去访问分公司内部的PC2(一般用在公司服务器有内网的服务)
    image.png

    • 目的ip:172.16.1.1
    • 目的ip:192.168.1.1
    • 路由器传递分两种数据:
      • 管理型数据:路由表,标签,LSA,hello包等为了通信而传递的数据
      • 业务型数据:ERP,OA,ftp,http等真实传输的数据
    • 要确保两边的内网的数据要像局域网一样能够通信(向运营商申请专线)
      • 早期专线业务:FR(帧中继)专线,带宽只有1.544M,一根线一根线的拉,总部牵一根线直接到分部,主要是安全性和保密性好(现在已经没有了)
      • 现在专线业务:MPLS专线(用于大型的跨国企业,异地化企业等),并不是物理线路实现专线,而是通过逻辑上的标签(路由是给这个MPLS打底层的);最近很火的专线是SDN(把路由器变成智能的,通过一个控制器来控制流量的分发)
    • 跨越式的VPN(企业自己弄,不申请专线的情况下)
      • 此时PC1去PC2目的ip和源ip都是内网的,我们可以在这个外面再打一个公网ip,运营商接受到我们这个数据,他看到的就是公网这一层帮我们转发(对于运营商来说那边是察觉不到的,对于我们只是给地址打上了一个双报头)

IPSec相关介绍

跨越式VPN和IPSec两者有什么关系?

  • VPN是VPN,IPsec是IPSec
  • IPSec是基于ip层的一个加密,也就是说基于VPN的基础上,把这个数据给加密了
  • IPSec不是一个算法,也不是一个加密方式,它是一个协议组(协议组里面有很多协议)

什么是IPSec VPN

IPSec早期是针对ipv6设计的,后来针对ipv4做了一个IPSec的拓展版本(IPSec VPN)

  • IPSec:Internet Protocol Security 基于IP协议的安全
  • VPN:Virtual Private Network 虚拟专用网络
  • IPSec VPN:IPSec协议组实现IP数据包传输安全的一种VPN技术
  • VPN建立成功后,因为用户的数据包传输实际仍需要经过公共网络,因此存在极大的安全隐患,所以需要利用IPSec技术来保证数据包传输的安全,IPSecVPN 技术要求再VPN中传输数据的同时确保数据包传输的安全性
  • 从建立模型来看,IPSec VPN是一种Overlay VPN

MPLS VPN和IPSec VPN的简要区别

  • MPLS VPN

    • 基于标签的转发
    • 数据是没有被加密的
      • 安全(数据被截取到了会不会被爆破):
      • 私密(数据会不会被截取到):从某种意义上来说基于物理转发
      • MPLS一般只能保障私密性和转发速度,安全性是不能保障的,因为数据是没有被加密的
  • IPSec VPN

    • 既针对于数据安全性,又针对于数据私密性,它都是有一个控制机制的(算法)

传统的数据通信

一般我们都使用NAT

image.png

  • R1的内网访问R2的内网,为什么访问不过去
    • 目的ip:172.16.1.1
    • 源ip:192.168.1.1
    • R1内部数据出来的时候经过R1,转化的是源ip地址到达运营商,目标地址还是内网的,还是没办法转发
  • R1的内网访问R2的内网,有没有一种方式能够访问过去(不做专线,也不做VPN,还要经过SP)
    • 用NAT就可以
      • NAT有一个outside功能,可以转换目的地址,把目的ip转换成对方的公网地址,运营商此时就可以转发,当数据到达R2之后,R2会针对过来的数据转发到内部
    • NAT是非常耗费资源内存的
      • 每条NAT耗费内存(64k)
    • 设备内的存储器
      • RAM(内存)
      • flash(相当于C盘,系统盘)
      • ROM(存放bootstrap)
      • nvram(存config)

IPSec VPN理解重点

IPSec VPN技术是由两种技术共同组成,因此该技术的实施过程分成两个步骤来完成,第一是要配置VPN,第二是要配置IPSec

VPN的建立即为一个网络的建立,而网络的建立除去实际链路的连接以外就是路由的建立过程,因此配置VPN就是配置路由的过程.这里的路由指的是站点的内网路由

IPsec的配置就是利用已经存在的安全协议组来协商如何安全的交互数据;

数据传输如何才能安全

  • 私密性(加密数据包,防止非法用户截取并且获取数据包内容)
  • 完整性(确保数据包在传输过程中不会被非法用户篡改)
  • 源认证(确保数据包发送者的真实身份,是否为合法用户)
  • 不可否认性(发送者不可否认曾经发送过该数据)

网络攻击的主要手段

窃听攻击 Eavesdrop ping

  • 数据交互过程中,攻击者通过一些协议分析工具获取到数据信息,因为常见的数据交互都是通过明文方式完成的,比如常见的协议或应用:Telnet,FTP,HTTP等等
  • 解决方法:对原始的明文数据进行加密(Encryption)
  • 如下实验,当R1 telnet R2,输入username cisco password cisco时,所有信息都是明文显示,因此容易被攻击者截获并且获知
  • image.png
    • SW配置:
      • monitor session 1 source interface Et0/0
      • monitor session 1 destination interface Et0/2
    • 然后用R1telnet到R1,用wireshark抓包SW的e0/2端口
      • image.png | 1000

欺骗攻击 Spoofing

  • 攻击者通过伪装,假冒成正常用户于对端进行通信

  • 解决方法:身份认证(Authentication Identify)

  • 理解重点:数据加密与身份认证的关系

  • 数据包即便在传输过程中进行了加密处理,但是仍然需要在接受方发送方进行身份认证

  • 在IPSec实际使用过程中,接受方会先解密,在认证,保护认证信息的安全

  • 例如: image.png

  • R1去往R2的数据信息加密了,PC抓取到的信息就看不到里面的数据了,但是还是要攻击你

    • PC抓取R1去往R2的数据包,并且复制一份发给R2,让R2以为PC就是R1,之后回包就回给PC

中间人攻击 Man-in-the-Middle Attack

  • 攻击者针对通信双方,分别假冒对端身份,与通信双方分别建立数据通信,从而让用户认为通信是在合法的用户之间进行的

  • 因为有加密与身份认证过程的错在,因此要想实现中间人攻击,首先就要破坏加密和身份认证过程

  • 最典型的一种方法为重放攻击(Relay Attack),攻击者发送一个目的主机已经收到过的数据包,从而完成欺骗

  • 解决方法:通过加入序列号或者是一次性随机数(random)来防止重放攻击,从而阻止中间人攻击:例如:TCP连接,PPP CHAP认证

  • tcp连接防范机制

    • 正常发数据,数据都会有一个sequence序列号
    • image.png
    • R1给R2发送数据,序列号假如为30,PC抓取到这个序列号为30的数据,再发送数据给R2序列号也为30,但有可能R1给R2通信的数据不是30号的数据或者应用层处理数据没有处理到这个层面,会导致失败
    • 所以sequence序列号不止运用再tcp重传,也能够防范中间人攻击
  • 中间人攻击典型案例
    黑客攻击PC,让PC来攻击server

    • 黑客pingPC:
      image.png
      • ping 30.1.1.2 source 20.1.1.2
      • 目的ip:30.1.1.2
      • 源ip:~10.1.1.2~ 20.1.1.2(伪装源ip,把自己伪装成PC)
      • PC收到包之后,回包就会回给server
      • 黑客的配置:
        • int lo 0
          • ip add 20.1.1.2 255.255.255.0
      • 解决方法:
        • 在ISP连接黑客的接口上打上一条:ip verify unicast reverse-path
        • 开启单播逆向路径转发(URPF Unicast Reverse Path Forwarding)
          • 它是基于cdf表的查询
            • show ip cef 查看思科快速转发表
            • 它会记录每一个接口对应的网段,会有一个校验
  • PPP的random防止重放攻击
    image.png

    1. R2给R1发送一个拨号的请求
    2. R1收到拨号请求之后会给R2回复三个信息
      1. 主机名(username):R1
      2. id号(每发出一次就有一个id号,比如第一次id是1,第二次就是2):1
      3. random:A
    3. R2收到回复消息之后,会把对方的random:A提取出来,然后找到自己的密码B,把两者合在一起做一个hash
      hash
      A+B
      C
    4. R2收到回复消息后,还会给R1回复三个信息
      1. 主机名(username):R2(这个不是电脑名,而是办宽带给你的账户名)
      2. id号:1
      3. random:C
    5. R1收到之后会查看主机名是谁(R2),然后查看自己的数据库,看R2对应的密码是谁,把自己之前的随机数(A)和R2对应的密码(B)结合做一个hash
      hash
      B+A
      D
      查看D和C的hash值是否一样

如何具体实现私密性

  • 为了实现数据传输的私密性,需要对数据启用加密,而加密则需要以来加密学来完成
  • 加密学由两部分构成:算法与密钥
  • 古典加密学主要研究算法,现代加密学主要研究密钥
  • 算法是公开的,密钥是不公开的(密钥是基于不同的密钥,最终加密的方式是不同的)

移位式(Transposition Cipher)

  • 将字母重新排列的方法来加密
  • 数据明文:thinkmo is a good place
  • 加密密钥:5(五个字母为一分,之后再竖从上往下看)
  • image.png
  • 加密密文:tmgl hooa iioc nsde kap

替代式(Subsititution Cipher)

  • 将一组字母换成其他字母或符号
  • 数据明文:thinkmo is a good place 加密密钥:2
  • 加密算法:用每个字母之后的第N个字母替换
  • 加密密文:vjkpmq ku c iqqf rnceg

维吉尼亚算法

image.png | 500
明文和密钥的x,y轴对应来看

  • 数据明文:thinkmoisagoodplace
  • 加密密钥:goodgoodgoodgoodgo
  • 加密算法:密码表
  • 加密密文:zvwqqaclyowrurdzdis

理解重点

  • 针对现代加密学中的算法与密钥,算法式可以公开的,但是密钥必须是私密的
  • 加密需要key,解密同样需要key
  • 一个算法是否可靠,取决于算法的先进性,同时也取决于key的长度

加密算法的分类

对称加密算法

image.png

  • 代表算法:DES(淘汰),3DES,AES,RC4(主要用于SSL VPN)
  • 特点:加密和解密使用相同的密钥
  • 优点:速度快,安全,紧凑(加密后对原始数据长度几乎不改变,例如加密前为100k,加密后也是100k)
  • 缺点:密钥的安全交换以及管理是个问题
  • 对称加密算法一般用来进行数据流的加密(业务型数据)

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/web/56565.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vue需要清除定时器和延时器吗

在更新组件时清除定时器: 如果你的定时器是在组件的更新过程中创建的,你可能需要在更新前清除它,以免重复创建。你可以在组件的beforeUpdate钩子中清除定时器。 例如,在Vue2中,你可以这样清除定时器: exp…

【知识科普】今天聊聊前端打包工具webpack

文章目录 webpack概述1. 入口(Entry)2. 输出(Output)3. Loader4. 插件(Plugins)5. 模式(Mode)6. 浏览器兼容性(Browser Compatibility)7. 环境(En…

Oracle 使用位图索引 Cost降低200倍! 探讨位图索引的利与弊

一.简介 位图索引(Bitmap Index) 是 Oracle 数据库中一种特殊类型的索引,适用于低基数(Low Cardinality)列,即那些列中可选值相对较少的情况下使用。它与常规的 B-tree 索引不同,位图索引通过位…

Vue组件学习 | 二、Vuex组件

Vuex 是一个专为 Vue.js 应用程序开发的状态管理模式和库。它采用集中式存储管理应用的所有组件的状态,并以相应的规则保证状态以一种可预测的方式发生变化。以下是 Vuex 的基本用法 Vuex 基本用法 安装 Vuex 首先,你需要安装 Vuex。如果你使用的是 n…

003:无人机概述

摘要:本文介绍无人机的定义和分类、无人机系统定义、民用无人机驾驶员分类和应用领域。 一、无人机的定义和分类 1.无人机定义 无人机是一种能够在无人驾驶的条件下完成复杂空中飞行任务和各种负载任务的飞行器,可以被视为“空中机器人”。它利用先进的…

(48)MATLAB使用firls函数设计均衡器

文章目录 前言一、频域均衡器的设计二、MATLAB源代码1.firls函数与freqz函数2.MATLAB仿真源代码3.代码说明 三、仿真结果画图 前言 利用MATLAB的firls函数,根据所要求的频率向量和频响幅度向量,设计出所需的均衡器,使得包括滤波器在内的系统…

【python爬虫】python的requests模块使用`Session`对象可以保持会话状态,自动处理Cookie等信息

1. 请求发送 网络爬虫的第一步是发送HTTP请求。Python中的requests库是发送请求的首选工具,它简单易用且功能强大。 使用requests库 import requestssession requests.Session() session.headers {"User-Agent": "Mozilla/5.0",# 其他请求…

qt 构建、执行qmake、运行、重新构建、清除

qt右键功能有 构建、执行qmake、运行、重新构建、清除,下面简单介绍一下各个模块的作用。 1. 执行qmake qmake是一个工具, 它根据pro文件生成makefile文件,而makefile文件中则定义编译与连接的规则。pro文件中定义了头文件,源文件…

C语言_通讯录_进阶

引言:在之前的项目中,我们所用的通讯录是静态版本,也就是常规的固定数组大小,但仔细思考,在现实的复杂环境中,是很难做到这样死板,所以在学习过动态内存的章节后,我们将通讯录重新修…

Spring Cache Caffeine 高性能缓存库

​ Caffeine 背景 Caffeine是一个高性能的Java缓存库,它基于Guava Cache进行了增强,提供了更加出色的缓存体验。Caffeine的主要特点包括: 高性能:Caffeine使用了Java 8最新的StampedLock乐观锁技术,极大地提高了缓存…

三国杀钓鱼自动化

三国杀钓鱼脚本 前言 本来是想做必杀的,但是后来测试了大约400钓发现纯靠连点没有漏掉的鱼,所以必杀功能就舍弃了。 我pyinstaller打包后运行.exe居然黑屏了???可能是多进程报错处理没写好,反正还是用vsc…

笔试第五行

static作用: 1.函数体内,一个被声明为静态的变量在这一函数被调用时值维持不变。 2.函数体外,模块内,一个被声明为静态的变量可以被模块内函数访问,但不能模块外函数访问,这是一个本地的全局变量。 3.模…

k8s部署使用有状态服务statefulset部署eureka集群,需登录认证

一、构建eureka集群镜像 1、编写dockerfile文件,此处基础镜像为arm版本,eureka目录中文件内容:application-dev.yml、Dockerfile、eureka-server-1.0-SNAPSHOT.jar(添加登录认证模块,文章最后附上下载连接) FROM mdsol/java8-j…

Go使用exec.Command() 执行脚本时出现:file or directory not found

使用 Go 提供的 exec.Command() 执行脚本时出现了未找到脚本的 bug,三个排查思路 : exec.Command(execName, args…) 脚本名字不允许相对路径 exec.Command(execName, args…) execName 只能有脚本名,不允许出现参数 如果你是使用 Windows …

为什么要使用网络IO内存数据库?

1.摘要 学习Redis的时候,我有个疑问:Redis缓存是内存数据库,但是它部署在独立的一个服务器上,那么应用服务器访问redis不是要通过网络吗,那么是不是还不如从本地服务器读取数据库的效率 ?结论是&#xff1a…

Ubuntu github 网速慢 打不开

1.在ipaddress 网站查找一下github的dns 并复制到/etc/hosts https://www.ipaddress.com/website/github.com/ 140.82.113.4 github.com 185.199.108.133 raw.githubusercontent.com #185.199.109.133 raw.githubusercontent.com #185.199.110.133 raw.githubusercontent.com …

[图像处理] 基于CleanVision库清洗图像数据集

CleanVision是一个开源的Python库,旨在帮助用户自动检测图像数据集中可能影响机器学习项目的常见问题。该库被设计为计算机视觉项目的初步工具,以便在应用机器学习之前发现并解决数据集中的问题。CleanVision的核心功能包括检测完全重复、近似重复、模糊…

ML 系列:机器学习和深度学习的深层次总结(17)从样本空间到概率规则概率

一、说明 概率是支撑大部分统计分析的基本概念。从本质上讲,概率提供了一个框架,用于量化不确定性并对未来事件做出明智的预测。无论您是在掷骰子、预测天气还是评估金融市场的风险,概率都是帮助您驾驭不确定性的工具。本篇将讲授概率的原理和…

论文阅读:Guided Linear Upsampling

今天介绍一篇有趣的文章,Guided Linear Upsampling,基于引导的线性上采样,这是发表在 ACM transaction on Graphic 的一篇工作。 Abstract 引导上采样是加速高分辨率图像处理的一种有效方法。在本文中,文章作者提出了一种简单而…

博客搭建之路:hexo搜索引擎收录

文章目录 hexo搜索引擎收录以百度为例 hexo搜索引擎收录 hexo版本5.0.2 npm版本6.14.7 next版本7.8.0 写博客的目的肯定不是就只有自己能看到,想让更多的人看到就需要可以让搜索引擎来收录对应的文章。hexo支持生成站点地图sitemap 在hexo下的_config.yml中配置站点…