IPsec简单介绍

VPN相关介绍

VPN：虚拟私有网络

例如：像这种不加密的
- PPTP
- L2TP
  ------- 一般用在windows server 服务端（但是大多数企业不用这个）
假如总公司内部的PC1要去访问分公司内部的PC2（一般用在公司服务器有内网的服务）
- 目的ip：172.16.1.1
- 目的ip：192.168.1.1
- 路由器传递分两种数据：
  - 管理型数据：路由表，标签，LSA，hello包等为了通信而传递的数据
  - 业务型数据：ERP，OA，ftp，http等真实传输的数据
- 要确保两边的内网的数据要像局域网一样能够通信（向运营商申请专线）
  - 早期专线业务：FR(帧中继)专线，带宽只有1.544M，一根线一根线的拉，总部牵一根线直接到分部，主要是安全性和保密性好（现在已经没有了）
  - 现在专线业务：MPLS专线（用于大型的跨国企业，异地化企业等），并不是物理线路实现专线，而是通过逻辑上的标签（路由是给这个MPLS打底层的）；最近很火的专线是SDN（把路由器变成智能的，通过一个控制器来控制流量的分发）
- 跨越式的VPN（企业自己弄，不申请专线的情况下）
  - 此时PC1去PC2目的ip和源ip都是内网的，我们可以在这个外面再打一个公网ip，运营商接受到我们这个数据，他看到的就是公网这一层帮我们转发（对于运营商来说那边是察觉不到的，对于我们只是给地址打上了一个双报头）

IPSec相关介绍

跨越式VPN和IPSec两者有什么关系？

VPN是VPN，IPsec是IPSec
IPSec是基于ip层的一个加密，也就是说基于VPN的基础上，把这个数据给加密了
IPSec不是一个算法，也不是一个加密方式，它是一个协议组（协议组里面有很多协议）

什么是IPSec VPN

IPSec早期是针对ipv6设计的，后来针对ipv4做了一个IPSec的拓展版本（IPSec VPN）

IPSec：Internet Protocol Security 基于IP协议的安全
VPN：Virtual Private Network 虚拟专用网络
IPSec VPN：IPSec协议组实现IP数据包传输安全的一种VPN技术
VPN建立成功后，因为用户的数据包传输实际仍需要经过公共网络，因此存在极大的安全隐患，所以需要利用IPSec技术来保证数据包传输的安全，IPSecVPN 技术要求再VPN中传输数据的同时确保数据包传输的安全性
从建立模型来看，IPSec VPN是一种Overlay VPN

MPLS VPN和IPSec VPN的简要区别

MPLS VPN
- 基于标签的转发
- 数据是没有被加密的
  - 安全（数据被截取到了会不会被爆破）：
  - 私密（数据会不会被截取到）：从某种意义上来说基于物理转发
  - MPLS一般只能保障私密性和转发速度，安全性是不能保障的，因为数据是没有被加密的
IPSec VPN
- 既针对于数据安全性，又针对于数据私密性，它都是有一个控制机制的（算法）

传统的数据通信

一般我们都使用NAT

R1的内网访问R2的内网，为什么访问不过去
- 目的ip：172.16.1.1
- 源ip：192.168.1.1
- R1内部数据出来的时候经过R1，转化的是源ip地址到达运营商，目标地址还是内网的，还是没办法转发
R1的内网访问R2的内网，有没有一种方式能够访问过去（不做专线，也不做VPN，还要经过SP）
- 用NAT就可以
  - NAT有一个outside功能，可以转换目的地址，把目的ip转换成对方的公网地址，运营商此时就可以转发，当数据到达R2之后，R2会针对过来的数据转发到内部
- NAT是非常耗费资源内存的
  - 每条NAT耗费内存（64k）
- 设备内的存储器
  - RAM（内存）
  - flash（相当于C盘，系统盘）
  - ROM（存放bootstrap）
  - nvram（存config）

IPSec VPN理解重点

IPSec VPN技术是由两种技术共同组成，因此该技术的实施过程分成两个步骤来完成，第一是要配置VPN,第二是要配置IPSec

VPN的建立即为一个网络的建立，而网络的建立除去实际链路的连接以外就是路由的建立过程，因此配置VPN就是配置路由的过程.这里的路由指的是站点的内网路由

IPsec的配置就是利用已经存在的安全协议组来协商如何安全的交互数据;

数据传输如何才能安全

私密性（加密数据包，防止非法用户截取并且获取数据包内容）
完整性（确保数据包在传输过程中不会被非法用户篡改）
源认证（确保数据包发送者的真实身份，是否为合法用户）
不可否认性（发送者不可否认曾经发送过该数据）

网络攻击的主要手段

窃听攻击 Eavesdrop ping

数据交互过程中，攻击者通过一些协议分析工具获取到数据信息，因为常见的数据交互都是通过明文方式完成的，比如常见的协议或应用：Telnet，FTP，HTTP等等
解决方法：对原始的明文数据进行加密（Encryption）
如下实验，当R1 telnet R2，输入username cisco password cisco时，所有信息都是明文显示，因此容易被攻击者截获并且获知
- SW配置：
  - monitor session 1 source interface Et0/0
  - monitor session 1 destination interface Et0/2
- 然后用R1telnet到R1，用wireshark抓包SW的e0/2端口

欺骗攻击 Spoofing

攻击者通过伪装，假冒成正常用户于对端进行通信
解决方法：身份认证（Authentication Identify）
理解重点：数据加密与身份认证的关系
数据包即便在传输过程中进行了加密处理，但是仍然需要在接受方发送方进行身份认证
在IPSec实际使用过程中，接受方会先解密，在认证，保护认证信息的安全
例如：
R1去往R2的数据信息加密了，PC抓取到的信息就看不到里面的数据了，但是还是要攻击你
- PC抓取R1去往R2的数据包，并且复制一份发给R2，让R2以为PC就是R1，之后回包就回给PC

中间人攻击 Man-in-the-Middle Attack

攻击者针对通信双方，分别假冒对端身份，与通信双方分别建立数据通信，从而让用户认为通信是在合法的用户之间进行的
因为有加密与身份认证过程的错在，因此要想实现中间人攻击，首先就要破坏加密和身份认证过程
最典型的一种方法为重放攻击（Relay Attack），攻击者发送一个目的主机已经收到过的数据包，从而完成欺骗
解决方法：通过加入序列号或者是一次性随机数（random）来防止重放攻击，从而阻止中间人攻击：例如：TCP连接，PPP CHAP认证
tcp连接防范机制
- 正常发数据，数据都会有一个sequence序列号
- R1给R2发送数据，序列号假如为30，PC抓取到这个序列号为30的数据，再发送数据给R2序列号也为30，但有可能R1给R2通信的数据不是30号的数据或者应用层处理数据没有处理到这个层面，会导致失败
- 所以sequence序列号不止运用再tcp重传，也能够防范中间人攻击
中间人攻击典型案例
黑客攻击PC，让PC来攻击server
- 黑客pingPC：
  - ping 30.1.1.2 source 20.1.1.2
  - 目的ip：30.1.1.2
  - 源ip：~~~10.1.1.2~~~ 20.1.1.2（伪装源ip，把自己伪装成PC）
  - PC收到包之后，回包就会回给server
  - 黑客的配置：
    - int lo 0
      - ip add 20.1.1.2 255.255.255.0
  - 解决方法：
    - 在ISP连接黑客的接口上打上一条：ip verify unicast reverse-path
    - 开启单播逆向路径转发（URPF Unicast Reverse Path Forwarding）
      - 它是基于cdf表的查询
        show ip cef 查看思科快速转发表
        它会记录每一个接口对应的网段，会有一个校验
PPP的random防止重放攻击
1. R2给R1发送一个拨号的请求
2. R1收到拨号请求之后会给R2回复三个信息
  1. 主机名（username）：R1
  2. id号（每发出一次就有一个id号，比如第一次id是1，第二次就是2）：1
  3. random：A
3. R2收到回复消息之后，会把对方的random：A提取出来，然后找到自己的密码B，把两者合在一起做一个hash
4. R2收到回复消息后，还会给R1回复三个信息
  1. 主机名（username）：R2（这个不是电脑名，而是办宽带给你的账户名）
  2. id号：1
  3. random：C
5. R1收到之后会查看主机名是谁（R2），然后查看自己的数据库，看R2对应的密码是谁，把自己之前的随机数（A）和R2对应的密码（B）结合做一个hash
  
  查看D和C的hash值是否一样