VPN相关介绍
VPN:虚拟私有网络
-
例如:像这种不加密的
- PPTP
- L2TP
------- 一般用在windows server 服务端(但是大多数企业不用这个)
-
假如总公司内部的PC1要去访问分公司内部的PC2(一般用在公司服务器有内网的服务)
- 目的ip:172.16.1.1
- 目的ip:192.168.1.1
- 路由器传递分两种数据:
- 管理型数据:路由表,标签,LSA,hello包等为了通信而传递的数据
- 业务型数据:ERP,OA,ftp,http等真实传输的数据
- 要确保两边的内网的数据要像局域网一样能够通信(向运营商申请专线)
- 早期专线业务:FR(帧中继)专线,带宽只有1.544M,一根线一根线的拉,总部牵一根线直接到分部,主要是安全性和保密性好(现在已经没有了)
- 现在专线业务:MPLS专线(用于大型的跨国企业,异地化企业等),并不是物理线路实现专线,而是通过逻辑上的标签(路由是给这个MPLS打底层的);最近很火的专线是SDN(把路由器变成智能的,通过一个控制器来控制流量的分发)
- 跨越式的VPN(企业自己弄,不申请专线的情况下)
- 此时PC1去PC2目的ip和源ip都是内网的,我们可以在这个外面再打一个公网ip,运营商接受到我们这个数据,他看到的就是公网这一层帮我们转发(对于运营商来说那边是察觉不到的,对于我们只是给地址打上了一个双报头)
IPSec相关介绍
跨越式VPN和IPSec两者有什么关系?
- VPN是VPN,IPsec是IPSec
- IPSec是基于ip层的一个加密,也就是说基于VPN的基础上,把这个数据给加密了
- IPSec不是一个算法,也不是一个加密方式,它是一个协议组(协议组里面有很多协议)
什么是IPSec VPN
IPSec早期是针对ipv6设计的,后来针对ipv4做了一个IPSec的拓展版本(IPSec VPN)
- IPSec:Internet Protocol Security 基于IP协议的安全
- VPN:Virtual Private Network 虚拟专用网络
- IPSec VPN:IPSec协议组实现IP数据包传输安全的一种VPN技术
- VPN建立成功后,因为用户的数据包传输实际仍需要经过公共网络,因此存在极大的安全隐患,所以需要利用IPSec技术来保证数据包传输的安全,IPSecVPN 技术要求再VPN中传输数据的同时确保数据包传输的安全性
- 从建立模型来看,IPSec VPN是一种Overlay VPN
MPLS VPN和IPSec VPN的简要区别
-
MPLS VPN
- 基于标签的转发
- 数据是没有被加密的
- 安全(数据被截取到了会不会被爆破):
- 私密(数据会不会被截取到):从某种意义上来说基于物理转发
- MPLS一般只能保障私密性和转发速度,安全性是不能保障的,因为数据是没有被加密的
-
IPSec VPN
- 既针对于数据安全性,又针对于数据私密性,它都是有一个控制机制的(算法)
传统的数据通信
一般我们都使用NAT
- R1的内网访问R2的内网,为什么访问不过去
- 目的ip:172.16.1.1
- 源ip:192.168.1.1
- R1内部数据出来的时候经过R1,转化的是源ip地址到达运营商,目标地址还是内网的,还是没办法转发
- R1的内网访问R2的内网,有没有一种方式能够访问过去(不做专线,也不做VPN,还要经过SP)
- 用NAT就可以
- NAT有一个outside功能,可以转换目的地址,把目的ip转换成对方的公网地址,运营商此时就可以转发,当数据到达R2之后,R2会针对过来的数据转发到内部
- NAT是非常耗费资源内存的
- 每条NAT耗费内存(64k)
- 设备内的存储器
- RAM(内存)
- flash(相当于C盘,系统盘)
- ROM(存放bootstrap)
- nvram(存config)
- 用NAT就可以
IPSec VPN理解重点
IPSec VPN技术是由两种技术共同组成,因此该技术的实施过程分成两个步骤来完成,第一是要配置VPN,第二是要配置IPSec
VPN的建立即为一个网络的建立,而网络的建立除去实际链路的连接以外就是路由的建立过程,因此配置VPN就是配置路由的过程.这里的路由指的是站点的内网路由
IPsec的配置就是利用已经存在的安全协议组来协商如何安全的交互数据;
数据传输如何才能安全
- 私密性(加密数据包,防止非法用户截取并且获取数据包内容)
- 完整性(确保数据包在传输过程中不会被非法用户篡改)
- 源认证(确保数据包发送者的真实身份,是否为合法用户)
- 不可否认性(发送者不可否认曾经发送过该数据)
网络攻击的主要手段
窃听攻击 Eavesdrop ping
- 数据交互过程中,攻击者通过一些协议分析工具获取到数据信息,因为常见的数据交互都是通过明文方式完成的,比如常见的协议或应用:Telnet,FTP,HTTP等等
- 解决方法:对原始的明文数据进行加密(Encryption)
- 如下实验,当R1 telnet R2,输入username cisco password cisco时,所有信息都是明文显示,因此容易被攻击者截获并且获知
-
- SW配置:
- monitor session 1 source interface Et0/0
- monitor session 1 destination interface Et0/2
- 然后用R1telnet到R1,用wireshark抓包SW的e0/2端口
- SW配置:
欺骗攻击 Spoofing
-
攻击者通过伪装,假冒成正常用户于对端进行通信
-
解决方法:身份认证(Authentication Identify)
-
理解重点:数据加密与身份认证的关系
-
数据包即便在传输过程中进行了加密处理,但是仍然需要在接受方发送方进行身份认证
-
在IPSec实际使用过程中,接受方会先解密,在认证,保护认证信息的安全
-
例如:
-
R1去往R2的数据信息加密了,PC抓取到的信息就看不到里面的数据了,但是还是要攻击你
- PC抓取R1去往R2的数据包,并且复制一份发给R2,让R2以为PC就是R1,之后回包就回给PC
中间人攻击 Man-in-the-Middle Attack
-
攻击者针对通信双方,分别假冒对端身份,与通信双方分别建立数据通信,从而让用户认为通信是在合法的用户之间进行的
-
因为有加密与身份认证过程的错在,因此要想实现中间人攻击,首先就要破坏加密和身份认证过程
-
最典型的一种方法为重放攻击(Relay Attack),攻击者发送一个目的主机已经收到过的数据包,从而完成欺骗
-
解决方法:通过加入序列号或者是一次性随机数(random)来防止重放攻击,从而阻止中间人攻击:例如:TCP连接,PPP CHAP认证
-
tcp连接防范机制
- 正常发数据,数据都会有一个sequence序列号
- R1给R2发送数据,序列号假如为30,PC抓取到这个序列号为30的数据,再发送数据给R2序列号也为30,但有可能R1给R2通信的数据不是30号的数据或者应用层处理数据没有处理到这个层面,会导致失败
- 所以sequence序列号不止运用再tcp重传,也能够防范中间人攻击
-
中间人攻击典型案例
黑客攻击PC,让PC来攻击server- 黑客pingPC:
- ping 30.1.1.2 source 20.1.1.2
- 目的ip:30.1.1.2
- 源ip:~
10.1.1.2~ 20.1.1.2(伪装源ip,把自己伪装成PC) - PC收到包之后,回包就会回给server
- 黑客的配置:
- int lo 0
- ip add 20.1.1.2 255.255.255.0
- int lo 0
- 解决方法:
- 在ISP连接黑客的接口上打上一条:ip verify unicast reverse-path
- 开启单播逆向路径转发(URPF Unicast Reverse Path Forwarding)
- 它是基于cdf表的查询
- show ip cef 查看思科快速转发表
- 它会记录每一个接口对应的网段,会有一个校验
- 它是基于cdf表的查询
- 黑客pingPC:
-
PPP的random防止重放攻击
- R2给R1发送一个拨号的请求
- R1收到拨号请求之后会给R2回复三个信息
- 主机名(username):R1
- id号(每发出一次就有一个id号,比如第一次id是1,第二次就是2):1
- random:A
- R2收到回复消息之后,会把对方的random:A提取出来,然后找到自己的密码B,把两者合在一起做一个hash
- R2收到回复消息后,还会给R1回复三个信息
- 主机名(username):R2(这个不是电脑名,而是办宽带给你的账户名)
- id号:1
- random:C
- R1收到之后会查看主机名是谁(R2),然后查看自己的数据库,看R2对应的密码是谁,把自己之前的随机数(A)和R2对应的密码(B)结合做一个hash
如何具体实现私密性
- 为了实现数据传输的私密性,需要对数据启用加密,而加密则需要以来加密学来完成
- 加密学由两部分构成:算法与密钥
- 古典加密学主要研究算法,现代加密学主要研究密钥
- 算法是公开的,密钥是不公开的(密钥是基于不同的密钥,最终加密的方式是不同的)
移位式(Transposition Cipher)
- 将字母重新排列的方法来加密
- 数据明文:thinkmo is a good place
- 加密密钥:5(五个字母为一分,之后再竖从上往下看)
- 加密密文:tmgl hooa iioc nsde kap
替代式(Subsititution Cipher)
- 将一组字母换成其他字母或符号
- 数据明文:thinkmo is a good place 加密密钥:2
- 加密算法:用每个字母之后的第N个字母替换
- 加密密文:vjkpmq ku c iqqf rnceg
维吉尼亚算法
明文和密钥的x,y轴对应来看
- 数据明文:thinkmoisagoodplace
- 加密密钥:goodgoodgoodgoodgo
- 加密算法:密码表
- 加密密文:zvwqqaclyowrurdzdis
理解重点
- 针对现代加密学中的算法与密钥,算法式可以公开的,但是密钥必须是私密的
- 加密需要key,解密同样需要key
- 一个算法是否可靠,取决于算法的先进性,同时也取决于key的长度
加密算法的分类
对称加密算法
- 代表算法:DES(淘汰),3DES,AES,RC4(主要用于SSL VPN)
- 特点:加密和解密使用相同的密钥
- 优点:速度快,安全,紧凑(加密后对原始数据长度几乎不改变,例如加密前为100k,加密后也是100k)
- 缺点:密钥的安全交换以及管理是个问题
- 对称加密算法一般用来进行数据流的加密(业务型数据)