1、IPSec VPN Course 201 v4.0,IKE 协商,IKE阶段1 协商应该如何保护IKE IKE阶段2 协商应该如何保护IPSec 源自阶段1的密钥交换生成一些新的加密信息,以提供VPN数据流加密和认证中使用的对话密钥。 IKE和IPSec连接都有使用期限的限制,使用时间(秒)和数据大小(KB)来描述。使用期限用于防止连接建立的时间过长,从密码学的角度看,这是有必要的。 IPSec的使用期限一般要比IKE的使用期限短。这样通过进行阶段2协商时,对IPSec连接再次加密。不必进行另外的阶段1协商直至到IKE使用期限。,IKE 协议,IKE提议是如何保护数据的建议。发起IPSec连接
2、的VPN网关,作为发起者会发出提议列表,提议表建议了不同的护连接的方法。 协商连接可以是通过VPN来保护数据流的IPSec连接,或是IKE连接,保护IKE协商本身。 响应的VPN网关,在接收到此提议表后,就会根据自己的安全策略选择最适合的提议,并根据已选择的提议做出响应。 如果没有找到可接受的提议,就会做出没有可接受提议的响应,并可能提供原因。 提议包括需要的全部参数,如加密和认证数据使用的算法,以及IKE参数中描述的其他参数。,IKE的交换过程,IKE策略协商,身份验证和 交换过程验证,密钥生成,密钥生成,查找匹配 的策略,身份验证和 交换过程验证,Peer1,Peer2,Phase1: S
3、A交换,Phase 2:密钥交换,Phase 3: ID交换验证,发起方策略,发送的产生密钥信息,双方身份和验证数据,IKE 阶段1 - IKE安全协商,一个IKE协商可分两个阶段。第一阶段(阶段1),通过确认远端网关是否具有匹配的Pre-Shared密钥,来进行2个VPN网关或VPN客户端的相互认证。 可是,因为我们不希望以明文方式公布太多的协商信息,所以我们还是要保护其余的IKE协商信息。可以用前面描述的方法做到这一点,即通过发起者向响应者发送提议列表来完成。一旦这个工作完成,响应者选择并接受其中的一个提议后,将尝试着认证VPN的另一端,以确保它就是要认可的一端,并校验远端网关正是所期望的
4、。 通过Pre-Shared密钥、证书或公开密钥加密能够完成认证。Pre-Shared密钥是目前最常见的认证方法。通常防火墙的VPN模式支持Pre-Shared密钥和证书两种方式。,IKE 阶段2 - IPSec安全协商,另一个协商是在阶段2进行的,详细说明了IPSec的连接参数。 在阶段2,我们将从阶段1的Diffie-Hellman密钥交换中摘取新的密钥信息,并将其作为保护VPN数据流的会话密钥。 如果使用PFS(完善的转发机密),每个阶段2协商中,会进行新的Diffie-Hellman交换。虽然这种操作比较慢,但可确保密钥不依赖于以前用过的任何密钥,不从同样的初始密钥材料中摘取密钥。这就
5、保证了在不太安全的事件中,危及了某些密钥安全时,而不衍生出并发的密钥。 一旦完成阶段2协商,就会建立VPN连接,以备使用。,IKE 参数,主/野蛮模式(Main/Aggressive Mode) IKE协商有2种操作模式:主模式和野蛮模式。 二者的不同之处在于,野蛮模式可以用更少的包发送更多信息,这样做的优点是快速建立连接,而代价是以清晰的方式发送安全网关的身份。 使用野蛮模式时,有的配置参数如Diffie-Hellman和PFS不能进行协商,因此两端拥有兼容的配置是至关重要的。 IPSec协议(IPSec Protocols) IPSec协议描述了如何处理数据的方法。其中可以选择的2种协议是
6、AH(认证头,Authentication Header)和ESP(封装安全有效载荷,Encapsulating Security Payload)。 ESP具有加密,认证或二者兼有的功能。但是,我们不建议仅使用加密功能,因为它会大大降低安全性。 AH只有认证作用。与ESP的认证之间的不同之处仅仅在于,AH可以认证部分外发的IP头,如源和目的地址,保证包确实来自IP包声明的来源。,IKE 参数,IKE加密(IKE Encryption) 这里指定IKE协商使用的加密算法,如算法种类和使用的密钥长度。 FortiGate VPN支持的算法是: AES 3DES DES DES只在与其他老的VPN
7、设备共同操作时使用。应尽可能地避免使用DES,因为DES是一种老算法,我们认为其不是很安全。 IKE认证(IKE Authentication) 这里指定IKE协商使用的认证算法。 FortiGate VPN支持的算法是: SHA1 MD5,IKE 参数,IKE DH (Diffie-Hellman) 组 这里指定IKE交换密钥时使用的Diffie-Hellman组。 FortiGate VPN支持的Diffie-Hellman组有: DH group 1 (768-bit) DH group 2 (1024-bit) DH group 5 (1536-bit) 密钥交换的安全性随着DH组的扩
8、大而增加,但交换的时间也增加了。 IKE使用期限(IKE Lifetime) IKE连接的使用期限。 使用期限以时间(秒)和数据量(KB)计算。超过其中任何一个期限时,就会进行新的阶段1交换。如果上一个IKE连接中没有发送数据,就不建立新连接,直到有人希望再次使用VPN连接。,IKE 参数,PFS 当PFS无效时,IKE协商阶段1的密钥交换过程中会创建一个初始密钥材料。在IKE协商阶段2中,从初始密钥材料提取加密和认证密钥。使用PFS(完善转发机密)时,总能够根据重读的密钥创建全新材料。如果有一个密钥符合,就不会用该信息衍生其他密钥。 PFS的使用有2种方式:第一种是密钥PFS,可在每个阶段2
9、协商中交换新密钥。另一种是身份PFS,在此可以保护身份,方法是每完成一个阶段2的协商就删除阶段1的SA,保证使用相同的密钥对一个阶段2的协商进行加密。 通常不需要PFS,因为危及加密或认证密钥安全性的可能性微乎其微。 IPSec DH 组 这是与IKE十分相似的Diffie-Hellman组。但是,Diffie-Hellman组仅用于PFS。,FortiOS IPSec VPN 实现,可以配置两种模式的IPSec VPN:Policy-based VPN (Tunnel Mode) 基于策略的VPN,又叫通道模式的VPNRouted-based VPN (Interface Mode) 基于路
10、由的VPN,又叫接口模式的VPN,选择基于策略的VPN还是基于路由的VPN是在定义阶段1时确定的。在阶段1的高级配置选项中启用IPSec接口模式,缺省状态下是没有启用的,基于策略的 VPN (通道模式),IPSec相关的防火墙策略用于控制进出接口的IPSec流量 内嵌于其他类型的防火墙策略中 对顺序是敏感的单一的防火墙策略支持双向的数据流 有选项支持接受和发起呼叫 只需要定义一条从内向外的策略阶段2选择器可能有助于纠正防火墙策略集中器 (星型) VPN支持 指定阶段2成员 设置具有合适的源/目的子网的防火墙策略,远程 VPN网关,远程网络: 192.168.2.0/24,如何建立一条基于策略的
11、VPN,下面例子是的配置步骤和前面提到的类似,但注意看. Site to Site VPN典型的网络拓扑:,192.168.118.9,192.168.118.231,步骤一、建立阶段一,对端的公网地址,与Internet相连的接口,模式选择,步骤一、建立阶段一(高级选项),加密算法(供协商)穿越NAT,步骤二、建立阶段二,名称 选择阶段1 可选的加密算法在Idle状态下保持通道存活模式选择器是用于设置将什么流量导入到通道中,步骤三、建立防火墙策略,从内向外建立防火墙策略本端的内网地址 对端的内网地址 采用的动作 选择阶段一所代表的通道,步骤四、检验是否能够通讯,从192.168.1.0网段p
12、ing 192.168.2.254,看通道是否能够建立起来。,变成绿色,表示通道建立,基于路由的 VPN (接口模式),IPSec虚拟接口是物理、汇聚或VLAN接口的子接口 当阶段1连接到对端时,虚接口就会up 阶段2绑定才会有网络流量 所有通过该端口的流量都是隐含加密的,这样防火墙的策略就只需要指定允许或拒绝(Deny/Accept)就可以了 每一个接口只有一个远程网关要产生通道模式集中器的行为,你可以: 在每对IPSsec接口之间定义防火墙策略 使用一个区(zone)和单个区到区(zone-to-zone)策略,或者 使用一个区(zone)和启用intra-zone流量,基于路由的 VPN
13、 (接口模式),常规的 Accept/Deny防火墙策略控制IPSec接口的进出流量可以对进出流量进行更细粒度的控制接口模式VPN通道允许发送和接收路由信息数据包像组播、或动态路由协议像RIP、OSPF或BGP简化了VPN通道冗余的实施 通过设置具有不同distances的静态路由来实现冗余,如何建立一条基于路由的VPN(1),设置启用接口模式 其他的内容同策略模式 阶段2同策略模式,如何建立一条基于路由的VPN(2),在系统网络 会自动地生成一个虚拟接口,设置虚拟接口对应的路由,目标地址为对端内网地址,如何建立一条基于路由的VPN(3),建立防火墙策略,策略是在虚拟接口与防火墙其他接口之立,动作采用接受或者拒绝,不需要建立Ipsec策略,如何在路由模式VPN上启用OSPF(1),在虚拟接口上设置IP本方的虚拟接口IP 对端的虚拟接口IP,如何在路由模式VPN上启用OSPF(2),不需要在设置静态路由 路由器ID是用来识别不同的路由器的Area network,谢谢!,更多信息请访问 http:/ http:/,
