网络/协议
IPsec:IP层协议安全结构
IPsec 在 IP 层提供安全服务,它使系统能按需选择安全协议,决定服务所使用的算法及放置需求服务所需密钥到相应位置。 IPsec 用来保护一条或多条主机与主机间、安全网关与安全网关间、安全网关与主机间的路径。
IPsec 能提供的安全服务集包括访问控制、无连接的完整性、数据源认证、拒绝重发包(部分序列完整性形式)、保密性和有限传输流保密性。因为这些服务均在 IP 层提供,所以任何高层协议均能使用它们,例如 TCP 、 UDP 、ICMP 、 BGP 等等。
这些目标是通过使用两大传输安全协议,头部认证(AH) 和封装安全负载 (ESP),以及密钥管理程序和协议的使用来完成的。所需的 IPsec 协议集内容及其使用的方式是由用户、应用程序、和/或站点、组织对安全和系统的需求来决定。
当正确的实现、使用这些机制时,它们不应该对不使用这些安全机制保护传输的用户、主机和其他英特网部分产生负面的影响。这些机制也被设计成算法独立的。这种模块性允许选择不同的算法集而不影响其他部分的实现。例如:如果需要,不同的用户通讯可以采用不同的算法集。
定义一个标准的默认算法集可以使得全球因英特网更容易协同工作。这些算法辅以 IPsec 传输保护和密钥管理协议的使用为系统和应用开发者部署高质量的因特网层的加密的安全技术提供了途径。
IPSec 不是特殊的加密算法或认证算法,也没有在它的数据结构中指定一种特殊的加密算法或认证算法,它只是一个开放的结构,定义在IP数据包格式中,为各种的数据加密或认证的实现提供了数据结构,为这些算法的实现提供了统一的体系结构,因此,不同的加密算法都可以利用IPSec定义的体系结构在网络数据传输过程中实施
Vista系统常用英文专业词语
互联网协议安全(Internet Protocol Security),一个标准机制,用于在网络层面上为穿越IP网络的数据包提供认证,完整性,以及机密性。
IPsec协议工作在OSI 模型的第三层,使其在单独使用时适于保护基于TCP或UDP的协议(如 安全套接子层(SSL)就不能保护UDP层的通信流)。这就意味着,与传输层或更高层的协议相比,IPsec协议必须处理可靠性和分片的问题,这同时也增加了它的复杂性和处理开销。相对而言,SSL/TLS依靠更高层的TCP(OSI的第四层)来管理可靠性和分片。
1. Windows 2003的IPsec(PolicyAgent服务)和RemoteAccess服务冲突,
RemoteAccess服务和SharedAccess服务冲突。
通过修改注册表开启IP转发功能,可在SharedAccess服务开启状态下工作,
这时候不需开启RemoteAccess服务,
D:\》reg.exe query “HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters” /v “
IPEnableRouter”
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
IPEnableRouter REG_DWORD 0x1
D:\》
但是如果某一接口使用了IPsec,则必须停止SharedAccess服务,IP转发功能才生效。
2. 创建IPsec策略的精髓是创建两条IPsec筛选器,两个筛选器都不要做镜像,
一条IPSecTunnelIn,隧道终结点为对方终结点,
一条IPsecTunnelOut,隧道终结点为己方终结点,
3. Windows 2003配置调试IPsec都可以用netsh工具完成。
C:\WIN2K3\system32》netsh
netsh》ipsec dynamic
netsh ipsec dynamic》show config
IPSec 配置参数
---------------
IPSecDiagnostics : 0 ---对应系统日志
IKElogging : 0 ---对应oakley.log
StrongCRLCheck : 1
IPSecloginterval : 3600
IPSecexempt : 3
启动模式 : 许可
启动模式免除 :
协议 源端口 目标端口 方向
--------- --------- --------- ---------
UDP 0 68 入站
netsh ipsec dynamic》
3.1. 打开IKE的Logging(已过时)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\PolicyAgent\Oakley]
“EnableLogging”=dword:00000001
然后重新启动机器,在C:\WINDOWS\Debug目录下发现oakley.log。
ikelogging和 strongcrlcheck将被立即激活;所有其它属性将在下次重启动后生效。
3.2. 设置到对方内网的路由
3.3. 运行secpol.msc配置IPsec
3.4. 运用netsh察看ipsec
netsh ipsec dynamic》show mmpolicy all
IKE MM 策略名称 : 6
IKE 软 SA 生存时间 : 86400 秒
Encryption Integrity DH Lifetime (Kb:secs) QM Limit Per MM
---------- --------- ---- ------------------ ---------------
3DES MD5 2 0:86400 0
netsh ipsec dynamic》show qmpolicy all
QM 协商策略名称 : test
安全方法 生存时间 (Kb:secs) PFS DH 组
------------------------- --------------------- ------------
ESP[3DES,MD5] 1048576:3600 主模式已派生
netsh ipsec dynamic》show mmfilter all
主模式筛选器: 普通
-------------------------------------------------------------------------------
筛选器名称 : 15
连接类型 : 所有
源地址 : 《我的 IP 地址》 (255.255.255.255)
目标地址 : 10.47.159.251 (255.255.255.255)
身份验证方法 :
预共享密钥
安全方法 : 1
3DES/MD5/DH2/86400/QMlimit=0
------------------------------------------
-------------------------------------
筛选器名称 : 14
连接类型 : LAN
源地址 : 《我的 IP 地址》 (255.255.255.255)
目标地址 : 10.47.159.66 (255.255.255.255)
身份验证方法 :
预共享密钥
安全方法 : 1
3DES/MD5/DH2/86400/QMlimit=0
2 普通筛选器
netsh ipsec dynamic》show qmfilter all
快速模式筛选器(隧道): 普通
-------------------------------------------------------------------------------
筛选器名称 : 14
连接类型 : LAN
源地址 : 192.168.22.0 (255.255.255.0 )
目标地址 : 172.16.159.0 (255.255.255.0 )
隧道源 : 《任何 IP 地址》
隧道目标 : 10.47.159.66
协议 : ANY 源端口: 0 目标端口: 0
已镜像 : 否
快速模式策略 : test
入站操作 : 协商
出站操作 : 协商
-------------------------------------------------------------------------------
筛选器名称 : 15
连接类型 : 所有
源地址 : 172.16.159.0 (255.255.255.0 )
目标地址 : 192.168.22.0 (255.255.255.0 )
隧道源 : 《任何 IP 地址》
隧道目标 : 10.47.159.251
协议 : ANY 源端口: 0 目标端口: 0
已镜像 : 否
快速模式策略 : test
入站操作 : 协商
出站操作 : 协商
2 普通筛选器
netsh ipsec dynamic》
全部0条评论
快来发表一下你的评论吧 !