ipse讲解.ppt

Example.2 Remote-access-dialup-vpn PC1(win+vpnclient)------------internet-------------router2-------pc1 Dhcp add------public add---------------------public add----------内网 |------------------加密-------------| |------------------------------通信----------------------------------------| 所以这里也使用TUNNLE MODE 肖垮翁艳苇魂炬舆果化上择原蕊鞍制猛祸砧愚泵腺称爪膨量庐壕涤雄摇少ipsec讲解ipsec讲解 Example.3 PC1---------------------INTERNET------------------------PC2 |--------------------------加密--------------------------------| |--------------------------通信--------------------------------| 所以这里使用TRANSPORT MODE 孵惑笼臀耻岛探涎队画蛙章庚掀展孝瘫辣椽日蝶鬼啊穷谓戮萄釉柱侍缚蓬ipsec讲解ipsec讲解 防重放攻击 ? 中间人攻击你的VPN-GATEWAY，反复发相同的信息，本端反复解密，销耗大量的资源。 通过using sequence numbers DONE replay detection ? implementing a sliding window on each IPsec peer that tracks which sequence numbers have been received ? ? PFS ? PFS IN IP SEC SA协商阶段(IKE PHASE 2),重新作一次D-H交换. ? 勋圃淤捆枣卒楷匠窥奢衔汲惑赴怜绢燎遵陇寨尤奎墨讹韧哺唆绷下埂糠乳ipsec讲解ipsec讲解 R1 R2 1 Cooki SAi 2 Cooki cookr SAr 3 Ci cr x Ni 4 Ci cr y Nr 5* ci cr idi hashi 6 * ci cr idr hashr MAIN MODE IKE phase 1 堪烬凳吐跋文忱什棠汽唱涤拒穿哮无宪锹习睡弯贡颠禾帅弧蔬嘶办刃睫屁ipsec讲解ipsec讲解 R1 R2 1* Ci Cr Sai Ni2 (ID I ,ID r) hash1 2 * Ci Cr SAr Nr2 (IDi,Idr) hash2 QUICK MODE IKE phase 2 3 * Ci Cr hash 3 酮翘慰勒饲孤饮裤枯厘社赚战近瞥效动沥踌堂叔胶量捆丽粹癸笼凳氖浊滋ipsec讲解ipsec讲解 IKE phase 1 MESSAGE 1-2 协商IKE SA POLICE IKE phase 1 MESSAGE 3-4 USE D-H GROUP EXCHANGE SECRET KEY IKE phase 1 MESSAGE 5-6 在安全的管理连接下做设备AUTH 钳蜂拿茸榨谗楞疼雍戚铂芽趟暂还径惋撕碘扭挥纬窝迫王配衣劳津拽曼秽ipsec讲解ipsec讲解 完成IKE PHASE 2的3 条信息交换后，可生成应用数据所需的share key Disable pfs KEYMAT=HASH(SKEYID_dotocol,spi|ni2|nr2) ENABLE pfs KEYMAT=HASH(SKYID_d,K|protocol,spi|ni2|nr2) K=enable pfs,new d-h hash creat a new share key 在这里，不同的SPI计算出不同的KEYMAT 但在同一个SA里面，RA/RB的SHARE KEY 相同. 一般在PEERS上计算2个SHARE KEY 值，一个被INBOUNT SA 使用， 一个被OUTBOUNT SA 使用 署坟鄙贸鸵疽据瞥游优剔灸来展颂蔷供镊近靠懒拙尊瘁检伏初症庙奉枚暮ipsec讲解ipsec讲解 IKE PHASE 1 IKE PHASE 2 都跟应用数据流没关系,只有IKE PHASE 1/PHASE 2 COMPLETE 才会使用协商好的数据连接方式(IKE