Secure Transport

  • Data confidentiality —— only viewable by authorized users
  • Data Integrity —— only modified by authorized users
  • Data availability —— network is always available allows for the secure transport of data, ensured by redundancy and proper design

IPSec Security Functions

  • Origin Authentication:certificates-based or pre-shared key
  • Data confidentiality : encryption
  • Data integrity : Hashing Algorithm
  • Replay detection:
  • Periodic rekey
  • Perect forward secrecy

IPSec Framework vs IPSec Implementation

  • 不是1种协议,是1种框架

IPsec Phase 1 and Phase 2

  • Phase 1 商量参数,怎么建立加密渠道
  • Phase 2 使用Phase1 的参数,来保护用户数据

Key Management

  • key 用来加解密
  • 产生、分发、存储密钥,统称为key management
  • 默认使用IKE 协议来做 key management (Internet Key Exchange)
    • 常用version2,引入了对 EAP的支持,降低带宽消耗,支持NAT traversal,和监测tunnel是否 alive

IKE vs ISAKMP

  • ISAKMP 也是1个框架
  • IKE 是1个具体的协议

Phase 1 Mode

  • Main Mode
    • Exchange 6 次Information,更安全但相对慢
  • Aggressive Mode
    • Exchange 3 次Information,相对慢

Phase 1 Key Exchange

  • 通过Key的交换最终生成 Security Association ,其中包含了 Security Parameter
  • IKE SA:Phase 1 的结果
  • IPsec SA: 有了IKE SA,才能进行Phase 2。IPsec SA 是Phase 2 的结果
  • 两台设备之间只能有1个IKE SA

Diffie-Hellman (DH) groups

  • Phase 2

  • 只有1个模式:QUick Mode
  • Phase2 利用 Phase1 产生的 IKE SA产生 IPsec SA,并用IPsec SA 来对数据进行加密
  • 2台设备之间可以有多个IPsec SA,而且他是 uni-direction的,发送和接收走不同的隧道
  • IKE SA 默认24小时有效。IPsec SA默认1小时有效

Security Protocols

  • 提供数据完整性保护,和加密
  • 2种协议,
    • Authentication Header
      • IP protocol 51
    • Encapsulation Security Payload
      • IP protocol 50
  • ISAKMP 是 UDP协议,号码 500
  • AH 和 ESP 的差异
    • AH 无法对数据加密,产生校验和
    • ESP 会对Payload 加密,然后插入 ESP Header 和 尾部
  • 2者 可以单独,也可以结合使用

Encapsulation Mode

  • Transport Mode —— 只对Payload加密
  • Tunnel Mode —— 对包括header 在内都加密,并产生新的 header
  • 站点和站点之间更多使用 Tunnel Mode,End 之间更多使用Transport

Proxy Identity (Proxy-ID)

  • (Proxy-ID)= interested traffic
  • 在定义IPsec时,两端的(Proxy-ID)需要互为镜像,否则Phase 2 无法建立

Cisco IPsec VPN

  • Dynamic Multipoint VPN (DMVPN)
  • Static Crypto Map
  • GRE over IPsec
  • Dynamic Crypto Map

配置模板

  • 2个Phase 需要配置的东西是固定的
  • Phase 1
    • Encryption
    • HASH
    • Authentication
    • DH Group
  • Phase 2
    • Encryption
    • HASH
    • Security Protocol
    • Proxy-ID
    • Encapsulation Mode —— 默认为 Tunnel Mode
    • PFS (optional)