IPSec, hálózatok mindenkinek

Az IPSec VPN áll a következő lépéseket:
1) Leírás az ISAKMP politika. Feldolgozása fentről lefelé, a legbiztonságosabb legyen a tetején.
2) Leírás IPSEC Policy - Transform Set.
3) Leírás a forgalom az érdeklődés védendő IPSEC. Ez használ az ACL.
4) gyűjteménye az eredményül kapott készlete, mint egy srypto-térképet, és hozzárendelheti azt interfeys.1
crypto isakmp politika 10! szamat
encr aes! titkosítási típus
hash sha256! hash típusú
hitelesítés előre megosztott! hitelesítési eljárás
2. csoport! DH csoport
240 életen át! élettartam
crypto isakmp kulcs IPSECVPN cím 100.0.0.2! PSK ünnepe

2
crypto ipsec át-set IPSEC-TS ESP-AES ESP-sha-hmac! hozzon létre egy transzformációs beállított ESP AES titkosítás és SHA hash

3
Készítsen ACL leíró forgalom érdekes számunkra, meg fogjuk védeni az IPSec.
Bővített IP hozzáférési listát, IPSEC
10 engedély ip host 10.0.0.1 fogadó 10.0.0.2
20 tagadja ip minden olyan

interfész FastEthernet0 / 0
ip cím 100.0.0.1 255.255.255.252
duplex automatikus
sebességes automata
crypto térkép MYMAP! Alkalmazzuk a kapott kripto-térkép az interfész
vég

hibaelhárítási parancsokat:
sh crypto isakmp sa
sh crypto IPsec
hibakeresés crypto ipsec

Hogyan működik IPSEC VPN.

IPSEC VPN áll 2 lépésből áll:
1) Alignment az alagút.
2) Az adatok továbbítása révén koordinált alagútban.

koordinációs feladatokat.
- létrehozása biztonságos csatornán.
- harmonizálása az alagút egy biztonságos kanala.Framework:
- Internet Security Association és Key Management Protocol (ISAKMP).

Jelenleg megvalósítás:
- Internet Key Exchange (IKE).

Mi a különbség?
- ISAKMP azt mondja, hogy a legfontosabb az, hogy generál.
- IKE elmondja, hogyan állítsa elő.

Adatátvitel IPSEC.

Miután az alagút paraméterei megállapodott forgalom vihető át (zárt) alkalmazásával 2 protokollok:
- Autentication Header (AH).
- Encapsulating Security (ESP).

AH és ESP együttesen:
- Authentication.
- ellenőrzés integritását.
- Titkosítás.

AH - csak a hitelesítést.
ESP - ez hitelesítés és titkosítás.

Format beágyazás IPSEC.
ESP és az AH támogatás 2 tokozás méret:
1) Transport Mode - módosítja az eredeti fejlécet.
2) Alagút üzemmód - hagyja az eredeti cím, de új tetején.

ESP szoba beruházások IP - 50. AH - 51.

IKE.
IKE-as portot használja az 500 UDP (ISAKMP).
IKE használ 2 fázisillesztés létrehozni SA (biztonsági szövetségek).
- 1. fázis (1. fázis), - ami egy biztonságos csatornán.
- 2. fázis (2. fázis) - létrehozása egy biztonságos alagút.
AH / SA ESP használja adatátvitelre át az alagúton.

1. fázis tárgyal 5 attribútumok nevezett politika (politikai) létrehozunk egy biztonságos csatornán.
Van 2 változtatás (mód) a politikák összehangolása (politika):
- Fő Mode - egy lassabb és biztonságosabb módosítását.
- Agresszív Mode - gyorsabb és kevésbé biztonságos módosítását.

ISAKMP politika magában foglalja az 5 attribútumai meg kell egyeznie, hogy megteremtse a SA.
- Hitelesítési módszer - PSK, RSA-SIG, RSA-ENC.
- darabolási algoritmus - MD5, SHA.
- Group Diffie-Hellman - 1, 2, 5.
- titkosítás típusa - DES, 3DES, AES.
- Time Tunnel élet - kilobyte vagy másodperc.

A hitelesítés 3 féle:
- Pre-Shared Key (PSK) - mindkét fél tudja, ugyanaz a kulcs (jelszó).
- RSA Aláírások - mindkét fél bízni egymásban tanúsítványokat.
- RSA Encripted nonces (csak iOS) - RSA kulcsokat.

Hasítás.
Arra használják, hogy ellenőrizze, hogy a csomag nem módosult.
Gyakran két típusa van:
- MD5 - 128 bites.
- SHA - 160 bit. Biztonságosabb típusát.

Diffie-Hellman csoport.
Generálására használt megosztott kulcsot később így szimmetrikus kulcs titkosítás. Ez használ egy nyilvános / titkos kulcs logika.
Csoportok az alábbi hosszak:
Csoport - 1-768-bit.
Csoport - 2-1024-bit.
- froup 3-1536-bites.

Titkosítás.
DES - Data Encryption Standard. 56 bit.
3DES - Triple Data Encryption Standard. 168 bit.
AES - Advanced Encryption Standard. 128, 192, 256 bites. Gyorsabb és biztonságosabb, mint a többiek.

IKE 2. fázis.
Az első fázisban létrehoz egy biztonságos kommunikációs csatornát az IPSEC társaik.
Most a SA lehet létrehozni, és létrehozta a legfontosabb anyaga.
Ügynökségek - ez 2 unicast ülésén.
speciális „Transform Set” használják a második fázisban. Már írják a kezelését a forgalom.

A Transform készlet tartalma:
- ACL, amely leírja a forgalom az érdeklődés.
- Hogyan küldhet forgalom:
* AH - csak MD5 hitelesítés, SHA.
* ESP - Authentication MD5 / SHA és titkosítási DES / 3DES / AES.
- Meddig kulcsa érvényesnek kell tekinteni. (IPSec SA élettartam).

A csomag így néz ki, alagút üzemmódban:

Az alagút ESP mód védi az egész eredeti csomag, beleértve az eredeti cím.

Tehát úgy néz ki, csomag szállítási mód:

A szállítási mód ESP, mozgatja az eredeti IP fejléc a tetején a csomagot.

ESP az alábbi alkatrészek és területeken:

• ESP header (32 bit Biztonsági paraméterek Index, 32 bit Sequence Number)
• ESP Trailer (0-2040 bit párnázottak, 8 bit kitöltés hossza, 8 bit Next Header)
• ESP hitelesítési (változó hosszúságú)

DMVPN - A pont-multipont overlay VPN technológia.

DMVPN Design:
Távoli helyszínek építeni statikus alagutak központi helyén (hub-and-spoke).
Spock át routing információk a Hub a statikus alagutak. Ez lehet a használt EIGRP, OSPF, BGP.
Hub SPOC forgalmukat keresztül statikus alagutak. Spock pihenni Spock útvonalon a forgalmat a dinamikus felhasználása tunneli.Zachem DMVPN?
- Spock a szabványos konfigurációs sablon (könnyebben kezelhető config).
- hozzáadása egy új Spock nem igényel további konfigurációt a Hub vagy a másik Spock.
- támogatja az IPv4, IPv6, unicast multicast, statikus és dinamikus routing.

DMVPN elemek:
1) forgalomirányítás:
- Multipoint GRE (mGRE).
- Következő Hop Resolution Protocol (NHRP).
2) Traffic Encryption:
- IPSEC.
DMVPN nélkül lehet használni IPSEC, de a legtöbb esetben, a titkosítás is szükség van.