Chinaunix首页 | 论坛 | 博客
  • 博客访问: 1424866
  • 博文数量: 269
  • 博客积分: 3602
  • 博客等级: 中校
  • 技术积分: 4536
  • 用 户 组: 普通用户
  • 注册时间: 2012-04-17 21:13
文章分类

全部博文(269)

文章存档

2014年(8)

2013年(139)

2012年(122)

分类: 系统运维

2014-03-04 13:45:02

 PIX的精彩 --- IKE的两个阶段

ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的,而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协议的一种混合,并在由ISAKMP规定的一个框架内运作。

IKE阶段1,IKE 在两个IKE对等体间创建一个认证过的安全通道,IKE SA。安全关联(SA)是实体间的关系,它表示通信方如何使用安全服务进行安全通信。IKE SA就是IKE之间如何使用安全服务进行通信;IPSec SA就是实体间如何使用安全服务进行通信。

IKE阶段1的目的是鉴别IPSec对等体,在对等体间设立安全通道,以便IKE交换信息。主要功能如下:鉴别和保护IPSec实体的身份;协商IKE SA;执行D-H交换;建立安全通道以便协商IKE阶段2的参数。存在两种模式:
1、Main Mode
   双方存在3次双向交换:
   第一次交换 保证IKE通信安全的算法和Hash在匹配对等体间的IKE SA被商定
   第二次交换 用D-H交换来产生共享的、用户产生共享密钥的密钥材料,同事传送nonces,对他们进行签名并返回之以确认身份。
   第三次交换 用于验证对方的身份。身份值是以加密的IPSec对等体的IP地址。
   IKE SA为IKE指定下列参数值:
                                                认证方法{Pre-Share|RSA签名|RSA加密}
                                                加密和Hash算法
                                                D-H组
                                                IKE SA life time
                                                加密算法的共享密钥
2、积极模式(
[size=-1]Aggressive Mode
在一次交换中,该模式中几乎所有的需要交换的信息都被压缩到所建议的IKE SA参数值中了。该模式速度快,但是是不安全的。PIX可以对发起积极模式交换的IPSec对等体进行相应,在一般情况下不用积极模式发起IKE交换。
   
IKE阶段2,协商IPSec SA,还要生产IPSec所需要的密钥。发送端提供一个或多个变换集合(Transform sets),用于指定一个被允许的交换组合。IKE阶段2 执行以下功能:协商IPSec SA参数,建立IPSec SA,周期性的重新协商IPSec SA,可选的执行一次额外的D-H交换。IKE阶段2只有一种模式,快捷模式(Quick Mode)。快捷模式协商一个共享的IPSec策略,获得共享的、用于IPSec安全算法的密钥材料,并建立IPSec SA。快捷模式也用在IPSec SA life time 过期之后重新协商一个新的IPSec SA。如果在IPSec策略里指定了完美向前保密(Perfect Forward Secrecy,PFS),在快捷模式中将执行一次额外的D-H交换。
  
PIX 建立IKE P1策略的步骤 (IKE阶段1)

一、建立IKE P1策略
1)用优先级号码标识策略 1为最高
fw1(config)# isakm policy ?

configure mode commands/options:
<1-65535> Policy suite priority(1 highest, 65535 lowest)
fw1(config)# isakm policy 10

2)配置isakmp policy
1、指定加密算法
fw1(config-isakmp-policy)# encryption ?

crypto-isakmp-policy mode commands/options:
3des 3des encryption
aes     aes-128 encryption
aes-192 aes-192 encryption
aes-256 aes-256 encryption
des     des encryption

fw1(config-isakmp-policy)# encryption 3des

2、指定Hash算法
fw1(config-isakmp-policy)# hash ?

crypto-isakmp-policy mode commands/options:
md5 set hash md5
sha set hash sha

fw1(config-isakmp-policy)# hash sha

3、指定认证模式
fw1(config-isakmp-policy)# authentication ?

crypto-isakmp-policy mode commands/options:
crack     set auth crack
pre-share set auth pre-share
rsa-sig set auth rsa-sig


fw1(config-isakmp-policy)# authentication pre-share

4、指定D-H组
fw1(config-isakmp-policy)# group ?

crypto-isakmp-policy mode commands/options:
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
7 Diffie-Hellman group 7

configure mode commands/options:
fw1(config-isakmp-policy)# group 2

5、IKE SA生存时间
fw1(config-isakmp-policy)# lifetime ?

crypto-isakmp-policy mode commands/options:
<120-2147483647> Lifetime in seconds
none              Disable rekey and allow an unlimited rekey period
fw1(config-isakmp-policy)# lifetime 86400


PIX 建立IKE P2策略的步骤 (IKE阶段 2)

一、准备阶段
1、准备变换集
fw1(config)# crypto ipsec transform-set trans-name ?

configure mode commands/options:
esp-3des        esp 3des encryption
esp-aes       esp aes 128 encryption
esp-aes-192     esp aes 192 encryption
esp-aes-256     esp aes 256 encryption
esp-des       esp des encryption
esp-md5-hmac esp md5 authentication
esp-none        esp no authentication
esp-null        esp null encryption
esp-sha-hmac esp sha authentication
mode          mode transport

fw1(config)# crypto ipsec transform-set trans-name esp-3des esp-sha-hmac
fw1(config)#

2、准备ACL,匹配需要IPSec SA 保护的数据流
access-list acl-name extend permit ip 192.168.20.0 255.255.255.0 192.168.30.0 255.255.255.0

3、定义 Group Tunnel
fw1(config)# tunnel-group peer-ip-address type ipsec-l2l
fw1(config)# tunnel-group
peer-ip-address ipsec-attributes
fw1(config-ipsec)# pre-shared-key cisco


二、建立IKE 2策略

crypto map

1、为该IPSec SA指定
IKE协商方式
fw1(config)# crypto map map-name seq-num ipsec-isakmp
fw1(config)#
指明IKE协商方式,也就是通信双方利用通过ISAKMP/IKE协议报文的交互来协商IPSec SA,双方就transform-sets、密钥达成一致。在设置加密map的参数时,指定密钥的生命周期,还可以指定 PFS的group。采用IKE方式的优点是安全性比较高,且密钥会在生命周期过后自动废除并生成新的新的密钥用于IPSec通信。但是它也会带来额外通 信开销的缺点。IPSec SA的协商方式除了IKE方式,还存在其他方式如: manual等等。

2、匹配需要IPSec SA 保护的数据流
fw1(config)# crypto map map-name seq-num match address ?

configure mode commands/options:
WORD Access-list name
fw1(config)# crypto map map-name seq-num match address acl-name

3、指定交换集合
fw1(config)# crypto map map-name seq-num set transform-set fransform-sets-name

4、指定IPSec的peer
crypto map map-name seq-num set peer ip_address


三、IKE P1、P2策略到相应的接口
fw1(config)# isakmp enable Outside
fw1(config)# crypto map map-name interface Outside
阅读(2609) | 评论(0) | 转发(1) |
给主人留下些什么吧!~~