问答题
阅读以下技术说明,根据要求回答问题。
[说明]
VPN是通过公用网络Internet将分布在不同地点的终端连接而成的专用网络,目前大多采用IPSec实现IP网络上端点间的认证和加密服务。某企业总公司和子公司通过支持VPN的防火墙构建的站点到站点VPN网络拓扑结构如图所示。其中,IP地址10.2.20.210服务器为公司总部内联网的Radius服务器。图中防火墙设备FireWall_A、FireWall_B和路由器设备RA、RB均采用Cisco产品。
[说明]
VPN是通过公用网络Internet将分布在不同地点的终端连接而成的专用网络,目前大多采用IPSec实现IP网络上端点间的认证和加密服务。某企业总公司和子公司通过支持VPN的防火墙构建的站点到站点VPN网络拓扑结构如图所示。其中,IP地址10.2.20.210服务器为公司总部内联网的Radius服务器。图中防火墙设备FireWall_A、FireWall_B和路由器设备RA、RB均采用Cisco产品。
问答题
请简要叙述在上图中,从公司总部主机到分支机构主机通过IPSec的通信过程。
【正确答案】(1)IPSec过程启动:根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略,指定要被加密的数据流,启动IKE(Internet密钥交换)过程
(2)IKE阶段1:在该连接阶段,IKE认证IPSec对等体,协商IKE安全关联(SA),并为协商IPSec安全关联的参数建立一个安全传输道路
(3)IKE阶段2:IKE协商IPSec的SA参数,并在对等体中建立起与之匹配的IPSec SA
(4)数据传送:根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体问传送数据
(5)IPSec隧道终止:通过删除或超时机制结束IPSec SA
【答案解析】(1)IPSec是IETF在1998年以RFC形式公布的一组安全协议集,它能提供的安全服务集包括访问控制、无连接完整性、数据源认证、拒绝重放包及限制传输流量的保密性。IPSec协议既能在IPv4环境下工作,也适用于IPv6应用环境。
IPSec安全体系结构包括AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议、密钥管理协议(ISAMP)等3个最基本协议。其中,AH协议为IP包提供信息源验证和完整性保证;ESP协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。
AH协议和ESP协议都有相关的一系列支持文件,规定了加密和认证的算法。在这两种安全机制中,AH协议不支持保密服务。下表归纳了AH头标与ESP头标的功能的异同点。
IPSec的密钥管理包括密钥的确定和分发。IPSec支持手工密钥分配和自动密钥分配这两种密钥管理方式。通常要求在两台互连的IPSec VPN设备之间实施一致的认证/力口密算法。为使互连的IPSec VPN设备的认证/力口密算法一致,则需要在它们之间建立相互的联系。通常把这种联系称为安全组合SA。VPN网络中可以手工静态配置SA,也可利用Internet密钥交换(IKE)动态建立SA。
当利用IKE进行相互认证时,通常将首先发出请求的一方称做发起者(Initiator),对做出应答的一方称做应答者(Responder)。在VPN设备间建立通信使用的隧道中,IKE决定了数据加密时共享密钥的生成方式。它基于用户数据包协议(UDP)进行信息交换,采用已知的UDP 500端口号。
IKE通过两个阶段的认证强化其安全性。第1阶段建立通信控制使用的隧道,第2阶段建立实际通信使用的隧道。在第1阶段隧道上进行了加密方式及共享密钥的生成方法的信息交换。在第2阶段隧道上进行了实际通信使用的加密方式和共享密钥的生成方法的信息交换。在第2阶段开始,还要进行通信对象的认证,即相互间生成密钥后还需进行身份认证。采取这种措施的好处在于,即使第1阶段的通信被窃听也能保证实际通信的安全进行。
IKE对发起者和应答者定义了预先共享密钥(Pre-Shared Key)、数字签名(Digital Signature)、公共密钥PKE(Public Key Encryption)等3种相互认证方式。在不同方式下,它们之间交换的内容也有所不同。通常,IKE分两个阶段来实现。第1阶段为建立IKE本身使用的安全信道而相互交换SA,第2阶段利用第1阶段建立的安全信道交换IPSec通信中使用的SA的相关信息。
在如图所示的网络拓扑结构中,从公司总部主机到分支机构主机通过IPSec的通信过程如下:
(1)IPSec过程启动:当用户发送的业务流需要保护时,将其定义为感兴趣的数据流,即根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略,指定要被加密的数据流,启动IKE(Internet密钥交换)过程。VPN设备会将这种数据流通过IPSec隧道传送。对于IPSec保护的每个数据包,系统管理员必须指定数据包所用的安全服务。安全策略数据库将指定数据流所使用的IPSec协议、模式和算法。
(2)IKE阶段1:在该连接阶段,IKE认证IPSec对等体,协商IKE安全关联(SA),并为协商IPSec安全关联的参数建立一个安全传输道路。换而言之,在对等体之间,协商并确定了一套最基本的安全服务,这一套基本服务将保护对等体之间发生的后续通信服务。
(3)IKE阶段2:IKE协商IPSec的SA参数,并在对等体中建立起与之匹配的IPSec SA。这些安全参数用于保护端点之间交换的数据和消息。该阶段主要执行的功能有:①协商IPSec安全性参数和IPSec转换集;②建立IPSec的SA;③定期重协商IPSec的SA,以确保安全性;④可以执行额外的Diffie-Hellman交换等。
(4)数据传送:根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。
(5)IPSec隧道终止:通过删除或超时机制结束IPSec SA。超过规定的秒数或当一定数量的字节通过隧道后,SA就会超时。SA终止时,密钥也会被丢弃。如果数据流需要后续的IPSec SA,则IKE将执行新的协商。协商成功后将会产生新的SA和新的密钥。
IPSec安全体系结构包括AH(Authentication Header)协议、ESP(Encapsulating Security Payload)协议、密钥管理协议(ISAMP)等3个最基本协议。其中,AH协议为IP包提供信息源验证和完整性保证;ESP协议提供加密保证;密钥管理协议(ISAKMP)提供双方交流时的共享安全信息。
AH协议和ESP协议都有相关的一系列支持文件,规定了加密和认证的算法。在这两种安全机制中,AH协议不支持保密服务。下表归纳了AH头标与ESP头标的功能的异同点。
| {{B}}AH头标与ESP头标功能比较表{{/B}} | ||
| 比较项目 | AH#头#标 | ESP#头#标 |
| 认证功能 | 有 | 有 |
| 加密功能 | 无 | 有 |
| 最低认证算法 | MD5或SHA-1 | MD5或SHA-1(1) |
| 最低加密算法 | 无 | DES-CBC |
| 对重放攻击的防御 | 有 | 有 |
当利用IKE进行相互认证时,通常将首先发出请求的一方称做发起者(Initiator),对做出应答的一方称做应答者(Responder)。在VPN设备间建立通信使用的隧道中,IKE决定了数据加密时共享密钥的生成方式。它基于用户数据包协议(UDP)进行信息交换,采用已知的UDP 500端口号。
IKE通过两个阶段的认证强化其安全性。第1阶段建立通信控制使用的隧道,第2阶段建立实际通信使用的隧道。在第1阶段隧道上进行了加密方式及共享密钥的生成方法的信息交换。在第2阶段隧道上进行了实际通信使用的加密方式和共享密钥的生成方法的信息交换。在第2阶段开始,还要进行通信对象的认证,即相互间生成密钥后还需进行身份认证。采取这种措施的好处在于,即使第1阶段的通信被窃听也能保证实际通信的安全进行。
IKE对发起者和应答者定义了预先共享密钥(Pre-Shared Key)、数字签名(Digital Signature)、公共密钥PKE(Public Key Encryption)等3种相互认证方式。在不同方式下,它们之间交换的内容也有所不同。通常,IKE分两个阶段来实现。第1阶段为建立IKE本身使用的安全信道而相互交换SA,第2阶段利用第1阶段建立的安全信道交换IPSec通信中使用的SA的相关信息。
在如图所示的网络拓扑结构中,从公司总部主机到分支机构主机通过IPSec的通信过程如下:
(1)IPSec过程启动:当用户发送的业务流需要保护时,将其定义为感兴趣的数据流,即根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略,指定要被加密的数据流,启动IKE(Internet密钥交换)过程。VPN设备会将这种数据流通过IPSec隧道传送。对于IPSec保护的每个数据包,系统管理员必须指定数据包所用的安全服务。安全策略数据库将指定数据流所使用的IPSec协议、模式和算法。
(2)IKE阶段1:在该连接阶段,IKE认证IPSec对等体,协商IKE安全关联(SA),并为协商IPSec安全关联的参数建立一个安全传输道路。换而言之,在对等体之间,协商并确定了一套最基本的安全服务,这一套基本服务将保护对等体之间发生的后续通信服务。
(3)IKE阶段2:IKE协商IPSec的SA参数,并在对等体中建立起与之匹配的IPSec SA。这些安全参数用于保护端点之间交换的数据和消息。该阶段主要执行的功能有:①协商IPSec安全性参数和IPSec转换集;②建立IPSec的SA;③定期重协商IPSec的SA,以确保安全性;④可以执行额外的Diffie-Hellman交换等。
(4)数据传送:根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体间传送数据。
(5)IPSec隧道终止:通过删除或超时机制结束IPSec SA。超过规定的秒数或当一定数量的字节通过隧道后,SA就会超时。SA终止时,密钥也会被丢弃。如果数据流需要后续的IPSec SA,则IKE将执行新的协商。协商成功后将会产生新的SA和新的密钥。
问答题
防火墙设备FireWall_A的部分配置信息如下,请给出空缺处所在行相关配置语句的注释。
hostname FuZhou
aocess-list 160 permit ip 10.2.20.0 255.255.255.0 192.168.10.0 255.0.0.0
global (outside) 1 218.65.120.129-218.65.120.159
global (outside) 1 218.65.120.160
nat 0 access-list 160 (1)
nat (inside) 1 0 0
isakmp enable outside
isakmp policy 9 authentieation pre-share (2)
isakmp policy 9 encrypt des
Isakmp policy 9 hash sha
Isakmp policy 9 lifetime 86400
crypto isakmp key cisco1234 address 221.68.130.2 (3)
crypto ipsec transform-set gczvpn esp-des esp-sha-hmac (4)
crypto map XiuMen 20 ipsec-isakmp
crypto map XiuMen 20 match address 160 (5)
crypto map XiuMen 20 set transform-set gczvpn
crypto map XiuMen 20 set peer 221.68.130.2
crypto map XiuMen interface outside (6)
sysopt connection permit-ipsec
route outside 0.0.0.0 0.0.0.0 218.65.120.1 1 (7)
【正确答案】将访问列表160排除在NAT之外
定义IKE策略,优先级为9,认证方式采用预共享密钥方式
配置预共享密钥,并和对端关联
创建名为gczvpn的变换集,并指定了两种变换,其中ESP使用HMAC变种SHA-1提供身份验证服务,使用56位DES加密算法
将访问列表160的流量定义为加密数据流
将加密图XiuMen应用到outside接口
配置默认路由
【答案解析】(2)在如图所示的网络拓扑结构中,防火墙设备FireWall_A的部分配置命令及其对应的解释信息如下:
hostname FuZhou //设置主机名
access-list 160 permit ip 10.2.20.0 255.255.255.0 192.168.10.0 255.0.0.0
//该访问列表定义总公司去往子公司的流量
global (outside) 1 218.65.120.129-218.65.120.159//定义外部地址池用于NAT或PAT
global (outside) 1 218.65.120.160
nat 0 access-list 160 //将访问列表160排除在NAT之外
nat (inside) 1 0 0 //对其他的所有流量进行NAT转换
isakmp enable outside //在outside接口上启动IKE
isakmp policy 9 authentieation pre-share
//定义IKE策略,优先级为9,认证方式采用预共享密钥方式
isakmp policy 9 encrypt des //配置加密方式为des(用于数据加密)
Isakmp policy 9 hash sha //配置hash算法为sha(用于鉴别数据包)
Isakmp policy 9 lifetime 86400 /指定IKE SA的生存时间
crypto isakmp key cisco1234 address 221.68.130.2
//配置预共享密钥,并和对端关联
crypto ipsec transform-set gczvpn esp-des esp-sha-hmac//创建名为gczvpn的变//换集,并指定了两种变换,其中ESP使用HMAC变种SHA-1提供身份验证服务,使用56位DES加密算//法,交换集被设计用于为数据流制定一个特定的安全策略
crypto map XiuMen 20 ipsec-isakmp //创建名为XiuMen、序列号为20的加密图
crypto map XiuMen 20 match address 160 //将访问列表160的流量定义为加密数据流
crypto map XiuMen 20 set transform-set gczvpn
//指定该IPSec加密图使用的交换集为gczvpn
crypto map XiuMen 20 set peer 221.68.130.2 //指定IPSec对等体的对端IP地址
crypto map XiuMen interface outside //将加密图XiuMen应用到outside接口
sysopt connection permit-ipsec //配置信任IPSec流量
route outside 0.0.0.0 0.0.0.0 218.65.120.1 1 //配置默认路由
问答题
防火墙(FireWall)设备可以使用AAA对进站连接和出站连接进行控制。若要求如图所示的公司总部内联网中,10.2.20.0/24网段中的用户访问Internet时,FireWall_A将对这些用户进行身份验证。只有当该网段用户输入正确的用户名和密码之后,FireWall_A才允许用户正常访问Internet。请写出在FireWall_A上配置A从功能的相关语句。
【正确答案】FireWall_A(config)#aaa-server test protocol radius
FireWall_A(config)#aaa-server test (inside) host 10.2.20.201 cisco
FireWall_A(config)#access-list access-internet extended permit ip any any
FireWall_A(config)#aaa authentication match access-internet inside test
【答案解析】(3)访问控制是用来控制接入网络或访问网络资源的用户,并限制他们可使用的服务种类。AAA(Authentication、Authofization、Accounting,身份认证、授权、审计)协议所提供的功能是为了提高网络安全性。其中,Authentication主要功能是,提供用户凭证以获得对一个系统访问的权利。主要验证用户有没有接入到网络中的凭证,如果没有,则拒绝接入其网络。
Authorization主要功能是,当用户接入到网络中时,控制用户使用网络的权利,例如用户只能查看网络设备的状态,不能对其进行修改等。
Accounting主要功能是,记录用户登录网络中所做的活动,详细记录用户在何时、何处做过什么。
AAA的体系结构包括AAA服务器、AAA客户端、AAA协议3部分。其中,AAA的服务器是指安装了ACS软件的服务器。AAA的客户端是指支持AAA服务的各种网络设备。AAA协议负责在服务器和客户端之间进行认证信息交互,常用TACACS+、RADIUS和Kerberos3种协议。
若要求如图所示的公司总部内联网中10.2.20.0/24网段中的用户访问Internet时,FireWall_A对这些用户进行身份验证,只有当该网段用户输入正确的用户名和密码之后,FireWall_A才允许用户正常访问Internet。在FireWall_A上与网络访问认证中配置内网接口、外网接口地址及NAT的相关命令示例如下:
FireWall_A (config) # interface ethernet 0
FireWall_A (config-if) # ip address 218.65.120.2 255.255.255.252
FireWall_A (config-if) # no shutdown
FireWall_A (config-if) # nameif outside
FireWall_A (config-if) # interface ethernet1
FireWall_A (config-if) # ip address 10.2.20.254 255.255.255.0
FireWall_A (config-if) # no shutdown
FireWall_A (config-if) # nameif inside
FireWall_A (config-if) # exit
FireWall A (config) # nat (inside) 1 10.2.20.0 255.255.255.0
FireWall A (config) # global (outside) 1 218.65.120.2
FireWall_A (config) #
配置AAA服务器参数的相关命令示例如下:
FireWall_A (config) # aaa-server test protocol radius
FireWall_A (config) # aaa-server test (inside) host 10.2.20.201 cisco
在FireWall_A上配置AAA认证的相关命令示例如下:
FireWall_A (config) # access-list access-internet extended permit ip any any
FireWall_A (config) # aaa authentication match access-internet inside test
(1)(1)IPSec过程启动:根据配置IPSec对等体(公司总部主机和分支机构主机)中的IPSec安全策略,指定要被加密的数据流,启动IKE(Internet密钥交换)过程
(2)IKE阶段1:在该连接阶段,IKE认证IPSec对等体,协商IKE安全关联(SA),并为协商IPSec安全关联的参数建立一个安全传输道路
(3)IKE阶段2:IKE协商IPSec的SA参数,并在对等体中建立起与之匹配的IPSec SA
(4)数据传送:根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体问传送数据
(5)IPSec隧道终止:通过删除或超时机制结束IPSec SA
Authorization主要功能是,当用户接入到网络中时,控制用户使用网络的权利,例如用户只能查看网络设备的状态,不能对其进行修改等。
Accounting主要功能是,记录用户登录网络中所做的活动,详细记录用户在何时、何处做过什么。
AAA的体系结构包括AAA服务器、AAA客户端、AAA协议3部分。其中,AAA的服务器是指安装了ACS软件的服务器。AAA的客户端是指支持AAA服务的各种网络设备。AAA协议负责在服务器和客户端之间进行认证信息交互,常用TACACS+、RADIUS和Kerberos3种协议。
若要求如图所示的公司总部内联网中10.2.20.0/24网段中的用户访问Internet时,FireWall_A对这些用户进行身份验证,只有当该网段用户输入正确的用户名和密码之后,FireWall_A才允许用户正常访问Internet。在FireWall_A上与网络访问认证中配置内网接口、外网接口地址及NAT的相关命令示例如下:
FireWall_A (config) # interface ethernet 0
FireWall_A (config-if) # ip address 218.65.120.2 255.255.255.252
FireWall_A (config-if) # no shutdown
FireWall_A (config-if) # nameif outside
FireWall_A (config-if) # interface ethernet1
FireWall_A (config-if) # ip address 10.2.20.254 255.255.255.0
FireWall_A (config-if) # no shutdown
FireWall_A (config-if) # nameif inside
FireWall_A (config-if) # exit
FireWall A (config) # nat (inside) 1 10.2.20.0 255.255.255.0
FireWall A (config) # global (outside) 1 218.65.120.2
FireWall_A (config) #
配置AAA服务器参数的相关命令示例如下:
FireWall_A (config) # aaa-server test protocol radius
FireWall_A (config) # aaa-server test (inside) host 10.2.20.201 cisco
在FireWall_A上配置AAA认证的相关命令示例如下:
FireWall_A (config) # access-list access-internet extended permit ip any any
FireWall_A (config) # aaa authentication match access-internet inside test
(2)IKE阶段1:在该连接阶段,IKE认证IPSec对等体,协商IKE安全关联(SA),并为协商IPSec安全关联的参数建立一个安全传输道路
(3)IKE阶段2:IKE协商IPSec的SA参数,并在对等体中建立起与之匹配的IPSec SA
(4)数据传送:根据存储在SA数据库中的IPSec参数和密钥,在IPSec对等体问传送数据
(5)IPSec隧道终止:通过删除或超时机制结束IPSec SA