网络安全高级应用第三章.ppt

* 数据报文验证包括两个方面：数据来源验证（身份验证）和报文完整性验证。 Hash算法为单向算法，具有不可逆性。举例而言，余数算法就是一个简单的不可逆算法，10除以3余数为1，但除以3余数为1的未必只有10，可以有无数种可能性，所以即使你知道除数3和余数1，也无法反推到答案10。 所以如图所示，无法从数字签名反推出用户数据和Key。 说明单向算法之后需讲解HMAC的整个过程： 双方共享执行Hash算法的密钥Key 路由器A的用户数据与共享密钥Key通过Hash算法得到数字签名 路由器A将数字签民和用户数据一同传送给路由器B 路由器B执行相同的算法过程得到数字签名 路由器B比对数字签名是否一致 常用的Hash算法是：MD5和SHA，要简单说明二者的区别。 SHA比MD5更加安全，但中国某大学著名教授已经证明了这两种算法都存在一定的虚假性，目前正在研发的SHA-2具有更长的签名长度，但还未投入使用。 * 通过提问的方式小结前面讲解的主要知识点。 VPN技术有两种基本的连接模式：隧道模式和传输模式 。隧道模式会添加新的IP包头。 常见的对称加密算法有：DES、3DES、AES 。其中AES最安全。 非对称加密算法最大的优势在于其安全性，但计算效率要比对称加密算法低的多 。 * 简单介绍对等体之间建立IPSecVPN连接的3个步骤 。 流量触发IPSec 这一步一般是通过配合使用ACL还实现的，在实际工作环境中，大部分公司经过网关转发出去的流量不只要通过VPN隧道访问其他公司网络，同时也会存在访问Internet的要求，所以这里首先需要完成的是网关设备应该区分哪些流量需要通过VPN隧道，哪些需要通过NAT转发出去访问Internet。 即便是只有VPN也需要通过ACL来区分，因为一个公司可能与多个公司建立不同的VPN隧道，哪些流量通过哪个VPN隧道必须实现定义好。 建立管理连接 这里不要对管理连接的细节部分做过多讲解，重点让学员明白，管理连接不用来传输实际数据，只是用来协商一些参数，共享密钥等等准备工作。 建立数据连接 这个连接就是用于传输真实数据的，这里选择的安全协议即用来加密真实数据，而管理连接协商的加密算法只用来加密协商过程。 * 首先介绍ISAKMP/IKE协议，明确ISAKMP只是描述了密钥管理的框架，而IKE是一个混合型协议，使用UDP端口500 。 对ISAKMP/IKE阶段1的两个模式：主模式和积极模式 主模式较积极模式安全，积极模式比主模式快 这里不要对积极模式进行进一步讲解，重点讲述主模式即可 关于主模式6个数据报文各自的功能及建立过程的讲解，视学员的接受能力而定，但至少应强调：前4个报文为明文传输，从第5个数据报文开始为密文传输，而前4个数据包通过各种算法最终产生的密钥用于第5、6个数据包以及后续数据加密。 第1、2个数据包用于协商对等体间的管理连接使用何种安全策略（交换ISAKMP/IKE传输集）； 第3、4个数据包通过DH算法产生并交换加密算法和HMAC功能所需的密钥； 第5、6个数据包使用预共享密钥等方式执行对等体间的身份验证。 * 讲解传输集时要注意说明设备可能会有不只一个传输集，如果设备发起连接，它会将传输集列表（包括所有传输集）发送到远端对等体设备并进行依次对比，直到找到匹配的结果，如果对比所有传输集后没有发现匹配，管理连接将无法建立。 强调此处的加密算法使用来加密主模式第5、6个数据报文的。 加密算法：DES、3DES或AES HMAC功能：MD5或SHA-1 设备验证的类型：预共享密钥（也可以使用RSA签名等方法，本书不做介绍） Diffie-Hellman密钥组：Cisco支持1、2、5、7（Cisco的路由器不支持密钥组7） 管理连接的生存周期 Cisco的设备对等体之间生存周期可以不同，但某些其他厂商不支持，当网络环境中不只有一个厂商的设备是，注意确保生存周期的一致性。 关于最后两个部分内容，不要展开讲解，此部分内容过于复杂，与实际配置调试关系不大。 * 说明pre-share为预共享密钥，lifetime后面的时间默认为86400（24小时）。 其他参数让学员说明，可以当作对之前理论讲解的一个复习巩固。 讲解查看命令的时候，在真实设备上配置演示结果，并对比说明配置参数和默认参数。 * 首先讲解第一条命令对应的各个参数含义： 0表示密钥为明文，6表示密钥被加密 Keystring 表示密钥具体内容 peer-address 表示对端与之共享密钥的对等体设备地址 subnet_mask 在这里为可选命令，如果没有指定，默认将使用55作为掩码 这里学员可能会产生疑惑，0和6的差别不就是加密或明文吗？为什么还需要加密 通过show crypto isakmp key和s