转:PIX的精彩 --- IKE的两个阶段
2008-05-05 14:24
|
ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的,而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协议的一种混合,并在由ISAKMP规定的一个框架内运作。 IKE阶段1,IKE 在两个IKE对等体间创建一个认证过的安全通道,IKE SA。安全关联(SA)是实体间的关系,它表示通信方如何使用安全服务进行安全通信。IKE SA就是IKE之间如何使用安全服务进行通信;IPSec SA就是IPSec实体间如何使用安全服务进行通信。 IKE阶段1的目的是鉴别IPSec对等体,在对等体间设立安全通道,以便IKE交换信息。主要功能如下:鉴别和保护IPSec实体的身份;协商IKE SA;执行D-H交换;建立安全通道以便协商IKE阶段2的参数。存在两种模式: 1、Main Mode 双方存在3次双向交换: 第一次交换 保证IKE通信安全的算法和Hash在匹配对等体间的IKE SA被商定 第二次交换 用D-H交换来产生共享的、用户产生共享密钥的密钥材料,同事传送nonces,对他们进行签名并返回之以确认身份。 第三次交换 用于验证对方的身份。身份值是以加密的IPSec对等体的IP地址。 IKE SA为IKE指定下列参数值: 认证方法{Pre-Share|RSA签名|RSA加密} 加密和Hash算法 D-H组 IKE SA life time 加密算法的共享密钥 2、积极模式( Aggressive Mode) 在一次交换中,该模式中几乎所有的需要交换的信息都被压缩到所建议的IKE SA参数值中了。该模式速度快,但是是不安全的。PIX可以对发起积极模式交换的IPSec对等体进行相应,在一般情况下不用积极模式发起IKE交换。 IKE阶段2,协商IPSec SA,还要生产IPSec所需要的密钥。发送端提供一个或多个变换集合(Transform sets),用于指定一个被允许的交换组合。IKE阶段2 执行以下功能:协商IPSec SA参数,建立IPSec SA,周期性的重新协商IPSec SA,可选的执行一次额外的D-H交换。IKE阶段2只有一种模式,快捷模式(Quick Mode)。快捷模式协商一个共享的IPSec策略,获得共享的、用于IPSec安全算法的密钥材料,并建立IPSec SA。快捷模式也用在IPSec SA life time 过期之后重新协商一个新的IPSec SA。如果在IPSec策略里指定了完美向前保密(Perfect Forward Secrecy,PFS),在快捷模式中将执行一次额外的D-H交换。 PIX 建立IKE P1策略的步骤 (IKE阶段1) 一、建立IKE P1策略 1)用优先级号码标识策略 1为最高 fw1(config)# isakm policy ? configure mode commands/options: <1-65535> Policy suite priority(1 highest, 65535 lowest) fw1(config)# isakm policy 10 2)配置isakmp policy 1、指定加密算法 fw1(config-isakmp-policy)# encryption ? crypto-isakmp-policy mode commands/options: 3des 3des encryption aes aes-128 encryption aes-192 aes-192 encryption aes-256 aes-256 encryption des des encryption fw1(config-isakmp-policy)# encryption 3des 2、指定Hash算法 fw1(config-isakmp-policy)# hash ? crypto-isakmp-policy mode commands/options: md5 set hash md5 sha set hash sha fw1(config-isakmp-policy)# hash sha 3、指定认证模式 fw1(config-isakmp-policy)# authentication ? crypto-isakmp-policy mode commands/options: crack set auth crack pre-share set auth pre-share rsa-sig set auth rsa-sig fw1(config-isakmp-policy)# authentication pre-share 4、指定D-H组 fw1(config-isakmp-policy)# group ? crypto-isakmp-policy mode commands/options: 1 Diffie-Hellman group 1 2 Diffie-Hellman group 2 5 Diffie-Hellman group 5 7 Diffie-Hellman group 7 configure mode commands/options: fw1(config-isakmp-policy)# group 2 5、IKE SA生存时间 fw1(config-isakmp-policy)# lifetime ? crypto-isakmp-policy mode commands/options: <120-2147483647> Lifetime in seconds none Disable rekey and allow an unlimited rekey period fw1(config-isakmp-policy)# lifetime 86400 PIX 建立IKE P2策略的步骤 (IKE阶段 2) 一、准备阶段 1、准备变换集 fw1(config)# crypto ipsec transform-set trans-name ? configure mode commands/options: esp-3des esp 3des encryption esp-aes esp aes 128 encryption esp-aes-192 esp aes 192 encryption esp-aes-256 esp aes 256 encryption esp-des esp des encryption esp-md5-hmac esp md5 authentication esp-none esp no authentication esp-null esp null encryption esp-sha-hmac esp sha authentication mode mode transport fw1(config)# crypto ipsec transform-set trans-name esp-3des esp-sha-hmac fw1(config)# 2、准备ACL,匹配需要IPSec SA 保护的数据流 access-list acl-name extend permit ip 192.168.20.0 255.255.255.0 192.168.30.0 255.255.255.0 3、定义 Group Tunnel fw1(config)# tunnel-group peer-ip-address type ipsec-l2l fw1(config)# tunnel-group peer-ip-address ipsec-attributes fw1(config-ipsec)# pre-shared-key cisco 二、建立IKE 2策略 crypto map 1、为该IPSec SA指定IKE协商方式 fw1(config)# crypto map map-name seq-num ipsec-isakmp fw1(config)# 指明IKE协商方式,也就是通信双方利用通过ISAKMP/IKE协议报文的交互来协商IPSec SA,双方就transform-sets、密钥达成一致。在设置加密map的参数时,指定密钥的生命周期,还可以指定 PFS的group。采用IKE方式的优点是安全性比较高,且密钥会在生命周期过后自动废除并生成新的新的密钥用于IPSec通信。但是它也会带来额外通信开销的缺点。IPSec SA的协商方式除了IKE方式,还存在其他方式如: manual等等。 2、匹配需要IPSec SA 保护的数据流 fw1(config)# crypto map map-name seq-num match address ? configure mode commands/options: WORD Access-list name fw1(config)# crypto map map-name seq-num match address acl-name 3、指定交换集合 fw1(config)# crypto map map-name seq-num set transform-set fransform-sets-name 4、指定IPSec的peer crypto map map-name seq-num set peer ip_address 三、IKE P1、P2策略到相应的接口 fw1(config)# isakmp enable Outside fw1(config)# crypto map map-name interface Outside |