PIX IKE的两个阶段(2009-07-07 13:08:47)
| 标签:3des |
分类:Cisco & 网络技术 |
ESP、AH用来对IP报文进行加/解密、验证以达到保护IP报文的目的,而IKE则是通信双方用来协商加/解密算法及其密钥、密钥的生命期、验证算法的。IKE协议是Oakley和SKEME协议的一种混合,并在由ISAKMP规定的一个框架内运作。
IKE阶段1,IKE 在两个IKE对等体间创建一个认证过的安全通道,IKE SA。安全关联(SA)是实体间的关系,它表示通信方如何使用安全服务进行安全通信。IKE SA就是IKE之间如何使用安全服务进行通信;IPSec SA就是IPSec实体间如何使用安全服务进行通信。
IKE阶段1的目的是鉴别IPSec对等体,在对等体间设立安全通道,以便IKE交换信息。主要功能如下:鉴别和保护IPSec实体的身份;协商IKE SA;执行D-H交换;建立安全通道以便协商IKE阶段2的参数。存在两种模式:
1、Main Mode
双方存在3次双向交换:
第一次交换保证IKE通信安全的算法和Hash在匹配对等体间的IKE SA被商定
第二次交换用D-H交换来产生共享的、用户产生共享密钥的密钥材料,同事传送nonces,对他们进行签名并返回之以确认身份。
第三次交换用于验证对方的身份。身份值是以加密的IPSec对等体的IP地址。
IKE SA为IKE指定下列参数值:
认证方法{Pre-Share|RSA签名|RSA加密}
加密和Hash算法
D-H组
IKE SA life time
加密算法的共享密钥
2、积极模式( [size=-1]Aggressive Mode)
在一次交换中,该模式中几乎所有的需要交换的信息都被压缩到所建议的IKE SA参数值中了。该模式速度快,但是是不安全的。PIX可以对发起积极模式交换的IPSec对等体进行相应,在一般情况下不用积极模式发起IKE交换。
IKE阶段2,协商IPSec SA,还要生产IPSec所需要的密钥。发送端提供一个或多个变换集合(Transform sets),用于指定一个被允许的交换组合。IKE阶段2 执行以下功能:协商IPSec SA参数,建立IPSec SA,周期性的重新协商IPSec SA,可选的执行一次额外的D-H交换。IKE阶段2只有一种模式,快捷模式(Quick Mode)。快捷模式协商一个共享的IPSec策略,获得共享的、用于IPSec安全算法的密钥材料,并建立IPSec SA。快捷模式也用在IPSec SA life time 过期之后重新协商一个新的IPSec SA。如果在IPSec策略里指定了完美向前保密(Perfect Forward Secrecy,PFS),在快捷模式中将执行一次额外的D-H交换。
PIX 建立IKE P1策略的步骤 (IKE阶段1)
一、建立IKE P1策略
1)用优先级号码标识策略 1为最高
fw1(config)# isakm policy ?
configure mode commands/options:
<1-65535> Policy suite priority(1 highest, 65535 lowest)
fw1(config)# isakm policy 10
2)配置isakmp policy
1、指定加密算法
fw1(config-isakmp-policy)# encryption ?
crypto-isakmp-policy mode commands/options:
3des 3des encryption
aes aes-128 encryption
aes-192 aes-192 encryption
aes-256 aes-256 encryption
des des encryption
fw1(config-isakmp-policy)# encryption 3des
2、指定Hash算法
fw1(config-isakmp-policy)# hash ?
crypto-isakmp-policy mode commands/options:
md5 set hash md5
sha set hash sha
fw1(config-isakmp-policy)# hash sha
3、指定认证模式
fw1(config-isakmp-policy)# authentication ?
crypto-isakmp-policy mode commands/options:
crack set auth crack
pre-share set auth pre-share
rsa-sig set auth rsa-sig
fw1(config-isakmp-policy)# authentication pre-share
4、指定D-H组
fw1(config-isakmp-policy)# group ?
crypto-isakmp-policy mode commands/options:
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
7 Diffie-Hellman group 7
configure mode commands/options:
fw1(config-isakmp-policy)# group 2
5、IKE SA生存时间
fw1(config-isakmp-policy)# lifetime ?
crypto-isakmp-policy mode commands/options:
<120-2147483647> Lifetime in seconds
none Disable rekey and allow an unlimited rekey period
fw1(config-isakmp-policy)# lifetime 86400
PIX 建立IKE P2策略的步骤 (IKE阶段 2)
一、准备阶段
1、准备变换集
fw1(config)# crypto ipsec transform-set trans-name ?
configure mode commands/options:
esp-3des esp 3des encryption
esp-aes esp aes 128 encryption
esp-aes-192 esp aes 192 encryption
esp-aes-256 esp aes 256 encryption
esp-des esp des encryption
esp-md5-hmac esp md5 authentication
esp-none esp no authentication
esp-null esp null encryption
esp-sha-hmac esp sha authentication
mode mode transport
fw1(config)# crypto ipsec transform-set trans-name esp-3des esp-sha-hmac
fw1(config)#
2、准备ACL,匹配需要IPSec SA 保护的数据流
access-list acl-name extend permit ip 192.168.20.0 255.255.255.0 192.168.30.0 255.255.255.0
3、定义 Group Tunnel
fw1(config)# tunnel-group peer-ip-address type ipsec-l2l
fw1(config)# tunnel-group peer-ip-address ipsec-attributes
fw1(config-ipsec)# pre-shared-key cisco
二、建立IKE 2策略
crypto map
1、为该IPSec SA指定IKE协商方式
fw1(config)# crypto map map-name seq-num ipsec-isakmp
fw1(config)#
指明IKE协商方式,也就是通信双方利用通过ISAKMP/IKE协议报文的交互来协商IPSec SA,双方就transform-sets、密钥达成一致。在设置加密map的参数时,指定密钥的生命周期,还可以指定 PFS的group。采用IKE方式的优点是安全性比较高,且密钥会在生命周期过后自动废除并生成新的新的密钥用于IPSec通信。但是它也会带来额外通信开销的缺点。IPSec SA的协商方式除了IKE方式,还存在其他方式如: manual等等。
2、匹配需要IPSec SA 保护的数据流
fw1(config)# crypto map map-name seq-num match address ?
configure mode commands/options:
WORD Access-list name
fw1(config)# crypto map map-name seq-num match address acl-name
3、指定交换集合
fw1(config)# crypto map map-name seq-num set transform-set fransform-sets-name
4、指定IPSec的peer
crypto map map-name seq-num set peer ip_address
三、IKE P1、P2策略到相应的接口
fw1(config)# isakmp enable Outside
fw1(config)# crypto map map-name interface Outside
IKE阶段1,IKE 在两个IKE对等体间创建一个认证过的安全通道,IKE SA。安全关联(SA)是实体间的关系,它表示通信方如何使用安全服务进行安全通信。IKE SA就是IKE之间如何使用安全服务进行通信;IPSec SA就是IPSec实体间如何使用安全服务进行通信。
IKE阶段1的目的是鉴别IPSec对等体,在对等体间设立安全通道,以便IKE交换信息。主要功能如下:鉴别和保护IPSec实体的身份;协商IKE SA;执行D-H交换;建立安全通道以便协商IKE阶段2的参数。存在两种模式:
1、Main Mode
2、积极模式( [size=-1]Aggressive Mode)
在一次交换中,该模式中几乎所有的需要交换的信息都被压缩到所建议的IKE SA参数值中了。该模式速度快,但是是不安全的。PIX可以对发起积极模式交换的IPSec对等体进行相应,在一般情况下不用积极模式发起IKE交换。
IKE阶段2,协商IPSec SA,还要生产IPSec所需要的密钥。发送端提供一个或多个变换集合(Transform sets),用于指定一个被允许的交换组合。IKE阶段2 执行以下功能:协商IPSec SA参数,建立IPSec SA,周期性的重新协商IPSec SA,可选的执行一次额外的D-H交换。IKE阶段2只有一种模式,快捷模式(Quick Mode)。快捷模式协商一个共享的IPSec策略,获得共享的、用于IPSec安全算法的密钥材料,并建立IPSec SA。快捷模式也用在IPSec SA life time 过期之后重新协商一个新的IPSec SA。如果在IPSec策略里指定了完美向前保密(Perfect Forward Secrecy,PFS),在快捷模式中将执行一次额外的D-H交换。
PIX 建立IKE P1策略的步骤 (IKE阶段1)
一、建立IKE P1策略
1)用优先级号码标识策略 1为最高
fw1(config)# isakm policy ?
configure mode commands/options:
<1-65535> Policy suite priority(1 highest, 65535 lowest)
fw1(config)# isakm policy 10
2)配置isakmp policy
1、指定加密算法
fw1(config-isakmp-policy)# encryption ?
crypto-isakmp-policy mode commands/options:
3des 3des encryption
aes
aes-192 aes-192 encryption
aes-256 aes-256 encryption
des
fw1(config-isakmp-policy)# encryption 3des
2、指定Hash算法
fw1(config-isakmp-policy)# hash ?
crypto-isakmp-policy mode commands/options:
md5 set hash md5
sha set hash sha
fw1(config-isakmp-policy)# hash sha
3、指定认证模式
fw1(config-isakmp-policy)# authentication ?
crypto-isakmp-policy mode commands/options:
crack
pre-share set auth pre-share
rsa-sig set auth rsa-sig
fw1(config-isakmp-policy)# authentication pre-share
4、指定D-H组
fw1(config-isakmp-policy)# group ?
crypto-isakmp-policy mode commands/options:
1 Diffie-Hellman group 1
2 Diffie-Hellman group 2
5 Diffie-Hellman group 5
7 Diffie-Hellman group 7
configure mode commands/options:
fw1(config-isakmp-policy)# group 2
5、IKE SA生存时间
fw1(config-isakmp-policy)# lifetime ?
crypto-isakmp-policy mode commands/options:
<120-2147483647> Lifetime in seconds
none
fw1(config-isakmp-policy)# lifetime 86400
PIX 建立IKE P2策略的步骤 (IKE阶段 2)
一、准备阶段
1、准备变换集
fw1(config)# crypto ipsec transform-set trans-name ?
configure mode commands/options:
esp-3des
esp-aes
esp-aes-192
esp-aes-256
esp-des
esp-md5-hmac esp md5 authentication
esp-none
esp-null
esp-sha-hmac esp sha authentication
mode
fw1(config)# crypto ipsec transform-set trans-name esp-3des esp-sha-hmac
fw1(config)#
2、准备ACL,匹配需要IPSec SA 保护的数据流
access-list acl-name extend permit ip 192.168.20.0 255.255.255.0 192.168.30.0 255.255.255.0
3、定义 Group Tunnel
fw1(config)# tunnel-group peer-ip-address type ipsec-l2l
fw1(config)# tunnel-group
fw1(config-ipsec)# pre-shared-key cisco
二、建立IKE 2策略
crypto map
1、为该IPSec SA指定IKE协商方式
fw1(config)# crypto map map-name seq-num ipsec-isakmp
fw1(config)#
指明IKE协商方式,也就是通信双方利用通过ISAKMP/IKE协议报文的交互来协商IPSec SA,双方就transform-sets、密钥达成一致。在设置加密map的参数时,指定密钥的生命周期,还可以指定 PFS的group。采用IKE方式的优点是安全性比较高,且密钥会在生命周期过后自动废除并生成新的新的密钥用于IPSec通信。但是它也会带来额外通信开销的缺点。IPSec SA的协商方式除了IKE方式,还存在其他方式如: manual等等。
2、匹配需要IPSec SA 保护的数据流
fw1(config)# crypto map map-name seq-num match address ?
configure mode commands/options:
WORD Access-list name
fw1(config)# crypto map map-name seq-num match address acl-name
3、指定交换集合
fw1(config)# crypto map map-name seq-num set transform-set fransform-sets-name
4、指定IPSec的peer
crypto map map-name seq-num set peer ip_address
三、IKE P1、P2策略到相应的接口
fw1(config)# isakmp enable Outside
fw1(config)# crypto map map-name interface Outside