荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: fast (平淡), 信区: Security
标 题: ★Windows 2000中的网际协议安全(IPSec)★
发信站: 荔园晨风BBS站 (Sat Jul 7 22:50:46 2001), 转信
★Windows 2000中的网际协议安全(IPSec)★
时间:7/7/2001 11:46:10 AM 出处:蓝盾整理
网际协议安全 (IPSec) 可以对专用网络和 Internet 攻击的主动保护,同时
保持易用性。 并且,它是一套基于加密术的保护服务以及安全协议。
它采用端对端的安全保护模式,保护工作组、局域网计算机、域客户和服务器
、距离很远的分公司、Extranet、漫游客户以及远程管理计算机间通讯的能力。
IPSec 作为安全网络的长期方向,是基于密码学的保护服务和安全协议的套件
。因为它不需要更改应用程序或协议,您可以很容易地给现有网络部署 IPSec。
Windows 2000 的 IPSec 实现基于 Internet 工程任务组 (IETF) IPSec 工作
组开发的工业标准。
Windows2000的安全策略模式
更为强大的基于加密术的安全方法可能导致大幅度增加管理开销。Windows
2000 通过实现基于策略的网际协议安全 (IPSec) 管理避免了该缺陷。
可以使用策略而非应用程序或操作系统来配置 IPSec 。网络安全管理员可以
配置多种 IPSec 策略,从单台计算机到 Active Directory 域、站点或组织单位
。Windows 2000 提供集中管理控制台、IP 安全策略管理来定义和管理 IPSec 策
略。在大多数已有网络中,可以配置这些策略为大多数交通类型提供各种级别的保
护。
IPSec 的数据保护方式
因为网络攻击可能导致系统停工、生产力损失和敏感数据的公开暴露,所以保
护信息不被未经授权的第三方破译或修改是高度优先的事情。
网络保护策略一般都是集中在周界安全方面,通过使用防火墙、安全网关和拨
号访问的用户身份验证来防止来自私有网外部的攻击。然而,它并不保护不受来自
网络内部的攻击。
只集中在访问控制安全性(例如使用智能卡和 Kerberos)可能不会带来全面
的保护,因为这些方法依赖于用户名和密码。有许多计算机是由多个用户共享使用
的,由于它经常处于已登录状态而导致计算机的不安全。另外,如果一个用户名或
密码已被攻击者截获,单单基于访问控制的安全性不会防止非法访问网络资源。
物理级的保护策略通常不使用,它保护物理的网线和访问点不被使用。然而,
这好象不大可能保证整个网络路径的安全得到保护,因为数据将不得不从源到目的
地传播。
一个完善的安全计划包含多个安全策略以获得深度的保护。其中的任何一个策
略都可以和 IPSec 结合。这就通过保证发送端计算机在传输前,也就是每个 IP
数据包到达网线之前对其实施保护,而接收端计算机只有在数据被接收和验证之后
再解除对数据的保护,从而提供了另一层安全性。
网络安全
在 IP 传输层(网络层 3)实现 IPSec 会启用开销很小的高级保护。配置使
用 IPSec 不需要更改已有的应用程序或操作系统。可以配置 IPSec 用于已有的企
业方案,例如:工作组;局域网 (LAN):客户/服务器,对等网;远程访问:漫游
客户、Internet 访问、Extranet、远程办事处。
其他在网络层3以上运行的安全机制(例如安全套接层,SSL)仅保护会使用
SSL 的应用程序,例如 Web 浏览器。必须修改所有其他的应用程序以使用 SSL 保
护通讯。其他在网络层 3 以下运行的安全机制(例如链接层加密)仅保护该链接
,而不必保护数据路径上的所有链接。这使得链接层加密无法适用于 Internet 或
路由 Intranet 方案上的端对端数据保护。
在网络层 3 上执行的 IPSec 保护 TCP/IP 协议簇中所有 IP 和更高层的协议
,例如 TCP、UDP、ICMP、Raw(协议 255),甚至保护在 IP 层上发送通讯的自定
义协议。保护此层信息的主要好处是所有使用 IP 传输数据的应用程序和服务均可
以使用 IPSec 保护,而不必修改这些应用程序和服务。(要保护非 IP 协议,数
据包必须由 IP 封装。)
IPSec 的密钥保护
IPSec 保护数据将让攻击者感到破解相当困难或根本不可能。算法和密钥的组
合用于保护信息。通过使用基于加密的算法和密钥获得高安全级。算法是用来保护
信息的数学过程,密钥是需要读取、修改或验证所保护数据的密码或数字。
IPSec 使用以下特性大幅度地阻止并减少网络攻击:
自动密钥管理
密钥生成
要启用安全通讯,两台计算机必须可以建立相同的共享密钥,而不能通过网络
在相互之间发送密钥。IPSec 使用 Diffie-Hellman 算法启用密钥交换,并为所有
其他加密密钥提供加密材料。
两台计算机启动 Diffie-Hellman 计算,然后公开或秘密(使用身份验证)交
换中间结果。计算机从来不发送真正的密钥。通过使用来自交换的共享信息,每台
计算机都生成相同的密钥。专家级用户可以修改默认密钥交换及数据加密密钥设置
。
密钥长度
每当密钥的长度增加一位,可能的密钥数会加倍,破解密钥的难度也会成倍加
大。两台计算机之间的 IPSec 安全协商生成两种类型的共享密钥:主密钥和会话
密钥。主密钥很长,有 768 位或 1023 位。主密钥用作会话密钥的源。会话密钥
由主密钥通过一种标准方法生成,每种加密和完整性算法都需要会话密钥。
如何管理会话密钥——密钥交换
保护密钥交换阶段的密钥的强度通过以下特性被增强:
1、密钥生命期
生命期设置决定何时生成新密钥。任何时候当密钥的生命期到达时,相关的
SA 也将重新协商。在一定的时间间隔内重新生成新的密钥的过程被称为动态重新
生成密钥或密钥重新生成。生命期允许您在一定的时间间隔后强制生成(重新生成
)新的密钥。例如,如果通讯需要 100 分钟并且您指定的密钥生命期为10 分钟,
那么,在交换的过程中将生成 10 个密钥,每 10 分钟一个。使用多个密钥保证了
即使攻击者获得了一部分通讯的密钥,也不会危及全部通讯的安全。密钥的自动重
新生成由默认设置提供。专家级用户可以覆盖默认值,通过会话密钥或“完整转寄
保密”指定一个主密钥生命期(以分钟为单位)。
设置不同的密钥生命期时应倍加小心,因为他们也将决定 SA 的生命期。例如
,设置主密钥生命期为 8 小时(480 分钟),会话生命期(在“筛选器操作”中
设置)为 2 小时将导致在 ISAKMP SA 过期后 IPSec SA 仍保留 2 小时。如果新
的 IPSec SA 正好在 ISAKMP SA 过期前生成,就会发生这种情况。
2、会话密钥限制
再三地从相同的主密钥重新生成密钥将最终危及该密钥的安全。例如,假如计
算机 A 上的 Bob 发送一条消息给计算机 B 上的 Alice,然后过了几分钟又发送
一条消息给 Alice,由于与该计算机刚建立安全关系,相同的密钥材料可以重用。
如想限制该重用次数,专家级用户可以指定一个会话密钥限制。
注意,如果您决定启用主密钥的“完整转寄保密”,会话密钥限制将被忽略;
PFS 每次都强制重新生成密钥。例如,启用主密钥的“完整转寄保密”相当于将会
话密钥限制指定为 1。
请注意,如果您既指定主密钥生命期(以分钟为单位),又指定会话密钥限制
,任何一个首先到达的时间间隔将触发新的密钥。
3、主密钥“完整转寄保密”(PFS)
确定新密钥是如何生成的。启用 PFS 保证密钥被用来保护传输,而无论在哪
个阶段都不能够被用于生成其他的密钥。另外,密钥的密钥材料不能用来生成任何
新的密钥。
应小心使用主密钥 PFS,因为它需要重新进行身份验证。对于网上的域控制器
来说,这可能导致额外的开销。这并不需要在两端都启用。
配置密钥交换
1. 在“IP 安全策略管理”中,右键单击要修改的策略,然后单击“属性”。
2. 单击“常规”选项卡,然后单击“高级”。
3. 要强制重新加密每个会话密钥的主密钥,请单击“主密钥完全向前保密”。
4. 如果需要不同的设置,可在“身份验证和生成新密钥间隔(以分钟计)”中输
入一个值,这将导致在该间隔中重新进行身份验证和生成新密钥。
5. 如果需要不同的设置,可在“身份验证和生成新密钥间隔(以会话计)”中输
入一个值,以设置重复使用主密钥或其基本密钥材料生成会话密钥的最大次数限制
。达到该限制值时将强制进行身份验证和新密钥生成。
6. 如果对密钥交换安全措施有特殊需求,可单击“方法”。
创建密钥交换方法
1. 在“IP 安全策略管理”中,右键单击要修改的策略,然后单击“属性”。
2. 单击“常规”,单击“高级”选项卡,再单击“方法”。
3. 单击“添加”,如果正重新配置现存的方法,请单击该安全措施,然后单击“
编辑”。
4. 选择一种“完整性算法”:
o 单击“MD5”使用 128 位值。
o 单击“SHA”使用 160 位值(更强)。
5. 选择一种“加密算法”:
o 单击“3DES”使用最高的安全算法。
o 如果要连接到不具有 3DES 功能的计算机,或者不需要更高的安全性和
3DES 的开销,请单击“DES”。有关加密设置的详细信息,请参阅“特殊考虑”。
6. 选择“Diffie-Hellman 小组”,设置要用于生成实际密钥的基本密钥材料的长
度:
o 单击“低 (1)”使用 768 位作为基础。
o 单击“中 (2)”使用 1024 位作为基础(更强)。
动态重生成密钥
IPSec 可以在通讯的过程中自动生成新的密钥。这样可以防止攻击者只用一个
破解的密钥就能获得完整的通讯数据。专家级用户可以修改默认的加密时间间隔。
安全服务
完整性
完整性保护信息在传输过程中免遭未经授权的修改,从而保证接收到的信息
与发送的信息完全相同。数学散列函数用来唯一地标记或“签发”每个包。接收端
的计算机在打开包之前检查签名。如果签名改变(因而,数据包当然也改变),数
据包就会被丢弃以防止可能的网络攻击。
身份验证
身份验证通过保证每个计算机的真实身份来检查消息的来源以及完整性。没有
可靠的身份验证,不明来历的计算机发送的任何信息都是不可信的。在每一项策略
中都会列出多种身份验证方法,以保证 Windows 2000 域成员、没有运行 Windows
2000 的计算机及远程计算机都能找到一个通用的身份验证方法。
机密性(数据加密)
机密性保证只有预期的接收者才能读出数据。当选择该特性后,将使用 IPSec
数据包的封装安全负载 (ESP) 格式。数据包在传输之前先加密,确保其在传输过
程中即使被攻击者监视或截取也不会暴漏。只有具有共享密钥的计算机能够解释或
修改数据。美国数据加密标准 (DES) 算法 DES 和 3DES 可提供安全协商和应用程
序数据交换两方面的保密性。密码数据块链 (CBC) 用于隐藏数据包中数据块的模
式,加密后不增加数据的大小。重复的加密模式可能为攻击者提供解开密钥的线索
,从而使安全性受到威胁。初始化向量(一个初始的随机数)可用作加密或解密数
据块的第一个随机块。不同的随机块可与密钥结合使用,以便加密每个块。这将保
证相同的不安全数据集被转换为不同的加密数据集。
认可
保证邮件的发件人只能是发送该邮件的人;发送者不能抵赖曾经发送过该邮件
。
反重发
又称作禁止重发,它保证每个 IP 包的唯一性。由攻击者捕获的邮件不能被重
用或重发以非法建立会话或获取信息。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.0.118]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店