1、ikev2端口号竭诚为您提供优质文档/双击可除ikev2端口号篇一:配置IkeV2配置IkeV21.配置全局IkeV2选项option1)2)3)4)5)6)7)8)9)10)11)12)enableconfigureterminalcryptoikev2certificate-cachenumber-of-certificatescryptoikev2cookie-challengenumbercryptoikev2diagnoseerrornumbercryptoikev2dpdintervalretry-intervalon-demand|periodiccryptoikev2http-
2、urlcertcryptoikev2limitmax-in-negotation-salimit|max-salimitcryptoikev2natkeepaliveintervalcryptoikev2windowsizecryptologgingikev2end2.配置IkeV2建议proposal1)2)3)4)5)6)7)enableconfigureterminalcryptoikev2proposalnameencryption3desaes-cbc-128aes-cbc-192aes-cbc-256integritysha1sha256sha384sha512md5group12
3、5141516192024end8)showcryptoikev2proposalname|default默认的配置如下:encryptionaes-cbc-1283desintegrityshamd5group523.配置IkeV2策略policy1)2)3)4)5)6)7)8)enableconfigureterminalcryptoikev2policynameproposalnamematchfvrffvrf-name|anymatchaddresslocalipv4-address|ipv6-addressendshowcryptoikev2policypolicy-name4.配置
4、IkeV2keyring1)2)3)4)5)6)7)8)enableconfigureterminalcryptoikev2keyringkeyring-namepeernamedescriptionline-of-descriptionhostnamenameaddressipv4-addressmask|ipv6-addressprefixidentityaddressipv4-address|ipv6-address|fqdnname|emailemail-id|key-idkey-idpre-shared-keylocal|remote0|6|line9)10)end5.配置IkeV2
5、轮廓profile1)2)3)4)5)6)7)enableconfigureterminalcryptoikev2profileprofile-namedescriptionline-of-descriptionaaaaccountingpsk|cert|eaplist-nameaaaauthenticationeaplist-nameauthenticationlocalrsa-sig|pre-share|ecdsa-sig|remoteeapquery-identity|rsa-sig|pre-share|ecdsa-sigaaaauthorizationgroup|usercert|ea
6、p|pskaaa-listnameaaa-username|name-manglermangler-namedpdintervalretry-intervalon-demand|periodicidentitylocaladdressipv4-address|ipv6-address|dn|emailemail-string|fqdnfqdn-string|key-idopaque-stringivrfnamekeyringaaanamelifetimesecondsmatchaddresslocalipv4-address|ipv6-address|interfacename|certifi
7、catecertificate-map|fvrffvrf-name|any|identityremoteaddressipv4-addressmask|ipv6-addressprefix|emaildomainstring|fqdndomainstring|key-idopaque-stringnatkeepalivesecondspkitrustpointtrustpoint-labelsign|verifyvirtual-templatenumberend8)9)10)11)12)13)14)(:ikev2端口号)15)16)17)18)6.配置IkeV2namemangler1)2)3
8、)4)enableconfigureterminalcryptoikev2name-manglermangler-namedncommon-name|country|domain|locality|organization|organization-unit|stateeapall|dncommon-name|country|domain|locality|organization|organization-unit|state|prefix|suffixdelimiter.|emailall|domain|usernamefqdnall|domain|hostnameend5)6)7)8)7
9、.配置IkeV2授权策略authorizationpolicy1)2)3)4)5)6)7)8)9)10)enableconfigureterminalcryptoikev2authorizationpolicypolicy-namedhcpgiaddrip-address|serverip-address|hostname|timeoutsecondsdnsprimary-serversecondary-servernetmaskmaskpoolnamesubnet-aclacl-number|acl-namewinsprimary-serversecondary-serverend8.配置I
10、keV2分片fragmentation1)enable2)3)4)configureterminalcryptoikev2fragmentationmtumtu-sizeend篇二:IKev1和IKev2有哪些区别IKev1和IKev2有哪些区别问题描述IKev1和IKev2有哪些区别?解决方案?协商过程不同。?IKev1IKev1协商安全联盟主要分为两个阶段。IKev1阶段1的目的是建立IKesA,它支持两种协商模式:主模式和野蛮模式。主模式用6条IsAKmp消息完成协商。野蛮模式用3条IsAKmp消息完成协商。野蛮模式的优点是建立IKesA的速度较快。但是由于野蛮模式密钥交换与身份认证一起
11、进行无法提供身份保护。IKev1阶段2的目的就是建立用来传输数据的IpsecsA,通过快速交换模式(3条IsAKmp消息)完成协商。?IKev2IKev2简化了安全联盟的协商过程。IKev2正常情况使用2次交换共4条消息就可以完成一个IKesA和一对IpsecsA,如果要求建立的IpsecsA大于一对时,每一对sA只需额外增加1次交换,也就是2条消息就可以完成。?认证方法不同。IKev2支持eAp身份认证。IKev2可以借助认证服务器对远程接入的pc、手机等进行身份认证、分配私网Ip地址。IKev1无法提供此功能,必须借助L2Tp来分配私网地址。?IKesA的完整性算法支持情况不同。IKesA
12、的完整性算法仅IKev2支持,IKev1不支持。?DpD中超时重传实现不同。retry-interval参数仅IKev1支持。表示发送DpD报文后,如果超过此时间间隔未收到正确的应答报文,DpD记录失败事件1次。当失败事件达到5次时,删除IKesA和相应的IpsecsA。直到隧道中有流量时,两端重新协商建立IKesA。对于IKev2方式的IpsecsA,超时重传时间间隔从1到64以指数增长的方式增加。在8次尝试后还未收到对端发过来的报文,则认为对端已经下线,删除IKesA和相应的IpsecsA。?IKesA超时时间手工调整功能支持不同。IKev2的IKesA软超时为硬超时的9/10一个随机数,
13、所以IKev2一般不存在两端同时发起重协商的情况,故IKev2不需要配置软超时时间。表12-1IKesA超时时间手工调整功能?IpsecsA超时时间手工调整功能支持不同。IKev2的IKesA软超时为硬超时的9/10一个随机数,所以IKev2一般不存在两端同时发起重协商的情况,故IKev2不需要配置软超时时间。表12-2IpsecsA超时时间手工调整功能enD篇三:IKev2协议对Dos攻击的防范IKev2协议对Dos攻击的防范IKe是一种混和协议,混和协议的复杂性使其不可避免地带来一些安全及性能上的缺陷,导致其成为整个Ip-sec实现中的瓶颈。为此,IeTF一直对现有版本不合理部分积极征集修
14、改意见,陆续推出了新的IKe草案,并于20XX年12月26日正式推出了新的IKe协议标准-IKev2。为了提高IKe的实现效率,简化实现的复杂度,IKev2对原有版本进行了以下几个方面的改进:(1)单一文档的定义IKev2将整个IKe协议的定义放在一个单一的文档中,这个文档代替了原有的RFc2407,2408以及2409,并且还包含了后来对IKe的各种修改,例如对nAT穿越,可扩展认证,以及远程地址获取等的支持。(2)简化IKe的会话消息交换在IKe第一版本中,对消息交换的定义非常复杂。为了使得IKe的定义更加简洁,实现的速度更快,IKev2将原来IKe第一阶段的8种不同的初始化交换简化为一种
15、交换方式,并且将原先在主模式下需要的6条消息减化为4条消息,还将原版本中第二阶段快速交换模式的3条消息简化为2条。(3)降低IKe的延时在IKev2的初始化交换中,由于通信双方只需要两轮交换(即4条消息),降低了实施IKe的时间,又由于IKev2在初始化交换完成后就能建立起第一个childsA(如IpsecsA),如果用户程序只需要新建一个Ipsec-sA的话,就不需要再进行第二阶段为创建childsA而发起的交换,这样减少了消息交换的次数,从而进一步降低了延迟。lIKev2的工作原理IKev2使用由请求一应答对组成的交换来完成协议的协商,协商分为2个阶段:第一阶段称为初始化交换;第二阶段为创
16、建子sA(cReATe一chILD-sA)交换。另外还有信息交换,用于向对方通知一些出错、配置、删除等消息。下面简要说明IKev2的交换过程及主要工作原理:(1)初始交换初始交换定义如下:发起者响应者两个IKev2实现之间的通信总是以IKe-sA-InIT交换和IKe-AuTh交换开始的,这两个交换被总称为初始交换。这一过程对应于第一版协议中的阶段一,他包含4条消息,头2条消息构成一个初始化交换(IKe-sA-InIT交换),为IKev2本身协商安全策略和密钥,用于协商加密算法、交换nonces并且进行一次Difile一hellman交换;紧接着2条消息构成了一个验证交换(IKe-AuTh交换
17、),这2条消息除了通用头部外其余的部分都是利用头2条消息协商的密钥进行加密过的,从而保证其身份信息无法被第三方获取。IKe-AuTh交换需要对IKe-sA_InIT交换中的所有内容进行认证,并对对方的身份信息进行验证,为IKev2生成安全关联,同时还需要完成对Ip-sec:安全策略和流量选择器的协商,并为Ipsec:生成安全关联。成功完成初始交换之后,发起者和应答者都可以发起cReATe-chII一sA交换和InFoRmATIonAL交换,这两个交换受到初始交换所协商的安全关联的保护。(2)cReATe-chILD-sA交换cReATe-chILD_sA交换定义如下:发起者响应者他包含2条消息
18、,对应第一版协议中的阶段二。所谓子sA其实就是第一版协议中提到的IpsecsA。在前面的初始交换结束后,通信双方的任一方均可发动这轮交换。类似于阶段一的后2条消息,阶段二的这2条消息也经过加密保护。通信任意一方作为新的发起方发送一个创建子sA的请求(作为可选项),这条请求消息可以包含一个新的Ke载荷,由此开始再进行一次Diffie-hellman交换,从而加强安全性。cReATe-chILD一sA完成的功能有3个:为IKe_sA进行密钥更新(rekey);协商新的Ip-sec一sA;为IKe-sA所生成的Ipsec一sA进行密钥更新rekey。(3)InFoRmATlonAL交换InFoRmA
19、TIonAL交换定义如下:发起者响应者通信双方在密钥协商期间,需要传送控制消息,告知对方发生的错误或通知某些事件。为了完成这些操作,IKe定义了信息交换。信息交换中的消息包含0个或多个通知载荷、删除载荷或配置载荷(configurationpay-loads)。InFoRmATIonAL交换用来传递控制信息给对方,如删除特定的安全关联、请求配置、通知特定事件等。其与第一版协议不同的是,对方收到消息请求后必须做出响应(否则发送者将假定消息在网络中已丢失,并重复发送该消息),新版协议规定通信节点必须拒绝一切半关闭(half-open)的连接。这类交换的消息也可以不含任何的载荷,比如一方在探寻对方是
20、否仍在网络中处于存活状态时,就可以发送空消息。需要注意的是,信息交换必须在进行过初始交换后才能进行,并且消息的内容也是经过加密的。在IKev2中,发起方对在等待时间到达后消息的重传负责,响应方则不必主动重传消息,除非收到对方的一个重传请求。这样发起方必须能够记住每个请求,直到收到请求对应的响应消息为止。在未能确认对方身份的情况下,新协议允许响应者不对发起者的消息做出响应,从而也在一定程度上减少了不必要的通信损耗。(4)密钥的衍生在IKe-sA和chILDl-sA中所有加密算法的密钥材料,都使用伪随机函数(prf)生成。通信双方中的任意一方均可以生成密钥的种子(sKeYseeD),对应于本阶段,
21、sKeYseeD值的计算取自IKe-sA-InIT交换期间的nonces值和Difile-hellman共享秘密。sKeYseeD用于计算5个其他秘密值:建立第二阶段sA所需要的sK-d,sK-d用来提取用于子sA的密钥;sK-ai和sK-ar被用作验证后续交换的完整性的密钥;用于对后续交换进行加密和解密的sK-ei和sK-er。通信的双方各自使用不同的密钥,即用sK-ai和sK-ei保护发起方的消息,而用sK-ar和sK-er保护响应方的消息。2lKev2协议对Dos攻击的防范21IKev2中存在的Dos攻击的安全缺陷在IKe的协商过程中,由于响应者在接收到第l条消息时即创建状态。因此恶意攻
22、击者可以通过发大量的初始消息使响应者不停地创建状态、耗费内存资源,最终导致内存耗尽、系统崩溃,这就是IKe容易受到的损耗内存资源的Dos攻击。另外,IKe需要通过Dffie一hellman交换进行密钥协商,其中的模幂运算会占用较大的计算资源。1个Dos攻击者会通过Ip欺骗的方法发起大量虚假交换请求,如果系统不能分辨出这些伪造的请求包,则不得不对伪造的请求进行大量模幂运算,这就是损耗cpu资源的Dos攻击。IKe提供cookie的交换,可以提供一定程度的抗Dos攻击,只要发起者确定响应者cookie域中的cookie和以前从响应者那里接收到的cookie不同,他将抛弃消息;相似地,如果响应者确定
23、发起者cookie域中的cookie和以前从发起者那里接收到的cookie不同,他将抛弃消息,不再进行处理。对于IKev2的初始交换来说,由于发起者事先不知道响应者的cookie,在发往响应者的第1条消息中响应者的cookie将被置为o,因此响应者就不可能知道这个创建IKe-sA的请求是否是1个虚假交换请求,因此IKev2的初始交换也易受到Dos攻击。IKev2协议使用nonce交换、无状态的cookie交换、标签技术等保证了所生成密钥的安全性和新鲜性,但是由于该协议基于LIDp(userdatagramprotoc01)协议,本身无法防止基于分片的I)os攻击。大uDp数据包在网络中传输时会
24、被分片,并且在接收端被重组,基于分片的Dos攻击正是利用这一点向被攻击者发送大量的大数据包,造成被攻击者的Ip包重组资源耗尽,从而阻止正常的数据包到达上层应用,最终形成对上层应用的Dos攻击。下面针对这2个安全缺陷进行分析并给出改进措施。22耗尽资源型Dos攻击的防范为了抵抗Dos攻击对IKev2的初始交换交换过程再作定义如下:发起者响应者通常情况下,发起者和响应者只进行1次交换,发送2条消息:消息和。然而,当响应者检测到有大量消息发送过来时,他不接收这些消息,而是发送1个不受保护的通知载荷作为响应(消息),并在其中包括他的cookie。发起者在接收到这条消息时,重新发送1条发起消息给响应者(
25、消息),并在发送的消息中包含他接收到的响应者的cookie,响应者接收到消息,确认其中包括自己的cookie时才进行处理,否则丢弃。采用这种方式的交换可以有效地抵御损耗内存资源的Dos攻击。因为在第1次的交换过程中,发起者和响应者都不需要更新状态。这样,如果攻击者发送大量的消息给攻击目标,但是响应者在接收到这些消息以后,并不会创建新的状态,也就不会为保存状态参数在内存中分配空间,从而使得损耗内存资源的Dos攻击失去作用。而且在第1次交换过程中,发起者的计算量要大于响应者,发起者必须提供sAil,Kei和ni载荷,而响应者只是简单地计算一个cookie值作为回应,这样即使有攻击者要进行损耗cpu
26、资源的Dos攻击,在被攻击目标的cpu资源耗尽之前,自己的cpu资源也早已耗尽,从而能有效地抵御这种耗尽内存资源型攻击。23IKev2对基于分片的Dos攻击防范对IKev2协议攻击者可以使用如下方法来构造IKe_sA_InIT请求数据:请求信息包括IKev2信息头、由10个提议组成的sA载荷、使用8192bDifile-hellman组的密钥交换载荷和包含256b随机值的时间载荷,总长度为1884b。实验表明该长度的数据包在发送时被分片,而以每秒50个左右的速率发送这种分片包就可以使Ip包重组代码失效,最终阻止合法的请求数据被路由器中的IKev2收到。攻击者可以任意生成并发送大数据包给被攻击者
27、,而被攻击者不可避免地要对被分片的数据包进行重组,实现对IKev2的攻击。针对这种情况的改进方案是为IKev2构建Ip地址分片重组列表,并将该地址列表与Ip包重组代码共享。Ip包重组代码在重组数据之前检查数据包的源地址,如果该地址不在列表中则丢弃该包,否则进行包重组。Ip地址分片重组列表的构造方法如下:在构造IKev2的访问控制列表过程中,如果身份类型是Ipv4或Ipv6地址则直接将地址放入列表;对于其他形式的ID,则需要经过特定转换或者由管理员直接输入,如:使用全称域名时可以通过域名系统获得Ip地址,使用电子邮件地址或者证书形式时则可以由管理员直接将Ip地址输入。Ip包重组代码在将分片Ip包
28、放入重组队列之前,需要对分片Ip包进行预处理。对于第1个分片1p包,Ip包重组代码会根据Ip包所包含的uDp报文中的端口号,判断该Ip包所包含的uDp报文是否属于IKev2协议,若属于则1p包重组代码会将报文的Ip地址与Ip地址分片重组列表进行匹配,匹配成功则将该Ip包放人重组队列并记录Ip包标识号(适用于Ipv4协议)分段标识值(适用于Ipv6协议);并将后续的具有相同的源Ip地址和Ip包标识号分段标识值的分片Ip包放入重组队列进行处理。匹配失败则直接丢弃该包和后续的具有相同Ip包标识号分段标识值的分片Ip包。如果uDp报文不属于IKev2协议,则分片Ip报文按照正常流程进行处理。Ip地址分
29、片重组列表中的地址是有限的,重组队列不会因为IKev2报文分片而溢出,该方案可防止伪造源Ip地址的基于分片的Dos攻击。如果Dos攻击者使用了合法的Ip地址,即被攻击者收到了大量使用合法Ip地址的IKev2类型的分片Ip包,则被攻击者的Ip重组代码需要释放重组队列中具有相同源Ip地址的IKev2类型的分片Ip报文及其后续分片,并将后到的IKev2类型的分片lp报文及其后续分片放入重组队列,这样重组队列也不会因为Dos攻击而溢出,可以防止使用合法Ip源地址的基于分片的Dos攻击。该改进方案无需对协议进行修改,也无需其他IKev2实现的支持,仅需在协议实现时构造Ip地址分片重组列表并通知Ip重组代码即可。
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 