打印

IPSec

大中小 开关边栏 [ 位置: 1 ^# ] 林海奥博 发表于 2008-3-18 16:29 只看该作者 [复制帖子链接到剪贴板]

IPSec

IPSec----------------------------------------------------------------------------------------------------------------
文章作者：Crab
文章连接：http://3344520.org/index.php/archives/66
本文首发Crab's Blog，后转载到林海。转载请注明出处。
----------------------------------------------------------------------------------------------------------------

前言:
在系统安全网络安全结合ipsec ，加强安全使用IPSec比内置的防火墙灵活得多  ，也比第三方的防火墙软件简单  同时系统兼容性又好（Win And  unix）.  属于win2003内置的功能，不要钱的！

对于有自己服务器的，IPSEC还是很实用的。比如你采用的是3389远程桌面管理服务器，可以利用IPSEC限制下连接的IP段，要是有2台以上的服务器，分别开启VPN服务，限制只允许指定这2台IP才可以连接。（因为2台可以防止一台服务器VPN挂了话，还有另外一台可以。）当然还可以用到的其他地方很多。在这里自己写写，做记录下！

正文:
第一：网络监听（嗅探）由于是广播通过广播，MAC地址，目标接收。sniff (抓到全部流到网卡的数据包没加密可以读出数据)
第二：数据篡改监听  抓包  从网络删掉  改包  再放到网络继续传递  发送方和接受方不知情
比如银行ATM，取贯机，取钱10000，传输到银行后台数据库，4个0修改为2个0，真实是取1000后台就以为是100。
第三：欺骗封装数据包  包含目标地址源地址  攻击数据包，修改源地址别人地址或不存在地址。分析数据包出来也是错的。IP ARP DNS 欺骗
第四：中间人攻击包含（数据篡改网络监听）
第五：密码破解破解系统密码（通过监听抓密码比如HTTP登陆网页 HTTP默认是不加密数据  客户端输入的密码到服务端）
第六：缓冲区溢出  主要是软件程序漏洞进行的  等到权限不是网络协议导致
----------------------------------------------------------------------------------------------------------很黄很暴力的分割线-----------------------------------------------------------------

先知道黑客怎么入侵，攻击的手段，再加强网络安全。才能够做防范。
----------------------------------------------------------------------------------------------------------很傻很天真的分割线-----------------------------------------------------------------
第一：数据保密性数据加密从A-B的数据是加了密再发送到B （加密的数据和要发送的数据不同）
第二：数据完整性  防止数据被篡改用HASH算法（单向的）根据原始数据算出128位数字  主要确认接收和发送的数据一样发送2部分原始数据和HASH算完的128位字符接到的数据做运算，与接收的HASH做对比  以确保数据一模一样。
第三：认证  密码身份验证
第四：不口否认性
----------------------------------------------------------------------------------------------------------很好很强大的分割线-----------------------------------------------------------------

IPSEC
创建IP安全策略，添加IP安全规则（筛选器，筛选器动作，身份验证等）。
----------------------------------------------------------------------------------------------------------很娇很冠希的分割线-----------------------------------------------------------------

禁用协议
例子：ping
筛选器:源地址：任何IP地址目标地址：我的IP地址  协议：icmp
筛选器动作: ①通过②阻止③协商安全
启用策略：指派策略
效果：ping 不了，显示Request timed out.

关闭端口
例子：80
筛选器:源地址：任何IP地址目标地址：我的IP地址  协议：tcp  设置IP端口：从任意端口到此端口（连接端口是随机的，被连接端是固定的。比如客户端使用随机端口访问web服务器的固定80端口）
筛选器动作: ①通过②阻止③协商安全
启用策略：指派策略
效果:telnet ip 80,连接不上.

身份验证&数据加密
例子：ping
抓包工具：network monitor 或是 SmartSniff
可以看到抓到8个包，因为 ping默认是4个包，来回就是8个。第一个包是192.168.199.128 ping 192,168.199.131可以看到包的内容.之所以可以看到包内容，是因为ping命令默认是不加密的。

利用IPSEC做加密，需要2台机器上都要分别做加密，而且加密算法要一致，这样才可以兼容！
筛选器动作:协商安全
添加→安全措施（仅保持数据完整性，利用HASH算法，不加密数据，只保证数据不被篡改，只要数据被篡改，数据就不会被接收。加密并保持完整性，保持数据不被篡改，又加密数据。或者自定义！）
会话密钥设置：可以默认，
身份验证方法
①KERBEROS协议（需要域环境在才可以用）
②证书（需要有证书颁发机构，比如用win2003.）
③预共享密钥 (工作组可以采用这个)
以下是加密与不加密抓包的对比