Vietnes sadaļas
Redaktora izvēle:
- 3 izplatītas informācijas bāzes
- Satura menedžeris - pienākumi, atalgojums, apmācība Satura speciālista darba trūkumi un priekšrocības
- Kā pasargāt sevi no slēptās ieguves savā pārlūkprogrammā?
- Paroles atkopšana programmā Ask
- Kā klēpjdatorā ieslēgt kameru
- Kāpēc mūzika netiek atskaņota vietnē VKontakte?
- Kā palielināt diska C izmēru uz diska D rēķina, nezaudējot datus
- Mātesplates darbības traucējumu cēloņi Ja mātesplatē izdeg mikroshēmojums
- Sākotnējais tērzēšanas nosaukums
- Stilu izmantošana programmā Excel Kā izveidot savu jaunu stilu
Reklāma
IPsec VPN. Pamati |
tīkls, drošs tunelis (5.9. att.), pa kuru tiek pārraidīti konfidenciāli vai sensitīvi dati. Šāds tunelis tiek izveidots, izmantojot kriptogrāfijas metodes informācijas aizsardzībai. Protokols darbojas OSI modeļa tīkla slānī un attiecīgi ir “caurspīdīgs” lietojumprogrammām. Citiem vārdiem sakot, lietojumprogrammām (piemēram, tīmekļa serveris, pārlūkprogramma, DBVS utt.) neietekmē to, vai pārsūtītie dati ir aizsargāti, izmantojot IPSec, vai nē. Operētājsistēmas Windows saime 2000 un jaunākām versijām ir iebūvēts IPSec protokola atbalsts. No daudzlīmeņu drošības modeļa viedokļa šis protokols ir tīkla līmeņa drošības rīks.
IPSec arhitektūra ir atvērta, kas jo īpaši ļauj izmantot jaunus kriptogrāfijas algoritmus un protokolus, piemēram, tādus, kas atbilst valsts standartiem, lai aizsargātu pārsūtītos datus. Lai to izdarītu, ir nepieciešams, lai mijiedarbības puses atbalstītu šos algoritmus, un tie būtu standarta veidā reģistrēts savienojuma parametru aprakstā. Drošas datu pārsūtīšanas procesu regulē sistēmā pieņemtie drošības noteikumi. Izveidotā tuneļa parametrus apraksta informācijas struktūra, ko sauc par drošības kontekstu vai drošības asociāciju (no angļu drošības asociācijas, saīsināti SA). Kā minēts iepriekš, IPSec ir protokolu kopa, un SA sastāvs var atšķirties atkarībā no konkrētā protokola. SA ietver:
Parasti drošības konteksts ir vienvirziena, un datu pārsūtīšanai caur tuneli abos virzienos tiek izmantoti divi SA. Katram resursdatoram ir sava SA datu bāze, no kuras tiek izvēlēts nepieciešamais elements vai nu pēc SPI, vai adresāta IP adreses. Divi IPSec iekļautie protokoli ir:
Abiem šiem protokoliem ir divi darbības režīmi - transports un tunelis, pēdējais tiek definēts kā galvenais. Tuneļa režīms izmanto, ja vismaz viens no savienojošajiem mezgliem ir drošības vārteja. Šajā gadījumā tiek izveidota jauna IP galvene, un sākotnējā IP pakete tiek pilnībā iekapsulēta jaunajā. Transporta režīms koncentrējas uz saimniekdatora savienojumu. Izmantojot ESP transporta režīmā, tiek aizsargāti tikai IP paketes dati, galvene netiek ietekmēta. Izmantojot AH, aizsardzība attiecas uz datiem un daļu no galvenes laukiem. Tālāk ir sīkāk aprakstīti darbības režīmi. AH protokolsIP versijā 4 autentifikācijas galvene tiek novietota aiz IP galvenes. Iedomāsimies oriģinālo IP paketi kā IP galvenes, nākamā līmeņa protokola galvenes (parasti TCP vai UDP, 5.10. attēlā to apzīmē ULP - no Upper-Level Protocol) un datu kombināciju. Rīsi. 5.10. Apsveriet ESP galvenes formātu (5.13. att.). Tas sākas ar divām 32 bitu vērtībām - SPI Un S.N.. Viņu loma ir tāda pati kā AH protokolā - SPI identificē šī tuneļa izveidošanai izmantoto SA; S.N.- ļauj aizsargāties pret pakešu atkārtošanu. S.N. Un SPI nav šifrēti. Nākamais lauks ir lauks, kurā ir šifrēti dati. Pēc tiem ir viettura lauks, kas nepieciešams, lai šifrēto lauku garumu saskaņotu ar vērtību, kas ir šifrēšanas algoritma bloka lieluma reizinājums. Rīsi. 5.12. Rīsi. 5.13. Aiz viettura ir lauki, kas satur viettura garumu un augstāka līmeņa protokola norādi. Četri uzskaitītie lauki (dati, vietturis, garums, nākamais protokols) ir aizsargāti ar šifrēšanu. Ja datu autentifikācijai tiek izmantots arī ESP, tad pakete beidzas ar mainīga garuma lauku, kas satur ICV. Atšķirībā no AH, ESP, aprēķinot imitovsert vērtību, IP galvenes lauki (jauns - tuneļa režīmam, modificēts vecais - transportam) netiek ņemti vērā. Plkst koplietošana protokoli AH un ESP, aiz IP galvenes nāk AH, aiz tā - ESP. Šajā gadījumā ESP atrisina konfidencialitātes nodrošināšanas problēmas, AH - savienojuma avota integritātes un autentifikācijas nodrošināšanu. Apsvērsim vairākus papildu jautājumus, kas saistīti ar IPSec izmantošanu. Sāksim ar to, no kurienes nāk informācija par savienojuma parametriem - SA. SA bāzes izveidi var veikt dažādos veidos. Jo īpaši to var izveidot drošības administrators manuāli vai ģenerēts, izmantojot īpašus protokolus - SKIP, ISAKMP ( Interneta drošība asociācijas un atslēgu pārvaldības protokols) un IKE (interneta atslēgu apmaiņa). IPSec un NATSavienojot organizācijas tīklus ar internetu, bieži tiek izmantots tīkla adrešu tulkošanas mehānisms - NAT (Network Address Translation). Tas ļauj samazināt noteiktā tīklā izmantoto reģistrēto IP adrešu skaitu. Tīklā tiek izmantotas nereģistrētas adreses (parasti no diapazoniem, kas īpaši piešķirti šim nolūkam, piemēram, adreses, piemēram, 192.168.x.x C klases tīkliem). Ja pakete no šāda tīkla tiek pārsūtīta uz internetu, tad maršrutētājs, kura ārējam interfeisam ir piešķirta vismaz viena reģistrēta IP adrese, maina IP galvenes. tīkla paketes, aizstājot reģistrēto adresi ar privātajām adresēm. Aizstāšanas veikšanas veids ir ierakstīts īpašā tabulā. Kad tiek saņemta atbilde, saskaņā ar tabulu tiek veikta apgrieztā nomaiņa un pakete tiek pārsūtīta uz iekšējo tīklu. Apskatīsim NAT izmantošanas piemēru attēlā. 5.14. Šajā gadījumā iekšējā tīklā tiek izmantotas privātās adreses 192.168.0.x. No datora ar adresi 192.168.0.2 kontaktpersonaārējais tīkls uz datoru ar adresi 195.242.2.2. Lai tas būtu savienojums ar tīmekļa serveri (HTTP protokols, kas izmanto TCP portu 80). Kad pakete iet caur maršrutētāju, kas veic adreses tulkošanu, sūtītāja IP adrese (192.168.0.2) tiks aizstāta ar adresi. maršrutētājs (195.201.82.146) un ieraksts, kas ir līdzīgs attēlā redzamajam īss protokola parādīšanās vēsturiskais fons 1994. gadā Interneta arhitektūras padome (IAB) publicēja ziņojumu "Interneta arhitektūras drošība". Šajā dokumentā tika aprakstītas galvenās papildu drošības rīku izmantošanas jomas internetā, proti, aizsardzība pret nesankcionētu uzraudzību, pakešu viltošana un datu plūsmas kontrole. Viens no pirmajiem un svarīgākajiem aizsardzības pasākumiem bija nepieciešamība izstrādāt koncepciju un pamatmehānismus, lai nodrošinātu datu plūsmu integritāti un konfidencialitāti. Kopš pārmaiņām pamata protokoli TCP/IP saime būtu izraisījusi pilnīgu interneta pārstrukturēšanu, tika izvirzīts uzdevums nodrošināt informācijas apmaiņas drošību atvērtos telekomunikāciju tīklos, pamatojoties uz esošajiem protokoliem. Tādējādi sāka veidot Secure IP specifikāciju, kas papildina IPv4 un IPv6 protokolus. IPSec arhitektūra 1. att. IPSec arhitektūra 2. att. OSI/ISO modelis AH un ESP galvenes autentifikācijas galvene AH 3. att. AH galvenes formāts šifrētu ESP datu iekapsulēšana 4. att. ESP galvenes formāts Drošības asociācijas drošības politika ISAKMP/Oakley protokols IKE protokols ipad = baits 0x36, atkārtots B reizes; Lai aprēķinātu HMAC no "teksta" datiem, jāveic šāda darbība: H(K XOR opad, H(K XOR ipad, teksts)) No apraksta izriet, ka IKE pušu autentificēšanai izmanto HASH vērtības. Ņemiet vērā, ka HASH šajā gadījumā attiecas tikai uz slodzes nosaukumu ISAKMP, un šim nosaukumam nav nekā kopīga ar tā saturu. uzbrukumi AH, ESP un IKE Kā zināms, šis ir uzbrukums, no kura pilnīgas aizsardzības nav. Tomēr ātra sliktu pakešu noraidīšana un jebkādas ārējas reakcijas neesamība uz tām (saskaņā ar RFC) ļauj vairāk vai mazāk labi tikt galā ar šo uzbrukumu. Principā lielākajai daļai (ja ne visiem) zināmajiem tīkla uzbrukumiem (sniffing, spoofing, nolaupīšana utt.) AH un ESP tiek veiksmīgi pretoties, ja tos izmanto pareizi. Ar IKE tas ir nedaudz sarežģītāk. Protokols ir ļoti sarežģīts un grūti analizējams. Turklāt drukas kļūdu dēļ (HASH_R aprēķināšanas formulā), to rakstot, un ne gluži veiksmīgu risinājumu dēļ (tas pats HASH_R un HASH_I), tajā ir vairāki potenciāli “caurumi” (jo īpaši pirmajā fāzē ne visas derīgās slodzes ziņojumi ir autentificēti), tomēr tie nav īpaši nopietni un noved pie atteikuma izveidot savienojumu IKE vairāk vai mazāk veiksmīgi aizsargā sevi no tādiem uzbrukumiem kā atkārtošana, krāpšanās, šņaukšana, nolaupīšana. Ar kriptogrāfiju tas ir nedaudz sarežģītāk - tas netiek veikts atsevišķi, kā AH un ESP, bet tiek ieviests pašā protokolā. Tomēr, ja izmantojat pastāvīgus algoritmus un primitīvus (PRF), problēmām nevajadzētu rasties. Zināmā mērā par IPsec vājumu var uzskatīt to, ka pašreizējās specifikācijās DES ir norādīts kā vienīgais obligātais kriptogrāfijas algoritms (tas attiecas gan uz ESP, gan IKE), kura atslēgas 56 biti vairs netiek uzskatīti par pietiekamiem. . Tomēr tas ir tīri formāls trūkums - pašas specifikācijas ir neatkarīgas no algoritma, un gandrīz visi labi zināmie pārdevēji jau sen ir ieviesuši 3DES (un daži jau ir ieviesuši AES, tādējādi, ja tas ir pareizi ieviests, paliek “bīstamākais” uzbrukums). Pakalpojuma atteikums . IPSec protokola novērtēšana (Interneta atslēgu apmaiņa (IKE)) — atslēgu apmaiņa. IPsec arhitektūraIPsec protokoli atšķirībā no citiem labi zināmiem protokoliem SSL un TLS darbojas tīkla slānī (OSI modeļa 3. slānis). Tas padara IPsec elastīgāku, lai to varētu izmantot, lai aizsargātu visus TCP un UDP protokolus. IPsec var izmantot, lai nodrošinātu drošību starp diviem IP resursdatoriem, starp diviem drošības vārtejiem vai starp IP resursdatoru un drošības vārteju. Protokols ir "virsstruktūra" virs IP protokola un apstrādā ģenerētās IP paketes tālāk aprakstītajā veidā. IPsec var nodrošināt tīklā pārsūtīto datu integritāti un/vai konfidencialitāti. IPsec dažādu funkciju veikšanai izmanto šādus protokolus:
Drošības asociācijaJēdziens "Drošs virtuālais savienojums" (SA, "Drošības asociācija") ir IPsec arhitektūras pamats. SA ir simplekss savienojums, kas izveidots, lai pār to pārsūtītu atbilstošu trafiku. Ieviešot drošības pakalpojumus, SA tiek veidota, pamatojoties uz AH vai ESP protokolu (vai abu vienlaicīgu) izmantošanu. SA ir definēta saskaņā ar starpterminālu savienojuma (no punkta uz punktu) jēdzienu un var darboties divos veidos: transporta režīmā (RTR) un tunelēšanas režīmā (RTU). Transporta režīms tiek realizēts ar SA starp diviem IP mezgliem. Tunelēšanas režīmā SA veido IP tuneli. Visi SA tiek glabāti IPsec moduļa SADB (drošības asociāciju datu bāzē). Katram SA ir unikāls marķieris, kas sastāv no trim elementiem:
IPsec modulis, kam ir šie trīs parametri, var atrast ierakstu SADB par konkrētu SA. SA komponentu sarakstā ir: Sērijas numurs 32 bitu vērtība, kas tiek izmantota lauka veidošanai Secības numurs AH un ESP galvenēs. Secības numura skaitītāja pārpilde Karogs, kas norāda, ka kārtas numuru skaitītājs ir pārpildīts. Logs atkārtotu uzbrukumu apspiešanai Izmanto, lai noteiktu pakešu atkārtotu pārraidi. Ja vērtība laukā Secības numurs neietilpst norādītajā diapazonā, pakete tiek iznīcināta. Informācija AH izmantotais autentifikācijas algoritms, nepieciešamās atslēgas, atslēgas kalpošanas laiks un citi parametri. ESP informācijašifrēšanas un autentifikācijas algoritmi, nepieciešamās atslēgas, inicializācijas parametri (piemēram, IV), atslēgas kalpošanas laiks un citi parametri IPsec darbības režīms tunelis vai transports MTU Maksimālais pakešu lielums, ko var pārsūtīt pa virtuālo kanālu bez sadrumstalotības.Tā kā drošie virtuālie savienojumi (SA) ir vienpusēji, ir nepieciešami vismaz divi SA, lai organizētu duplekso kanālu. Turklāt katram protokolam (ESP/AH) ir jābūt savam SA katram virzienam, tas ir, AH+ESP kombinācijai ir nepieciešami četri SA. Visi šie dati atrodas SADB.
Papildus SADB IPsec implementācijas atbalsta SPD (drošības politikas datu bāze). SPD ieraksts sastāv no IP galvenes lauku vērtību kopas un augšējā slāņa protokola galvenes laukiem. Šos laukus sauc par atlasītājiem. Atlasītāji tiek izmantoti, lai filtrētu izejošās paketes, lai katra pakete atbilstu noteiktai SA. Kad tiek ģenerēta pakete, atbilstošo paketes lauku vērtības (atlases lauki) tiek salīdzinātas ar tām, kas ietvertas VPD. Atbilstošie SA ir atrasti. Pēc tam tiek noteikts paketes SA (ja tāds ir) un ar to saistītais drošības parametru indekss (SPI). Pēc tam tiek veiktas IPsec darbības (AH vai ESP protokola darbības). VPD ietverto atlasītāju piemēri:
Autentifikācijas galvene
AH protokols tiek izmantots autentifikācijai, tas ir, lai apstiprinātu, ka mēs sazināmies ar to, kas, mūsuprāt, esam un ka saņemtie dati pārraides laikā nav bojāti. Izvades IP pakešu apstrādeJa sūtītājs IPsec modulis nosaka, ka pakete ir saistīta ar SA, kas ietver AH apstrādi, tā sāk apstrādi. Atkarībā no režīma (transportēšanas vai tunelēšanas režīms), tas AH galveni IP paketē ievieto atšķirīgi. Transporta režīmā AH galvene tiek novietota aiz IP protokola galvenes un pirms augšējā slāņa protokola galvenēm (parasti TCP vai UDP). Tunelēšanas režīmā visu sākotnējo IP paketi vispirms ieskauj AH galvene, pēc tam IP protokola galvene. Šo galveni sauc par ārējo, un sākotnējās IP paketes galveni sauc par iekšējo. Pēc tam sūtītājam IPsec modulim ir jāģenerē sērijas numurs un jāieraksta tas laukā Secības numurs. Kad ir izveidota SA, kārtas numurs tiek iestatīts uz 0 un tiek palielināts par vienu pirms katras IPsec paketes nosūtīšanas. Turklāt tiek pārbaudīts, vai skaitītājs nav iegājis cilpā. Ja tas ir sasniedzis maksimālo vērtību, tas tiek iestatīts atpakaļ uz 0. Ja tiek izmantots atkārtošanas novēršanas pakalpojums, tad, kad skaitītājs sasniedz maksimālo vērtību, sūtītājs IPsec modulis atiestata SA. Tas nodrošina aizsardzību pret pakešu atkārtotu sūtīšanu – saņemošais IPsec modulis pārbaudīs lauku Secības numurs, un ignorēt atkārtoti pienākošās paketes. Tālāk tiek aprēķināta ICV kontrolsumma. Jāņem vērā, ka šeit kontrolsumma tiek aprēķināta, izmantojot slepeno atslēgu, bez kuras uzbrucējs varēs pārrēķināt hash, bet, nezinot atslēgu, viņš nevarēs ģenerēt pareizo kontrolsummu. Īpašos algoritmus, ko izmanto, lai aprēķinātu ICV, var atrast RFC 4305. Pašlaik, piemēram, var izmantot HMAC-SHA1-96 vai AES-XCBC-MAC-96 algoritmus. AH protokols aprēķina kontrolsummu (ICV), pamatojoties uz šādiem IPsec paketes laukiem:
Ievades IP pakešu apstrādePēc paketes saņemšanas, kas satur AH protokola ziņojumu, IPsec saņemšanas modulis meklē atbilstošo SADB (drošības asociāciju datu bāze), izmantojot adresāta IP adresi, drošības protokolu (SA) un SPI indeksu. Ja atbilstošs SA netiek atrasts, pakete tiek izmesta. Atrastais drošais virtuālais savienojums (SA) norāda, vai tiek izmantots pakešu atkārtošanas novēršanas pakalpojums, t.i. par nepieciešamību pārbaudīt lauku Secības numurs. Ja pakalpojums tiek izmantots, lauks tiek atzīmēts. Šim nolūkam tiek izmantota bīdāmo logu metode. Saņemošais IPsec modulis ģenerē logu ar platumu W. Loga kreisā mala atbilst minimālajam kārtas numuram ( Secības numurs) N pareizi saņemtas paketes. Iepakojums ar lauku Secības numurs, kurā ir vērtība no N+1 līdz N+W, tiek pieņemts pareizi. Ja saņemtā pakete atrodas uz loga kreisās malas, tā tiek iznīcināta. Pēc tam IPsec saņemšanas modulis aprēķina ICV no atbilstošajiem saņemtās paketes laukiem, izmantojot autentifikācijas algoritmu, ko tas mācās no SA ieraksta, un salīdzina rezultātu ar ICV vērtību, kas atrodas laukā Integrity Check Value. Ja aprēķinātā ICV vērtība sakrīt ar saņemto, tad ienākošā pakete tiek uzskatīta par derīgu un tiek pieņemta turpmākai IP apstrādei. Ja pārbaude ir negatīva, saņemošā pakete tiek iznīcināta.
IPsec izvadpakešu apstrādeJa sūtītājs IPsec modulis nosaka, ka pakete ir saistīta ar SA, kurai nepieciešama ESP apstrāde, tas sāk apstrādi. Atkarībā no režīma (transportēšanas vai tunelēšanas režīms) sākotnējā IP pakete tiek apstrādāta atšķirīgi. Transporta režīmā raidošais IPsec modulis veic augstākā līmeņa protokola (piemēram, TCP vai UDP) kadrēšanas (iekapsulēšanas) procedūru, izmantojot ESP galveni un ESP piekabi, neietekmējot avota IP paketes galveni. Tunelēšanas režīmā IP paketi ieskauj ESP galvene un ESP piekabe, un pēc tam to ieskauj ārējā IP galvene. Tālāk tiek veikta šifrēšana - transporta režīmā tiek šifrēts tikai protokola ziņojums virs pamatā esošā slāņa (t.i., viss, kas bija pēc IP galvenes avota paketē), tunelēšanas režīmā visa avota IP pakete. Sūtīšanas IPsec modulis nosaka šifrēšanas algoritmu un slepeno atslēgu no SA ieraksta. IPsec standarti ļauj izmantot trīskāršās DES, AES un Blowfish šifrēšanas algoritmus. Tā kā vienkāršā teksta lielumam ir jābūt noteikta baitu skaita, piemēram, bloka lieluma bloka algoritmu daudzkārtnei, pirms šifrēšanas tiek veikta arī nepieciešamā šifrētā ziņojuma aizpildīšana. Šifrētais ziņojums tiek ievietots laukā Kravas dati. Laukā Paliktņa garums atbilst papildinājuma garumam. Tad, tāpat kā AH, tas tiek aprēķināts Secības numurs. Pēc tam tiek aprēķināta kontrolsumma (ICV). Kontrolsumma, atšķirībā no AH protokola, kur to aprēķinot tiek ņemti vērā arī daži IP galvenes lauki, ESP to aprēķina tikai no ESP paketes laukiem mīnus ICV lauks. Pirms kontrolsummas aprēķināšanas tas ir aizpildīts ar nullēm. ICV aprēķina algoritmu, tāpat kā AH protokolā, raidošais IPsec modulis apgūst no SA ieraksta, ar kuru ir saistīta apstrādātā pakete. Ienākošo IPsec pakešu apstrādePēc paketes saņemšanas, kas satur ESP protokola ziņojumu, IPsec saņemšanas modulis SADB (drošības asociāciju datu bāzē) meklē atbilstošo drošu virtuālo savienojumu (SA), izmantojot adresāta IP adresi, drošības protokolu (ESP) un SPI indeksu. Ja atbilstošs SA netiek atrasts, pakete tiek izmesta. Atrastais drošais virtuālais savienojums (SA) norāda, vai tiek izmantots pakešu atkārtošanas novēršanas pakalpojums, t.i. nepieciešamība pārbaudīt lauku Sequence Number. Ja pakalpojums tiek izmantots, lauks tiek atzīmēts. Šim nolūkam, tāpat kā AH, tiek izmantota bīdāmo logu metode. Saņemošais IPsec modulis ģenerē logu ar platumu W. Loga kreisā mala atbilst pareizi saņemtas paketes minimālajam kārtas numuram N. Pakete ar lauku Sequence Number, kurā ir vērtība no N+1 līdz N+W, tiek saņemta pareizi. Ja saņemtā pakete atrodas uz loga kreisās malas, tā tiek iznīcināta. Pēc tam, ja tiek izmantots autentifikācijas pakalpojums, IPsec saņemšanas modulis aprēķina ICV no atbilstošajiem saņemtās paketes laukiem, izmantojot autentifikācijas algoritmu, ko tas mācās no SA ieraksta, un salīdzina rezultātu ar ICV vērtību, kas atrodas laukā Integrity Check Value. Ja aprēķinātā ICV vērtība sakrīt ar saņemto, ienākošā pakete tiek uzskatīta par derīgu. Ja pārbaude dod negatīvu rezultātu, saņemošā pakete tiek iznīcināta. Pēc tam pakete tiek atšifrēta. IPsec saņemšanas modulis no SA ieraksta uzzina, kurš šifrēšanas algoritms tiek izmantots, un slepeno atslēgu. Jāatzīmē, ka kontrolsummas pārbaudes un atšifrēšanas procedūru var veikt ne tikai secīgi, bet arī paralēli. Pēdējā gadījumā kontrolsummas pārbaudes procedūra ir jāpabeidz pirms atšifrēšanas procedūras, un, ja ICV pārbaude neizdodas, arī atšifrēšanas procedūra ir jāpārtrauc. Tas ļauj ātri identificēt bojātās paketes, kas, savukārt, paaugstina aizsardzības līmeni pret pakalpojuma atteikuma uzbrukumiem (DOS uzbrukumiem). Nākamais ir atšifrētais ziņojums saskaņā ar lauku Nākamā galvene nodota tālākai apstrādei. LietošanaIPsec protokols galvenokārt tiek izmantots VPN tuneļu organizēšanai. Šajā gadījumā ESP un AH protokoli darbojas tunelēšanas režīmā. Turklāt, noteiktā veidā konfigurējot drošības politikas, protokolu var izmantot ugunsmūra izveidošanai. Ugunsmūra būtība ir tāda, ka tas kontrolē un filtrē paketes, kas iet caur to saskaņā ar noteiktiem noteikumiem. Ir instalēts noteikumu kopums, un ekrānā tiek apskatītas visas paketes, kas iet caur to. Ja pārsūtītās paketes ietilpst šo noteikumu darbības jomā, ugunsmūris tās attiecīgi apstrādā. Piemēram, tas var noraidīt noteiktas paketes, tādējādi apturot nedrošos savienojumus. Attiecīgi iestatot drošības politiku, varat, piemēram, bloķēt interneta trafiku. Lai to izdarītu, pietiek aizliegt sūtīt pakešu, kas satur HTTP un HTTPS protokola ziņojumus. IPsec var izmantot arī serveru aizsardzībai - šim nolūkam tiek izmestas visas paketes, izņemot tās, kas nepieciešamas pareizai servera funkciju izpildei. Piemēram, tīmekļa serverim varat bloķēt visu trafiku, izņemot savienojumus, izmantojot TCP portu 80 vai TCP portu 443, ja tiek izmantots HTTPS. Skatīt arīSaites
0 Šajā rakstā ir sniegts pārskats par IP drošības (IP Security) rīkiem un saistītajiem IPSec protokoliem, kas pieejami Cisco produktos, ko izmanto virtuālo privāto tīklu (VPN) izveidei. Šajā rakstā mēs definēsim, kas ir IPSEC un kādi protokoli un drošības algoritmi ir IPSEC pamatā. IevadsIP drošība ir protokolu kopums, kas nodarbojas ar šifrēšanas, autentifikācijas un drošības jautājumiem IP pakešu transportēšanas laikā; tagad tajā ir iekļauti gandrīz 20 standartu priekšlikumi un 18 RFC.Cisco VPN produktos tiek izmantots IPSec protokolu komplekts, kas ir nozares standarts bagātīgu VPN iespēju nodrošināšanai. IPSec piedāvā mehānismu drošai datu pārraidei IP tīklos, nodrošinot datu konfidencialitāti, integritāti un uzticamību, kas tiek pārsūtīti pa neaizsargātiem tīkliem, piemēram, internetu. IPSec nodrošina šādas VPN iespējas Cisco tīklos:
IPSec ir uz standartiem balstīts drošības protokolu un algoritmu kopums. IPSec tehnoloģija un ar to saistītie drošības protokoli atbilst atvērtajiem standartiem, ko uztur Interneta inženierijas darba grupa (IETF) un kas aprakstīti RFC specifikācijās un IETF projektos. IPSec darbojas tīkla slānī, nodrošinot drošību un autentifikāciju IP paketēm, kas tiek sūtītas starp IPSec ierīcēm (pusēm), piemēram, Cisco maršrutētājiem, PIX ugunsmūriem, Cisco VPN klientiem un koncentratoriem, kā arī daudziem citiem produktiem, kas atbalsta IPSec. IPSec atbalsts svārstās no ļoti maziem līdz ļoti lieliem tīkliem. Drošības asociācija (SA)IPSec nodrošina standarta veidu, kā autentificēt un šifrēt saziņu starp saziņas pusēm. Lai nodrošinātu sakarus, IPSec izmanto standarta šifrēšanas un autentifikācijas algoritmus (tas ir, matemātiskas formulas), ko sauc par transformācijām. IPSec izmanto atvērtos standartus šifrēšanas atslēgas sarunām un savienojumu pārvaldībai, lai nodrošinātu pušu savietojamību. IPSec tehnoloģija piedāvā metodes, kas ļauj IPSec pusēm "vienoties" par saskaņoto pakalpojumu izmantošanu. IPSec izmanto drošības asociācijas, lai norādītu saskaņotos parametrus.Aizsardzības asociācija(Drošības asociācija — SA) ir saskaņota datu apstrādes politika vai metode, kas paredzēta apmaiņai starp divām sazinošo pušu ierīcēm. Viens no šādas politikas komponentiem var būt datu šifrēšanai izmantotais algoritms. Abas puses var izmantot vienu un to pašu algoritmu gan šifrēšanai, gan atšifrēšanai. Efektīvie SA parametri tiek glabāti abu pušu drošības asociācijas datu bāzē (SAD). Divi datori katrā SA pusē glabā SA izmantoto režīmu, protokolu, algoritmus un atslēgas. Katrs SA tiek izmantots tikai vienā virzienā. Divvirzienu komunikācijai ir nepieciešami divi SA. Katrs SA realizē vienu režīmu un protokolu; tādējādi, ja vienai paketei ir jāizmanto divi protokoli (piemēram, AH un ESP), tad ir nepieciešami divi SA. IKE (Internet Key Exchange) protokols ir hibrīds protokols, kas nodrošina īpašu IPSec pakalpojumu, proti, IPSec pušu autentifikāciju, IKE un IPSec drošības asociācijas parametru saskaņošanu un IPSec izmantoto šifrēšanas algoritmu atslēgu atlasi. IKE protokols balstās uz ISAKMP (Internet Security Association and Key Management Protocol) un Oakley protokoliem, kas tiek izmantoti, lai pārvaldītu IPSec transformācijās izmantoto šifrēšanas atslēgu izveides un apstrādes procesu. IKE protokols tiek izmantots arī, lai izveidotu drošības asociācijas starp potenciālajām IPSec pusēm. Hash funkcija ir sadursmju izturīga funkcija. Sadursmes pretestība attiecas uz faktu, ka nav iespējams atrast divus dažādus ziņojumus m1 un m2, lai H(m1)=H(m2), kur H ir jaucējfunkcija. Kas attiecas uz pseidogadījuma funkcijām, HMAC dizainā īpašu PRF vietā pašlaik tiek izmantota jaucējfunkcija (HMAC ir ziņojumu autentifikācijas mehānisms, kas izmanto jaucējfunkcijas). Lai definētu HMAC, mums ir nepieciešama kriptogrāfiskā jaucējfunkcija (sauksim to par H) un slepenā atslēga K. Mēs pieņemam, ka H ir jaukšanas funkcija, kurā dati tiek jaukti, izmantojot saspiešanas procedūru, kas secīgi tiek piemērota datu bloku secībai. Ar B apzīmējam šādu bloku garumu baitos un jaukšanas rezultātā iegūto bloku garumu ar L (L Lai aprēķinātu HMAC no "teksta" datiem, jāveic šāda darbība: H(K XOR opad, H(K XOR ipad, teksts)) No apraksta izriet, ka IKE pušu autentificēšanai izmanto HASH vērtības. Ņemiet vērā, ka HASH šajā gadījumā attiecas tikai uz slodzes nosaukumu ISAKMP, un šim nosaukumam nav nekā kopīga ar tā saturu. IPSec infrastruktūraUz IPSec balstītus VPN tīklus var izveidot, izmantojot dažādas Cisco ierīces — Cisco maršrutētājus, Cisco Secure PIX ugunsmūrus, Cisco Secure VPN klientu programmatūru un Cisco VPN 3000 un 5000 sērijas koncentratorus ar iebūvētu VPN atbalstu Cisco programmatūras iespējas IOS, kas samazina tīkla risinājumu sarežģītību un samazina VPN kopējās izmaksas, vienlaikus nodrošinot sniegto pakalpojumu vairāku līmeņu aizsardzību. PIX ugunsmūris ir augstas veiktspējas tīkla ierīce, kas var apkalpot tuneļa galapunktus, nodrošinot tiem lielu caurlaidspēju un izcilu ugunsmūra funkcionalitāti. CiscoSecure VPN Client programmatūra atbalsta visstingrākās attālās piekļuves VPN prasības e-komercijas un mobilās piekļuves lietojumprogrammām, piedāvājot pilnīgu IPSec standartu ieviešanu un nodrošinot uzticamu savietojamību starp Cisco maršrutētājiem un PIX ugunsmūriem.Kā darbojas IPSecIPSec balstās uz vairākām tehnoloģijām un šifrēšanas metodēm, taču parasti IPSec var uzskatīt par šādām galvenajām darbībām:
IPsec nav viens protokols, bet gan protokolu sistēma, kas paredzēta datu aizsardzībai IP tīklu tīkla līmenī. Šajā rakstā tiks aprakstīta teorija par IPsec izmantošanu VPN tuneļa izveidošanai. IevadsVPN, kura pamatā ir IPsec tehnoloģija, var iedalīt divās daļās:
Pirmā daļa (IKE) ir sarunu fāze, kuras laikā divi VPN punkti izvēlas, kuras metodes tiks izmantotas, lai aizsargātu starp tiem nosūtīto IP trafiku. Turklāt IKE tiek izmantots arī savienojumu pārvaldībai, katram savienojumam ieviešot drošības asociāciju (SA) koncepciju. SA norāda tikai vienā virzienā, tāpēc tipisks IPsec savienojums izmanto divus SA. Otrā daļa ir tie IP dati, kas pirms pārsūtīšanas ir jāšifrē un jāautentificē, izmantojot metodes, par kurām panākta vienošanās pirmajā daļā (IKE). Var izmantot dažādus IPsec protokolus: AH, ESP vai abus. VPN izveides secību, izmantojot IPsec, var īsi aprakstīt šādi:
IKE, interneta atslēgu apmaiņaLai šifrētu un autentificētu datus, ir jāizvēlas šifrēšanas/autentifikācijas metode (algoritms) un tajās izmantotās atslēgas. Interneta atslēgu apmaiņas protokola IKE uzdevums šajā gadījumā ir “sesijas atslēgas” datu izplatīšana un vienošanās par algoritmiem, kas aizsargās datus starp VPN punktiem. IKE galvenie uzdevumi:
IKE seko savienojumiem, katram no tiem piešķirot noteiktas drošības asociācijas, SA. SA apraksta konkrēta savienojuma parametrus, tostarp IPsec protokolu (AH/ESP vai abus), sesijas atslēgas, ko izmanto datu šifrēšanai/atšifrēšanai un/vai autentifikācijai. SA ir vienvirziena, tāpēc vienam savienojumam tiek izmantoti vairāki SA. Vairumā gadījumu, kad tiek izmantots tikai ESP vai AH, katram savienojumam tiek izveidoti tikai divi SA — viens ienākošajai trafikai un viens izejošajai trafikai. Ja ESP un AH izmanto kopā, SA ir nepieciešami četri. IKE sarunu process iet cauri vairākiem posmiem (fāzēm). Šīs fāzes ietver:
IKE un IPsec savienojumu ilgums (sekundēs) un pārsūtīto datu apjoms (kilobaitos) ir ierobežots. Tas tiek darīts, lai palielinātu drošību. Lai apspriestu IKE, tiek ieviests IKE priekšlikuma jēdziens - tas ir priekšlikums par datu aizsardzību. VPN punkts, kas iniciē IPsec savienojumu, nosūta sarakstu (teikumu), kurā norādītas dažādas savienojuma nodrošināšanas metodes. 1. fāze IKE — IKE drošības sarunas (ISAKMP tunelis) 2. fāze IKE — IPsec drošības sarunas Ja tiek izmantots mehānisms Perfekta pārsūtīšanas slepenība (PFS), tad katrai otrās fāzes sarunām tiks izmantota jauna Difija-Helmena atslēgu apmaiņa. Nedaudz samazinot darbības ātrumu, šī procedūra nodrošina, ka sesijas atslēgas ir neatkarīgas viena no otras, kas palielina aizsardzību, jo pat tad, ja viena no taustiņiem ir apdraudēta, to nevar izmantot, lai atlasītu pārējos. Otrajai IKE sarunu fāzei ir tikai viens darbības režīms, to sauc par ātro režīmu. Sarunu procesa otrajā posmā notiek trīs ziņojumu apmaiņa. Otrās fāzes beigās tiek izveidots VPN savienojums. IKE iespējas.
IKE autentifikācijas metodes
IPsec protokoliPārsūtīto datu aizsardzībai tiek izmantoti IPsec protokoli. Protokola un tā atslēgu izvēle notiek IKE sarunu laikā. AH (autentifikācijas galvene)AH nodrošina iespēju autentificēt pārsūtītos datus. Lai to izdarītu, tiek izmantota kriptogrāfijas jaucējfunkcija saistībā ar datiem, kas ietverti IP paketē. Šīs funkcijas izvade (jaucēja) tiek nosūtīta kopā ar paketi un ļauj attālajam VPN punktam apstiprināt sākotnējās IP paketes integritāti, apstiprinot, ka tā nav mainīta. Papildus IP paketes datiem AH autentificē arī daļu no tās galvenes. Transporta režīmā AH iegulst savu galveni aiz sākotnējās IP paketes. ESP (iekapsulējošās drošības kravnesība)ESP protokols tiek izmantots šifrēšanai, autentifikācijai vai abiem attiecībā uz IP paketi. Transporta režīmā ESP protokols ievieto savu galveni aiz sākotnējās IP galvenes. Divas galvenās atšķirības starp ESP un AH:
Darbs aiz NAT (NAT Traversal)
NAT Traversal tiek izmantots tikai tad, ja abi galapunkti to atbalsta. Kad galapunkti nosaka, ka ir nepieciešama NAT iziešana, IKE sarunas tiek pārvietotas no UDP porta 500 uz portu 4500. Tas tiek darīts, jo dažas ierīces, izmantojot NAT, nepareizi apstrādā IKE sesiju portā 500. |
Lasīt: |
---|
Jauns
- Satura menedžeris - pienākumi, atalgojums, apmācība Satura speciālista darba trūkumi un priekšrocības
- Kā pasargāt sevi no slēptās ieguves savā pārlūkprogrammā?
- Paroles atkopšana programmā Ask
- Kā klēpjdatorā ieslēgt kameru
- Kāpēc mūzika netiek atskaņota vietnē VKontakte?
- Kā palielināt diska C izmēru uz diska D rēķina, nezaudējot datus
- Mātesplates darbības traucējumu cēloņi Ja mātesplatē izdeg mikroshēmojums
- Sākotnējais tērzēšanas nosaukums
- Stilu izmantošana programmā Excel Kā izveidot savu jaunu stilu
- Kādas kļūdas rodas instalēšanas laikā?