Sayt bo'limlari
Muharrir tanlovi:
- Nima uchun noutbukga kichik SSD kerak va unga Windows-ni o'rnatishga arziydimi?
- Ramka kiritish. Ramkalar yaratish. noframes zaxirasini ta'minlash
- Windows tizimini qayta tiklash Hech qachon tugamaydigan avtomatik tiklashga tayyorgarlik
- Dasturlar yordamida flesh-diskni ta'mirlash Noutbukdagi USB portni qanday tuzatish kerak
- Disk tuzilishi buzilgan, o'qish mumkin emas, nima qilishim kerak?
- Qattiq disk kesh xotirasi nima va u nima uchun kerak?Kesh hajmi nima uchun javob beradi?
- Kompyuter nimadan iborat?
- Tizim blokining tuzilishi - qaysi komponentlar kompyuterning ishlashi uchun javobgardir Tizim blokining ichki qurilmalari xususiyatlari
- Qattiq diskni SSD ga qanday o'zgartirish mumkin
- Kirish qurilmalari kiradi
Reklama
IPsec VPN. Asoslar |
tarmoq, xavfsiz tunnel (5.9-rasm), u orqali maxfiy yoki nozik ma'lumotlar uzatiladi. Bunday tunnel axborotni himoya qilish uchun kriptografik usullardan foydalangan holda yaratilgan. Protokol OSI modelining tarmoq qatlamida ishlaydi va shunga mos ravishda ilovalar uchun "shaffof". Boshqacha qilib aytganda, ilovalar uchun (masalan veb-server, brauzer, DBMS va boshqalar) uzatilgan ma'lumotlarning IPSec yordamida himoyalangan yoki himoyalanmaganligiga ta'sir qilmaydi. Windows 2000 oilasi va undan yuqori operatsion tizimlar IPSec protokoli uchun o'rnatilgan yordamga ega. Ko'p qatlamli xavfsizlik modeli nuqtai nazaridan ushbu protokol tarmoq darajasidagi xavfsizlik vositasidir.
IPSec arxitekturasi ochiq bo'lib, bu, xususan, uzatiladigan ma'lumotlarni himoya qilish uchun yangi kriptografik algoritmlar va protokollardan, masalan, milliy standartlarga javob beradiganlardan foydalanishga imkon beradi. Buning uchun aloqa qiluvchi tomonlar ushbu algoritmlarni qo'llab-quvvatlashlari kerak va ular ulanish parametrlarini tavsiflashda standart tarzda ro'yxatga olinadi. Xavfsiz ma'lumotlarni uzatish jarayoni tizimda qabul qilingan xavfsizlik qoidalari bilan tartibga solinadi. Yaratilgan tunnelning parametrlari xavfsizlik konteksti yoki xavfsizlik assotsiatsiyasi deb ataladigan axborot tuzilmasi bilan tavsiflanadi (Ingliz xavfsizlik assotsiatsiyasidan, qisqartma SA). Yuqorida ta'kidlab o'tilganidek, IPSec protokollar to'plamidir va SA tarkibi maxsus protokolga qarab farq qilishi mumkin. SA quyidagilarni o'z ichiga oladi:
Odatda, xavfsizlik konteksti bir yo'nalishli bo'lib, tunnel orqali ikkala yo'nalishda ham ma'lumotlarni uzatish uchun ikkita SA ishlatiladi. Har bir xost o'zining SA ma'lumotlar bazasiga ega bo'lib, undan kerakli element SPI yoki qabul qiluvchining IP manzili asosida tanlanadi. IPSec-ga kiritilgan ikkita protokol:
Ushbu ikkala protokolda ikkita ish rejimi mavjud - transport va tunnel, ikkinchisi asosiy sifatida belgilanadi. Tunnel rejimi ulanadigan tugunlardan kamida bittasi xavfsizlik shlyuzi bo'lsa ishlatiladi. Bunday holda, yangi IP sarlavhasi yaratiladi va asl IP-paket to'liq yangisiga inkapsullanadi. Transport rejimi xostdan xostga ulanishga qaratilgan. Transport rejimida ESP dan foydalanilganda, faqat IP-paketning ma'lumotlari himoyalangan, sarlavhaga ta'sir qilmaydi. AH dan foydalanganda himoya ma'lumotlarga va sarlavha maydonlarining bir qismiga tarqaladi. Ishlash rejimlari quyida batafsilroq tavsiflanadi. AH protokoliIP ver.4 da autentifikatsiya sarlavhasi IP sarlavhasidan keyin joylashtiriladi. Keling, asl IP paketini IP sarlavhasi, keyingi darajadagi protokol sarlavhasi (odatda TCP yoki UDP, 5.10-rasmda u ULP deb belgilangan - Yuqori darajali protokoldan) va ma'lumotlarning kombinatsiyasi sifatida tasavvur qilaylik. Guruch. 5.10. ESP sarlavhasi formatini ko'rib chiqing (5.13-rasm). U ikkita 32 bitli qiymatdan boshlanadi - SPI Va SN. Ularning roli AH protokoli bilan bir xil - SPI ushbu tunnelni yaratish uchun foydalanilgan SAni aniqlaydi; SN- paketlarni takrorlashdan himoya qilish imkonini beradi. SN Va SPI shifrlanmagan. Keyingi maydon shifrlangan ma'lumotlarni o'z ichiga olgan maydondir. Ulardan keyin shifrlangan maydonlar uzunligini shifrlash algoritmining blok o'lchamiga ko'p bo'lgan qiymatga moslashtirish uchun zarur bo'lgan to'ldiruvchi maydon mavjud. Guruch. 5.12. Guruch. 5.13. To'ldiruvchidan keyin to'ldiruvchining uzunligi va yuqori darajadagi protokol ko'rsatkichini o'z ichiga olgan maydonlar mavjud. Ro'yxatda keltirilgan to'rtta maydon (ma'lumotlar, to'ldiruvchi, uzunlik, keyingi protokol) shifrlash bilan himoyalangan. Agar ESP ma'lumotlar autentifikatsiyasi uchun ham ishlatilsa, paket ICVni o'z ichiga olgan o'zgaruvchan uzunlikdagi maydon bilan tugaydi. AH dan farqli o'laroq, ESPda imitovsert qiymatini hisoblashda IP sarlavhasining maydonlari (yangi - tunnel rejimi uchun, o'zgartirilgan eski - transport uchun) hisobga olinmaydi. Da almashish AH va ESP protokollari, IP sarlavhasidan keyin AH, undan keyin - ESP keladi. Bunday holda, ESP maxfiylikni ta'minlash, AH - ulanish manbasining yaxlitligini va autentifikatsiyasini ta'minlash muammolarini hal qiladi. Keling, IPSec-dan foydalanish bilan bog'liq bir qator qo'shimcha masalalarni ko'rib chiqaylik. Keling, ulanish parametrlari haqidagi ma'lumot - SA - qaerdan kelganidan boshlaylik. SA bazasini yaratish turli yo'llar bilan amalga oshirilishi mumkin. Xususan, uni yaratish mumkin xavfsizlik administratori qo'lda yoki maxsus protokollar yordamida yaratilgan - SKIP, ISAKMP ( Internet xavfsizligi Assotsiatsiya va kalitlarni boshqarish protokoli) va IKE (Internet kalit almashinuvi). IPSec va NATTashkiliy tarmoqlarni Internetga ulashda ko'pincha tarmoq manzillarini tarjima qilish mexanizmi qo'llaniladi - NAT (Network Address Translation). Bu ma'lum bir tarmoqda ishlatiladigan ro'yxatdan o'tgan IP manzillar sonini kamaytirish imkonini beradi. Tarmoq ichida ro'yxatdan o'tmagan manzillar qo'llaniladi (odatda bu maqsad uchun maxsus ajratilgan diapazonlardan, masalan, C sinfidagi tarmoqlar uchun 192.168.x.x kabi manzillar). Agar bunday tarmoqdan paket Internetga uzatilsa, tashqi interfeysi kamida bitta ro'yxatdan o'tgan IP manzili tayinlangan yo'riqnoma IP sarlavhalarini o'zgartiradi. tarmoq paketlari, shaxsiy manzillar uchun ro'yxatdan o'tgan manzilni almashtirish. O'zgartirishni amalga oshirish usuli maxsus jadvalda qayd etilgan. Javob olinganda, jadvalga muvofiq teskari almashtirish amalga oshiriladi va paket ichki tarmoqqa yo'naltiriladi. Keling, rasmda NAT dan foydalanish misolini ko'rib chiqaylik. 5.14. Bunday holda, ichki tarmoqda 192.168.0.x shaxsiy manzillari qo'llaniladi. 192.168.0.2 manzilli kompyuterdan kontakt tashqi tarmoq 195.242.2.2 manzilli kompyuterga. Bu veb-serverga ulanish bo'lsin (TCP 80 portidan foydalanadigan HTTP protokoli). Paket manzil tarjimasini amalga oshiruvchi marshrutizator orqali o'tganda jo'natuvchining IP manzili (192.168.0.2) manzil bilan almashtiriladi. tashqi interfeys router (195.201.82.146) va quyidagi rasmda ko'rsatilganga o'xshash yozuv protokolning paydo bo'lishining qisqacha tarixiy ma'lumotlari 1994 yilda Internet Arxitektura kengashi (IAB) "Internet arxitekturasining xavfsizligi" hisobotini e'lon qildi. Ushbu hujjatda Internetda qo'shimcha xavfsizlik vositalarini qo'llashning asosiy yo'nalishlari, ya'ni ruxsatsiz monitoringdan himoya qilish, paketlarni buzish va ma'lumotlar oqimini boshqarish tasvirlangan. Birinchi va eng muhim himoya choralari qatorida ma'lumotlar oqimining yaxlitligi va maxfiyligini ta'minlash uchun kontseptsiya va asosiy mexanizmlarni ishlab chiqish zarurati bo'ldi. O'zgarishdan beri asosiy protokollar TCP/IP oilasi Internetni to'liq qayta qurishga olib kelgan bo'lar edi, mavjud protokollar asosida ochiq telekommunikatsiya tarmoqlarida ma'lumotlar almashinuvi xavfsizligini ta'minlash vazifasi qo'yildi. Shunday qilib, IPv4 va IPv6 protokollarini to'ldiruvchi Secure IP spetsifikatsiyasi yaratila boshlandi. IPSec arxitekturasi 1-rasm. IPSec arxitekturasi 2-rasm. OSI/ISO modeli AH va ESP sarlavhalari autentifikatsiya sarlavhasi AH 3-rasm. AH sarlavhasi formati shifrlangan ESP ma'lumotlarining inkapsulyatsiyasi 4-rasm. ESP sarlavha formati Xavfsizlik uyushmalari Xavfsizlik siyosati ISAKMP/Oakley protokoli IKE protokoli ipad = bayt 0x36, B marta takrorlanadi; "Matn" ma'lumotlaridan HMACni hisoblash uchun siz quyidagi amalni bajarishingiz kerak: H(K XOR opad, H(K XOR ipad, matn)) Tavsifdan kelib chiqadiki, IKE tomonlarni autentifikatsiya qilish uchun HASH qiymatlaridan foydalanadi. E'tibor bering, bu holda HASH faqat ISAKMP-dagi foydali yuk nomiga ishora qiladi va bu nom uning mazmuniga hech qanday aloqasi yo'q. AH, ESP va IKE ga hujumlar Ma'lumki, bu to'liq himoyaga ega bo'lmagan hujumdir. Biroq, yomon paketlarni tezda rad etish va ularga hech qanday tashqi reaktsiyaning yo'qligi (RFC ma'lumotlariga ko'ra) bu hujum bilan yaxshi yoki kamroq kurashish imkonini beradi. Asosan, ko'pchilik (agar hammasi bo'lmasa ham) ma'lum bo'lgan tarmoq hujumlariga (sniffing, spoofing, hijacking va boshqalar) to'g'ri foydalanilganda AH va ESP tomonidan muvaffaqiyatli qarshilik ko'rsatadi. IKE bilan bu biroz murakkabroq. Protokol juda murakkab va tahlil qilish qiyin. Bunga qo'shimcha ravishda, uni yozishda xatolar (HASH_R hisoblash formulasida) va unchalik muvaffaqiyatli bo'lmagan echimlar (xuddi shu HASH_R va HASH_I) tufayli u bir nechta potentsial "teshiklarni" o'z ichiga oladi (xususan, birinchi bosqichda barcha foydali yuklar emas. Xabar autentifikatsiya qilingan), ammo ular unchalik jiddiy emas va koʻpi bilan ulanishni oʻrnatishdan bosh tortishga olib keladi.IKE oʻzini takrorlash, soxtalashtirish, hidlash, oʻgʻirlash kabi hujumlardan ozmi-koʻpmi muvaffaqiyatli himoya qiladi. Kriptografiya bilan bu biroz murakkabroq - u AH va ESPda bo'lgani kabi alohida amalga oshirilmaydi, lekin protokolning o'zida amalga oshiriladi. Biroq, agar siz doimiy algoritmlar va primitivlardan (PRF) foydalansangiz, hech qanday muammo bo'lmasligi kerak. Qaysidir ma'noda, IPsecning zaif tomoni sifatida ko'rib chiqilishi mumkinki, DES joriy spetsifikatsiyalarda yagona majburiy kriptografik algoritm sifatida ko'rsatilgan (bu ESP va IKE uchun ham to'g'ri keladi), ularning 56 bit kaliti endi etarli deb hisoblanmaydi. . Biroq, bu sof rasmiy zaiflik - spetsifikatsiyalarning o'zi algoritmdan mustaqil va deyarli barcha taniqli ishlab chiqaruvchilar 3DESni uzoq vaqtdan beri amalga oshirgan (va ba'zilari allaqachon AESni amalga oshirgan) Shunday qilib, agar to'g'ri amalga oshirilsa, eng "xavfli" hujum qoladi. Xizmatni rad etish. IPSec protokolini baholash (Internet kalit almashinuvi (IKE)) - kalit almashinuvi. IPsec arxitekturasiIPsec protokollari, boshqa taniqli SSL va TLS protokollaridan farqli o'laroq, tarmoq sathida (OSI modelining 3-qatlami) ishlaydi. Bu IPsec-ni yanada moslashuvchan qiladi, shuning uchun u har qanday TCP va UDP protokollarini himoya qilish uchun ishlatilishi mumkin. IPsec ikki IP xost, ikkita xavfsizlik shlyuzi yoki IP xost va xavfsizlik shlyuzi o'rtasida xavfsizlikni ta'minlash uchun ishlatilishi mumkin. Protokol IP protokolining tepasida joylashgan "ustoz tuzilma" bo'lib, yaratilgan IP paketlarni quyida tavsiflangan tarzda qayta ishlaydi. IPsec tarmoq orqali uzatiladigan ma'lumotlarning yaxlitligini va/yoki maxfiyligini ta'minlashi mumkin. IPsec turli funktsiyalarni bajarish uchun quyidagi protokollardan foydalanadi:
Xavfsizlik uyushmasi"Xavfsiz virtual ulanish" (SA, "Xavfsizlik uyushmasi") tushunchasi IPsec arxitekturasi uchun asosdir. SA - bu oddiy ulanish bo'lib, u orqali tegishli trafikni o'tkazish uchun yaratilgan. Xavfsizlik xizmatlarini amalga oshirishda AH yoki ESP protokollaridan (yoki bir vaqtning o'zida ikkalasidan) foydalanish asosida SA tuziladi. SA terminallararo ulanish (nuqtadan nuqtaga) kontseptsiyasiga muvofiq belgilanadi va ikki rejimda ishlashi mumkin: transport rejimi (RTR) va tunnel rejimi (RTU). Transport rejimi ikkita IP tugunlari o'rtasida SA bilan amalga oshiriladi. Tunnel rejimida SA IP tunnelini hosil qiladi. Barcha SAlar IPsec modulining SADB (Xavfsizlik uyushmalari ma'lumotlar bazasi) da saqlanadi. Har bir SA uchta elementdan iborat noyob tokenga ega:
Ushbu uchta parametrga ega bo'lgan IPsec moduli ma'lum bir SA uchun SADBda yozuvni topishi mumkin. SA komponentlari ro'yxati quyidagilarni o'z ichiga oladi: Ishlab chiqarish raqami Maydonni shakllantirish uchun ishlatiladigan 32 bitli qiymat Tartib raqami AH va ESP sarlavhalarida. Tartib raqami hisoblagich to'lib toshgan Tartib raqami hisoblagichi to'lib ketganligini bildiruvchi bayroq. Takroriy hujumlarni bostirish oynasi Paket qayta uzatilishini aniqlash uchun ishlatiladi. Maydondagi qiymat bo'lsa Tartib raqami belgilangan diapazonga kirmaydi, paket yo'q qilinadi. Ma'lumot AH ishlatiladigan autentifikatsiya algoritmi, kerakli kalitlar, kalitning ishlash muddati va boshqa parametrlar. ESP haqida ma'lumot shifrlash va autentifikatsiya algoritmlari, kerakli kalitlar, ishga tushirish parametrlari (masalan, IV), kalitning ishlash muddati va boshqa parametrlar IPsec ish rejimi tunnel yoki transport MTU Parchalanishsiz virtual kanal orqali uzatilishi mumkin bo'lgan maksimal paket hajmi.Xavfsiz virtual ulanishlar (SA) oddiy bo'lgani uchun, dupleks kanalni tashkil qilish uchun kamida ikkita SA kerak bo'ladi. Bundan tashqari, har bir protokol (ESP/AH) har bir yo'nalish uchun o'z SAga ega bo'lishi kerak, ya'ni AH+ESP kombinatsiyasi to'rtta SAni talab qiladi. Bu ma'lumotlarning barchasi SADBda joylashgan.
SADB ma'lumotlar bazasiga qo'shimcha ravishda, IPsec ilovalari SPD (Xavfsizlik siyosati ma'lumotlar bazasi) ma'lumotlar bazasini qo'llab-quvvatlaydi. SPD yozuvi IP sarlavhasi maydoni qiymatlari va yuqori qatlam protokoli sarlavhasi maydonlaridan iborat. Bu maydonlar selektorlar deb ataladi. Selektorlar har bir paketni ma'lum bir SA ga moslashtirish uchun chiquvchi paketlarni filtrlash uchun ishlatiladi. Paket yaratilganda, paketdagi tegishli maydonlarning qiymatlari (selektor maydonlari) SPD tarkibidagilar bilan taqqoslanadi. Tegishli SAlar topiladi. Keyin paket uchun SA (agar mavjud bo'lsa) va unga tegishli xavfsizlik parametrlari indeksi (SPI) aniqlanadi. Shundan so'ng IPsec operatsiyalari (AH yoki ESP protokoli operatsiyalari) amalga oshiriladi. SPD tarkibidagi selektorlarga misollar:
Autentifikatsiya sarlavhasi
AH protokoli autentifikatsiya qilish uchun, ya'ni biz o'zimizni kimmiz deb hisoblaganimiz bilan muloqot qilayotganimizni va biz olgan ma'lumotlar uzatish paytida buzilmaganligini tasdiqlash uchun ishlatiladi. Chiqish IP paketlarini qayta ishlashAgar jo'natuvchi IPsec moduli paket AH bilan ishlov berishni o'z ichiga olgan SA bilan bog'langanligini aniqlasa, u qayta ishlashni boshlaydi. Tartibga (transport yoki tunnel rejimi) qarab, u AH sarlavhasini IP paketiga boshqacha kiritadi. Transport rejimida AH sarlavhasi IP protokoli sarlavhasidan keyin va yuqori qatlam protokoli sarlavhalaridan (odatda TCP yoki UDP) oldin joylashtiriladi. Tunnel rejimida butun asl IP-paket avval AH sarlavhasi, so'ngra IP protokoli sarlavhasi bilan o'ralgan. Bu sarlavha tashqi, asl IP-paket sarlavhasi esa ichki deyiladi. Shundan so'ng, jo'natuvchi IPsec moduli seriya raqamini yaratishi va uni maydonga yozishi kerak Tartib raqami. SA o'rnatilganda, tartib raqami 0 ga o'rnatiladi va har bir IPsec paketini yuborishdan oldin bittaga oshiriladi. Bunga qo'shimcha ravishda, hisoblagich pastadirga o'tganligini tekshirish amalga oshiriladi. Agar u maksimal qiymatga yetgan bo'lsa, u 0 ga qaytariladi. Agar takrorlashni oldini olish xizmati ishlatilsa, hisoblagich maksimal qiymatiga yetganda, jo'natuvchi IPsec moduli SA ni qayta o'rnatadi. Bu paketni qayta yuborishdan himoyani ta'minlaydi - qabul qiluvchi IPsec moduli maydonni tekshiradi Tartib raqami, va qayta kelgan paketlarni e'tiborsiz qoldiring. Keyinchalik, ICV nazorat summasi hisoblanadi. Shuni ta'kidlash kerakki, bu erda nazorat summasi maxfiy kalit yordamida hisoblanadi, bu holda tajovuzkor xeshni qayta hisoblay oladi, lekin kalitni bilmasdan, u to'g'ri nazorat summasini ishlab chiqa olmaydi. ICVni hisoblash uchun ishlatiladigan maxsus algoritmlarni RFC 4305 da topish mumkin. Hozirgi vaqtda, masalan, HMAC-SHA1-96 yoki AES-XCBC-MAC-96 algoritmlaridan foydalanish mumkin. AH protokoli IPsec paketining quyidagi maydonlari asosida nazorat summasini (ICV) hisoblab chiqadi:
Kirish IP paketlarini qayta ishlashAH protokoli xabarini o'z ichiga olgan paketni olgandan so'ng, IPsec qabul qiluvchi moduli qabul qiluvchining IP manzili, xavfsizlik protokoli (SA) va SPI indeksidan foydalangan holda tegishli SADB (Xavfsizlik uyushmalari ma'lumotlar bazasi) ni qidiradi. Agar mos keladigan SA topilmasa, paket o'chiriladi. Topilgan xavfsiz virtual ulanish (SA) paketni takrorlashni oldini olish xizmatidan foydalanilayotganligini ko'rsatadi, ya'ni. maydonni tekshirish zarurati haqida Tartib raqami. Agar xizmat ishlatilsa, maydon tekshiriladi. Buning uchun toymasin oyna usuli qo'llaniladi. Qabul qiluvchi IPsec moduli kengligi Vt bo'lgan oyna hosil qiladi. Oynaning chap qirrasi minimal tartib raqamiga mos keladi( Tartib raqami) N to'g'ri qabul qilingan paket. Maydon bilan paket Tartib raqami N+1 dan N+W gacha bo'lgan qiymatni o'z ichiga olgan , to'g'ri qabul qilingan. Qabul qilingan paket oynaning chap chegarasida bo'lsa, u yo'q qilinadi. Keyin IPsec qabul qiluvchi moduli SA yozuvidan o'rgangan autentifikatsiya algoritmi yordamida qabul qilingan paketning tegishli maydonlaridan ICVni hisoblab chiqadi va natijani Integrity Check Value maydonida joylashgan ICV qiymati bilan solishtiradi. Agar hisoblangan ICV qiymati qabul qilingan qiymatga to'g'ri kelsa, kiruvchi paket haqiqiy hisoblanadi va keyingi IP qayta ishlash uchun qabul qilinadi. Agar tekshiruv salbiy natija bersa, qabul qiluvchi paket yo'q qilinadi.
IPsec chiqish paketlarini qayta ishlashAgar jo'natuvchi IPsec moduli paket ESP bilan ishlov berishni talab qiluvchi SA bilan bog'langanligini aniqlasa, u qayta ishlashni boshlaydi. Rejimga (transport yoki tunnel rejimi) qarab, asl IP-paket boshqacha tarzda qayta ishlanadi. Transport rejimida uzatuvchi IPsec moduli manba IP paketining sarlavhasiga ta'sir qilmasdan, ESP sarlavhasi va ESP treyleridan foydalangan holda yuqori darajadagi protokolni (masalan, TCP yoki UDP) ramkalash (kapsulalash) protsedurasini amalga oshiradi. Tunnel rejimida IP-paket ESP sarlavhasi va ESP treyleri bilan o'ralgan, keyin esa tashqi IP sarlavhasi bilan o'ralgan. Keyinchalik, shifrlash amalga oshiriladi - transport rejimida faqat asosiy qatlam ustidagi protokol xabari shifrlanadi (ya'ni, manba paketidagi IP sarlavhasidan keyin bo'lgan hamma narsa), tunnel rejimida butun manba IP paketi. Yuboruvchi IPsec moduli SA yozuvidan shifrlash algoritmi va maxfiy kalitni aniqlaydi. IPsec standartlari uch tomonlama DES, AES va Blowfish shifrlash algoritmlaridan foydalanishga imkon beradi. To'g'ri matnning o'lchami ma'lum bir bayt sonining ko'paytmasi bo'lishi kerakligi sababli, masalan, blok algoritmlari uchun blok hajmi, shifrlangan xabarni kerakli to'ldirish ham shifrlashdan oldin amalga oshiriladi. Shifrlangan xabar maydonga joylashtiriladi Foydali yuk ma'lumotlari. Dalada Plitka uzunligi qo'shimcha uzunligiga mos keladi. Keyin, AHda bo'lgani kabi, hisoblab chiqiladi Tartib raqami. Shundan so'ng nazorat summasi (ICV) hisoblanadi. Tekshirish summasi, AH protokolidan farqli o'laroq, uni hisoblashda IP sarlavhasining ba'zi maydonlari ham hisobga olinadi, ESPda u faqat ESP paketining maydonlaridan ICV maydonini hisobga olmaganda hisoblanadi. Tekshirish summasini hisoblashdan oldin u nollar bilan to'ldiriladi. ICV hisoblash algoritmi, AH protokolidagi kabi, uzatuvchi IPsec moduli tomonidan qayta ishlanayotgan paket bog'langan SA yozuvidan o'rganiladi. Kiruvchi IPsec paketlarini qayta ishlashESP protokoli xabarini o'z ichiga olgan paketni olgandan so'ng, IPsec qabul qiluvchi moduli qabul qiluvchining IP manzili, xavfsizlik protokoli (ESP) va SPI indeksidan foydalangan holda SADB (Xavfsizlik uyushmalari ma'lumotlar bazasi) da tegishli xavfsiz virtual ulanishni (SA) qidiradi. Agar mos keladigan SA topilmasa, paket o'chiriladi. Topilgan xavfsiz virtual ulanish (SA) paketni takrorlashni oldini olish xizmatidan foydalanilayotganligini ko'rsatadi, ya'ni. Tartib raqami maydonini tekshirish zarurati. Agar xizmat ishlatilsa, maydon tekshiriladi. Buning uchun, AHda bo'lgani kabi, toymasin oyna usuli qo'llaniladi. Qabul qiluvchi IPsec moduli kengligi Vt bo'lgan oyna hosil qiladi. Oynaning chap qirrasi to'g'ri qabul qilingan paketning minimal N tartib raqamiga to'g'ri keladi. N+1 dan N+W gacha bo'lgan qiymatni o'z ichiga olgan Tartib raqami maydoniga ega paket to'g'ri qabul qilindi. Qabul qilingan paket oynaning chap chegarasida bo'lsa, u yo'q qilinadi. Keyin, agar autentifikatsiya xizmati ishlatilsa, IPsec qabul qiluvchi moduli SA yozuvidan o‘rgangan autentifikatsiya algoritmi yordamida qabul qilingan paketning tegishli maydonlaridan ICVni hisoblab chiqadi va natijani Integrity Check Value maydonida joylashgan ICV qiymati bilan solishtiradi. Agar hisoblangan ICV qiymati qabul qilinganiga to'g'ri kelsa, kiruvchi paket haqiqiy hisoblanadi. Agar tekshiruv salbiy natija bersa, qabul qiluvchi paket yo'q qilinadi. Keyinchalik, paket shifrlangan. IPsec qabul qiluvchi moduli SA yozuvidan qaysi shifrlash algoritmi va maxfiy kalit ishlatilishini bilib oladi. Shuni ta'kidlash kerakki, nazorat summasini tekshirish va shifrni ochish protsedurasi nafaqat ketma-ket, balki parallel ravishda ham amalga oshirilishi mumkin. Ikkinchi holda, nazorat summasini tekshirish protsedurasi shifrni ochish protsedurasidan oldin tugashi kerak va agar ICV tekshiruvi muvaffaqiyatsiz bo'lsa, shifrni ochish protsedurasi ham tugatilishi kerak. Bu sizga buzilgan paketlarni tezda aniqlash imkonini beradi, bu esa, o'z navbatida, xizmat ko'rsatishni rad etish hujumlaridan (DOS hujumlari) himoya darajasini oshiradi. Keyingi - maydonga muvofiq shifrlangan xabar Keyingi sarlavha keyingi ishlov berish uchun topshiriladi. FoydalanishIPsec protokoli asosan VPN tunnellarini tashkil qilish uchun ishlatiladi. Bunday holda, ESP va AH protokollari tunnel rejimida ishlaydi. Bundan tashqari, xavfsizlik siyosatini ma'lum bir tarzda sozlash orqali, protokol xavfsizlik devorini yaratish uchun ishlatilishi mumkin. Xavfsizlik devorining mohiyati shundaki, u o'zidan o'tadigan paketlarni belgilangan qoidalarga muvofiq boshqaradi va filtrlaydi. Qoidalar to'plami o'rnatiladi va ekran u orqali o'tadigan barcha paketlarni ko'rib chiqadi. Agar uzatilgan paketlar ushbu qoidalar doirasiga kirsa, xavfsizlik devori ularni mos ravishda qayta ishlaydi. Misol uchun, u ma'lum paketlarni rad etishi mumkin va shu bilan xavfli ulanishlarni to'xtatadi. Xavfsizlik siyosatini mos ravishda o'rnatish orqali siz, masalan, Internet-trafikni bloklashingiz mumkin. Buning uchun HTTP va HTTPS protokoli xabarlarini o'z ichiga olgan paketlarni yuborishni taqiqlash kifoya. IPsec serverlarni himoya qilish uchun ham ishlatilishi mumkin - buning uchun server funktsiyalarini to'g'ri bajarish uchun zarur bo'lganlardan tashqari barcha paketlar o'chiriladi. Masalan, veb-server uchun TCP port 80 orqali yoki HTTPS foydalanilgan hollarda 443 TCP port orqali ulanishlardan tashqari barcha trafikni bloklashingiz mumkin. Shuningdek qarangHavolalar
0 Ushbu maqola virtual xususiy tarmoqlarni (VPN) yaratish uchun ishlatiladigan Cisco mahsulotlarida mavjud bo'lgan IP xavfsizligi (IP xavfsizligi) vositalari va tegishli IPSec protokollari haqida umumiy ma'lumot beradi. Ushbu maqolada biz IPSEC nima ekanligini va IPSEC asosida qanday protokollar va xavfsizlik algoritmlari yotishini aniqlaymiz. KirishIP xavfsizligi - bu IP-paketlarni tashish paytida shifrlash, autentifikatsiya va xavfsizlik masalalari bilan shug'ullanadigan protokollar to'plami; u hozirda 20 ga yaqin standart takliflarini va 18 ta RFCni o'z ichiga oladi.Cisco VPN mahsulotlari boy VPN imkoniyatlarini taqdim etish uchun sanoat standarti bo'lgan IPSec protokol to'plamidan foydalanadi. IPSec Internet kabi himoyalanmagan tarmoqlar orqali uzatiladigan ma'lumotlarning maxfiyligi, yaxlitligi va ishonchliligini ta'minlovchi IP tarmoqlari orqali xavfsiz ma'lumotlarni uzatish mexanizmini taklif etadi. IPSec Cisco tarmoqlarida quyidagi VPN imkoniyatlarini taqdim etadi:
IPSec - bu standartlarga asoslangan xavfsizlik protokollari va algoritmlari to'plami. IPSec texnologiyasi va unga tegishli xavfsizlik protokollari Internet muhandislik bo'yicha ishchi guruhi (IETF) tomonidan qo'llab-quvvatlanadigan va RFC spetsifikatsiyalari va IETF loyihalarida tavsiflangan ochiq standartlarga mos keladi. IPSec tarmoq sathida ishlaydi, Cisco routerlari, PIX xavfsizlik devorlari, Cisco VPN mijozlari va konsentratorlari va IPSec-ni qo'llab-quvvatlaydigan ko'plab boshqa mahsulotlar kabi IPSec qurilmalari (tomonlari) o'rtasida yuborilgan IP-paketlar uchun xavfsizlik va autentifikatsiyani ta'minlaydi. IPSec juda kichik tarmoqlardan juda katta tarmoqlargacha bo'lgan shkalalarni qo'llab-quvvatlaydi. Xavfsizlik uyushmasi (SA)IPSec aloqa qiluvchi tomonlar o'rtasidagi aloqalarni autentifikatsiya qilish va shifrlashning standart usulini taklif qiladi. Aloqa xavfsizligini ta'minlash uchun IPSec standart shifrlash va autentifikatsiya algoritmlaridan (ya'ni, matematik formulalardan) foydalanadi. IPSec shifrlash kalitlarini muhokama qilish va ulanishni boshqarish uchun ochiq standartlardan foydalanadi, bu tomonlar o'rtasida o'zaro hamkorlikni ta'minlaydi. IPSec texnologiyasi IPSec tomonlarga xizmatlardan kelishilgan holda foydalanish bo'yicha "muzokaralar olib borish" imkonini beruvchi usullarni taklif etadi. IPSec kelishilgan parametrlarni belgilash uchun xavfsizlik assotsiatsiyalaridan foydalanadi.Mudofaa uyushmasi(Xavfsizlik assotsiatsiyasi - SA) - aloqa qiluvchi tomonlarning ikkita qurilmasi o'rtasida almashish uchun mo'ljallangan ma'lumotlarni qayta ishlashning kelishilgan siyosati yoki usuli. Bunday siyosatning tarkibiy qismlaridan biri ma'lumotlarni shifrlash uchun ishlatiladigan algoritm bo'lishi mumkin. Ikkala tomon ham shifrlash va shifrni ochish uchun bir xil algoritmdan foydalanishlari mumkin. Samarali SA parametrlari ikkala tomonning Xavfsizlik uyushmasi ma'lumotlar bazasida (SAD) saqlanadi. SA ning har ikki tomonidagi ikkita kompyuterda SAda ishlatiladigan rejim, protokol, algoritmlar va kalitlar saqlanadi. Har bir SA faqat bitta yo'nalishda qo'llaniladi. Ikki tomonlama aloqa ikkita SAni talab qiladi. Har bir SA bitta rejim va protokolni amalga oshiradi; Shunday qilib, agar bitta paket uchun ikkita protokoldan foydalanish kerak bo'lsa (masalan, AH va ESP), u holda ikkita SA talab qilinadi. IKE (Internet Key Exchange) protokoli gibrid protokol boʻlib, u IPSec uchun maʼlum bir xizmat, yaʼni IPSec tomonlarini autentifikatsiya qilish, IKE va IPSec xavfsizlik assotsiatsiyasi parametrlari boʻyicha muzokaralar olib borish va IPSec ichida qoʻllaniladigan shifrlash algoritmlari uchun kalitlarni tanlash imkonini beradi. IKE protokoli Internet xavfsizligi assotsiatsiyasi va kalitlarni boshqarish protokoli (ISAKMP) va Oakley protokollariga tayanadi, ular IPSec transformatsiyalarida ishlatiladigan shifrlash kalitlarini yaratish va qayta ishlashni boshqarish uchun ishlatiladi. IKE protokoli potentsial IPSec tomonlari o'rtasida xavfsizlik assotsiatsiyasini yaratish uchun ham ishlatiladi. Xesh funktsiyasi to'qnashuvga chidamli funksiyadir. To'qnashuvga qarshilik deganda ikki xil m1 va m2 xabarlarni topish mumkin emasligi tushuniladi. H(m1)=H(m2), bu yerda H hash funksiyasi. Pseudo-tasodifiy funktsiyalarga kelsak, hozirda HMAC dizaynida maxsus PRFlar o'rniga xesh funksiyasi qo'llaniladi (HMAC - bu hash funktsiyalaridan foydalangan holda xabarni autentifikatsiya qilish mexanizmi). HMAC ni aniqlash uchun bizga kriptografik xesh funksiyasi (uni H deb ataymiz) va maxfiy kalit K kerak. Faraz qilamizki, H ma’lumotlar bloklari ketma-ketligiga ketma-ket qo‘llaniladigan siqish protsedurasi yordamida ma’lumotlar xeshlanadi. Biz B bilan bunday bloklarning baytdagi uzunligini va L (L) tomonidan xeshlash natijasida olingan bloklarning uzunligini belgilaymiz. "Matn" ma'lumotlaridan HMACni hisoblash uchun siz quyidagi amalni bajarishingiz kerak: H(K XOR opad, H(K XOR ipad, matn)) Tavsifdan kelib chiqadiki, IKE tomonlarni autentifikatsiya qilish uchun HASH qiymatlaridan foydalanadi. E'tibor bering, bu holda HASH faqat ISAKMP-dagi foydali yuk nomiga ishora qiladi va bu nom uning mazmuniga hech qanday aloqasi yo'q. IPSec infratuzilmasiIPSec-ga asoslangan VPN tarmoqlari turli xil Cisco qurilmalari - Cisco routerlari, Cisco Secure PIX Firewalls, Cisco Secure VPN mijoz dasturiy ta'minoti va Cisco VPN 3000 va 5000 seriyali konsentratorlari yordamida qurilishi mumkin. Cisco routerlarida tegishli boyliklar bilan o'rnatilgan VPN yordami mavjud. Cisco dasturiy ta'minot imkoniyatlari IOS, bu tarmoq yechimlarining murakkabligini pasaytiradi va VPNning umumiy narxini pasaytiradi, shu bilan birga taqdim etilgan xizmatlarni ko'p darajali himoya qilish imkonini beradi. PIX xavfsizlik devori tunnel so'nggi nuqtalariga xizmat ko'rsatishi mumkin bo'lgan yuqori samarali tarmoq qurilmasi bo'lib, ularni yuqori o'tkazuvchanlik va yuqori darajadagi xavfsizlik devori funksiyalari bilan ta'minlaydi. CiscoSecure VPN mijoz dasturi elektron tijorat va mobil kirish ilovalari uchun eng qat'iy masofaviy kirish VPN talablarini qo'llab-quvvatlaydi, IPSec standartlarini to'liq amalga oshirishni taklif qiladi va Cisco routerlari va PIX Firewalllar o'rtasida ishonchli hamkorlikni ta'minlaydi.IPSec qanday ishlaydiIPSec bir qator texnologiyalar va shifrlash usullariga tayanadi, lekin IPSec odatda quyidagi asosiy qadamlar sifatida qaralishi mumkin:
IPsec - bu bitta protokol emas, balki IP tarmoqlarining tarmoq darajasida ma'lumotlarni himoya qilish uchun mo'ljallangan protokollar tizimi. Ushbu maqolada VPN tunnelini yaratish uchun IPsec dan foydalanish nazariyasi tasvirlanadi. KirishIPsec texnologiyasiga asoslangan VPNni ikki qismga bo'lish mumkin:
Birinchi qism (IKE) muzokaralar bosqichi bo'lib, uning davomida ikkita VPN nuqtasi ular o'rtasida yuborilgan IP-trafikni himoya qilish uchun qaysi usullardan foydalanishni tanlaydi. Bundan tashqari, IKE har bir ulanish uchun Xavfsizlik Assotsiatsiyasi (SA) kontseptsiyasini joriy etish orqali ulanishlarni boshqarish uchun ham ishlatiladi. SA'lar faqat bitta yo'nalishga ishora qiladi, shuning uchun odatiy IPsec ulanishi ikkita SA'dan foydalanadi. Ikkinchi qism - bu birinchi qismda kelishilgan usullardan (IKE) foydalangan holda uzatishdan oldin shifrlanishi va autentifikatsiya qilinishi kerak bo'lgan IP ma'lumotlari. Foydalanish mumkin bo'lgan turli xil IPsec protokollari mavjud: AH, ESP yoki ikkalasi. IPsec orqali VPN o'rnatish ketma-ketligini qisqacha quyidagicha ta'riflash mumkin:
IKE, Internet kalitlari almashinuviMa'lumotlarni shifrlash va autentifikatsiya qilish uchun siz shifrlash/autentifikatsiya usulini (algoritm) va ularda ishlatiladigan kalitlarni tanlashingiz kerak. Bu holda Internet Key Exchange protokoli, IKE vazifasi "sessiya kaliti" ma'lumotlarini tarqatish va VPN nuqtalari o'rtasida ma'lumotlarni himoya qiladigan algoritmlarni kelishishdan iborat. IKE ning asosiy vazifalari:
IKE ulanishlarni kuzatib boradi, ularning har biriga ma'lum bir Xavfsizlik assotsiatsiyasi, SA tayinlaydi. SA ma'lum bir ulanish parametrlarini, shu jumladan IPsec protokoli (AH/ESP yoki ikkalasi), ma'lumotlarni shifrlash/parchalash va/yoki autentifikatsiya qilish uchun ishlatiladigan seans kalitlarini tavsiflaydi. SA bir yo'nalishli, shuning uchun har bir ulanish uchun bir nechta SA ishlatiladi. Ko'pgina hollarda, faqat ESP yoki AH ishlatilganda, har bir ulanish uchun faqat ikkita SA yaratiladi, biri kiruvchi trafik uchun, biri esa chiquvchi trafik uchun. ESP va AH birgalikda ishlatilsa, SA to'rtta talab qiladi. IKE muzokaralari jarayoni bir necha bosqichlardan (bosqichlardan) o'tadi. Bu bosqichlarga quyidagilar kiradi:
IKE va IPsec ulanishlari davomiyligi (sekundlarda) va uzatiladigan ma'lumotlar miqdori (kilobaytlarda) bilan cheklangan. Bu xavfsizlikni oshirish uchun amalga oshiriladi. IKE bo'yicha muzokaralar olib borish uchun IKE Proposal tushunchasi kiritiladi - bu ma'lumotlarni himoya qilish bo'yicha taklif. IPsec ulanishini boshlagan VPN nuqtasi ulanishni ta'minlashning turli usullarini ko'rsatuvchi ro'yxatni (jumlani) yuboradi. 1-bosqich IKE - IKE xavfsizlik muzokaralari (ISAKMP tunnel) 2-bosqich IKE - IPsec xavfsizligi bo'yicha muzokaralar Agar mexanizm ishlatilsa Ekspeditsiyaning mukammal siri (PFS), keyin har bir ikkinchi bosqich muzokaralari uchun yangi Diffie-Hellman kalit almashinuvi qo'llaniladi. Ishlash tezligini biroz pasaytirib, ushbu protsedura seans tugmachalarining bir-biridan mustaqil bo'lishini ta'minlaydi, bu xavfsizlikni oshiradi, chunki kalitlardan biri buzilgan bo'lsa ham, qolganlarini tanlash uchun undan foydalanib bo'lmaydi. IKE muzokarasining ikkinchi bosqichi uchun faqat bitta ish rejimi mavjud, u tezkor rejim deb ataladi. Muzokaralarning ikkinchi bosqichida uchta xabar almashiladi. Ikkinchi bosqich oxirida VPN ulanishi o'rnatiladi. IKE imkoniyatlari.
IKE autentifikatsiya usullari
IPsec protokollariIPsec protokollari uzatilgan ma'lumotlarni himoya qilish uchun ishlatiladi. Protokol va uning kalitlarini tanlash IKE muzokaralari paytida sodir bo'ladi. AH (autentifikatsiya sarlavhasi)AH uzatilgan ma'lumotlarni autentifikatsiya qilish imkoniyatini beradi. Buning uchun IP paketidagi ma'lumotlarga nisbatan kriptografik xesh funksiyasi qo'llaniladi. Ushbu funktsiyaning chiqishi (xesh) paket bilan birga yuboriladi va masofaviy VPN nuqtasiga asl IP-paketning yaxlitligini tasdiqlash imkonini beradi va bu yo'lda o'zgartirilmaganligini tasdiqlaydi. IP-paket ma'lumotlariga qo'shimcha ravishda, AH o'z sarlavhasining bir qismini ham autentifikatsiya qiladi. Transport rejimida AH o'zining sarlavhasini asl IP-paketdan keyin joylashtiradi. ESP (Kapsullangan xavfsizlik yuki)ESP protokoli IP-paketga nisbatan shifrlash, autentifikatsiya yoki ikkalasi uchun ishlatiladi. Transport rejimida ESP protokoli o'zining sarlavhasini asl IP sarlavhasidan keyin qo'yadi. ESP va AH o'rtasidagi ikkita asosiy farq:
NAT (NAT Traversal) orqasida ishlash
NAT Traversal faqat ikkala so'nggi nuqta uni qo'llab-quvvatlasa ishlatiladi. Yakuniy nuqtalar NAT Traversal zarurligini aniqlagandan so'ng, IKE muzokaralari UDP 500 portidan 4500 portiga o'tadi. Bu ba'zi qurilmalar NAT dan foydalanilganda 500 portdagi IKE seansini to'g'ri bajarmagani uchun amalga oshiriladi. |
Mashhur:
Yangi
- Ramka kiritish. Ramkalar yaratish. noframes zaxirasini ta'minlash
- Windows tizimini qayta tiklash Hech qachon tugamaydigan avtomatik tiklashga tayyorgarlik
- Dasturlar yordamida flesh-diskni ta'mirlash Noutbukdagi USB portni qanday tuzatish kerak
- Disk tuzilishi buzilgan, o'qish mumkin emas, nima qilishim kerak?
- Qattiq disk kesh xotirasi nima va u nima uchun kerak?Kesh hajmi nima uchun javob beradi?
- Kompyuter nimadan iborat?
- Tizim blokining tuzilishi - qaysi komponentlar kompyuterning ishlashi uchun javobgardir Tizim blokining ichki qurilmalari xususiyatlari
- Qattiq diskni SSD ga qanday o'zgartirish mumkin
- Kirish qurilmalari kiradi
- Yozilgan dasturlash tili Ushbu o'zgaruvchilar turlari bilan nima qilish kerak