Sistem 

 VPN mənimsənilməsi: Cisco-da IPSec-in qurulması. IPsec VPN. Əsaslar nmac istifadə edərək esp şifrələməsi

Biz artıq IPSec konsepsiyasını müzakirə etdik, bu materialda IPSec-ə daha ətraflı baxacağıq.

Beləliklə, IPSec adı IP Təhlükəsizlikdən gəlir.
IPSec, Layer3 səviyyəsində IP paketlərini qorumaq üçün istifadə olunan protokollar və alqoritmlər toplusudur.

IPSec sizə zəmanət verir:
- Məxfilik - şifrələmədən istifadə etməklə
- Məlumatların bütövlüyü - Hashing və HMAC vasitəsilə\
- Doğrulama - Rəqəmsal İmzalar və ya Əvvəlcədən Paylaşılan Açardan (PSK) istifadə etməklə.

Əsas IPsec protokollarını sadalayaq:
ESP və AH: IPsec-də istifadə olunan iki əsas protokol.
Kapsullaşdıran Təhlükəsizlik Yükü (ESP), IPsec üçün tələb olunan hər şeyi edə bilər və
Doğrulama Başlığı (AH), şifrələmədən, məlumatların şifrələnməsindən başqa hər şeyi edə bilər, buna görə də ESP ən çox istifadə olunur.
Məxfilik üçün şifrələmə alqoritmləri: DES, 3DES, AES.
Bütövlük üçün hashing alqoritmləri: MD5, SHA.
Doğrulama alqoritmləri: Əvvəlcədən paylaşılan açarlar (PSK), RSA rəqəmsal imzaları.
Əsas idarəetmə: Məsələn, istifadə edilə bilən Diffie-Hellman (DH) ola bilər
simmetrik alqoritmlər tərəfindən istifadə ediləcək simmetrik açarları dinamik şəkildə yaratmaq; PKI
etibarlı CA-lar tərəfindən verilmiş rəqəmsal sertifikatların funksiyasını dəstəkləyən; və İnternet
Açar Mübadilə (IKE), bizim üçün bir çox danışıqlar və idarəetməni həyata keçirir
İşləmək üçün IPsec.

IPSec niyə lazımdır

İki ofisi birləşdirmək üçün aşağıdakı sadə topologiyanı nəzərdən keçirin.

Biz iki ofisi birləşdirməli və aşağıdakı məqsədlərə çatmalıyıq:

  • Məxfilik- məlumatların şifrələnməsi vasitəsilə təmin edilir.
  • Məlumatların bütövlüyü- hashing və ya vasitəsilə təmin edilir Hashed Message Authentication Code (HMAC), - verilənlərin dəyişdirilməməsini təmin etmək üsulları.
  • İdentifikasiyası- istifadə etməklə təmin edilir əvvəlcədən paylaşılan açarlar (PSK), və ya rəqəmsal imzalar. HMAC istifadə edərkən identifikasiya daim baş verir.
  • Antireplay qorunması- bütün VPN paketləri nömrələnir, bu da onları təkrarlanmadan qoruyur.

IPSec protokolları və portları

IKEv1 Mərhələ 1 UDP port 500 IKEv1 Faza 1 danışıqlar üçün UDP:500 istifadə edir.
NAT-T
keçid) 		UDP portu 4500 NAT Traversal, NAT-ı keçmək üçün cihazlar tərəfindən istifadə olunur. Hər iki cihaz bir-birinə NAT vasitəsilə qoşulursa: onlar saxta UDP portu 4500 qoymaq istəyirlər
hər bir IPsec paketindəki başlıq (ESP başlığından əvvəl).
Əks halda problem yarada biləcək bir NAT cihazından sağ çıxın
ESP sessiyasını izləmək (Layer 4 protokolu 50)
ESP Layer 4 Protokol
50 		Bütün IPSec paketləri ESP-nin Layer 4 protokoludur (IP Protocol #50), bütün məlumatlar onun içinə daxil edilmişdir. Adətən ESP (AH deyil) istifadə olunur. NAT-T istifadə edilərsə, ESP başlığı ikinci UDP başlığı ilə bağlanır.
A.H. Layer 4 protokolu
51 		AH paketləri AH-nin Layer 4 protokolunu təmsil edir (IP Protokol #51). AH faydalı yükün şifrələnməsini dəstəkləmir və buna görə də nadir hallarda istifadə olunur.

IPSec əməliyyatı

Təhlükəsiz VPN bağlantısı yaratmaq üçün IPSec istifadə edir İnternet Açar Mübadiləsi (IKE).
IKE təmin edilmiş çərçivədir İnternet Təhlükəsizliyi Assosiasiyası, və Açar İdarəetmə Protokolu (ISAKMP)

Beləliklə, konfiqurasiyamızda hər iki marşrutlaşdırıcı kimi çıxış edəcəkdir VPN şluz və ya IPsec həmyaşıdları.

Fərz edək ki, 10.0.0.0 şəbəkəsindəki istifadəçi 172.16.0.0 şəbəkəsinə paket göndərir.
Tunel hələ yaradılmadığı üçün R1 ikinci marşrutlaşdırıcı R2 ilə danışıqlara başlayacaq.

Addım 1: IKEv1 Faza 1 Tuneli ilə bağlı danışıqlar aparın

Routerlər arasında ilk addım yüksəlir İnternet Açar Mübadiləsi (IKE) Faza 1 tuneli.
Belə bir tunel istifadəçi məlumatlarının ötürülməsi üçün nəzərdə tutulmayıb, lakin rəsmi məqsədlər üçün, idarəetmə trafikini qorumaq üçün istifadə olunur.

IKE Faza 1 tunelinin qaldırılması iki rejimdə həyata keçirilə bilər:
- əsas rejim
- aqressiv rejim
Əsas rejim çoxlu sayda paket mübadiləsini tələb edir, lakin eyni zamanda daha təhlükəsiz hesab olunur.

IKE Faza 1 tunelini qaldırmaq üçün aşağıdakı elementlər müzakirə edilməlidir:

  • Hash alqoritmi: Ola bilər mesaj həzm 5 alqoritmi (MD5) və ya Təhlükəsiz Hash
    Alqoritm (SHA)    .
  • Şifrələmə alqoritmi: Rəqəmsal Şifrələmə Standartı (DES)(zəif, tövsiyə edilmir), Üçlü DES (3DES)(bir az daha yaxşı) və ya Qabaqcıl Şifrələmə Standartı (AES)(tövsiyə olunur) AES müxtəlif uzunluqlu açarlardan istifadə edə bilər: nə qədər uzunsa bir o qədər təhlükəsizdir.
  • İstifadə etmək üçün Diffie-Hellman (DH) qrupu: DH "qrupu" modul ölçüsünə (uzunluğu
    açar) DH açarı mübadiləsi üçün istifadə etmək. 1-ci qrup 768 bit, 2-ci qrup 1024 bit istifadə edir və
    5-ci qrup 1536-dan istifadə edir. Daha təhlükəsiz DH qrupları yeni nəsil şifrələmənin bir hissəsidir
    (NGE):
    - Qrup 14 və ya 24: 2048-bit DH təmin edir
    - Qrup 15 və 16: 3072-bit və 4096-bit DH dəstəyi
    - Qrup 19 və ya 20: Müvafiq olaraq 256-bit və 384-bit ECDH qruplarını dəstəkləyir

    DH-nin vəzifəsi açar materialı (simmetrik açarlar) yaratmaqdır. Bu açarlar məlumat ötürmək üçün istifadə olunacaq.
    DH özü asimmetrikdir, lakin açarları simmetrik olaraq yaradır.

  • Doğrulama üsulu: şəklində ola bilər əvvəlcədən paylaşılan açar (PSK) və ya RSA imzaları
  • Ömür boyu: IKE Faza 1 tunelinin ömrü. Uyğun olmayan yeganə parametr. Ömrü nə qədər qısa olsa, düymələr bir o qədər tez-tez dəyişdiriləcək və bir o qədər təhlükəsiz olacaq.

Addım 2: DH Açar Mübadiləsini işə salın

Marşrutlaşdırıcılar IKE Faza 1 siyasəti ilə razılaşdıqdan sonra DH açarlarının mübadiləsi prosesinə başlaya bilərlər. DH, hələ aralarında təhlükəsiz əlaqəsi olmayan iki cihaza AES kimi simmetrik alqoritmlər tərəfindən istifadə ediləcək simmetrik açarları etibarlı şəkildə dəyişməyə imkan verir.

Addım 3: Həmyaşıdın doğruluğunu yoxlayın

IKE Faza 1-də ediləcək son şey, iki üsuldan (PSK və ya RSA rəqəmsal imzaları) istifadə etməklə edilə bilən hostların qarşılıqlı autentifikasiyasıdır.
Doğrulama uğurlu olarsa, IKE Faza 1 tuneli hazır hesab olunur. Tunel iki istiqamətlidir.

Addım 4: IKE Mərhələ 2

IKE Faza 1 tuneli qaldırıldıqdan sonra marşrutlaşdırıcılar IKE Faza 1 tunelini qaldırmağa başlayır.
Artıq qeyd edildiyi kimi, IKE Faza 1 tuneli sırf xidmət, idarəetmə danışıqları tunelidir və bütün trafik IKE Faza 2 tunelini qaldırmaq üçün ondan keçir.
IKE Faza 2 tuneli də hashing və şifrələmə alqoritmlərindən istifadə edir.
IKE Faza 2 tunelinin qaldırılması bir rejimdə həyata keçirilə bilər:
- sürətli rejim

IKE Faza 2 tuneli əslində iki bir istiqamətli tuneldən ibarətdir, yəni. yaradıldıqlarını deyə bilərik:
İki istiqamətli olan bir IKE Faza 1 tuneli kommunal funksiyalar üçün istifadə olunur.
Və bir istiqamətli olan və faydalı yük trafikini şifrələmək üçün istifadə olunan iki IKE Faza 2 tuneli.
Bütün bu tunellər də adlanır iki VPN həmyaşıdı arasında təhlükəsizlik müqavilələri və ya təhlükəsizlik birlikləri (SA).
Hər bir SA-nın özünəməxsus nömrəsi var.

İndi IKE Faza 2 tuneli qaldırıldıqdan sonra xarici interfeyslərdən çıxan bütün paketlər şifrələnəcək.

Tənzimləmə nümunəsi


Nümunə olaraq bu sxemdən istifadə edərək IPsec-in qurulması nümunəsinə baxaq.

  1. Maraqlı trafiki konfiqurasiya edin
    Əvvəlcə şifrələyəcəyimiz trafiki müəyyənləşdirməliyik.
    Router R1
    ip giriş siyahısı genişləndirilmiş VPN-ACL icazəsi ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    Router R2

    ip giriş siyahısı genişləndirilmiş VPN-ACL icazəsi ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
  2. Faza 1-i konfiqurasiya edin (ISAKMP)
    Mərhələ 1 xidmət məqsədləri üçün istifadə olunan tuneli qaldırır: paylaşılan məxfi açarların mübadiləsi, autentifikasiya, IKE təhlükəsizlik siyasətlərini müzakirə etmək və s.
    Müxtəlif prioritetlərlə bir neçə isakmp siyasəti yaradıla bilər.

    Router R1

    kripto isakmp açarı gizli açar ünvanı 200.200.200.1

    Router R2

    kripto isakmp siyasəti 1 şifrələmə 3des hash md5 autentifikasiyası öncədən paylaşma qrupu 2
    kripto isakmp açarı məxfi açar ünvanı 100.100.100.1

    Burada açar IKE Faza 1 identifikasiyası üçün marşrutlaşdırıcılar tərəfindən istifadə edilən PSK (Preshared Key)dir.

  3. Faza 2-ni konfiqurasiya edin (IPSEc)
    IKE Faza 2 Tunelinin məqsədi faydalı trafiki iki ofisin sahibləri arasında ötürməkdir.
    Faza 2 Tunel parametrləri transform dəstləri adlanan dəstlərə qruplaşdırılır.
    Router R1
    kripto ipsec transform-set TRSET esp-3des esp-md5-hmac ! kripto xəritəsi VPNMAP 10 ipsec-isakmp set peer 200.200.200.1 set transform-set TRSET uyğun ünvanı VPN-ACL ! interfeysi FastEthernet0/0 kripto xəritəsi VPNMAP

    Router R2

    kripto ipsec transform-set TRSET esp-3des esp-md5-hmac ! kripto xəritəsi VPNMAP 10 ipsec-isakmp set peer 100.100.100.1 set transform-set TRSET uyğun ünvanı VPN-ACL ! interfeysi FastEthernet0/0 kripto xəritəsi VPNMAP

    Hər iki host kripto ipsec transform-set TRSET esp-3des esp-md5-hmac istifadə etdi.
    Bu o deməkdir ki, şifrələmə üçün 3des, autentifikasiya üçün isə md5-hmac istifadə olunacaq.

    kriptovalyutası xəritəsi interfeysə tətbiq edilir. Kriptoqrafik xəritə müəyyən şərtlərə cavab verən trafikə nəzarət edir. Kripto kartımız daxili trafik ACL tərəfindən müəyyən edilmiş 100.100.100.1 ünvanlı marşrutlaşdırıcı ilə işləyəcək və bu trafikə transformasiya təyin edilmiş TRSET tətbiq edəcək.

IPSec yoxlanışı

Ümumiyyətlə, faydalı əmrlərin siyahısı aşağıdakı kimidir:
kripto isakmp siyasətini göstərin
kripto xəritəsini göstərin
kripto isakmp-ı təfərrüatlı şəkildə göstərin
kripto ipsec sa göstərin
aktiv kripto mühərriki əlaqələrini göstərin

Praktikada aşağıdakılar ən faydalıdır:


Baxış sayı: 8008

0 Gəlin IPSec-i təşkil edən texnologiyaların təfərrüatlarına nəzər salaq. IPSec daxilində istifadə olunan standartları başa düşmək olduqca mürəkkəbdir, ona görə də bu bölmədə biz IPSec-in hər bir komponentinə ətraflı baxacağıq. IPSEC-in nə olduğunu başa düşmək üçün bu saytda daha əvvəl dərc edilmiş “IPSEC şəbəkə trafikinin təhlükəsizliyi protokolu kimi” sənədindən istifadə edin. Bu məqalə yuxarıdakı sənədin davamıdır.

IPSec aşağıdakı texnologiyalardan istifadə edir:

  • NA protokolu;
  • ESP protokolu;
  • DES şifrələmə standartı;
  • 3DES şifrələmə standartı;
  • IKE protokolu;
  • Diffie-Hellman əsas razılaşma metodu;
  • hashed mesajın həqiqilik kodları (HMAC);
  • RSA qorunması;
  • sertifikatlaşdırma mərkəzləri.

NA protokolu

Bu protokol iki sistem arasında göndərilən IP paketləri üçün autentifikasiya və məlumatların bütövlüyünü təmin edir. NA protokolu deyil
paketlərin məxfiliyini (yəni şifrələməni) təmin edir. Doğrulama paketə birtərəfli, açardan asılı heşinq funksiyasını tətbiq etməklə, "profil" mesajı yaratmaqla həyata keçirilir. Ötürülmə yolu boyunca paketin hər hansı hissəsinə edilən dəyişiklik, qəbul edilmiş məlumatlara oxşar birtərəfli heşinq funksiyasını tətbiq etməklə və hesablanmış mesaj profilinin dəyərini göndəricinin göstərdiyi dəyərlə müqayisə etməklə alıcı tərəfindən aşkar ediləcək. Alınan məlumatın həqiqiliyinə hər iki sistemin birtərəfli hashing üçün eyni məxfi açardan istifadə etməsi təmin edilir. AN protokolunun əməliyyat diaqramı aşağıda göstərilmişdir. Aşağıdakı hərəkətlər yerinə yetirilir.

  1. Paketin IP başlığı və faydalı yükü heşlənmişdir.
  2. Nəticədə hash kodu başlıq və faydalı yük bloku arasında orijinal paketə əlavə olunan yeni AH başlığının qurulması üçün istifadə olunur.
  3. Yeni paket ikinci IPSec tərəfinə göndərilir.
  4. Qəbul edən tərəf IP başlığı və faydalı yük üçün hash kodu dəyərini hesablayır, AH başlığından ötürülən hash kodu dəyərini çıxarır və iki dəyəri müqayisə edir. Müvafiq hash kodu dəyərləri tam uyğun olmalıdır. Paketin bir biti belə yol boyu dəyişərsə, alıcının hesabladığı paket hash kodu AH başlığında göstərilən dəyərə uyğun gəlməyəcək.
AH protokolu mümkün qədər çox IP başlıq sahələri, eləcə də daha yüksək səviyyəli protokolların məlumat sahələri üçün autentifikasiyanı təmin edir. Bununla belə, bəzi IP başlıq sahələri tranzit zamanı dəyişə bilər. Dəyişən sahələrin dəyərləri (məsələn, paketin ömrünü göstərən TTL sahəsi) paketin keçdiyi ara şəbəkə cihazları tərəfindən dəyişdirilir və bu dəyişikliklər göndərici tərəfindən proqnozlaşdırıla bilməz. Dəyişən sahələrin dəyərləri AH protokolu ilə qorunmamalıdır. Beləliklə, AH-nin IP başlığına təmin etdiyi qoruma bir qədər məhduddur. AH protokolu həmçinin əlavə olaraq IP başlığında paket sıra nömrəsini göstərərək paketin təkrar oxunmasının qorunmasını təmin edə bilər. AH protokolunun tam təsviri RFC 2402-də var.

ESP protokolu

ESP məxfiliyi (yəni şifrələmə), mənbənin autentifikasiyası və məlumatların bütövlüyünü, həmçinin (isteğe bağlı) təkrar oynatmaya qarşı xidmət və məlumat axınının təhlili cəhdlərinə müqavimət göstərməklə məhdud trafik məxfiliyini təmin edən təhlükəsizlik protokoludur.

ESP protokolu IP paket səviyyəsində şifrələmə vasitəsilə məxfiliyi təmin edir. Eyni zamanda, bir çox simmetrik şifrələmə sxemi alqoritmləri dəstəklənir. IPSec üçün standart alqoritm 56 bit açarı olan DES-dir. Bu şifrə bütün IPSec qabiliyyətli məhsullar arasında uyğunluğu təmin etmək üçün mövcud olmalıdır. Cisco məhsulları daha güclü şifrələməni təmin edən 3DES alqoritmini də dəstəkləyir. Məxfilik digər xidmətlərdən asılı olmayaraq seçilə bilər.

Məlumat mənşəli identifikasiyası və əlaqəsiz bütövlük dəstəyi birlikdə istifadə olunur və isteğe bağlıdır (yəni, isteğe bağlıdır). Bu xüsusiyyətlər məxfilik xidməti ilə də birləşdirilə bilər.
Təkrardan qorunma xidməti yalnız məlumat mənbəyinin autentifikasiyası seçildikdə seçilə bilər və bu xidmətin seçimi yalnız alıcının səlahiyyətindədir. Baxmayaraq ki, defolt olaraq göndərəndən təkrar oxutmadan qorunmaq üçün istifadə edilən ardıcıllıq nömrəsini avtomatik artırmaq tələb olunur, bu xidmət yalnız alıcı ardıcıllıq nömrəsini yoxladıqda təsirli olur. Trafik məxfiliyi tunel rejiminin seçilməsini tələb edir. Bu, mənbə-təyinat maskaradının bir anda bütün trafikdə həyata keçirilə biləcəyi təhlükəsizlik şlüzlərində ən effektivdir. Burada qeyd etmək lazımdır ki, həm məxfilik, həm də autentifikasiya seçim olsa da, bu xidmətlərdən ən azı biri seçilməlidir.
ESP tərəfindən təmin edilən xidmətlər IPSec konfiqurasiyasında göstərilən və IPSec təhlükəsizlik assosiasiyası yaradılarkən seçilmiş parametrlərdən asılıdır. Bununla belə, bütövlük/autentifikasiya olmadan məxfiliyin seçilməsi (ya ESP daxilində və ya ayrıca NA-dan istifadə etməklə) rəqibi bu şəkildə istifadə edilən məxfilik xidmətinin faydalılığını məhdudlaşdıra biləcək müəyyən növ hücumlara açıq qoyur.
ESP başlığı paketə IP başlığından sonra, daha yüksək səviyyəli protokol başlığından əvvəl (nəqliyyat rejimində) və ya kapsullaşdırılmış IP başlığından əvvəl (tunel rejimində) daxil edilir. ESP protokolunun tam təsviri RFC 2406-da var.

NMAC istifadə edərək ESP şifrələməsi

ESP həmçinin isteğe bağlı autentifikasiya sahəsindən istifadə edərək paketin autentifikasiyasını təmin edə bilər. Cisco IOS proqramında və PIX Firewall-da bu xidmət ESP HMAC adlanır. Doğrulama dəyərləri şifrələmə həyata keçirildikdən sonra hesablanır. Bu gün istifadə olunan IPSec standartı SHA1 və MD5 alqoritmlərini NMAC üçün məcburi olaraq təsvir edir.
ESP autentifikasiyası ilə NA autentifikasiyası arasındakı əsas fərq onların əhatə dairəsidir. ESP inkapsulyasiyası nəzərdə tutulmadıqda (tunel rejimi) ESP heç bir IP başlıq sahələrini qorumur. Şəkil ESP NMAC istifadə edərkən hansı sahələrin qorunduğunu göstərir.


Qeyd edək ki, şifrələmə yalnız faydalı yük məlumatlarını əhatə edir, NMAC ESP hashing ilə ESP isə ESP başlığını və faydalı yük məlumatlarını əhatə edir. IP başlığı qorunmur. ESP NMAC xidmətindən müstəqil istifadə edilə bilməz, lakin ESP şifrələmə protokolu ilə birləşdirilməlidir.

IPSec tunel və nəqliyyat rejimləri

IPSec tunel və ya nəqliyyat rejimində işləyir. Şəkildə tunel rejiminin icra diaqramı göstərilir. Bu rejimdə bütün orijinal IP dataqramı şifrələnir və yeni IP başlığı və əlavə IPSec başlığı (şəkildə qısaldılmış HDR) ilə yeni IP paketində faydalı yükə çevrilir. Tunel rejimi şəbəkə cihazına (məsələn, PIX Firewall kimi) firewall arxasında hostlar üçün şifrələməni həyata keçirən IPSec şlüz və ya proxy server kimi fəaliyyət göstərməyə imkan verir. Mənbə marşrutlaşdırıcı paketi şifrələyir və onu IPSec tuneli üzərindən ötürür. Təyinat PIX Firewall qəbul edilmiş IPSec paketinin şifrəsini açır, orijinal IP dataqramını çıxarır və təyinat sisteminə yönləndirir. Tunel rejiminin əsas üstünlüyü ondan ibarətdir ki, son sistemlər IPSec-dən istifadə etmək üçün onların dəyişdirilməsinə ehtiyac yoxdur. Tunel rejimi həmçinin rəqibin məlumat axınını təhlil etməsinə mane olur. Tunel rejimində mübadilə edərkən, düşmən tunelin son nöqtələri mənbə və təyinat sistemlərində yerləşsə belə, tuneldən keçən paketlərin həqiqi mənbəyini və təyinatını deyil, yalnız tunelin son nöqtələrini müəyyən edə bilir.


Aşağıdakı şəkildəki diaqram nəqliyyat rejimini göstərir. Burada yalnız IP yükü şifrələnir və orijinal IP başlığı toxunulmaz qalır.
IPSec başlığı əlavə edildi. Bu rejimin üstünlüyü ondan ibarətdir ki, o, hər paketə yalnız bir neçə bayt əlavə edir. Bundan əlavə, açıq şəbəkə cihazları paketin əsl mənbə və təyinat ünvanlarını görə bilir.


Bu, aralıq şəbəkələrin xüsusi imkanlarından (xidmətin zəmanətli keyfiyyəti kimi) İP başlığında məlumat əsasında istifadə etməyə imkan verir. Bununla belə, Layer 4 başlığı şifrələnmişdir, bu da paketi təhlil etmək imkanını məhdudlaşdırır. Təəssüf ki, nəqliyyat rejimində IP başlığının aydın mətnlə ötürülməsi təcavüzkarın müəyyən dərəcədə məlumat axını təhlili aparmasına imkan verir. Məsələn, təcavüzkar nəqliyyat rejimində işləyən IPSec tərəfləri tərəfindən neçə paketin ötürüldüyünü öyrənə bilər. Lakin təcavüzkar yalnız IP paketlərinin yönləndirildiyini bilə bilər. ESP protokolundan istifadə edilibsə, o, onların e-poçt mesajı və ya başqa bir əlavə olub-olmadığını müəyyən edə bilməyəcək.

Tunel və nəqliyyat rejimlərindən istifadə

Tunel və ya nəqliyyat rejiminin seçilməsi qaydalarını göstərən bir neçə nümunəyə baxaq. Aşağıdakı şəkildə tunel rejiminin istifadə edildiyi vəziyyətlər göstərilir. Bu rejim ən çox IPSec təhlükəsizlik şlüzləri arasında - məsələn, Cisco marşrutlaşdırıcısı və PIX Firewall arasında məlumat axınını şifrələmək üçün istifadə olunur. IPSec şlüzləri bu cür şlüzlərin arxasında yerləşən qurğular üçün IPSec funksiyalarını yerinə yetirir (yuxarıdakı şəkildə, bu Alicenin fərdi kompüteri və HR serverləridir). Bu nümunədə Alice şlüzlər arasında qurulmuş IPSec tuneli vasitəsilə HR serverlərinə təhlükəsiz giriş əldə edir.

Tunel rejimi, həmçinin CiscoSecure VPN müştərisi və IPSec şlüzü kimi IPSec proqram təminatı ilə işləyən son nöqtələr arasında əlaqə yaratmaq üçün istifadə olunur.
Bu nümunədə tunel rejimi Cisco marşrutlaşdırıcısı ilə IPSec proqramı ilə işləyən server arasında IPSec tuneli yaratmaq üçün istifadə olunur. Qeyd edək ki, Cisco IOS proqramında və PIX Firewall-da tunel rejimi IPSec kommunikasiyaları üçün standart rejimdir.
Nəqliyyat rejimi IPSec-i dəstəkləyən son nöqtələr arasında və ya şluz host kimi şərh edilərsə, son nöqtə ilə şlüz arasında istifadə olunur. Şəkildə. Aşağıda D Nümunəsi verilmişdir ki, burada Alicenin Microsoft Windows 2000 müştəri proqram təminatı ilə işləyən kompüterindən Cisco VPN 3000 konsentratoruna şifrələnmiş IPSec tunelinin yaradılması üçün nəqliyyat rejimindən istifadəni təsvir edir və Alisa IPSec üzərindən L2TP tunelindən istifadə etməyə imkan verir.

AH və ESP istifadə

Müəyyən vəziyyətlərdə AN və ESP arasında seçim problemini həll etmək çətin görünə bilər, lakin bir neçə qaydaya riayət etməklə onu sadələşdirmək olar. Müəyyən edilmiş mənbədən verilənlərin onun bütövlüyünü pozmadan ötürüldüyünü və məxfiliyini təmin etməyə ehtiyac olmadığını bilmək lazımdırsa, daha yüksək səviyyəli protokolları və tranzit zamanı dəyişməyən İP başlıq sahələrini qoruyan AH protokolundan istifadə edin. Təhlükəsizlik o deməkdir ki, müvafiq dəyərlər dəyişdirilə bilməz, çünki bu, ikinci IPSec tərəfi tərəfindən aşkar ediləcək və hər hansı dəyişdirilmiş IP dataqramı rədd ediləcək. AH protokolu kanala qulaq asmaqdan və müdaxilə edən şəxs tərəfindən başlığa və məlumatlara baxmaqdan qorunmur. Lakin başlıq və məlumat aşkar edilmədən dəyişdirilə bilmədiyi üçün dəyişdirilmiş paketlər rədd edilir.

Əgər məlumatı məxfi saxlamaq lazımdırsa (məxfiliyi təmin edin), ESP-dən istifadə edin. Bu protokol nəqliyyat rejimində daha yüksək səviyyəli protokolları və tunel rejimində bütün orijinal IP dataqramını şifrələyir, beləliklə, ötürmə kanalını iyləməklə paketlər haqqında məlumat çıxarmaq mümkün deyil. ESP protokolu həmçinin paketlər üçün autentifikasiya xidmətini təmin edə bilər. Bununla belə, ESP-ni nəqliyyat rejimində istifadə edərkən xarici orijinal IP başlığı qorunmur, tunel rejimində isə yeni IP başlığı qorunmur. IPSec istifadə edərkən istifadəçilər nəqliyyat rejimindən daha çox tunel rejimindən istifadə edirlər.

IPSec protokolları Təhlükəsiz kanalın təşkili https://www.site/lan/protokoly-ipsec https://www.site/@@site-logo/logo.svg?1

IPSec protokolları

Təhlükəsiz kanalın təşkili

IPSec protokolları

AH, ESP və IKE istifadə edərək təhlükəsiz kanalın yaradılması.

Internet Protocol Security (IPSec) İnternet standartlarında sistem adlanır. Həqiqətən də, IPSec bu gün dəqiq müəyyən edilmiş nüvəyə malik olan və eyni zamanda yeni protokollar, alqoritmlər və funksiyalar ilə kifayət qədər asanlıqla genişləndirilə bilən ardıcıl açıq standartlar toplusudur.

IPSec protokollarının əsas məqsədi IP şəbəkələri üzərindən təhlükəsiz məlumat ötürülməsini təmin etməkdir. IPSec-dən istifadə zəmanətləri:

  • bütövlük, yəni ötürülmə zamanı məlumatların təhrif edilməməsi, itirilməməsi və ya təkrarlanmaması;
  • həqiqilik, yəni məlumatların özünün iddia etdiyi şəxs olduğunu sübut edən göndərən tərəfindən ötürülməsi;
  • məxfilik, yəni məlumatların icazəsiz baxılmasının qarşısını alan formada ötürülməsi.

(Qeyd edək ki, klassik tərifə uyğun olaraq, məlumatların təhlükəsizliyi konsepsiyası daha bir tələbi əhatə edir - kontekstdə onların çatdırılmasının təminatı kimi şərh edilə bilən məlumatların mövcudluğu. IPSec protokolları bu problemi həll etmir, TCP nəqliyyat qatının protokoluna.)

MÜXTƏLİF SƏVİYYƏLƏRDƏ TƏHLÜKƏSİZ OLAN KANALLAR

IPSec, bu gün ən populyar olmasına baxmayaraq, ictimai (təhlükəsiz) şəbəkə üzərindən təhlükəsiz məlumat ötürülməsi texnologiyasından yalnız biridir. Bu məqsədli texnologiyalar üçün ümumi bir ad istifadə olunur - təhlükəsiz kanal. "Kanal" termini məlumatların qorunmasının paket kommutasiya edilmiş şəbəkədə qoyulmuş virtual yol boyunca iki şəbəkə qovşağı (host və ya şlüz) arasında təmin edildiyini vurğulayır.

Təhlükəsiz kanal OSI modelinin müxtəlif səviyyələrində həyata keçirilən sistem alətlərindən istifadə etməklə tikilə bilər (Şəkil 1-ə baxın). Əgər məlumatların mühafizəsi üçün yuxarı səviyyələrdən birinin protokolu (tətbiq, təqdimat və ya sessiya) istifadə olunursa, bu mühafizə üsulu məlumatların nəqli üçün hansı şəbəkələrdən (IP və ya IPX, Ethernet və ya ATM) istifadə olunduğundan asılı deyil. şübhəsiz üstünlük hesab olunur. Digər tərəfdən, proqram xüsusi təhlükəsizlik protokolundan asılı olur, yəni tətbiqlər üçün belə bir protokol şəffaf deyil.

Ən yüksək, tətbiq səviyyəsində təhlükəsiz kanalın daha bir çatışmazlığı var - məhdud əhatə dairəsi. Protokol yalnız çox xüsusi bir şəbəkə xidmətini qoruyur - fayl, hipermətn və ya e-poçt. Məsələn, S/MIME protokolu yalnız e-poçt mesajlarını qoruyur. Buna görə də, hər bir xidmət üçün protokolun müvafiq təhlükəsiz versiyası hazırlanmalıdır.

Növbəti təqdimat səviyyəsində işləyən ən məşhur təhlükəsiz kanal protokolu Secure Socket Layer (SSL) protokolu və onun yeni açıq tətbiqi Nəqliyyat Layeri Təhlükəsizliyidir (TLS). Protokol səviyyəsinin aşağı salınması onu daha çox yönlü təhlükəsizlik alətinə çevirir. İndi istənilən proqram və istənilən proqram səviyyəli protokol tək təhlükəsizlik protokolundan istifadə edə bilər. Bununla belə, kanal protokolu funksiyalarını qorumaq üçün açıq zəngləri daxil etmək üçün tətbiqlər hələ də yenidən yazılmalıdır.

Yığında təhlükəsiz kanal vasitələri nə qədər aşağı səviyyədə həyata keçirilirsə, onları tətbiqlər və tətbiq protokolları üçün şəffaf etmək bir o qədər asan olar. Şəbəkə və məlumat bağlantısı səviyyələrində proqramların təhlükəsizlik protokollarından asılılığı tamamilə yox olur. Bununla belə, burada başqa bir problemlə qarşılaşırıq - təhlükəsizlik protokolunun konkret şəbəkə texnologiyasından asılılığı. Həqiqətən, böyük bir kompozit şəbəkənin müxtəlif hissələri ümumiyyətlə müxtəlif keçid protokollarından istifadə edir, buna görə də bir keçid qatı protokolundan istifadə edərək bu heterojen mühit vasitəsilə təhlükəsiz bir kanal çəkmək mümkün deyil.

Məsələn, məlumat bağlantısı səviyyəsində işləyən Nöqtədən Nöqtə Tunel Protokolunu (PPTP) nəzərdən keçirək. O, icarəyə verilmiş xətlər kimi nöqtə-nöqtə əlaqələrində geniş istifadə olunan PPP protokoluna əsaslanır. PPTP protokolu təkcə tətbiqlər və tətbiq səviyyəli xidmətlər üçün təhlükəsizlik şəffaflığını təmin etmir, həm də istifadə olunan şəbəkə səviyyəsi protokolundan müstəqildir: xüsusilə, PPTP protokolu paketləri həm IP şəbəkələrində, həm də IPX, DECnet protokollarına əsaslanan şəbəkələrdə nəql edə bilir. və ya NetBEUI. Bununla belə, PPP protokolu bütün şəbəkələrdə istifadə edilmədiyindən (əksər yerli şəbəkələrdə Ethernet protokolu məlumat bağlantısı səviyyəsində işləyir, qlobal şəbəkələrdə isə - ATM və çərçivə relay protokolları), PPTP universal alət hesab edilə bilməz.

Şəbəkə səviyyəsində işləyən IPSec kompromis variantdır. Bir tərəfdən tətbiqlər üçün şəffafdır, digər tərəfdən isə geniş istifadə olunan IP protokoluna əsaslandığı üçün demək olar ki, bütün şəbəkələrdə işləyə bilir: hazırda dünyada kompüterlərin yalnız 1%-i IP-ni dəstəkləmir. hamısı, qalan 99% isə ondan ya tək protokol kimi, ya da bir neçə protokoldan biri kimi istifadə edir.

FUNKSİYALARIN IPSEC PROTOKOLLARI ARASINDA PAYLAŞMASI

IPSec-in nüvəsi üç protokoldan ibarətdir: autentifikasiya protokolu (Authenti-cation Header, AH), şifrələmə protokolu (Encapsulation Security Payload, ESP) və açar mübadiləsi protokolu (Internet Key Exchange, IKE). Təhlükəsiz kanalın saxlanması funksiyaları bu protokollar arasında aşağıdakı kimi bölüşdürülür:

  • AH protokolu məlumatların tamlığına və həqiqiliyinə zəmanət verir;
  • ESP protokolu ötürülən məlumatları şifrələyir, məxfiliyə zəmanət verir, lakin o, eyni zamanda autentifikasiya və məlumatların bütövlüyünü də dəstəkləyə bilər;
  • IKE protokolu autentifikasiya və məlumat şifrələmə protokollarının işləməsi üçün lazım olan gizli açarlarla kanalın son nöqtələrini avtomatik təmin etmək kimi köməkçi vəzifəni həll edir.

Funksiyaların qısa təsvirindən göründüyü kimi, AH və ESP protokollarının imkanları qismən üst-üstə düşür. AH protokolu yalnız məlumatların bütövlüyünü və autentifikasiyasını təmin etmək üçün məsuliyyət daşıyır, ESP protokolu isə daha güclüdür, çünki məlumatları şifrələyə bilər və əlavə olaraq AH protokolunun funksiyalarını yerinə yetirir (baxmayaraq ki, daha sonra görəcəyimiz kimi, autentifikasiyanı təmin edir. və bütövlük bir qədər azaldılmış formada ). ESP protokolu istənilən kombinasiyada şifrələmə və autentifikasiya/bütövlük funksiyalarını dəstəkləyə bilər, yəni ya hər iki funksiya qrupu, ya da yalnız autentifikasiya/bütövlük və ya yalnız şifrələmə.

IPSec-də məlumatları şifrələmək üçün məxfi açarlardan istifadə edən istənilən simmetrik şifrələmə alqoritmi istifadə edilə bilər. Məlumatların bütövlüyünün və autentifikasiyanın təmin edilməsi həm də şifrələmə üsullarından birinə - birtərəfli funksiyadan istifadə edərək şifrələməyə əsaslanır, buna hash funksiyası və ya həzm funksiyası da deyilir.

Şifrələnmiş məlumatlara tətbiq edilən bu funksiya sabit az sayda baytdan ibarət həzm dəyəri ilə nəticələnir. Həzm orijinal mesajla birlikdə IP paketində göndərilir. Həzm tərtib etmək üçün hansı birtərəfli şifrələmə funksiyasından istifadə edildiyini bilən alıcı orijinal mesajdan istifadə edərək onu yenidən hesablayır. Alınan və hesablanmış həzmlərin dəyərləri eyni olarsa, bu, paketin məzmununun ötürülmə zamanı heç bir dəyişikliyə məruz qalmaması deməkdir. Həzmi bilmək orijinal mesajı yenidən qurmağa imkan vermir və buna görə də qorunmaq üçün istifadə edilə bilməz, lakin bu, məlumatların bütövlüyünü yoxlamağa imkan verir.

Həzm orijinal mesaj üçün bir növ yoxlama məbləğidir. Bununla belə, əhəmiyyətli bir fərq də var. Yoxlama məbləğinin istifadəsi etibarsız rabitə xətləri üzərindən ötürülən mesajların bütövlüyünü yoxlamaq vasitəsidir və zərərli fəaliyyətlə mübarizə üçün nəzərdə tutulmur. Əslində, ötürülən paketdə yoxlama məbləğinin olması təcavüzkarın orijinal mesaja yeni yoxlama dəyəri əlavə etməklə onu əvəz etməsinə mane olmayacaq. Yoxlama məbləğindən fərqli olaraq, həzm hesablanarkən gizli açardan istifadə olunur. Əgər həzmi əldə etmək üçün yalnız göndərici və alıcıya məlum olan parametrə (gizli açar) malik birtərəfli funksiyadan istifadə edilsəydi, orijinal mesajda edilən hər hansı dəyişiklik dərhal aşkar ediləcəkdi.

İki protokol AH və ESP arasında təhlükəsizlik funksiyalarının ayrılması bir çox ölkələrdə şifrələmə yolu ilə məlumatların məxfiliyini təmin edən alətlərin ixracını və/yaxud idxalını məhdudlaşdırmaq üçün istifadə edilən təcrübədən qaynaqlanır. Bu iki protokolun hər biri müstəqil və ya digəri ilə eyni vaxtda istifadə edilə bilər ki, mövcud məhdudiyyətlərə görə şifrələmənin istifadə oluna bilməyəcəyi hallarda sistem yalnız AH protokolu ilə təchiz oluna bilər. Təbii ki, məlumatların yalnız AH protokolundan istifadə etməklə qorunması bir çox hallarda qeyri-kafi olacaq, çünki bu halda qəbul edən tərəf məlumatların məhz gözlənilən qovşaq tərəfindən göndərildiyinə və alındığı formada gəldiyinə əmin olacaq. göndərildi. AH protokolu məlumat yolu boyunca icazəsiz baxışdan qoruya bilməz, çünki onu şifrələmir. Məlumatları şifrələmək üçün ESP protokolundan istifadə etmək lazımdır ki, bu da onun bütövlüyünü və həqiqiliyini yoxlaya bilər.

TƏHLÜKƏSİZ BİRLİK

AH və ESP protokollarının ötürülən məlumatları qorumaq işini yerinə yetirməsi üçün IKE protokolu iki son nöqtə arasında məntiqi əlaqə yaradır ki, bu da IPSec standartlarında “Təhlükəsizlik Assosiasiyası” (SA) adlanır. SA-nın yaradılması tərəflərin qarşılıqlı autentifikasiyası ilə başlayır, çünki məlumatların yanlış şəxs tərəfindən və ya yanlış şəxs tərəfindən ötürülməsi və ya alınması halında bütün təhlükəsizlik tədbirləri mənasız olur. Sonra seçdiyiniz SA parametrləri məlumatların qorunması üçün iki protokoldan hansının, AH və ya ESP-dən istifadə edildiyini, təhlükəsizlik protokolunun hansı funksiyaları yerinə yetirdiyini müəyyən edir: məsələn, yalnız autentifikasiya və bütövlüyün yoxlanılması və ya əlavə olaraq, yalançı təkrardan qorunma. Təhlükəsiz birliyin çox vacib parametri sözdə kriptoqrafik materialdır, yəni AH və ESP protokollarının işində istifadə olunan gizli açarlar.

IPSec sistemi həmçinin təhlükəsiz assosiasiyanın yaradılmasının əl üsuluna imkan verir, burada inzibatçı hər bir son nodu konfiqurasiya edir ki, onlar razılaşdırılmış assosiasiya parametrlərini, o cümlədən məxfi açarları dəstəkləsinlər.

AH və ya ESP protokolu artıq qurulmuş SA məntiqi əlaqəsi daxilində işləyir, onun köməyi ilə seçilmiş parametrlərdən istifadə etməklə ötürülən məlumatların lazımi mühafizəsi həyata keçirilir.

Təhlükəsiz assosiasiya parametrləri təhlükəsiz kanalın hər iki son nöqtəsi üçün məqbul olmalıdır. Buna görə də, avtomatik SA yaradılması prosedurundan istifadə edərkən, kanalın əks tərəflərində fəaliyyət göstərən IKE protokolları danışıqlar prosesi zamanı parametrləri seçir, necə ki, iki modem hər iki tərəf üçün maksimum məqbul məzənnəni müəyyən edir. AH və ESP protokolları ilə həll edilən hər bir tapşırıq üçün bir neçə autentifikasiya və şifrələmə sxemləri təklif olunur - bu, IPSec-i çox çevik alət edir. (Qeyd edək ki, autentifikasiya problemini həll etmək üçün həzm funksiyasının seçilməsi heç bir şəkildə məlumatların şifrələnməsi üçün alqoritm seçiminə təsir göstərmir.)

Uyğunluğu təmin etmək üçün IPsec-in standart versiyası müəyyən bir məcburi "alət" dəstini müəyyən edir: xüsusən, birtərəfli şifrələmə funksiyalarından biri MD5 və ya SHA-1 həmişə məlumatların autentifikasiyası üçün istifadə edilə bilər və şifrələmə alqoritmlərinə mütləq DES daxildir. Eyni zamanda, IPSec daxil olan məhsul istehsalçıları protokolu uğurla həyata keçirdikləri digər autentifikasiya və şifrələmə alqoritmləri ilə genişləndirməkdə sərbəstdirlər. Məsələn, bir çox IPSec tətbiqləri məşhur Triple DES şifrələmə alqoritmini, eləcə də nisbətən yeni alqoritmləri dəstəkləyir - Blowfish, Cast, CDMF, Idea, RC5.

IPSec standartları şlüzlərə İnternet üzərindən qarşılıqlı əlaqədə olan bütün hostlardan trafik daşımaq üçün ya bir SA-dan istifadə etməyə və ya bu məqsədlə ixtiyari sayda SA yaratmağa, məsələn, hər TCP bağlantısı üçün bir ədəd yaratmağa imkan verir. Təhlükəsiz SA IPSec-də bir istiqamətli (simpleks) məntiqi əlaqədir, ona görə də ikiistiqamətli rabitə üçün iki SA qurulmalıdır.

NƏQLİYYAT VƏ TUNEL REJİMLERİ

AH və ESP protokolları məlumatları iki rejimdə qoruya bilər: nəqliyyat və tunel. Nəqliyyat rejimində İP paketin şəbəkə vasitəsilə ötürülməsi bu paketin orijinal başlığından istifadə etməklə həyata keçirilir, tunel rejimində isə orijinal paket yeni İP-paketə yerləşdirilir və şəbəkə üzrə məlumat ötürülməsi yeni IP paketinin başlığı. Bu və ya digər rejimin istifadəsi məlumatların mühafizəsi tələblərindən, həmçinin təhlükəsiz kanalı dayandıran qovşağın şəbəkədə oynadığı roldan asılıdır. Beləliklə, bir qovşaq host (son node) və ya şlüz (aralıq qovşaq) ola bilər. Müvafiq olaraq, IPSec-dən istifadə etmək üçün üç sxem mövcuddur: host-to-host, gateway-to-gateway və host-to-gateway.

Birinci sxemdə şəbəkənin iki son qovşağı arasında təhlükəsiz bir kanal və ya bu kontekstdə eyni şey olan təhlükəsiz bir əlaqə qurulur (bax Şəkil 2). Bu halda IPSec protokolu son node üzərində işləyir və ona gələn məlumatları qoruyur. Host-to-host sxemi üçün tunel rejiminə də icazə verilsə də, mühafizənin nəqliyyat rejimi ən çox istifadə olunur.

İkinci sxemə uyğun olaraq, hər biri IPSec protokolunu işlədən təhlükəsizlik şlüzləri (SG) adlanan iki ara qovşaq arasında təhlükəsiz kanal qurulur. Təhlükəsiz rabitə təhlükəsizlik şlüzlərinin arxasında yerləşən şəbəkələrə qoşulmuş istənilən iki son nöqtə arasında baş verə bilər. Son nöqtələrdən IPSec-i dəstəkləmək və etibarlı müəssisə İntranetləri vasitəsilə trafiklərini qorunmadan ötürmək tələb olunmur. İctimai şəbəkəyə göndərilən trafik onun adından IPSec mühafizəsini təmin edən təhlükəsizlik şlüzündən keçir. Şlüzlər yalnız tunel rejimindən istifadə edə bilər.

Uzaqdan giriş üçün host-gateway sxemi tez-tez istifadə olunur. Burada IPSec ilə işləyən uzaq host ilə müəssisə İntranet şəbəkəsindəki bütün hostlar üçün trafiki qoruyan şlüz arasında təhlükəsiz kanal qurulur. Uzaq host paketləri şlüzə göndərərkən həm nəqliyyat, həm də tunel rejimindən istifadə edə bilər, lakin şlüz paketi hosta yalnız tunel rejimində göndərir. Bu sxem paralel olaraq başqa bir təhlükəsiz kanal yaratmaqla çətinləşdirilə bilər - uzaq host ilə şlüzlə qorunan daxili şəbəkəyə aid olan hər hansı bir host arasında. Bu iki SA-nın birgə istifadəsi daxili şəbəkədə trafiki etibarlı şəkildə qorumağa imkan verir.

Natalia Olifer

Sənədlə əməliyyatlar

Əvvəlcə internetdən təhlükəsizlik siyasətindən anlayışı olan dar bir dairə istifadə edirdi. Müvafiq olaraq, məlumatın qorunmasına açıq ehtiyac yox idi. Şəbəkəni icazəsiz şəxslərdən təcrid etməklə təhlükəsizlik fiziki səviyyədə təşkil edilib. Bununla belə, zaman keçdikcə İnternet ictimai platformaya çevrilir və ötürülən məlumatları şifrələyə bilən protokolların yaradılması ehtiyacı tədricən artır.

1994-cü ildə İnternet Arxitektura Şurası "İnternet Arxitekturasının Təhlükəsizliyi" hesabatını dərc etdi. Bu hesabat əsasən icazəsiz monitorinqdən qorunma, paket saxtakarlığı və məlumat axınının idarə edilməsi problemlərinə həsr edilmişdir. Bütün bu problemləri həll edə biləcək bir standart hazırlamaq lazım idi. Nəticədə protokol standartları yaradıldı ki, bunlara IPsec daxildir.

IPsec (qısaldılmış IP Təhlükəsizliyi) bir IP şəbəkəsi üzərindən ötürülən məlumatların qorunmasını təmin etmək üçün hazırlanmış protokollar qrupudur. IPsec-in vəzifəsi xüsusi alqoritmlər və mexanizmləri seçmək və müvafiq olaraq təhlükəsiz əlaqə yaratmaqda iştirak edən cihazları konfiqurasiya etməkdən ibarətdir. IPsec VPN bağlantılarında istifadə olunur.

Təhlükəsiz kanal yaratarkən bu prosesin iştirakçıları aşağıdakı hərəkətləri yerinə yetirməlidirlər:

  1. Bir-birinizi təsdiqləyin
  2. Açarları yaradın və dəyişdirin
  3. Məlumatların hansı protokollarla şifrələnəcəyini razılaşdırın
  4. Şifrələnmiş tunelə məlumat ötürməyə başlayın

IPsec-in özü, əvvəllər qeyd edildiyi kimi, hər biri IPsec tunelinin qurulmasının müəyyən mərhələsinə cavabdeh olan bir neçə protokoldan ibarətdir. Bunlardan birincisi IKE-dir.

IKE (Internet Key Exchange) əsas mübadilə protokoludur.

IKE üzərində istifadə olunur birinci mərhələəlaqə yaratmaq. Onun vəzifələrinə aşağıdakılar daxildir: VPN nöqtələrinin autentifikasiyası, yeni IPsec əlaqələrinin təşkili (SA cütlərinin yaradılması yolu ilə), cari əlaqələri idarə etmək. SA təhlükəsiz əlaqə üçün parametrlər toplusudur. Bağlantı konfiqurasiya edildikdə, hər bir protokol üçün bir SA cütü yaradılır: birincisi AH protokolu üçün, ikincisi ESP üçün (onlar haqqında sizə daha sonra məlumat verəcəyəm). SA-nın bir istiqamətli olduğunu da qeyd etmək lazımdır. Beləliklə, iki kompüter arasında əlaqə qurarkən dörd SA istifadə ediləcək. IKE iki mərhələdə fəaliyyət göstərir, burada birinci mərhələ hər ikisində fəaliyyət göstərə bilər əsasən belə ki aqressiv rejimi. IKE bağlantısının iki mərhələsinə baxaq:

Birinci mərhələ (əsas rejim):

  1. IKE bağlantısı təhlükəsizlik parametrlərinin mübadiləsi (alqoritmlər və hash funksiyaları)
  2. Tunelin hər bir ucunda paylaşılan gizli açar yaradılır
  3. Deffie-Hellman alqoritmindən istifadə edərək tərəflər ortaq məxfi açarı mübadilə edirlər
  4. Tunelin hər iki ucunun identifikasiyası

Birinci mərhələ (aqressiv rejim): birinci paket dərhal IKE əlaqəsi yaratmaq üçün bütün lazımi məlumatları ehtiva edir. Alıcı mübadiləni başa çatdırmaq üçün lazım olan hər şeyi cavablandırır, bundan sonra ilk node yalnız əlaqəni təsdiqləməlidir.

Aqressiv rejim IKE əlaqəsini daha sürətli qurmağa imkan verir, lakin o, daha az təhlükəsizdir, çünki tərəflər təhlükəsiz əlaqə qurulmazdan əvvəl məlumat mübadiləsi aparırlar.

Beləliklə, birinci mərhələ IPSec tuneli üçün parametrlərin ötürüləcəyi təhlükəsiz tunelin yaradılmasına xidmət edir. İkinci mərhələdə əsas IPSec tuneli tikilir.

ərzində ikinci mərhələ təhlükəsiz əlaqənin iştirakçıları növbə ilə bir-birlərinə təhlükəsiz əlaqə üçün seçimlər təklif edirlər və razılaşdıqları təqdirdə əsas IPSec tunelini qururlar. İkinci mərhələdə bir çox parametrlər razılaşdırılır:

  • IPSec protokolunu seçin: AH (Autentifikasiya Başlığı) və/və ya ESP (Encapsulation Security Fayload)
  • Məlumatların şifrələnməsi üçün alqoritmi seçin: DES, 3DES, AES
  • Doğrulama alqoritmini seçin: SHA, MD5
  • Seçilə bilən iş rejimi: tunel və ya nəqliyyat
  • IPSec tunelinin ömrünü təyin edir
  • VPN tuneli vasitəsilə göndəriləcək trafik müəyyən edilir

AH (Authentication Header) autentifikasiya üçün nəzərdə tutulmuş IPSec protokoludur. Əslində, bu, əsas IP paket başlığı ilə məlumat sahəsi arasında yerləşən müntəzəm isteğe bağlı başlıqdır. AH-nin məqsədi bir IP paketindəki məlumatların icazəsiz modifikasiyası, xüsusən də şəbəkə qatının mənbə ünvanının dəyişdirilməsi ilə əlaqəli hücumlardan qorunma təmin etməkdir.

ESP (Encapsulation Security Payload) məlumatların şifrələnməsi üçün nəzərdə tutulmuş IPSec protokoludur. Hərfi mənada “təhlükəsiz enkapsulyasiya məlumat sahəsi” kimi tərcümə olunur. AH kimi, IP paketinə daxil olan isteğe bağlı başlıqdır. ESP-nin əsas məqsədi məlumatların məxfiliyini təmin etməkdir.

ESP və AH-nin istifadə olunan rejim növündən asılı olaraq fərqli formatlara malik olduğunu fərq etmiş ola bilərsiniz: tunel və nəqliyyat.

Tunel rejimiən çox uzaq VPN bağlantıları üçün istifadə olunur. Bu rejimlə orijinal IP paketi tamamilə yeni bir paketə daxil edilir ki, yalnız iki VPN nöqtəsi arasındakı əlaqə kənar müşahidəçiyə görünəcək. Həqiqi mənbə və təyinat IP ünvanları görünməyəcək, onlar yalnız VPN nöqtəsində deenkapsulyasiya yolu ilə əldə edilə bilər. Buna əsasən, tunel rejiminin daha təhlükəsiz olduğunu güman edə bilərik.

Nəqliyyat rejimi Adətən hostlar arasında əlaqələri qorumaq üçün yerli şəbəkədə istifadə olunur. Bu rejim IP paketi (TCP, UDP, yuxarı səviyyəli protokollar) üçün məlumatların qorunmasını təmin edir. Kobud desək, nəqliyyat rejimi IP başlığına təsir etmədən OSI istinad modelinin şəbəkə qatının üstündəki hər şeyi əhatə edir. Təbii ki, bu halda IP paketinin məlumatları: mənbə və təyinat ünvanları kənardan görünəcək.

İndi təcrübəyə keçək: iki Cisco marşrutlaşdırıcısı arasında təhlükəsiz IPSec tuneli qurun. Sxem üç ardıcıl birləşdirilmiş marşrutlaşdırıcıdan ibarət olacaq, ən kənardakı R1 və R3 yerli şəbəkələr üçün marşrutlaşdırıcıları, mərkəzi R2 isə İnterneti simulyasiya edir. Hər şeydən əvvəl, iki yerli alt şəbəkə arasında əlaqəni konfiqurasiya etməlisiniz. Bağlantı GRE tuneli vasitəsilə təmin edilir. GRE tunelləri haqqında yazdım, Cisco marşrutlaşdırıcıları üçün GRE tunel konfiqurasiyası da var. Sonrakı hərəkətlərin məntiqini başa düşmək üçün bu materialı oxumağı şiddətlə tövsiyə edirəm.

Beləliklə, bizim əsas GRE tunelimiz “atıldı”. Bu təhlükəsiz deyil və buna görə də biz IPSec-i onun üzərinə konfiqurasiya edəcəyik. Biz bu sxemlə işləmişik.

Rəvayətə görə, LAN1 və LAN2 alt şəbəkələri olan iki ofisimiz var idi. LAN1-dən olan kompüterin LAN2-də yerləşən serverə çıxışının olmasını təmin etmək lazımdır (məsələn, fayllara daxil olmaq üçün). Beləliklə, biz əsas tuneli yaratdıq. Şəbəkə səviyyəsində hər şey yaxşı işləyir - kompüterdən serverə ping var. Ancaq bir problem var: serverdə şirkət üçün ticarət sirrini təmsil edən fayllar var. Beləliklə, bizdən başqa heç kimin bu fayllara daxil ola bilməməsi üçün identifikasiya ilə yanaşı, trafikin şifrələmə mexanizmlərinə ehtiyac var. Burada IPSec işə düşür.

Router A üçün konfiqurasiya

Təhlükəsizlik siyasəti yaradın və onu konfiqurasiya edin RouterA(config)#crypto isakmp siyasəti 1 Şifrələmə metodunu göstərin (simmetrik blok şifrəsi) RouterA(config)#şifrləmə 3d MD5 hashing metodunu təyin edin RouterA(config)#hash md5 Doğrulama metodunu təyin edin (əvvəlcədən paylaşılan açarla) RouterA(config)#authentication əvvəlcədən paylaşma Təhlükəsizlik siyasətinin redaktə rejimindən çıxın RouterA(config)#çıx Doğrulama açarı (hər iki nöqtə üçün eyni olmalıdır) RouterA(config)#crypto isakmp açarı PASS ünvanı 33.33.33.33 Transformasiya dəstinin tətbiqi RouterA(config)#crypto ipsec transform-set LAN1 esp-3des esp-md5-hmac IPSec iş rejimini təyin edin (tunel rejimi) RouterA(cfg-crypto-trans)#rejim tuneli RouterA(cfg-crypto-trans)#exit Kripto xəritəsinin yaradılması (tunel təfərrüatları) RouterA(config)#crypto map MAP1 10 ipsec-isakmp VPN quraşdırdığımız marşrutlaşdırıcının IP ünvanını göstərin RouterA(config-crypto-map)#set peer 33.33.33.33 Təhlükəsizlik siyasətləri toplusunu təyin edin RouterA(config-crypto-map)#set transform-set LAN1 100 nömrəli giriş siyahısından keçəcək məlumatları şifrələyin RouterA(config-crypto-map)#ünvan 100-ə uyğundur Kripto kartı quraşdırma rejimindən çıxır RouterA(config-crypto-map)#exit 11.11.11.11-dən host 33.33.33.33-ə GRE trafiki şifrələnməyə məruz qalır RouterA(config)#access-list 100 icazə gre host 11.11.11.11 host 33.33.33.33 Xarici interfeys quraşdırma rejiminə keçin RouterA(config)#interfeys fa 0/1 MAP1 şifrələmə kartının xarici interfeyslə əlaqələndirilməsi RouterA(config-if)#kripto xəritəsi MAP1

Router B eyni şəkildə konfiqurasiya edilmişdir:

RouterB(config)#crypto isakmp siyasəti 1 RouterB(config)#şifrləmə 3des RouterB(config)#hash md5 RouterB(config)#autentifikasiya öncədən paylaşma RouterB(config)#exit RouterB(config)#crypto isakmp açarı PASS ünvanı 11.11. 11.11 RouterB(config)#crypto ipsec transform-set LAN2 esp-3des esp-md5-hmac RouterB(cfg-crypto-trans)#mode tunnel RouterB(cfg-crypto-trans)#exit RouterB(config)#kripto xəritəsi MAP2 10 ipsec-isakmp RouterB(config-crypto-map)#set peer 11.11.11.11 RouterB(config-crypto-map)#set transform-set LAN2 RouterB(config-crypto-map)#match address 100 RouterB(config-crypto-map) )#exit RouterB(config)#access-list 100 icazə gre host 33.33.33.33 host 11.11.11.11 RouterB(config)#interface fa 0/1 RouterB(config-if)#crypto map MAP2

Layihəni dəstəkləyin

Dostlar, Netcloud veb saytı dəstəyiniz sayəsində hər gün inkişaf edir. Biz yeni məqalə bölmələri, eləcə də bəzi faydalı xidmətlər açmağı planlaşdırırıq.

Layihəni dəstəkləmək və lazım bildiyiniz məbləği vermək imkanınız var.