Sistem 

 Obvladovanje VPN: nastavitev IPSec na Cisco. IPsec VPN. Osnove Šifriranje esp z uporabo nmac

O konceptu IPSec smo že razpravljali, v tem gradivu si bomo podrobneje ogledali IPSec.

Torej, ime IPSec izhaja iz IP Security.
IPSec je nabor protokolov in algoritmov, ki se uporabljajo za zaščito paketov IP na nivoju Layer3.

IPSec vam omogoča, da zagotovite:
- Zaupnost - z uporabo šifriranja
- Celovitost podatkov - prek zgoščevanja in HMAC\
- Avtentikacija - z uporabo digitalnih podpisov ali vnaprej deljenega ključa (PSK).

Naštejmo glavne protokole IPsec:
ESP in AH: Dva glavna protokola, ki se uporabljata v IPsec.
Encapsulating Security Payload (ESP), lahko naredi vse, kar je potrebno za IPsec, in
Glava za preverjanje pristnosti (AH), zmore vse razen enkripcije, šifriranja podatkov, zato se najpogosteje uporablja ESP.
Algoritmi šifriranja za zaupnost: DES, 3DES, AES.
Algoritmi zgoščevanja za celovitost: MD5, SHA.
Algoritmi za preverjanje pristnosti: ključi v predhodni skupni rabi (PSK), digitalni podpisi RSA.
Upravljanje ključev: Primer bi bil Diffie-Hellman (DH), ki ga je mogoče uporabiti
dinamično generiranje simetričnih ključev, ki jih bodo uporabljali simetrični algoritmi; PKI
ki podpira funkcijo digitalnih potrdil, izdanih s strani zaupanja vrednih CA; in internet
Izmenjava ključev (IKE), ki opravi veliko pogajanj in upravljanja namesto nas
IPsec za delovanje.

Zakaj je IPSec potreben

Razmislite o naslednji preprosti topologiji za povezovanje dveh pisarn.

Obe pisarni moramo povezati in doseči naslednje cilje:

  • Zaupnost- zagotovljeno s šifriranjem podatkov.
  • Celovitost podatkov- zagotovljeno z zgoščevanjem ali prek Koda za preverjanje pristnosti zgoščenega sporočila (HMAC), - metode za zagotovitev, da podatki niso bili spremenjeni.
  • Preverjanje pristnosti- pod pogojem uporabe vnaprej deljeni ključi (PSK), oz digitalni podpisi. In pri uporabi HMAC se preverjanje pristnosti pojavlja nenehno.
  • Zaščita pred ponavljanjem- vsi VPN paketi so oštevilčeni, kar jih ščiti pred ponavljanjem.

Protokoli in vrata IPSec

IKEv1 1. faza UDP vrata 500 IKEv1 Phase 1 uporablja UDP:500 za svoja pogajanja.
NAT-T
prečkanje) 		UDP vrata 4500 NAT Traversal uporabljajo naprave za prečkanje NAT. Če se obe napravi povežeta med seboj prek NAT: želita postaviti lažna vrata UDP 4500
glave na vsakem paketu IPsec (pred glavo ESP).
preživeti napravo NAT, ki bi sicer lahko imela težave
sledenje seji ESP (protokol ravni 4 50)
ESP Protokol plasti 4
50 		Vsi paketi IPSec so protokol ravni 4 ESP (IP protokol #50), vsi podatki so enkapsulirani vanj. Običajno se uporablja ESP (ne AH). Če je uporabljen NAT-T, se glava ESP zapre z drugo glavo UDP.
A.H. Protokol sloja 4
51 		Paketi AH predstavljajo protokol ravni 4 AH (IP protokol #51). AH ne podpira šifriranja koristnega tovora in se zato redko uporablja.

delovanje IPSec

Za vzpostavitev varne povezave VPN IPSec uporablja Internetna izmenjava ključev (IKE).
IKE je zagotovljen okvir Združenje za internetno varnost, in Protokol za upravljanje ključev (ISAKMP)

Torej bosta v naši konfiguraciji oba usmerjevalnika delovala kot prehod VPN oz Vrstniki IPsec.

Predpostavimo, da uporabnik v omrežju 10.0.0.0 pošlje paket v omrežje 172.16.0.0.
Ker tunel še ni ustvarjen, bo R1 začel pogajanja z drugim usmerjevalnikom R2.

1. korak: Pogajajte se o predoru 1. faze IKEv1

Prva stopnica med usmerjevalniki se dviga Predor 1. faze internetne izmenjave ključev (IKE)..
Tak predor ni namenjen prenosu uporabniških podatkov, ampak se uporablja v službene namene, za zaščito upravljavskega prometa.

Dvig tunela IKE faze 1 je mogoče izvesti na dva načina:
- glavni način
- agresiven način
Glavni način zahteva izmenjavo velikega števila paketov, vendar velja tudi za bolj varnega.

Za dvig tunela 1. faze IKE se je treba pogajati o naslednjih elementih:

  • Hash algoritem: Lahko bi bilo algoritem preglednice sporočila 5 (MD5) oz Varno zgoščevanje
    Algoritem (SHA)    .
  • Algoritem šifriranja: Standard digitalnega šifriranja (DES)(šibko, ni priporočljivo), Trojni DES (3DES)(malo bolje) oz Napredni šifrirni standard (AES)(priporočeno) AES lahko uporablja ključe različnih dolžin: daljši kot je varnejši.
  • Diffie-Hellmanova (DH) skupina za uporabo: »Skupina« DH se nanaša na velikost modula (dolžina
    ključ) za uporabo za izmenjavo ključev DH. Skupina 1 uporablja 768 bitov, skupina 2 uporablja 1024 in
    skupina 5 uporablja 1536. Varnejše skupine DH so del šifriranja naslednje generacije
    (NGE):
    - Skupina 14 ali 24: Zagotavlja 2048-bitni DH
    - Skupini 15 in 16: Podpira 3072-bitni in 4096-bitni DH
    - Skupina 19 ali 20: podpira 256-bitne oziroma 384-bitne skupine ECDH

    Naloga DH je ustvariti material za ključe (simetrične ključe). Ti ključi bodo uporabljeni za prenos podatkov.
    Sam DH je asimetričen, vendar generira ključe simetrično.

  • Metoda avtentikacije: lahko v obliki ključ v vnaprejšnji skupni rabi (PSK) oz Podpisi RSA
  • Življenska doba: Življenjska doba tunela 1. faze IKE. Edini parameter, ki se morda ne ujema. Krajša kot je življenjska doba, pogosteje se bodo ključi menjavali in varneje je.

2. korak: Zaženite izmenjavo ključev DH

Ko se usmerjevalniki dogovorijo o politiki 1. faze IKE, lahko začnejo postopek izmenjave ključev DH. DH omogoča dvema napravama, ki še nimata varne povezave med seboj, da varno izmenjujeta simetrične ključe, ki jih bodo uporabljali simetrični algoritmi, kot je AES.

3. korak: Preverjanje pristnosti vrstnika

Zadnja stvar, ki bo narejena v 1. fazi IKE, je medsebojna avtentikacija gostiteljev, ki jo je mogoče izvesti z uporabo dveh metod (PSK ali RSA digitalni podpisi)
Če je preverjanje pristnosti uspešno, se šteje, da je tunel 1. faze vzpostavljen. Predor je dvosmeren.

4. korak: 2. faza IKE

Po dvigu tunela 1. faze IKE začnejo usmerjevalniki dvigovati predor 1. faze IKE.
Kot je bilo že omenjeno, je predor 1. faze IKE izključno storitveni predor za pogajanja o upravljanju in ves promet poteka skozenj za dvig predora 2. faze IKE.
Predor IKE Phase 2 uporablja tudi algoritme zgoščevanja in šifriranja.
Dvig tunela IKE faze 2 je mogoče izvesti v enem načinu:
- hitri način

Predor IKE Phase 2 je pravzaprav sestavljen iz dveh enosmernih predorov, tj. lahko rečemo, da so ustvarjeni:
En predor IKE Phase 1, ki je dvosmeren in se uporablja za pomožne funkcije.
In dva tunela IKE Phase 2, ki sta enosmerna in se uporabljata za šifriranje tovornega prometa.
Vse te predore imenujemo tudi kot varnostne pogodbe med obema vrstnikoma VPN oz varnostna združenja (SA).
Vsak SA ima svojo edinstveno številko.

Zdaj, ko je tunel IKE Phase 2 dvignjen, bodo vsi paketi, ki zapuščajo zunanje vmesnike, šifrirani.

Nastavitev primera


Oglejmo si primer nastavitve IPsec z uporabo te sheme kot primera.

  1. Konfigurirajte zanimiv promet
    Najprej moramo definirati promet, ki ga bomo šifrirali.
    Usmerjevalnik R1
    ip access-list razširjeno dovoljenje VPN-ACL ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    Usmerjevalnik R2

    ip access-list razširjeno dovoljenje VPN-ACL ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
  2. Konfiguracija 1. faze (ISAKMP)
    Faza 1 dvigne tunel, ki se uporablja za storitvene namene: izmenjava skrivnih ključev v skupni rabi, preverjanje pristnosti, pogajanja o varnostnih politikah IKE itd.
    Ustvarite lahko več pravilnikov isakmp z različnimi prioritetami.

    Usmerjevalnik R1

    kripto isakmp ključ skrivni ključ naslov 200.200.200.1

    Usmerjevalnik R2

    kripto isakmp politika 1 šifriranje 3des hash md5 avtentikacija skupina pred skupno rabo 2
    kripto isakmp ključ skrivni ključ naslov 100.100.100.1

    Tukaj je ključ PSK (ključ v vnaprejšnji skupni rabi), ki ga uporabljajo usmerjevalniki za preverjanje pristnosti 1. faze IKE.

  3. Konfigurirajte 2. fazo (IPSEc)
    Namen IKE Phase 2 Tunnel je prenos koristnega prometa med gostitelji dveh pisarn.
    Parametri tunela faze 2 so združeni v nize, imenovane transformacijski nizi.
    Usmerjevalnik R1
    crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ! kripto preslikava VPNMAP 10 ipsec-isakmp nastavi peer 200.200.200.1 nastavi transform-set TRSET naslov ujemanja VPN-ACL! vmesnik FastEthernet0/0 kripto zemljevid VPNMAP

    Usmerjevalnik R2

    crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ! kripto preslikava VPNMAP 10 ipsec-isakmp nastavi peer 100.100.100.1 nastavi transform-set TRSET ujemanje naslova VPN-ACL! vmesnik FastEthernet0/0 kripto zemljevid VPNMAP

    Oba gostitelja sta uporabila kripto ipsec transform-set TRSET esp-3des esp-md5-hmac.
    To pomeni, da bo 3des uporabljen za šifriranje in md5-hmac za avtentikacijo.

    kripto zemljevid se uporablja za vmesnik. Kriptozemljevid spremlja promet, ki izpolnjuje določene pogoje. Naša kripto kartica bo delovala z usmerjevalnikom z naslovom 100.100.100.1, določenim z ACL notranjega prometa, in bo za ta promet uporabila TRSET s transformacijo.

IPSec preverjanje

Na splošno je seznam uporabnih ukazov naslednji:
pokaži politiko kripto isakmp
pokaži kripto zemljevid
pokaži kripto isakmp sa podrobnostmi
pokaži kripto ipsec sa
pokaži aktivne povezave kripto mehanizma

V praksi so najbolj uporabni naslednji:


Ogledi: 8008

0 Oglejmo si podrobnosti tehnologij, ki sestavljajo IPSec. Standardi, ki se uporabljajo znotraj IPSec, so precej zapleteni za razumevanje, zato si bomo v tem razdelku podrobno ogledali vsako komponento IPSec. Če želite razumeti, kaj je IPSEC, uporabite dokument "IPSEC kot varnostni protokol omrežnega prometa", objavljen prej na tem mestu. Ta članek je nadaljevanje zgornjega dokumenta.

IPSec uporablja naslednje tehnologije:

  • NA protokol;
  • protokol ESP;
  • šifrirni standard DES;
  • šifrirni standard 3DES;
  • protokol IKE;
  • Diffie-Hellmanova metoda dogovora o ključu;
  • zgoščene kode za pristnost sporočil (HMAC);
  • RSA zaščita;
  • certifikacijski centri.

NA protokol

Ta protokol zagotavlja avtentikacijo in celovitost podatkov za pakete IP, poslane med dvema sistemoma. Protokol NA ni
zagotavlja zaupnost (tj. šifriranje) paketov. Preverjanje pristnosti se doseže z uporabo enosmerne funkcije zgoščevanja, ki je odvisna od ključa, za paket in ustvari "profil" sporočila. Spremembo katerega koli dela paketa vzdolž prenosne poti bo prejemnik zaznal z uporabo podobne enosmerne funkcije zgoščevanja za prejete podatke in primerjavo izračunane vrednosti profila sporočila s tisto, ki jo določi pošiljatelj. Verodostojnost prejetih informacij je zagotovljena z dejstvom, da oba sistema uporabljata isti skrivni ključ za enosmerno zgoščevanje. Diagram delovanja protokola AN je prikazan spodaj. Izvajajo se naslednja dejanja.

  1. Glava IP in vsebina paketa sta zgoščena.
  2. Nastala zgoščena koda se uporabi za izdelavo nove glave AH, ki je pritrjena na izvirni paket med glavo in blokom koristnega tovora.
  3. Nov paket je poslan drugi strani IPSec.
  4. Prejemna stran izračuna vrednost zgoščene kode za glavo IP in koristni tovor, izvleče preneseno vrednost zgoščene kode iz glave AH in primerja obe vrednosti. Ustrezne vrednosti zgoščene kode se morajo natančno ujemati. Če se na poti spremeni vsaj en bit paketa, se zgoščevalna koda paketa, ki jo je izračunal prejemnik, ne bo ujemala z vrednostjo, podano v glavi AH.
Protokol AH zagotavlja avtentikacijo za čim več polj glave IP, kot tudi za podatkovna polja protokolov višje plasti. Vendar se lahko nekatera polja glave IP med prenosom spremenijo. Vrednosti spremenljivih polj (na primer polje TTL, ki označuje življenjsko dobo paketa) spremenijo vmesne omrežne naprave, skozi katere gre paket, in pošiljatelj teh sprememb ne more predvideti. Vrednosti spremenljivih polj ne smejo biti zaščitene s protokolom AH. Tako je zaščita, ki jo AH zagotavlja glavi IP, nekoliko omejena. Protokol AH lahko tudi dodatno zagotovi zaščito pred ponovnim predvajanjem paketa z določitvijo zaporedne številke paketa v glavi IP. Popoln opis protokola AH je v RFC 2402.

protokol ESP

ESP je varnostni protokol, ki zagotavlja zaupnost (tj. šifriranje), avtentikacijo vira in celovitost podatkov ter (neobvezno) storitev za preprečevanje ponovnega predvajanja in omejeno zaupnost prometa z upiranjem poskusom analize toka podatkov.

Protokol ESP zagotavlja zasebnost s šifriranjem na ravni paketa IP. Hkrati so podprti številni algoritmi simetrične sheme šifriranja. Privzeti algoritem za IPSec je DES s 56-bitnim ključem. Ta šifra mora biti prisotna, da se zagotovi združljivost med vsemi izdelki, ki podpirajo IPSec. Izdelki Cisco podpirajo tudi algoritem 3DES, ki zagotavlja močnejše šifriranje. Zasebnost lahko izberete neodvisno od drugih storitev.

Preverjanje pristnosti izvora podatkov in podpora za celovitost brez povezave se uporabljata skupaj in sta izbirni (tj. neobvezni). Te funkcije je mogoče kombinirati tudi s storitvijo zasebnosti.
Storitev zaščite pred ponovnim predvajanjem je mogoče izbrati le, če je izbrana avtentikacija izvora podatkov, izbira te storitve pa je izključno v pristojnosti prejemnika. Čeprav mora pošiljatelj privzeto samodejno povečati zaporedno številko, ki se uporablja za zaščito pred ponovnim predvajanjem, je ta storitev učinkovita le, če prejemnik preveri zaporedno številko. Zaupnost prometa zahteva izbiro načina tunela. To je najučinkovitejše v varnostnem prehodu, kjer se lahko zamaskiranje izvor-cilj izvede za ves promet hkrati. Tukaj je treba opozoriti, da čeprav sta tako zasebnost kot avtentikacija možnosti, mora biti izbrana vsaj ena od teh storitev.
Storitve, ki jih zagotavlja ESP, so odvisne od parametrov, navedenih v konfiguraciji IPSec in izbranih pri ustvarjanju varnostne povezave IPSec. Vendar pa izbira zaupnosti brez integritete/avtentikacije (bodisi znotraj ESP ali ločeno z NA) pusti nasprotnika odprtega za nekatere vrste napadov, ki lahko omejijo uporabnost storitve zaupnosti, uporabljene na ta način.
Glava ESP je vstavljena v paket za glavo IP, pred glavo protokola višje plasti (v transportnem načinu) ali pred enkapsulirano glavo IP (v tunelskem načinu). Popoln opis protokola ESP je v RFC 2406.

Šifriranje ESP z uporabo NMAC

ESP lahko zagotovi tudi avtentikacijo paketov z uporabo neobveznega polja za avtentikacijo. V programski opremi Cisco IOS in požarnih zidovih PIX se ta storitev imenuje ESP HMAC. Vrednosti avtentikacije se izračunajo po izvedbi šifriranja. Standard IPSec, ki se danes uporablja, opisuje algoritma SHA1 in MD5 kot obvezna za NMAC.
Glavna razlika med avtentikacijo ESP in avtentikacijo NA je njihov obseg. ESP ne ščiti nobenih polj glave IP, razen če je predvidena inkapsulacija ESP (tunelski način). Slika prikazuje, katera polja so zaščitena pri uporabi ESP NMAC.


Upoštevajte, da šifriranje zajema samo podatke koristnega tovora, medtem ko ESP z zgoščevanjem NMAC ESP pokriva glavo ESP in podatke tovora. Glava IP ni zaščitena. Storitve ESP NMAC ni mogoče uporabljati samostojno, ampak jo je treba kombinirati s šifrirnim protokolom ESP.

Tunel IPSec in načini transporta

IPSec deluje v tunelskem ali transportnem načinu. Slika prikazuje diagram izvedbe tunelskega načina. V tem načinu je celoten prvotni datagram IP šifriran in postane koristni tovor v novem paketu IP z novo glavo IP in dodatno glavo IPSec (skrajšano HDR na sliki). Tunelski način omogoča omrežni napravi (kot je požarni zid PIX), da deluje kot prehod IPSec ali strežnik proxy, ki izvaja šifriranje za gostitelje za požarnim zidom. Izvorni usmerjevalnik šifrira paket in ga posreduje prek tunela IPSec. Ciljni požarni zid PIX dešifrira prejeti paket IPSec, ekstrahira izvirni datagram IP in ga posreduje ciljnemu sistemu. Glavna prednost tunelskega načina je, da končnih sistemov ni treba spreminjati, da bi lahko uporabljali IPSec. Tunelski način prav tako prepreči nasprotniku, da bi analiziral tok podatkov. Pri izmenjavi v tunelskem načinu lahko nasprotnik določi samo končne točke tunela, ne pa tudi pravega vira in cilja paketov, ki gredo skozi tunel, tudi če se končne točke tunela nahajajo v izvornem in ciljnem sistemu.


Diagram na spodnji sliki prikazuje način prevoza. Tu je šifrirana samo vsebina IP, izvirna glava IP pa ostane nedotaknjena.
Dodana je glava IPSec. Prednost tega načina je, da vsakemu paketu doda le nekaj bajtov. Poleg tega lahko odprte omrežne naprave vidijo pravi izvorni in ciljni naslov paketa.


To omogoča izkoriščanje posebnih zmogljivosti vmesnih omrežij (kot je zajamčena kakovost storitev) na podlagi informacij v glavi IP. Vendar je glava plasti 4 šifrirana, kar omejuje možnost analize paketa. Na žalost pošiljanje glave IP v obliki čistega besedila v transportnem načinu omogoča napadalcu, da izvede določeno stopnjo analize pretoka podatkov. Napadalec lahko na primer ugotovi, koliko paketov so prenesle strani IPSec, ki delujejo v transportnem načinu. Toda napadalec lahko le ve, da so bili paketi IP posredovani. Če je bil uporabljen protokol ESP, ne bo mogel ugotoviti, ali je šlo za e-poštno sporočilo ali kakšno drugo prilogo.

Uporaba tunela in transportnih načinov

Oglejmo si nekaj primerov, ki ponazarjajo pravila za izbiro predora ali načina prevoza. Spodnja slika prikazuje situacije, v katerih se uporablja tunelski način. Ta način se najpogosteje uporablja za šifriranje pretoka podatkov med varnostnimi prehodi IPSec – na primer med usmerjevalnikom Cisco in požarnim zidom PIX. Prehodi IPSec izvajajo funkcije IPSec za naprave, ki se nahajajo za takimi prehodi (na zgornji sliki je to Alicin osebni računalnik in strežniki HR). V tem primeru Alice pridobi varen dostop do strežnikov HR prek tunela IPSec, vzpostavljenega med prehodi.

Tunelski način se uporablja tudi za komunikacijo med končnimi točkami, ki uporabljajo programsko opremo IPSec, na primer med odjemalcem CiscoSecure VPN in prehodom IPSec.
V tem primeru se tunelski način uporablja za ustvarjanje tunela IPSec med usmerjevalnikom Cisco in strežnikom, v katerem se izvaja programska oprema IPSec. Upoštevajte, da je v programski opremi Cisco IOS in požarnem zidu PIX tunelski način privzeti način za komunikacije IPSec.
Način transporta se uporablja med končnimi točkami, ki podpirajo IPSec, ali med končno točko in prehodom, če se prehod razume kot gostitelj. Na sl. Spodaj je primer D, ki ponazarja uporabo transportnega načina za ustvarjanje šifriranega tunela IPSec iz Alicinega računalnika, v katerem se izvaja odjemalska programska oprema Microsoft Windows 2000, do koncentratorja Cisco VPN 3000, kar Alice omogoča uporabo tunela L2TP prek IPSec.

Uporaba AH in ESP

V določenih situacijah se zdi težava izbire med AN in ESP težko rešljiva, vendar jo je mogoče poenostaviti z upoštevanjem nekaj pravil. Če morate vedeti, da se podatki iz identificiranega vira prenašajo brez kršitve njihove celovitosti in jim ni treba zagotoviti zaupnosti, uporabite protokol AH, ki ščiti protokole višje plasti in polja glave IP, ki se med prenosom ne spreminjajo. Varnost pomeni, da ustreznih vrednosti ni mogoče spremeniti, ker bo to zaznala druga stranka IPSec in vsak spremenjen datagram IP bo zavrnjen. Protokol AH ne zagotavlja zaščite pred prisluškovanjem kanalu in ogledom glave in podatkov s strani vsiljivca. Ker pa glave in podatkov ni mogoče nezaznavno spremeniti, so spremenjeni paketi zavrnjeni.

Če morate podatke ohraniti tajne (zagotoviti zaupnost), uporabite ESP. Ta protokol šifrira protokole višje plasti v transportnem načinu in celoten izvirni datagram IP v tunelskem načinu, tako da je nemogoče pridobiti informacije o paketih z vohanjem prenosnega kanala. Protokol ESP lahko nudi tudi storitev preverjanja pristnosti za pakete. Vendar pri uporabi ESP v transportnem načinu zunanja izvirna glava IP ni zaščitena, v tunelskem načinu pa nova glava IP ni zaščitena. Pri uporabi IPSec obstaja večja verjetnost, da bodo uporabniki uporabili tunelski način kot transportni način.

protokoli IPSec Organizacija varnega kanala https://www.site/lan/protokoly-ipsec https://www.site/@@site-logo/logo.svg?1

protokoli IPSec

Organizacija varnega kanala

protokoli IPSec

Vzpostavitev varnega kanala z uporabo AH, ESP in IKE.

Varnost internetnega protokola (IPSec) se v internetnih standardih imenuje sistem. IPSec je namreč konsistenten nabor odprtih standardov, ki ima danes dobro definirano jedro, hkrati pa ga je mogoče precej enostavno razširiti z novimi protokoli, algoritmi in funkcijami.

Glavni namen protokolov IPSec je zagotoviti varen prenos podatkov po omrežjih IP. Uporaba IPSec zagotavlja:

  • celovitost, tj. da podatki med prenosom niso bili popačeni, izgubljeni ali podvojeni;
  • pristnost, to je, da je podatke posredoval pošiljatelj, ki je dokazal, da je tisti, za katerega se predstavlja;
  • zaupnost, to je, da so podatki posredovani v obliki, ki onemogoča nepooblaščen vpogled.

(Upoštevajte, da v skladu s klasično definicijo koncept varnosti podatkov vključuje še eno zahtevo - razpoložljivost podatkov, ki jo v obravnavanem kontekstu lahko razlagamo kot jamstvo za njihovo dostavo. Protokoli IPSec tega problema ne rešijo, temveč v protokol transportne plasti TCP.)

ZAVAROVANI KANALI NA RAZLIČNIH NIVOJIH

IPSec je le ena izmed mnogih, a danes najbolj priljubljenih tehnologij za varen prenos podatkov po javnem (nezavarovanem) omrežju. Za tehnologije tega namena se uporablja splošno ime - varen kanal. Izraz "kanal" poudarja dejstvo, da je zaščita podatkov zagotovljena med dvema omrežnima vozliščema (gostitelji ali prehodi) vzdolž virtualne poti, postavljene v paketno komutiranem omrežju.

Varen kanal je mogoče zgraditi s sistemskimi orodji, implementiranimi na različnih ravneh modela OSI (glej sliko 1). Če se za zaščito podatkov uporablja protokol enega od zgornjih nivojev (aplikacija, predstavitev ali seja), potem ta način zaščite ni odvisen od tega, katera omrežja (IP ali IPX, Ethernet ali ATM) se uporabljajo za prenos podatkov, kar lahko velja za nedvomno prednost. Po drugi strani pa aplikacija postane odvisna od določenega varnostnega protokola, torej za aplikacije takšen protokol ni transparenten.

Varen kanal na najvišji, aplikativni ravni ima še eno pomanjkljivost - omejen obseg. Protokol ščiti samo zelo specifično omrežno storitev – datoteko, hipertekst ali e-pošto. Na primer, protokol S/MIME ščiti izključno e-poštna sporočila. Zato je treba za vsako storitev razviti ustrezno varno različico protokola.

Najbolj znani protokol varnega kanala, ki deluje na naslednji predstavitveni ravni, je protokol plasti varnih vtičnic (SSL) in njegova nova odprta izvedba varnosti transportne plasti (TLS). Z znižanjem ravni protokola postane veliko bolj vsestransko varnostno orodje. Zdaj lahko vsaka aplikacija in kateri koli protokol na ravni aplikacije uporablja en sam varnostni protokol. Vendar je treba aplikacije še vedno prepisati, da bodo vključevale eksplicitne klice funkcij protokola varnega kanala.

Čim nižje v skladu so implementirane zmogljivosti varnih kanalov, tem lažje jih je narediti pregledne za aplikacije in aplikacijske protokole. Na ravni omrežja in podatkovne povezave odvisnost aplikacij od varnostnih protokolov popolnoma izgine. Tu pa se soočimo z drugo težavo - odvisnostjo varnostnega protokola od določene omrežne tehnologije. Dejansko različni deli velikega sestavljenega omrežja na splošno uporabljajo različne povezovalne protokole, zato je nemogoče položiti varen kanal skozi to heterogeno okolje z uporabo enega samega povezovalnega protokola.

Razmislite na primer o protokolu tuneliranja od točke do točke (PPTP), ki deluje na ravni podatkovne povezave. Temelji na protokolu PPP, ki se pogosto uporablja v povezavah od točke do točke, kot so zakupljene linije. Protokol PPTP ne zagotavlja le varnostne preglednosti za aplikacije in storitve na ravni aplikacije, ampak je tudi neodvisen od uporabljenega protokola omrežnega sloja: zlasti lahko protokol PPTP prenaša pakete v omrežjih IP in v omrežjih, ki temeljijo na protokolih IPX, DECnet ali NetBEUI. Ker pa se protokol PPP ne uporablja v vseh omrežjih (v večini lokalnih omrežij protokol Ethernet deluje na ravni podatkovne povezave, v globalnih omrežjih pa protokoli ATM in okvirni relej), PPTP ni mogoče šteti za univerzalno orodje.

IPSec, ki deluje na omrežni ravni, je kompromisna možnost. Po eni strani je pregleden za aplikacije, po drugi strani pa lahko deluje v skoraj vseh omrežjih, saj temelji na zelo razširjenem protokolu IP: trenutno na svetu le 1 % računalnikov ne podpira IP na vseh, preostalih 99 % pa ga uporablja kot en sam protokol ali kot enega od več protokolov.

RAZDELITEV FUNKCIJ MED PROTOKOLI IPSEC

Jedro IPSec sestavljajo trije protokoli: avtentikacijski protokol (Authenti-cation Header, AH), šifrirni protokol (Encapsulation Security Payload, ESP) in protokol za izmenjavo ključev (Internet Key Exchange, IKE). Funkcije vzdrževanja varnega kanala so med temi protokoli porazdeljene na naslednji način:

  • AH protokol zagotavlja celovitost in avtentičnost podatkov;
  • Protokol ESP šifrira prenesene podatke, kar zagotavlja zaupnost, lahko pa podpira tudi avtentikacijo in celovitost podatkov;
  • Protokol IKE rešuje pomožno nalogo samodejnega zagotavljanja končnim točkam kanala s tajnimi ključi, potrebnimi za delovanje protokolov za avtentikacijo in šifriranje podatkov.

Kot je razvidno iz kratkega opisa funkcij, se zmogljivosti protokolov AH in ESP delno prekrivajo. Protokol AH je odgovoren samo za zagotavljanje celovitosti podatkov in avtentikacijo, medtem ko je protokol ESP močnejši, saj lahko šifrira podatke, poleg tega pa opravlja funkcije protokola AH (čeprav, kot bomo videli kasneje, zagotavlja avtentikacijo in celovitost v nekoliko zmanjšani obliki). Protokol ESP lahko podpira funkcije šifriranja in avtentikacije/integritete v poljubni kombinaciji, tj. obe skupini funkcij ali samo avtentikacijo/integriteto ali samo šifriranje.

Za šifriranje podatkov v IPSec je mogoče uporabiti kateri koli simetrični algoritem šifriranja, ki uporablja tajne ključe. Zagotavljanje celovitosti podatkov in avtentikacije temelji tudi na eni od tehnik šifriranja – šifriranju z uporabo enosmerne funkcije, imenovane tudi zgoščevalna funkcija ali digest funkcija.

Ta funkcija, ki se uporablja za šifrirane podatke, ima za posledico prebavljeno vrednost, sestavljeno iz fiksnega majhnega števila bajtov. Izvleček je poslan v paketu IP skupaj z izvirnim sporočilom. Prejemnik, ki ve, katera funkcija enosmernega šifriranja je bila uporabljena za sestavo povzetka, ga ponovno izračuna z uporabo izvirnega sporočila. Če sta vrednosti prejetih in izračunanih izvlečkov enaki, to pomeni, da se vsebina paketa med prenosom ni spreminjala. Poznavanje povzetka ne omogoča rekonstrukcije izvirnega sporočila in ga zato ni mogoče uporabiti za zaščito, omogoča pa preverjanje celovitosti podatkov.

Povzetek je neke vrste kontrolna vsota za izvirno sporočilo. Vendar pa obstaja tudi bistvena razlika. Uporaba kontrolne vsote je sredstvo za preverjanje celovitosti sporočil, ki se prenašajo po nezanesljivih komunikacijskih linijah, in ni namenjena boju proti zlonamerni dejavnosti. Pravzaprav prisotnost kontrolne vsote v poslanem paketu ne bo preprečila napadalcu, da zamenja prvotno sporočilo tako, da mu doda novo vrednost kontrolne vsote. Za razliko od kontrolne vsote se pri izračunu povzetka uporablja skrivni ključ. Če bi bila za pridobitev povzetka uporabljena enosmerna funkcija s parametrom (skrivni ključ), ki ga poznata samo pošiljatelj in prejemnik, bi bila vsaka sprememba izvirnega sporočila takoj zaznana.

Ločevanje varnostnih funkcij med dvema protokoloma AH in ESP je posledica prakse, ki se uporablja v mnogih državah za omejevanje izvoza in/ali uvoza orodij, ki zagotavljajo zaupnost podatkov s šifriranjem. Vsak od teh dveh protokolov se lahko uporablja samostojno ali sočasno z drugim, tako da v primerih, ko zaradi trenutnih omejitev ni mogoče uporabiti šifriranja, je sistem mogoče dobaviti samo s protokolom AH. Seveda bo zaščita podatkov samo s protokolom AH v mnogih primerih nezadostna, saj bo prejemna stran v tem primeru le prepričana, da je podatke poslalo točno tisto vozlišče, od koder so bili pričakovani in prispeli v obliki, v kateri so bili. prejeto poslano. Protokol AH ne more zaščititi pred nepooblaščenim pregledovanjem vzdolž poti podatkov, saj jih ne šifrira. Za šifriranje podatkov je potrebna uporaba protokola ESP, ki lahko tudi preveri njihovo celovitost in pristnost.

VARNO ZDRUŽENJE

Da lahko protokola AH in ESP opravita svojo nalogo zaščite prenesenih podatkov, protokol IKE vzpostavi logično povezavo med obema končnima točkama, ki se v standardih IPSec imenuje »Varnostno združenje« (SA). Vzpostavitev SA se začne z medsebojno avtentikacijo strank, saj vsi varnostni ukrepi postanejo nesmiselni, če podatke posreduje ali prejme napačna oseba ali od napačne osebe. Parametri SA, ki jih nato izberete, določajo, kateri od obeh protokolov, AH ali ESP, se uporablja za zaščito podatkov, katere funkcije izvaja varnostni protokol: na primer samo avtentikacijo in preverjanje celovitosti ali dodatno zaščito pred lažnim ponovnim predvajanjem. Zelo pomemben parameter varne povezave je tako imenovani kriptografski material, to je tajni ključ, ki se uporablja pri delovanju protokolov AH in ESP.

Sistem IPSec omogoča tudi ročno metodo vzpostavitve varne povezave, pri kateri skrbnik konfigurira vsako končno vozlišče tako, da podpira dogovorjene parametre povezovanja, vključno s skrivnimi ključi.

Protokol AH ali ESP že deluje znotraj vzpostavljene logične povezave SA, z njegovo pomočjo se izvaja zahtevana zaščita prenesenih podatkov z izbranimi parametri.

Nastavitve varne povezave morajo biti sprejemljive za obe končni točki varnega kanala. Zato pri uporabi postopka samodejne vzpostavitve SA protokoli IKE, ki delujejo na nasprotnih straneh kanala, med pogajalskim postopkom izberejo parametre, tako kot dva modema določata najvišji sprejemljivi menjalni tečaj za obe strani. Za vsako nalogo, ki jo rešujeta protokola AH in ESP, je na voljo več shem avtentikacije in šifriranja - zaradi tega je IPSec zelo prilagodljivo orodje. (Upoštevajte, da izbira funkcije povzetka za rešitev problema avtentikacije na noben način ne vpliva na izbiro algoritma za šifriranje podatkov.)

Za zagotovitev združljivosti standardna različica IPsec definira določen obvezen nabor "orodij": zlasti je za avtentikacijo podatkov vedno mogoče uporabiti eno od enosmernih šifrirnih funkcij MD5 ali SHA-1, algoritmi šifriranja pa zagotovo vključujejo DES. Hkrati lahko proizvajalci izdelkov, ki vključujejo IPSec, prosto širijo protokol z drugimi avtentikacijskimi in šifrirnimi algoritmi, kar jim tudi uspešno uspeva. Številne izvedbe IPSec na primer podpirajo priljubljen šifrirni algoritem Triple DES, pa tudi relativno nove algoritme - Blowfish, Cast, CDMF, Idea, RC5.

Standardi IPSec omogočajo prehodom uporabo enega SA za prenos prometa od vseh gostiteljev, ki komunicirajo prek interneta, ali ustvarjanje poljubnega števila SA za ta namen, na primer enega za vsako povezavo TCP. Varna SA je enosmerna (simpleksna) logična povezava v IPSec, zato je treba za dvosmerno komunikacijo vzpostaviti dve SA.

NAČINI PROMETA IN PREDORI

Protokola AH in ESP lahko zaščitita podatke v dveh načinih: transport in tunel. V transportnem načinu se prenos paketa IP skozi omrežje izvede z uporabo izvirne glave tega paketa, v tunelskem načinu pa se originalni paket postavi v nov paket IP in prenos podatkov po omrežju poteka na podlagi glavo novega paketa IP. Uporaba enega ali drugega načina je odvisna od zahtev za zaščito podatkov, pa tudi od vloge, ki jo v omrežju igra vozlišče, ki zaključuje varni kanal. Tako je vozlišče lahko gostitelj (končno vozlišče) ali prehod (vmesno vozlišče). V skladu s tem obstajajo tri sheme za uporabo IPSec: od gostitelja do gostitelja, od prehoda do prehoda in od gostitelja do prehoda.

V prvi shemi se med dvema končnima vozliščema omrežja vzpostavi varen kanal ali, kar je v tem kontekstu isto, varna povezava (glej sliko 2). Protokol IPSec v tem primeru deluje na končnem vozlišču in ščiti podatke, ki prispejo do njega. Za shemo gostitelj-gostitelj se najpogosteje uporablja transportni način zaščite, čeprav je dovoljen tudi tunelski način.

V skladu z drugo shemo je varen kanal vzpostavljen med dvema vmesnima vozliščema, tako imenovanima varnostnima prehodoma (SG), od katerih vsak poganja protokol IPSec. Varna komunikacija lahko poteka med katerima koli dvema končnima točkama, povezanima z omrežji, ki se nahajajo za varnostnimi prehodi. Končnim točkam ni treba podpirati IPSec in nezaščiteno prenašati svojega prometa prek zaupanja vrednih intranetov podjetij. Promet, poslan v javno omrežje, poteka skozi varnostni prehod, ki v njegovem imenu zagotavlja zaščito IPSec. Prehodi lahko uporabljajo samo tunelski način.

Shema gostitelj-prehod se pogosto uporablja za oddaljeni dostop. Tu se vzpostavi varen kanal med oddaljenim gostiteljem, ki izvaja IPSec, in prehodom, ki ščiti promet za vse gostitelje v intranetnem omrežju podjetja. Oddaljeni gostitelj lahko uporablja transportni in tunelski način, ko pošilja pakete na prehod, vendar prehod pošlje paket gostitelju samo v tunelskem načinu. To shemo je mogoče zakomplicirati z ustvarjanjem drugega varnega kanala vzporedno - med oddaljenim gostiteljem in katerim koli gostiteljem, ki pripada notranjemu omrežju, zaščitenemu s prehodom. Ta kombinirana uporaba dveh SA vam omogoča zanesljivo zaščito prometa v notranjem omrežju.

Natalija Olifer

Operacije z dokumentom

Sprva je internet uporabljal ozek krog ljudi, ki so se razumeli na varnostno politiko. V skladu s tem ni bilo očitne potrebe po zaščiti podatkov. Varovanje je bilo organizirano na fizični ravni z izolacijo omrežja pred nepooblaščenimi osebami. Vendar sčasoma internet postane javna platforma in potreba po ustvarjanju protokolov, ki bi lahko šifrirali prenesene podatke, postopoma narašča.

Leta 1994 je odbor za internetno arhitekturo izdal poročilo "Varnost internetne arhitekture". To poročilo je bilo posvečeno predvsem problemom zaščite pred nepooblaščenim nadzorom, ponarejanjem paketov in upravljanju pretoka podatkov. Treba je bilo razviti nek standard, ki bi rešil vse te probleme. Posledično so nastali standardi protokolov, ki so vključevali IPsec.

IPsec (skrajšano IP Security) je skupina protokolov, namenjenih zagotavljanju zaščite podatkov, ki se prenašajo prek omrežja IP. Naloga IPsec se zmanjša na izbiro posebnih algoritmov in mehanizmov ter ustrezno konfiguracijo naprav, ki sodelujejo pri ustvarjanju varne povezave. IPsec se uporablja v povezavah VPN.

Pri ustvarjanju varnega kanala morajo udeleženci v tem procesu izvesti naslednja dejanja:

  1. Preverjajte drug drugega
  2. Ustvarite in izmenjujte ključe
  3. Dogovorite se, s katerimi protokoli boste šifrirali podatke
  4. Začnite prenašati podatke v šifrirani tunel

Sam IPsec, kot smo že omenili, je sestavljen iz več protokolov, od katerih je vsak odgovoren za določeno stopnjo vzpostavitve tunela IPsec. Prvi med njimi je IKE.

IKE (Internet Key Exchange) je protokol za izmenjavo ključev.

IKE se uporablja na prva stopnja vzpostavitev povezave. Njegove naloge vključujejo: avtentikacijo točk VPN, organiziranje novih IPsec povezav (z ustvarjanjem SA parov), upravljanje trenutnih povezav. SA je nabor parametrov za varno povezavo. Ko je povezava konfigurirana, se za vsak protokol ustvari en par SA: prvi za protokol AH, drugi za ESP (o njih vam bom povedal kasneje). Omeniti velja tudi, da je SA enosmerna. Tako bodo pri komunikaciji med dvema računalnikoma uporabljeni štirje SA. IKE deluje v dveh fazah, pri čemer lahko prva faza deluje v kateri koli v bistvu torej v agresiven način. Oglejmo si dve fazi povezave IKE:

Prva faza (glavni način):

  1. Izmenjava varnostnih parametrov povezave IKE (algoritmi in zgoščevalne funkcije)
  2. Skupni skrivni ključ se ustvari na vsakem koncu tunela
  3. Z uporabo algoritma Deffie-Hellman si strani izmenjata skupni skrivni ključ
  4. Avtentikacija obeh koncev tunela

Prva faza (agresivni način): prvi paket takoj vsebuje vse potrebne informacije za vzpostavitev povezave IKE. Prejemnik odgovori z vsem, kar je potrebno za dokončanje izmenjave, nato pa mora prvo vozlišče samo potrditi povezavo.

Agresivni način vam omogoča hitrejšo vzpostavitev povezave IKE, vendar je manj varen, ker strani izmenjata informacije, preden se vzpostavi varna povezava.

Tako prva faza služi ustvarjanju varnega tunela, skozi katerega se bodo prenašali parametri za IPSec tunel. V drugi fazi je zgrajen glavni tunel IPSec.

Med druga faza udeleženci varne povezave drug drugemu izmenično ponujajo možnosti za varno povezavo in, če se strinjajo, zgradijo glavni tunel IPSec. V drugi fazi se dogovorijo številni parametri:

  • Izberite protokol IPSec: AH (Authentication Header) in/ali ESP (Encapsulation Security Payload)
  • Izberite algoritem za šifriranje podatkov: DES, 3DES, AES
  • Izberite algoritem za preverjanje pristnosti: SHA, MD5
  • Izbira načina delovanja: tunel ali transport
  • Nastavi življenjsko dobo tunela IPSec
  • Določen je promet, ki bo poslan skozi tunel VPN

AH (Authentication Header) je protokol IPSec, zasnovan za preverjanje pristnosti. V bistvu je to običajna neobvezna glava, ki se nahaja med glavno glavo paketa IP in podatkovnim poljem. Namen AH je zagotoviti zaščito pred napadi, povezanimi z nepooblaščenim spreminjanjem podatkov v paketu IP, zlasti zamenjavo izvornega naslova omrežne plasti.

ESP (Encapsulation Security Payload) je protokol IPSec, zasnovan za šifriranje podatkov. Dobesedno prevedeno kot "varno enkapsulirano podatkovno polje". Tako kot AH je izbirna glava, vključena v paket IP. Glavni namen ESP je zagotavljanje zasebnosti podatkov.

Morda ste opazili, da imata ESP in AH različne formate glede na vrsto uporabljenega načina: tunelski in transportni.

Tunelski način ki se najpogosteje uporablja za oddaljene povezave VPN. S tem načinom je originalni paket IP popolnoma enkapsuliran v novega tako, da bo zunanjemu opazovalcu vidna samo povezava med dvema točkama VPN. Pravi izvorni in ciljni naslov IP ne bosta vidna; mogoče ju je pridobiti samo z deenkapsulacijo na točki VPN. Na podlagi tega lahko domnevamo, da je tunelski način varnejši.

Način transporta Običajno se uporablja v lokalnem omrežju za zaščito povezav med gostitelji. Ta način zagotavlja zaščito podatkov za paket IP (TCP, UDP, protokoli višje ravni). Grobo rečeno, transportni način enkapsulira vse nad omrežno plastjo referenčnega modela OSI, ne da bi vplival na samo glavo IP. Seveda bodo v tem primeru podatki paketa IP: izvorni in ciljni naslovi vidni od zunaj.

Zdaj pa preidimo na prakso: nastavite varen tunel IPSec med dvema usmerjevalnikoma Cisco. Shema bo sestavljena iz treh zaporedno povezanih usmerjevalnikov, pri čemer bosta najbolj oddaljena R1 in R3 predstavljala usmerjevalnike za lokalna omrežja, osrednji R2 pa bo simuliral internet. Najprej morate konfigurirati povezljivost med dvema lokalnima podomrežjema. Povezljivost je zagotovljena prek tunela GRE. O tunelih GRE sem pisal v, obstaja tudi konfiguracija tunela GRE za usmerjevalnike Cisco. Da bi razumeli logiko nadaljnjih dejanj, toplo priporočam, da preberete to gradivo.

Torej, naš glavni tunel GRE je "prevržen". Ni varen, zato bomo IPSec konfigurirali povrh njega. Delali smo po tej shemi.

Po legendi smo imeli dve pisarni s podomrežji LAN1 in LAN2. Zagotoviti je treba, da ima računalnik iz LAN1 dostop do strežnika, ki se nahaja na LAN2 (na primer za dostop do datotek). Tako smo ustvarili glavni predor. Na omrežni ravni vse deluje v redu - obstaja ping od računalnika do strežnika. Obstaja pa ena težava: strežnik vsebuje datoteke, ki za podjetje predstavljajo poslovno skrivnost. Zato so potrebni mehanizmi za šifriranje prometa in avtentikacija, ki zagotavlja, da nihče razen nas ne more dostopati do teh datotek. Tukaj nastopi IPSec.

Konfiguracija za usmerjevalnik A

Ustvarite varnostno politiko in jo konfigurirajte RouterA(config)#crypto isakmp pravilnik 1 Določite način šifriranja (simetrična blokovna šifra) RouterA(config)#encryption 3des Določite metodo zgoščevanja MD5 RouterA(config)#hash md5 Določite način preverjanja pristnosti (s ključem v vnaprejšnji skupni rabi) RouterA(config)#authentication vnaprejšnja skupna raba Zapustite način urejanja varnostne politike RouterA(config)#exit Ključ za preverjanje pristnosti (mora biti enak za obe točki) RouterA(config)#crypto isakmp ključ PASS naslov 33.33.33.33 Uporaba transformacijskega niza RouterA(config)#crypto ipsec transform-set LAN1 esp-3des esp-md5-hmac Določite način delovanja IPSec (tunelski način) RouterA(cfg-crypto-trans)#mode tunel RouterA(cfg-crypto-trans)#exit Ustvarjanje kripto karte (podrobnosti o tuneliranju) RouterA(config)#crypto map MAP1 10 ipsec-isakmp Določimo naslov IP usmerjevalnika, s katerim nameščamo VPN RouterA(config-crypto-map)#set peer 33.33.33.33 Določite nabor varnostnih pravilnikov RouterA(config-crypto-map)#set transform-set LAN1 Šifrirajte podatke, ki bodo šli skozi seznam dostopa številka 100 RouterA(config-crypto-map)#match naslov 100 Izhod iz načina nastavitve kripto kartice RouterA(config-crypto-map)#izhod Promet GRE od gostitelja 11.11.11.11 do gostitelja 33.33.33.33 je predmet šifriranja RouterA(config)#access-list 100 permit gre host 11.11.11.11 host 33.33.33.33 Pojdite v način nastavitve zunanjega vmesnika RouterA(config)#interface fa 0/1 Povezava šifrirne kartice MAP1 z zunanjim vmesnikom UsmerjevalnikA(config-if)#kripto zemljevid MAP1

Usmerjevalnik B je konfiguriran na enak način:

RouterB(config)#crypto isakmp policy 1 RouterB(config)#encryption 3des RouterB(config)#hash md5 RouterB(config)#authentication pre-share RouterB(config)#exit RouterB(config)#crypto isakmp key PASS naslov 11.11. 11.11 RouterB(config)#crypto ipsec transform-set LAN2 esp-3des esp-md5-hmac RouterB(cfg-crypto-trans)#mode tunnel RouterB(cfg-crypto-trans)#exit RouterB(config)#crypto map MAP2 10 ipsec-isakmp RouterB(config-crypto-map)#set peer 11.11.11.11 RouterB(config-crypto-map)#set transform-set LAN2 RouterB(config-crypto-map)#match naslov 100 RouterB(config-crypto-map) )#exit RouterB(config)#access-list 100 permit gre host 33.33.33.33 host 11.11.11.11 RouterB(config)#interface fa 0/1 RouterB(config-if)#crypto map MAP2

Podprite projekt

Prijatelji, spletno mesto Netcloud se vsak dan razvija zahvaljujoč vaši podpori. Načrtujemo uvedbo novih razdelkov s članki in nekaj uporabnih storitev.

Imate možnost podpreti projekt in prispevati znesek, ki se vam zdi potreben.