IPSec

IPSec este un protocol nu este una, și sistemul de protocol destinat să protejeze datele în IP-rețele nivel de rețea. Acest articol va fi descrisă în teoria aplicării IPsec pentru a crea un tunel VPN.

VPN bazate pe tehnologia IPSec poate fi împărțit în două părți:

  • Protocol Internet Key Exchange (IKE)
  • Protocoalele IPsec (AH / ESP / ambele)

Prima parte (IKE) este o faza de potrivire, în timpul căreia cele două puncte VPN-selectate, care metode vor fi folosite pentru a proteja traficul trimis IP între acestea. În plus, IKE este, de asemenea, utilizat pentru a gestiona conexiunile, pentru acest concept este introdus asociații de securitate (SA) pentru fiecare compus. SA îndreptate într-o singură direcție, conexiune tipică pentru IPSec folosește două SA.

A doua parte - aceste date IP să fie criptate și autentificate, înainte de metode de transmitere convenite în prima parte (IKE). Există diferite protocoale IPsec, care pot fi utilizate: AH, ESP, sau ambele.

Secvența de stabilire a unui VPN IPSec pot fi rezumate astfel:

  • IKE negociază nivelul de protecție IKE
  • IKE negociază nivelul de protecție IPsec
  • datele protejate sunt transmise prin VPN IPsec

IKE, Internet Key Exchange

Pentru datele de criptare și autentificare necesare pentru a selecta o metodă de criptare / autentificare (algoritm) și cheile utilizate în aceasta. Problema Internet Protocol Key Exchange, IKE, în acest caz, se reduce la difuzarea de date algoritmi „cheie de sesiune“ de armonizare și care să protejeze datele între VPN-puncte.

Principalele sarcini ale IKE:

  • VPN-puncte de reciproc de autentificare
  • Organizarea de noi conexiuni IPsec (prin crearea de perechi SA)
  • Managementul conexiunii curente

IKE păstrează înregistrările de conexiuni prin atribuirea fiecare dintre ele un anumit asociații de securitate, SA. SA descrie parametrii unui anumit compus, inclusiv protocolul IPsec (AH / ESP sau ambele), cheile de sesiune utilizate pentru criptare / decriptare și / sau datele de autentificare. SA este unidirecțională, astfel încât câteva SA este utilizat pentru fiecare conexiune. În cele mai multe cazuri, folosind doar ESP și AH, sunt doar două SA pentru fiecare dintre conexiunile, una pentru traficul de intrare și unul pentru ieșire. Când ESP și AH sunt utilizate împreună, SA necesită patru.

procesul de negociere IKE trece prin mai multe faze (faze). Aceste etape includ:

  1. IKE Phase (IKE Phase-1):
    - Aprobarea protecției IKE (tunel ISAKMP)
  2. IKE a doua fază (IKE Phase-2):
    - coordonează protecția IPsec
    - Primirea datelor dintr-o primă fază, pentru a forma cheii de sesiune

Compușii de IKE și IPSec durată limitată (în secunde), iar numărul datelor transmise (în kilobytes). Acest lucru se face pentru a spori securitatea.
Durata IPsec, de regulă, mai scurt IKE. Prin urmare, în cazul în care termenul limită IPsec noii conexiuni compus IPsec este recreat prin cea de a doua fază de potrivire. Prima fază de armonizare este utilizat numai atunci când reconstruirea unei conexiuni IKE.

introduce conceptul de propunere IKE (IKE propunere) pentru IKE negociere - este o propunere de modul de protejare a datelor. inițializează IPsec conexiune VPN-punct trimite o listă (oferta), care identifică diferite metode pentru a proteja conexiunea.
Negocierile pot fi efectuate atât pe stabilirea unei noi conexiuni IPsec, și stabilirea unei noi conexiuni IKE. În cazul în care datele sunt protejate de IPSec traficul care a fost trimis prin VPN-tunel, iar în cazul datelor protejate IKE - datele propriu-zise aprobările IKE.
VPN-punct a primit o listă (propusă), selectează din ea cea mai potrivită și indică în răspunsul. În cazul în care nici una dintre propunerile care nu pot fi selectate, VPN gateway-ul refuză.
Propunerea conține informațiile necesare pentru a selecta un algoritm de criptare și autentificare și așa mai departe.

IKE Faza - de coordonare a protecției IKE (ISAKMP Tunel)
În primul punct de potrivire fază VPN-se autentifice reciproc pe baza unei chei comune (Pre-Shared Key). algoritm hash utilizat pentru autentificare: MD5, SHA-1, SHA-2.
Cu toate acestea, înainte de a te autentifica reciproc, astfel încât să nu transmită informațiile în text simplu, puncte VPN-transfer operează liste de propuneri (propuneri), descrise anterior. Numai după ce ambele sume licitate VPN-suiting este puncte selectate, este autentificat VPN-punct unul de altul.
Autentificarea se poate face în diferite moduri: prin chei partajate (Pre-Shared Keys), certificate sau criptare cu chei publice. Tastele comune sunt cele mai frecvente metoda de autentificare.
IKE Faza de potrivire poate avea loc într-unul din următoarele două moduri: principală (primară) și agresiv (agresivny). Modul principal este mai lung, dar mai sigur. Acesta proces este un schimb de șase mesaje. Modul Agresiv este mai rapid, limitată la trei mesaje.
Activitatea principală a primei faze este în schimbul cheie IKE Diffie-Hellman. Ea se bazează pe criptografia cu chei publice, fiecare parte criptează opțiunea de autentificare (Key-partajată pre) vecinul cheie publică care a primit mesajul decriptează cu cheia sa privată. Un alt mod de a autentifica părțile reciproc - utilizarea certificatelor.

IKE Faza II - de potrivire de protecție IPsec
În a doua etapă se efectuează pentru a selecta modul de a proteja conexiunile IPSec.
Pentru utilizarea (materialul keying) al doilea material de fază extrasă din DH cheie de schimb (Diffie-Hellman schimbul de chei), incidentul privind prima fază. Pe baza acestui material sunt create chei de sesiune (chei de sesiune), folosit pentru a proteja datele în VPN-tunel.

Dacă utilizați un mecanism perfect Forwarding Secrecy (PFS). apoi pentru fiecare potrivire a doua fază se va folosi noul schimb de chei Diffie-Hellman. Puțin viteză redusă, această procedură se asigură că cheile de sesiune nu sunt dependente unele de altele, care crește protecția, pentru că, chiar dacă există murdărie de unul dintre cheie, acesta nu poate fi folosit pentru selectarea restul.

Modul de funcționare a doua fază a negocierii IKE este doar unul, este numit un mod rapid - modul rapid. În procesul de negociere a doua etapă este un schimb de trei mesaje.

Sub a doua fază este completă, setați VPN-conexiunea.

Parametrii IKE.
În timpul stabilirii unor parametri folosite de conexiune, fără acordul pe care este imposibil să se stabilească VPN-conexiune.

metode de autentificare IKE

  • modul manual
    Cea mai simplă metodă în care IKE nu este utilizat, și chei de autentificare și criptare, precum și alți parametri sunt setați manual pe ambele puncte ale unei conexiuni VPN.
  • Prin chei partajate (Pre-Shared Keys, PSK)
    cheie introduse la ambele puncte de conexiune VPN pre-partajată. Spre deosebire de metoda anterioară, care a folosit IKE care vă permite să autentifice puncte finale și de a folosi schimbarea cheilor de sesiune, în locul cheii de criptare fixă.
  • certificări
    Fiecare VPN utilizează punctul: cheia privată, un certificat de cheie publică, inclusiv o cheie publică și semnat de către o autoritate de certificare de încredere. Spre deosebire de metoda anterioară evită introducerea unei chei comune tuturor punctelor de conexiuni VPN, înlocuind certificatul său personal semnat de o încredere.

protocoale IPsec

protocolul IPsec folosit pentru a proteja datele transmise. selectarea protocolului și cheia se produce atunci când negociază IKE.

AH (Authentication Header)

AH prevede autentificarea datelor transmise. Acesta utilizează o funcție hash criptografice în raport cu datele conținute în pachetul IP. Ieșirea acestei funcții (hash) este trimis împreună cu pachetul și permite la distanță punctul final VPN pentru a confirma integritatea originalului IP-pachet, confirmând faptul că el nu a fost schimbat de-a lungul drum. În plus față de datele de IP-pachete, AH autentifică de asemenea, o parte din titlul.

În modul de transport, AH încorporări un antet după pachetul IP original.
În modul tunel, AH încorporări capul după un (nou) IP-header extern și înainte de interior antetul IP (original).

ESP (încapsulare Security Payload)

protocolul ESP este utilizat pentru criptare, autentificare, sau ambele că, și un altul în ceea ce privește pachetul de IP.

În modul de transport, protocolul ESP introduce un antet după antetul IP originală.
În modul tunel antet ESP este după antet (nou) IP externă și înainte de interior (original).

Cele două diferențe principale între ESP și AH:

  • ESP în plus față de autentificare oferă o altă oportunitate de criptare (AH nu oferă)
  • ESP în modul tunel autentifică numai IP Header original (AH ca autentifică extern).

Lucru pentru NAT (NAT)
Pentru a sprijini activitatea NAT a fost pus în aplicare caietul de sarcini separat. În cazul în care VPN-punct susține această specificație, IPsec sprijină activitatea NAT, cu toate acestea, există anumite cerințe.
suport NAT este format din două părți:

  • La nivelul IKE punctele finale de schimb de informații între ele, pentru sprijin, NAT și versiunea susținută de caietul de sarcini
  • La nivelul format de pachetul ESP este încapsulat în UDP.

Odată ce punctele finale determină care necesită trecerea prin NAT, IKE negociere mutat de la portul UDP 500 la portul 4500. Acest lucru este realizat, deoarece unele dispozitive nu se ocupe de sesiune IKE pe portul 500 folosind NAT.
O altă problemă apare din faptul că protocolul ESP - Protocol de strat și este situat direct pe partea de sus a IP. Din acest motiv, nu se aplică conceptul de port TCP / UDP, ceea ce face imposibil să se conecteze prin NAT mai mult de un client la aceeasi poarta de acces. Pentru a rezolva această problemă ESP este ambalat într-o datagramă UDP și trimis la portul 4500, aceeași care utilizează IKE atunci când NAT.
NAT este construit în protocolul, acesta susține și funcționează fără presetarea.

articole similare