لقد ناقشنا بالفعل مفهوم IPSec ، في هذه المقالة سننظر في IPSec بمزيد من التفصيل.

لذلك ، يأتي اسم IPSec من IP Security.
IPSec عبارة عن مجموعة من البروتوكولات والخوارزميات المستخدمة لحماية حزم IP على مستوى Layer3.

يسمح لك IPSec بضمان:
- السرية - استخدام التشفير
- سلامة البيانات - عبر التجزئة و HMAC \
- المصادقة - من خلال استخدام التوقيعات الرقمية أو المفتاح المشترك مسبقًا (PSK).

ندرج بروتوكولات IPsec الرئيسية:
■ ESP و AH: البروتوكولات الرئيسية المستخدمة في IPsec.
تغليف حمولة الأمان (ESP)، يمكنه فعل كل ما هو مطلوب لـ IPsec ، و
رأس المصادقة (AH)يمكن أن تفعل كل شيء باستثناء التشفير وتشفير البيانات ، وبالتالي ، غالبًا ما يتم استخدام ESP.
■ خوارزميات التشفير للسرية: DES، 3DES، AES.
■خوارزميات التجزئة من أجل النزاهة: MD5 ، SHA.
■ خوارزميات المصادقة: مفاتيح مشتركة مسبقًا (PSK) ، تواقيع رقمية RSA.
■ ادارة المفاتيح: مثال على ذلك هو Diffie-Hellman (DH) ، والذي يمكن استخدامه
توليد مفاتيح متناظرة ديناميكيًا لاستخدامها بواسطة الخوارزميات المتماثلة ؛ PKI ،
الذي يدعم وظيفة الشهادات الرقمية الصادرة عن المراجع المصدقة الموثوقة ؛ والإنترنت
تبادل المفاتيح (IKE) ، الذي يقوم بالكثير من التفاوض والإدارة لنا
IPsec للعمل.

لماذا هناك حاجة إلى IPSec

ضع في اعتبارك الهيكل البسيط التالي لربط مكتبين.

نحن بحاجة إلى ربط المكتبين وتحقيق الأهداف التالية:

• سرية- يتم توفيرها من خلال تشفير البيانات.
• تكامل البيانات- يتم توفيرها من خلال التجزئة أو من خلال رمز مصادقة الرسائل المجزأة (HMAC)، - طرق التأكد من عدم تغيير البيانات.
• المصادقة- المقدمة باستخدام مفاتيح مشتركة مسبقًا (PSK)، أو التوقيعات الرقمية. وعند استخدام HMAC ، تحدث المصادقة طوال الوقت.
• الحماية من إعادة التشغيل- جميع حزم VPN مرقمة ، وهي حماية ضد تكرارها.

منافذ وبروتوكولات IPSec

عملية IPSec

لرفع اتصال VPN آمن ، يستخدم IPSec البروتوكول تبادل مفتاح الإنترنت (IKE).
IKE هو إطار العمل المقدم أمن الإنترنتمنظمة، إلى جانب بروتوكول إدارة المفاتيح (ISAKMP)

لذلك في التكوين الخاص بنا ، سيعمل كلا الموجهين كـ بوابة VPNأو أقران IPsec.

لنفترض أن مستخدمًا على الشبكة 10.0.0.0 يرسل حزمة إلى الشبكة 172.16.0.0.
نظرًا لأن النفق لم يتم إنشاؤه بعد ، سيبدأ R1 المفاوضات مع جهاز التوجيه الثاني ، R2.

الخطوة 1: تفاوض مع IKEv1 Phase 1 Tunnel

الخطوة الأولى بين أجهزة التوجيه ترتفع نفق المرحلة الأولى لتبادل مفتاح الإنترنت (IKE).
لا يهدف هذا النفق إلى نقل بيانات المستخدم ، ولكنه يُستخدم لأغراض رسمية لحماية حركة مرور الإدارة.

يمكن رفع نفق IKE المرحلة 1 في وضعين:
الوضع الرئيسي
- الوضع العدواني
يتطلب الوضع الرئيسي تبادل عدد كبير من الحزم ، ولكنه يعتبر أيضًا أكثر أمانًا.

لرفع نفق IKE المرحلة 1 ، يجب التفاوض على العناصر التالية:

• خوارزمية التجزئة: يمكن ان تكون خوارزمية ملخص الرسالة 5 (MD5)أو تجزئة آمنة
  الخوارزمية (SHA).
• خوارزمية التشفير: معيار التشفير الرقمي (DES)(ضعيف ، غير مستحسن) ، Triple DES (3DES)(أفضل قليلاً) أو معيار التشفير المتقدم (AES)(موصى به) يمكن لـ AES استخدام مفاتيح ذات أطوال مختلفة: كلما كانت أطول كانت أكثر أمانًا.
• مجموعة Diffie-Hellman (DH) المراد استخدامها: تشير "مجموعة" DH إلى حجم المعامل (طول
  المفتاح) لاستخدامه في تبادل مفتاح DH. تستخدم المجموعة 1 768 بت ، وتستخدم المجموعة 2 1024 ، و
  تستخدم المجموعة 5 1536. تعد مجموعات DH الأكثر أمانًا جزءًا من تشفير الجيل التالي
  (NGE):
  - المجموعة 14 أو 24: توفر 2048 بت DH
  - المجموعتان 15 و 16: دعم 3072 بت و 4096 بت DH
  - المجموعة 19 أو 20: تدعم مجموعتي ECDH 256 بت و 384 بت ، على التوالي

  تتمثل مهمة DH في إنشاء مادة مفاتيح (مفاتيح متماثلة). سيتم استخدام هذه المفاتيح لنقل البيانات.
  DH نفسه غير متماثل ، لكنه يولد مفاتيح متناظرة.

• طريقة المصادقة: يمكن أن يكون في النموذج مفتاح مشترك مسبقًا (PSK)أو تواقيع RSA
• أوقات الحياة: عمر نفق المرحلة الأولى من IKE. المعلمة الوحيدة التي قد لا تتطابق. كلما كان العمر أقصر ، كلما تم تغيير المفاتيح أكثر ، وكلما كان ذلك أكثر أمانًا.

الخطوة 2: قم بتشغيل DH Key Exchange

بمجرد أن توافق أجهزة التوجيه على سياسة المرحلة الأولى من IKE ، يمكنها بدء عملية تبادل مفتاح DH. يسمح DH للجهازين اللذين لا يوجد بينهما اتصال آمن حتى الآن بتبادل المفاتيح المتماثلة بشكل آمن لاستخدامها بواسطة خوارزميات متماثلة مثل AES.

الخطوة 3: مصادقة النظير

آخر شيء سيتم القيام به في IKE Phase 1 هو مصادقة المضيف المتبادلة ، والتي يمكن القيام بها بطريقتين (التوقيعات الرقمية PSK أو RSA)
إذا نجحت المصادقة ، فسيتم اعتبار نفق المرحلة الأولى من IKE. النفق ثنائي الاتجاه.

الخطوة 4: IKE المرحلة 2

بعد ارتفاع نفق IKE المرحلة 1 ، تبدأ أجهزة التوجيه في رفع نفق المرحلة الأولى من IKE.
كما ذكرنا سابقًا ، فإن نفق IKE Phase 1 عبارة عن خدمة بحتة ونفق إدارة وكل حركة مرور المفاوضات تمر من خلاله لرفع نفق IKE المرحلة 2.
يستخدم نفق IKE Phase 2 أيضًا خوارزميات التجزئة والتشفير.
يمكن رفع نفق IKE المرحلة 2 بأحد الأوضاع التالية:
- وضع سريع

يتكون نفق IKE المرحلة 2 في الواقع من نفقين أحادي الاتجاه ، أي يمكننا القول أنها خلقت:
نفق واحد من المرحلة الأولى من IKE ، ثنائي الاتجاه ، يستخدم لوظائف الخدمة.
ونفقان IKE Phase 2 ، وهما أحادي الاتجاه ، ويستخدمان لتشفير حركة المرور المفيدة.
كل هذه الأنفاق تسمى أيضًا بـ الاتفاقيات الأمنية بين نظيرين VPNأو جمعيات الأمان (SA).
كل SA لها رقم فريد خاص بها.

الآن ، بعد رفع نفق IKE Phase 2 ، سيتم تشفير جميع الحزم الخارجة من الواجهات الخارجية.

وضع مثال

ضع في اعتبارك مثالاً لتكوين IPsec باستخدام هذا المخطط كمثال.

1. تكوين حركة مرور مثيرة للاهتمام
   أولاً ، يجب أن نحدد حركة المرور التي سنقوم بتشفيرها.
   جهاز التوجيه R1

   قائمة الوصول إلى عنوان IP ، تصريح VPN-ACL الممتد ، ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

   جهاز التوجيه R2

   قائمة الوصول إلى بروتوكول الإنترنت IP ، تصريح VPN-ACL الممتد ، ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

2. تكوين المرحلة 1 (ISAKMP)
   تُظهر المرحلة 1 نفقًا يُستخدم لأغراض الخدمة: تبادل المفاتيح السرية المشتركة ، والمصادقة ، والتفاوض على سياسات أمان IKE ، إلخ.
   يمكن إنشاء سياسات إسحاق متعددة بأولويات مختلفة.

   جهاز التوجيه R1

   التشفير isakmp key secretkey address 200.200.200.1

   جهاز التوجيه R2

   crypto isakmp policy 1 التشفير 3des hash md5 المصادقة قبل مشاركة المجموعة 2

   crypto isakmp key secretkey عنوان 100.100.100.1

   المفتاح هنا هو PSK (المفتاح المشترك مسبقًا) الذي تستخدمه أجهزة التوجيه لمصادقة المرحلة الأولى من IKE.

3. تكوين المرحلة 2 (IPSEC)
   الغرض من نفق IKE Phase 2 هو نقل حركة المرور المفيدة بين مضيفي مكتبين.
   يتم تجميع معلمات نفق المرحلة 2 في مجموعات تسمى مجموعات التحويل.
   جهاز التوجيه R1

   التشفير ipsec تحويل مجموعة TRSET esp-3des esp-md5-hmac! خريطة التشفير VPNMAP 10 ipsec-isakmp Set Peer 200.200.200.1 مجموعة تحويل مجموعة TRSET عنوان المطابقة VPN-ACL! واجهة FastEthernet0 / 0 خريطة التشفير VPNMAP

   جهاز التوجيه R2

   التشفير ipsec تحويل مجموعة TRSET esp-3des esp-md5-hmac! خريطة التشفير VPNMAP 10 ipsec-isakmp Set Peer 100.100.100.1 تعيين Transet-set TRSET Match address VPN-ACL! واجهة FastEthernet0 / 0 خريطة التشفير VPNMAP

   استخدم كلا المضيفين التشفير ipsec Transform-set TRSET esp-3des esp-md5-hmac.
   هذا يعني أنه سيتم استخدام 3des للتشفير و md5-hmac للمصادقة.

   يتم تطبيق خريطة التشفير على الواجهة. خريطة التشفير تتعقب حركة المرور التي تلبي الشروط المحددة. ستعمل خريطة التشفير الخاصة بنا مع جهاز توجيه بعنوان 100.100.100.1 ، تم تعيينه بواسطة حركة المرور الداخلية لـ ACL وسيتم تطبيق مجموعة التحويل TRSET على حركة المرور هذه.

فحص IPSec

القائمة الشاملة أوامر مفيدةالتالي:
عرض سياسة isakmp التشفير
إظهار خريطة التشفير
عرض التشفير isakmp سا من التفاصيل
عرض التشفير ipsec sa
إظهار اتصالات محرك التشفير نشطة

في الممارسة العملية ، يكون ما يلي مفيدًا للغاية:

عدد المشاهدات: 8033

0 دعنا نلقي نظرة على تفاصيل التقنيات التي يتكون منها IPSec. المعايير المستخدمة في IPSec معقدة للغاية بحيث يصعب فهمها ، لذلك في هذا القسم سنلقي نظرة على كل مكون من مكونات IPSec بالتفصيل. لفهم ما هو IPSEC ، استخدم المستند "IPSEC كبروتوكول أمان ازدحام انترنت"، المنشور سابقًا على هذا الموقع. هذه المقالة هي استمرار للوثيقة أعلاه.

يستخدم IPSec التقنيات التالية:

• بروتوكول ؛
• بروتوكول ESP
• معيار التشفير DES ؛
• معيار التشفير 3DES ؛
• بروتوكول IKE ؛
• طريقة اتفاقية مفتاح Diffie-Hellman ؛
• رموز مصادقة الرسائل المجزأة (HMACs) ؛
• حماية RSA ؛
• المراجع المصدقة.

بروتوكول

1. يتم تجزئة رأس IP والحمولة الصافية للحزمة.
2. يتم استخدام كود التجزئة الناتج لإنشاء رأس AH جديد يتم إرفاقه بالحزمة الأصلية بين الرأس وكتلة الحمولة.
3. يتم إرسال الحزمة الجديدة إلى جانب IPSec الثاني.
4. يحسب الجانب المستلم قيمة رمز التجزئة لرأس IP والحمولة ، ويستخرج قيمة شفرة التجزئة المرسلة من رأس AH ، ويقارن القيمتين. يجب أن تتطابق قيم رمز التجزئة المطابق تمامًا. إذا تغيرت حتى بت واحد من الحزمة في المسار ، فلن يتطابق كود التجزئة للحزمة المحسوبة بواسطة جهاز الاستقبال مع القيمة المحددة في رأس AH.

بروتوكول ESP

يوفر بروتوكول ESP الخصوصية من خلال التشفير على مستوى حزمة IP. في الوقت نفسه ، يتم دعم العديد من خوارزميات نظام التشفير المتماثل. الخوارزمية الافتراضية لـ IPSec هي DES بمفتاح 56 بت. يجب أن يكون هذا التشفير موجودًا لضمان إمكانية التشغيل البيني بين جميع المنتجات التي تدعم IPSec. تدعم منتجات Cisco أيضًا خوارزمية 3DES ، والتي توفر تشفيرًا أقوى. يمكن اختيار الخصوصية بشكل مستقل عن الخدمات الأخرى.

يتم استخدام مصادقة أصل البيانات ودعم التكامل غير المتصل معًا وهما اختياريان (أي أنهما غير مطلوبين). يمكن أيضًا دمج هذه الإمكانات مع خدمة الخصوصية.
لا يمكن تحديد خدمة حماية التشغيل إلا إذا تم تحديد مصادقة مصدر البيانات واختيار هذه الخدمة هو مسؤولية المستلم وحده. على الرغم من أن المرسل مطلوب بشكل افتراضي زيادة رقم التسلسل المستخدم لحماية إعادة التشغيل تلقائيًا ، إلا أن هذه الخدمة تكون فعالة فقط إذا كان المستلم يتحقق من الرقم التسلسلي. تتطلب خصوصية حركة المرور اختيار وضع النفق. يكون هذا أكثر فاعلية في بوابة الأمن ، حيث يمكن التنكر على جميع حركات المرور في وقت واحد. وتجدر الإشارة هنا إلى أنه على الرغم من أن كل من الخصوصية والمصادقة خيارات ، إلا أنه يجب تحديد واحدة على الأقل من هذه الخدمات.
تعتمد مجموعة الخدمات التي يوفرها بروتوكول ESP على المعلمات المحددة في تكوين IPSec والتي تم تحديدها عند إنشاء اقتران أمان IPSec. ومع ذلك ، فإن اختيار السرية بدون تكامل / مصادقة (إما داخل ESP أو بشكل منفصل عبر AH) يترك الخصم مفتوحًا لأنواع معينة من الهجمات ، والتي يمكن أن تحد من فائدة خدمة الخصوصية المستخدمة.
يتم إدخال رأس ESP في الحزمة بعد رأس IP ، قبل رأس بروتوكول الطبقة العليا (في وضع النقل) أو قبل رأس IP المغلف (في وضع النفق). يوجد وصف كامل لبروتوكول ESP في RFC 2406.

تشفير ESP باستخدام HMAC

ضمن بروتوكول ESP ، يمكن أيضًا مصادقة الحزم باستخدام حقل مصادقة اختياري. في برنامج Cisco IOS وجدران حماية PIX ، تسمى هذه الخدمة HMAC ESP. يتم حساب قيم المصادقة بعد إجراء التشفير. يصف معيار IPSec المستخدم اليوم خوارزميات SHA1 و MD5 على أنها إلزامية لـ HMAS.
الفرق الرئيسي بين مصادقة ESP ومصادقة AH هو نطاقها. لا يحمي ESP أي حقول رأس IP ما لم يكن الغرض من تغليف ESP (وضع النفق). يوضح الشكل الحقول المحمية عند استخدام HMAC ESP.

نفق IPSec وأنماط النقل

يعمل IPSec إما في وضع النفق أو وضع النقل. يوضح الشكل رسمًا تخطيطيًا لتنفيذ وضع النفق. في هذا الوضع ، يتم تشفير مخطط بيانات IP الأصلي بالكامل ويصبح حمولة في حزمة IP جديدة مع رأس IP جديد ورأس IPSec إضافي (يُشار إليه بالاختصار HDR في الشكل). يسمح وضع النفق لجهاز الشبكة (مثل جدار حماية PIX) بالعمل كبوابة أو وكيل IPSec يقوم بالتشفير للمضيفين خلف جدار الحماية. يقوم جهاز التوجيه المصدر بتشفير الحزمة وإرسالها عبر نفق IPSec. يقوم جدار حماية PIX الوجهة بفك تشفير حزمة IPSec المستلمة ، واستخراج مخطط بيانات IP الأصلي ، وتمريره إلى النظام الوجهة. الميزة الرئيسية لوضع النفق هي أن الأنظمة الطرفية لا تحتاج إلى تعديل لتمكينها من استخدام IPSec. يمنع وضع النفق أيضًا الخصم من تحليل دفق البيانات. في تبادل وضع النفق ، يمتلك الخصم القدرة على تحديد نقاط نهاية النفق فقط ، ولكن ليس المصدر والوجهة الحقيقية للحزم التي تمر عبر النفق ، حتى لو كانت نقاط نهاية النفق على أنظمة المصدر والوجهة.

استخدام الأنفاق ووسائل النقل

لنلقِ نظرة على بعض الأمثلة التي توضح قواعد اختيار النفق أو وضع النقل. يوضح الشكل أدناه المواقف التي يتم فيها استخدام وضع النفق. يتم استخدام هذا الوضع بشكل شائع لتشفير حركة المرور بين بوابات أمان IPSec ، مثل بين موجه Cisco وجدار حماية PIX. تؤدي بوابات IPSec وظائف IPSec للأجهزة الموجودة خلف هذه البوابات (في الشكل الموضح ، هذا كمبيوتر شخصيأليس وخوادم الموارد البشرية). في هذا المثال ، تكتسب Alice وصولاً آمنًا إلى خوادم الموارد البشرية من خلال نفق IPSec تم إنشاؤه بين البوابات.

يُستخدم وضع النفق أيضًا للاتصال بين المحطات الطرفية التي تشغل برنامج IPSec ، مثل الاتصال بين عميل CiscoSecure VPN وبوابة IPSec.
في هذا المثال ، يتم استخدام وضع النفق لإنشاء نفق IPSec بين موجه Cisco والخادم الذي يقوم بتشغيل برنامج IPSec. لاحظ أنه في برنامج Cisco IOS وجدار حماية PIX ، يكون وضع النفق لاتصالات IPSec هو الوضع الافتراضي.
يتم استخدام أسلوب النقل بين المحطات الطرفية الممكّنة لـ IPSec ، أو بين محطة طرفية وبوابة إذا تم تفسير البوابة على أنها مضيف. على التين. يظهر المثال D أدناه ، يوضح استخدام وضع النقل لإنشاء نفق IPSec مشفر من كمبيوتر Alice ، والذي يقوم بتشغيل برنامج العميل. مايكروسوفت ويندوز 2000 إلى مكثف Cisco VPN 3000 ، مما يسمح لـ Alice باستخدام نفق L2TP عبر IPSec.

باستخدام AH و ESP

في حالات معينة ، قد يبدو حل مشكلة الاختيار بين AH و ESP صعب الحل ، ولكن يمكن تبسيطه باتباع بعض القواعد. إذا كنت بحاجة إلى معرفة أن البيانات من مصدر تمت مصادقته يتم إرسالها دون المساس بالتكامل ولا تحتاج إلى أن تظل سرية ، فاستخدم بروتوكول AH الذي يحمي بروتوكولات الطبقة العليا وحقول عنوان IP التي لم يتم تغييرها أثناء النقل. يعني الأمان أنه لا يمكن تغيير القيم المطابقة لأنه سيتم اكتشاف ذلك بواسطة الطرف الثاني لـ IPSec وسيتم تجاهل أي مخطط بيانات IP معدل. لا يوفر بروتوكول AH حماية ضد التنصت على القناة وعرض الرأس والبيانات من قبل الدخيل. ولكن نظرًا لأنه لا يمكن تغيير العنوان والبيانات بصمت ، يتم رفض الحزم التي تم تغييرها.

إذا كنت بحاجة إلى الحفاظ على خصوصية البيانات (تأكد من السرية) ، فاستخدم ESP. يقوم هذا البروتوكول بتشفير بروتوكولات الطبقة العليا في وضع النقل ومخطط بيانات IP الأصلي بالكامل في وضع النفق ، لذلك لا يمكن استخراج معلومات حول الحزم عن طريق استنشاق قناة الإرسال. يمكن أن يوفر بروتوكول ESP أيضًا خدمة مصادقة للحزم. ومع ذلك ، عند استخدام ESP في وضع النقل ، لا يكون رأس IP الأصلي الخارجي محميًا ، وفي وضع النفق ، لا يكون رأس IP الجديد محميًا. عند استخدام IPSec ، من المرجح أن يستخدم المستخدمون وضع النفق أكثر من وضع النقل.

يعتمد IPSec على عدد من الحلول التكنولوجية وطرق التشفير ، ولكن يمكن تلخيص تشغيل IPSec في الخطوات الرئيسية التالية:

الخطوة 1. بدء عملية IPSec. حركة البيانات التي يجب تشفيرها وفقًا لسياسة أمان IPSec التي تم التفاوض عليها من قبل أطراف IPSec تبدأ عملية IKE.

الخطوة 2 المرحلة الأولى من IKE. تصادق عملية IKE على أطراف IPSec وتتفاوض على معلمات اقتران أمان IKE ، مما يؤدي إلى إنشاء قناة آمنة للتفاوض بشأن معلمات اقتران أمان IPSec أثناء المرحلة الثانية من IKE.

الخطوه 3 المرحلة الثانية من IKE. تتفاوض عملية IKE على معلمات اقتران أمان IPSec وتؤسس اقترانات أمان IPSec المناسبة لأجهزة الطرف المتصل.

الخطوة 4 نقل البيانات.يتم الاتصال بين أطراف اتصال IPSec ، والتي تستند إلى معلمات IPSec والمفاتيح المخزنة في قاعدة بيانات اقتران الأمان.

الخطوة الخامسة إنهاء نفق IPSec. يتم إنهاء اقترانات أمان IPSec إما نتيجة حذفها أو لأنها تجاوزت حد عمرها الافتراضي.

أوضاع تشغيل IPsec

هناك نوعان من أساليب التشغيل لـ IPSec: النقل والنفق.

في وضع النقل ، يتم تشفير الجزء الإعلامي فقط من حزمة IP. لا يتأثر التوجيه لأن رأس حزمة IP لم يتغير. يُستخدم وضع النقل عادةً لإنشاء اتصال بين المضيفين.

في وضع النفق ، يتم تشفير حزمة IP بالكامل. من أجل إرسالها عبر الشبكة ، يتم وضعها في حزمة IP أخرى. وبالتالي ، يتم الحصول على نفق IP آمن. يمكن استخدام وضع النفق لتوصيل أجهزة الكمبيوتر البعيدة بجهاز افتراضي شبكة خاصةأو لتنظيم نقل البيانات الآمن عبر قنوات الاتصال المفتوحة (الإنترنت) بين البوابات لدمج أجزاء مختلفة من شبكة افتراضية خاصة.

مفاوضات تحويل IPSec

أثناء تشغيل بروتوكول IKE ، يتم التفاوض على تحويلات IPSec (خوارزميات أمان IPSec). تحويلات IPSec وخوارزميات التشفير المرتبطة بها هي كما يلي:

بروتوكول AH (رأس المصادقة - رأس المصادقة).بروتوكول أمان يوفر المصادقة و (اختياريًا) خدمة الكشف عن إعادة التشغيل. يعمل بروتوكول AH كتوقيع رقمي ويضمن عدم العبث بالبيانات الموجودة في حزمة IP. لا يوفر بروتوكول AH خدمة تشفير البيانات وفك تشفيرها. يمكن استخدام هذا البروتوكول إما بمفرده أو مع بروتوكول ESP.

بروتوكول ESP (تغليف حمولة الأمان).بروتوكول أمان يوفر حماية الخصوصية والبيانات ، واختيارياً خدمة المصادقة وإعادة التشغيل. تستخدم المنتجات الممكّنة لـ Cisco IPSec ESP لتشفير الحمولة النافعة لحزم IP. يمكن استخدام بروتوكول ESP بمفرده أو بالاشتراك مع AH.

معيار DES (معيار تشفير البيانات - معيار تشفير البيانات).تشفير بيانات الحزمة وخوارزمية فك التشفير. يتم استخدام خوارزمية DES في كل من IPSec و IKE. تستخدم خوارزمية DES مفتاح 56 بت ، والذي لا يعني فقط استهلاكًا أعلى لموارد الحوسبة ، ولكن أيضًا تشفير أقوى. خوارزمية DES هي خوارزمية تشفير متماثل تتطلب مفاتيح تشفير سرية متطابقة في أجهزة كل طرف من أطراف اتصال IPSec. تُستخدم خوارزمية Diffie-Hellman لإنشاء مفاتيح متماثلة. يستخدم IKE و IPSec خوارزمية DES لتشفير الرسائل.

"ثلاثية" DES (3DES).يعتمد متغير DES على استخدام ثلاثة تكرارات لمعيار DES مع ثلاثة مفاتيح مختلفة، والذي يضاعف قوة DES تقريبًا ثلاث مرات. تُستخدم خوارزمية 3DES داخل IPSec لتشفير وفك تشفير دفق البيانات. تستخدم هذه الخوارزمية مفتاح 168 بت ، والذي يضمن قوة تشفير عالية. يستخدم IKE و IPSec خوارزمية 3DES لتشفير الرسائل.

AES(معيار التشفير المتقدم)). يستخدم بروتوكول AES خوارزمية تشفير Rine Dale4 ، والتي توفر تشفيرًا أقوى بكثير. يعتقد العديد من مصممي التشفير أنه لا يمكن اختراق AES على الإطلاق. AES هو الآن معيار معالجة المعلومات الفيدرالي. يتم تعريفها على أنها خوارزمية تشفير لتستخدمها مؤسسات الحكومة الأمريكية لحماية المعلومات الحساسة ولكن غير المصنفة. تكمن مشكلة AES في أنها تتطلب قدرًا كبيرًا من طاقة المعالجة مقارنة بالبروتوكولات المماثلة.

يستخدم تحويل IPSec أيضًا خوارزميات تجزئة قياسية لتوفير مصادقة البيانات.

خوارزمية MD5 (ملخص الرسالة 5).خوارزمية التجزئة المستخدمة لمصادقة حزم البيانات. تستخدم منتجات Cisco رمز HMAC المحسوب MD5 (رمز مصادقة الرسائل المجزأة) ، وهو متغير من رمز مصادقة الرسالة الذي يوفر أمانًا إضافيًا من خلال التجزئة. التجزئة هي عملية تشفير أحادية الاتجاه (أي لا رجعة فيها) تنتج مخرجات ذات طول ثابت لرسالة إدخال ذات طول عشوائي. تستخدم IKE و AH و ESP MD5 لمصادقة البيانات.

خوارزمية SHA-1 (خوارزمية التجزئة الآمنة -1 - خوارزمية التجزئة الآمنة 1).خوارزمية التجزئة المستخدمة لمصادقة حزم البيانات. تستخدم منتجات Cisco متغيرًا من رمز HMAC الذي يتم حسابه باستخدام SHA-1. تستخدم IKE و AH و ESP SHA-1 لمصادقة البيانات.

ضمن بروتوكول IKE ، يتم إنشاء المفاتيح المتماثلة باستخدام خوارزمية Diffie-Hellman ، والتي تستخدم DES و 3DES و MD5 و SHA. بروتوكول Diffie-Hellman هو بروتوكول تشفير يعتمد على استخدام المفاتيح العامة. يسمح للطرفين بالاتفاق على مفتاح سري مشترك دون وجود قناة اتصال موثوقة بدرجة كافية. الأسرار المشتركة مطلوبة لخوارزميات DES و HMAC. تُستخدم خوارزمية Diffie-Hellman داخل IKE لإنشاء مفاتيح الجلسة. مجموعات Diffie-Hellman (DH) - حدد "قوة" مفتاح التشفير المستخدم في إجراء تبادل المفاتيح. كلما زاد رقم المجموعة ، كان المفتاح "أقوى" وأكثر أمانًا. ومع ذلك ، ينبغي للمرء أن يأخذ في الاعتبار حقيقة أنه مع زيادة رقم مجموعة DH ، تزداد "القوة" ومستوى الأمان للمفتاح ، ولكن في نفس الوقت يزداد الحمل على المعالج المركزي ، نظرًا لزيادة الوقت والموارد هناك حاجة لإنشاء مفتاح "أقوى".

تدعم أجهزة WatchGuard مجموعات DH 1 و 2 و 5:

مجموعة DH 1: مفتاح 768 بت

مجموعة DH 2: مفتاح 1024 بت

مجموعة DH 5: مفتاح 1536 بت

يجب أن يستخدم كلا الجهازين اللذين يتواصلان عبر VPN نفس مجموعة DH. يتم تحديد مجموعة DH التي سيتم استخدامها بواسطة الأجهزة أثناء إجراء IPSec Phase 1.

0 تقدم هذه المقالة نظرة عامة على IPSEC (أمان IP) وبروتوكولات IPSec ذات الصلة المتوفرة في منتجات Cisco والمستخدمة لإنشاء شبكات افتراضية خاصة (VPNs). في هذه المقالة ، سوف نحدد ما هو IPSEC وما هي البروتوكولات وخوارزميات الأمان التي تقوم عليها IPSEC.

مقدمة

تستخدم منتجات Cisco VPN مجموعة بروتوكول IPSec ، وهو معيار الصناعة لتوفير إمكانات VPN ثرية اليوم. يوفر IPSec آلية لنقل البيانات بشكل آمن عبر شبكات IP ، مما يضمن سرية وسلامة وصلاحية البيانات المنقولة عبر الشبكات غير الآمنة مثل الإنترنت. يوفر IPSec إمكانيات VPN التالية على شبكات Cisco:

• خصوصية البيانات. يمتلك مرسل بيانات IPSec القدرة على تشفير الحزم قبل تمريرها عبر الشبكة.
• تكامل البيانات. يتمتع جهاز استقبال بيانات IPSec بالقدرة على مصادقة الأطراف التي تتواصل معها (الأجهزة أو البرامج التي تبدأ وتنتهي فيها أنفاق IPSec) وحزم IPSec المرسلة من قبل تلك الأطراف لضمان عدم تعديل البيانات أثناء النقل.
• مصادقة أصل البيانات. يمتلك جهاز استقبال IPSec القدرة على مصادقة مصدر حزم IPSec التي يتلقاها. تعتمد هذه الخدمة على خدمة سلامة البيانات.
• حماية اللعب. يمكن لجهاز استقبال IPSec اكتشاف الحزم المعاد عرضها ورفضها ، مما يمنعها من الانتحال ومن هجمات man-in-the-middle.

IPSec عبارة عن مجموعة من بروتوكولات الأمان والخوارزميات المستندة إلى المعايير. تتوافق تقنية IPSec وبروتوكولات الأمان ذات الصلة مع المعايير المفتوحة التي يحتفظ بها IETF (فريق مهام هندسة الإنترنت) والموضحة في مواصفات RFC ومسودات IETF. يعمل IPSec على طبقة الشبكة ، مما يوفر الأمان والمصادقة لحزم IP المرسلة بين أجهزة IPSec (الأطراف) مثل أجهزة توجيه Cisco وجدران حماية PIX وعملاء Cisco VPN والمركزات والعديد من المنتجات الأخرى التي تدعم IPSec. يتيح دعم IPSec إمكانية التحجيم من الشبكات الأصغر إلى الشبكات الكبيرة جدًا.

جمعية الأمن (SA)

جمعية الدفاع(Security Association - SA) هي سياسة أو طريقة متفق عليها لمعالجة البيانات التي من المفترض أن يتم تبادلها بين جهازين من الأطراف المتصلين. قد يكون أحد مكونات هذه السياسة هو الخوارزمية المستخدمة لتشفير البيانات. يمكن للطرفين استخدام نفس الخوارزمية لكل من التشفير وفك التشفير. يتم تخزين معلمات SA الصالحة في قاعدة بيانات اقتران الأمان (SAD) لكلا الجانبين.

يقوم جهازي الكمبيوتر على كل جانب من SA بتخزين الوضع والبروتوكول والخوارزميات والمفاتيح المستخدمة في SA. يتم استخدام كل SA في اتجاه واحد فقط. مطلوب جهازي SA للتواصل ثنائي الاتجاه. ينفذ كل SA وضع وبروتوكول واحد ؛ وبالتالي ، إذا كان من الضروري استخدام بروتوكولين (مثل AH و ESP) لحزمة واحدة ، فحينئذٍ يلزم استخدام بروتوكولين SA.

بروتوكول IKE (تبادل مفتاح الإنترنت) هو بروتوكول هجين يوفر خدمة خاصةبالنسبة لـ IPSec ، أي مصادقة طرف IPSec ، والتفاوض على معلمات ارتباط أمان IKE و IPSec ، واختيار المفتاح لخوارزميات التشفير المستخدمة في IPSec. يعتمد بروتوكول IKE على رابطة أمان الإنترنت وبروتوكول إدارة المفاتيح (ISAKMP) وبروتوكولات Oakley ، والتي تُستخدم للتحكم في إنشاء ومعالجة مفاتيح التشفير المستخدمة في تحويلات IPSec. يتم استخدام بروتوكول IKE أيضًا لتشكيل اقترانات أمان بين أطراف IPSec المحتملة.
يستخدم كل من IKE و IPSec اقترانات الأمان لتحديد معلمات الاتصال.
يدعم IKE مجموعة من الوظائف البدائية المختلفة لاستخدامها في البروتوكولات. من بينها وظيفة التجزئة والوظيفة شبه العشوائية (PRF).

دالة تجزئةهي وظيفة مقاومة الاصطدام. يقصد بمقاومة الاصطدام حقيقة أنه من المستحيل العثور على رسالتين مختلفتين m1 و m2 على هذا النحو

H (m1) = H (m2) ، حيث H هي دالة التجزئة.

فيما يتعلق بالوظائف شبه العشوائية ، حاليًا ، بدلاً من PRFs الخاصة ، يتم استخدام وظيفة التجزئة في تصميم HMAC (HMAC هي آلية مصادقة الرسائل تستخدم وظائف التجزئة). لتحديد HMAC ، نحتاج إلى وظيفة تجزئة تشفير (يُشار إليها باسم H) ومفتاح سري K. نفترض أن H هي دالة تجزئة حيث يتم تجزئة البيانات باستخدام إجراء ضغط يتم تطبيقه بالتتابع على سلسلة من كتل البيانات. سوف نشير بواسطة B إلى طول هذه الكتل بالبايت ، وطول الكتل التي تم الحصول عليها نتيجة التجزئة - مثل L (L
باد = بايت 0x36 تكرار ب مرات ؛
opad = بايت 0x5C يتكرر B مرات.

لحساب HMAC من البيانات "النصية" ، تحتاج إلى إجراء العملية التالية:

H (K XOR opad، H (K XOR ipad، text))

يتبع من الوصف أن IKE يستخدم قيم HASH لمصادقة الأطراف. لاحظ أنه ضمن HASH in هذه القضيةالمقصود فقط باسم Payload في ISAKMP ، وهذا الاسم لا علاقة له بمحتواه

البنية التحتية IPSec

كيف يعمل IPSec

• الخطوة 1: ابدأ عملية IPSec.حركة البيانات التي يجب تشفيرها وفقًا لسياسة أمان IPSec التي تم التفاوض عليها من قبل أطراف IPSec تبدأ عملية IKE.
• الخطوة 2: المرحلة IKE. تصادق عملية IKE على أطراف IPSec وتتفاوض على معلمات اقتران أمان IKE ، مما يؤدي إلى إنشاء قناة آمنة للتفاوض بشأن معلمات اقتران أمان IPSec أثناء المرحلة الثانية من IKE.
• الخطوة 3 المرحلة 2 من IKE. تتفاوض عملية IKE على معلمات اقتران أمان IPSec وتؤسس اقترانات أمان IPSec المناسبة لأجهزة الطرف المتصل.
• الخطوة 4. نقل البيانات. يتم الاتصال بين أطراف اتصال IPSec ، والتي تستند إلى معلمات IPSec والمفاتيح المخزنة في قاعدة بيانات اقتران الأمان.
• الخطوة 5: قم بإنهاء نفق IPSec. يتم إنهاء اقترانات أمان IPSec إما نتيجة حذفها أو لأنها تجاوزت حد عمرها الافتراضي.

قبل الشروع في معرفة تفصيلية ببروتوكول IPsec وتكوينه ، يجب تحديد إمكانياته ومزاياه مقارنة بالآخرين. البروتوكولات المتاحةحماية البيانات.

يوجد IPsec كامتداد لبروتوكول IPv4 وهو جزء لا يتجزأ من IPv6. يوفر البروتوكول المعني أمانًا لطبقة IP للشبكة (الطبقة 3 في نموذج ISO / OSI ، الشكل 1) ، مما يجعل من الممكن توفير مستوى عالٍ من الحماية يكون شفافًا لمعظم التطبيقات والخدمات والأعلى- بروتوكولات الطبقة التي تستخدم بروتوكول IP كوسيلة نقل. لا يتطلب IPSec إجراء تغييرات على التطبيقات أو أنظمة التشغيل الحالية.

أرز. 1 ، نموذج ISO / OSI.

يوفر تنفيذ الأمان في هذه الطبقة الحماية لجميع البروتوكولات في عائلة TCP / IP من طبقة IP ، مثل TCP و UDP و ICMP والعديد من البروتوكولات الأخرى.

خدمات الأمان الأخرى التي تعمل فوق الطبقة 3 ، مثل بروتوكول طبقة مآخذ التوصيل الآمنة (SSL) ، تحمي فقط مقبس تطبيق معين. لحماية جميع الاتصالات التي تم إنشاؤها ، تتطلب هذه البروتوكولات تعديل جميع الخدمات والتطبيقات لدعم البروتوكول ، في حين أن الخدمات التي تعمل تحت الطبقة الثالثة ، مثل تشفير الأجهزة لطبقة الارتباط ، تكون قادرة على حماية اتصال معين فقط ، ولكن ليس كل الاتصالات الموجودة على مسارات البيانات ، مما يجعل استخدامها في الإنترنت غير مناسب.

يعد استخدام بروتوكول IPsec هو الأنسب لتوفير اتصال آمن بين أجهزة الكمبيوتر أو الشبكات من خلال أخرى شبكة واسعة النطاقالتي لا يمكن السيطرة على أمنها. من المزايا المهمة لبروتوكول IPsec أيضًا التكلفة المنخفضة للتنفيذ ، لأنه في معظم الحالات لا يلزم تثبيت معدات جديدة أو استبدال المعدات القديمة ، فضلاً عن حقيقة أن البروتوكول قياسي ومفتوح ، ويأتي مع جميع أنظمة التشغيل الحديثة تقريبًا.

من أهم مزايا البروتوكول التكلفة المنخفضة لاستخدامه. يسمح لك بتأمين البيانات وتوفير مصادقة المستخدمين والبيانات في شبكة غير آمنة سابقًا دون تكاليف إضافية لمعدات الشبكة ، حيث تظل متوافقة مع جميع المعدات التي تم إصدارها مسبقًا.

يوفر IPsec مستوى أمانًا قابلاً للتكوين بدرجة عالية من خلال الخدمات المستندة إلى التشفير ( تجزئة- لمنع إعادة التشغيل ، وسلامة البيانات والمصادقة ، وبشكل مباشر التشفيرضمان سرية البيانات).

يمكن استخدام البروتوكولين الفرعيين AH (رأس المصادقة) و ESP (تغليف حمولة الأمان) معًا لتوفير أعلى مستوى من الأمان ، أو بشكل مستقل عن بعضهما البعض.

يمكن تشغيل البروتوكول بطريقتين - النقل والنفق ، مما يوفر مستوى مختلفًا من الأمان وقابل للتطبيق في ظروف مختلفة.

وضع النقليهدف إلى تأمين الاتصالات بين أجهزة كمبيوتر محددة ، وعادة ما توحدها شبكة (محلية) واحدة. عند استخدام وضع النقل ، تكون حمولة IP (مثل مقاطع TCP) محمية ، بينما يكون رأس IP محميًا من التعديل بينما يظل قابلاً للقراءة.

في وضع النقل ، يتمتع بروتوكولات AH و ESP بالميزات والإمكانيات التالية:

بروتوكول AHيوفر المصادقة وتكامل البيانات ، فضلاً عن عدم التكرار (كل من رأس IP والحمولة) ، أي يحمي البيانات من التغييرات المستهدفة. في هذه الحالة ، لا يتم تشفير البيانات وتظل متاحة للقراءة. يقوم AH بتوقيع الحزم باستخدام خوارزميات التجزئة مع المفاتيح (MD5 ، وفي تطبيقات SHA1 الأحدث) ، مع وضع رأس AH بين رأس IP والحمولة (كما هو موضح في الشكل 2). يتم توقيع حزمة IP بالكامل في رأس AH ، باستثناء الحقول التي يجب تغييرها أثناء الإرسال عبر الشبكة (الشكل 3). يتم وضع رأس AH دائمًا قبل أي رؤوس أخرى مستخدمة في Ipsec.

أرز. 2 ، رأس التنسيب AH

أرز. 3 ، تغطية AH (وضع النقل)

بروتوكول ESPفي وضع النقل ، فإنه يحافظ على خصوصية حمولة IP ، ولكن ليس رأس IP. بالإضافة إلى تشفير حمولة IP ، يوفر ESP مصادقة الحزمة وسلامتها ، وتحديداً رأس ESP وحمولة IP ومقطورة ESP (ولكن ليس رأس IP). يتم تخزين قيمة فحص السلامة في حقل "ESP Authentication Trailer". يتم وضع رأس ESP قبل حمولة IP ، ويتم وضع مقطورة ESP ومقطورة مصادقة ESP خلف حمولة IP (الشكل 5).

أرز. 4 ، موضع رأس ومقطورة ESP

أرز. 5 ، تغطية ESP (وضع النقل)

وضع النفقيتم استخدامه بشكل أساسي مع أنفاق VPN ، مما يسمح لك بتأمين الاتصال بين اثنين جغرافيًا الشبكات البعيدةمتصل عبر الإنترنت. يحمي هذا الوضع حزمة IP بأكملها من خلال معاملتها على أنها حمولة AH أو ESP. عند استخدام هذا الوضع ، يتم تغليف حزمة IP بالكامل في رأس AH أو ESP ورأس IP إضافي. تشير عناوين IP الخاصة برأس IP الخارجي إلى نقاط نهاية النفق ، وتشير عناوين IP الخاصة برأس IP المغلف إلى مصدر ووجهة الحزمة. هذا يضمن حماية حزمة IP بالكامل ، بما في ذلك رأس IP.

AH في وضع النفق يوقع الحزمة من أجل التكامل ويغلفها في عناوين IP و AH (الشكل 6) ، مع ترك البيانات قابلة للقراءة.

أرز. 6 ، تغطية AH (وضع النفق)

ESP في وضع النفق يضع الحزمة الأصلية بأكملها بين رأس ESP ومقطورة مصادقة ESP ، بما في ذلك رأس IP ، ويقوم بتشفير هذه البيانات عن طريق إنشاء رأس IP جديد ، تمامًا مثل AH ، والذي يحدد عناوين IP لخوادم النفق كمصدر وعناوين الوجهة (الشكل 7). يقوم خادم النفق على الجانب الآخر بفك تشفير الحزمة ، وتجاهل رأس IP للنفق ورؤوس ESP ، يعيد توجيه الحزمة إلى المستلم على شبكته الداخلية. العملية برمتها شفافة تماما حتى نهاية محطات العمل.

أرز. 7 ، تغطية ESP (وضع النفق)

يتم استخدام وضع النفق لبروتوكول IPsec في الحالات التي يكون فيها من الضروري حماية البيانات (بما في ذلك رؤوس IP) المنقولة عبر شبكة عامة. من الأمثلة على ذلك الروابط بين الأقسام البعيدة للشركة.

من ناحية أخرى ، يعمل وضع النقل على حماية البيانات بشكل أساسي داخل نفس الشبكة ، والتي لا يمكن ضمان أمنها بشكل موثوق من خلال طرق أخرى دون تكاليف كبيرة ، أو عند الحاجة إلى مستوى عالٍ من الأمان ، وهو ما يتحقق مشاركةبروتوكولات مختلفة. الامثله تشمل الشبكات اللاسلكيةوكذلك شبكات الكابلات التي تغطي مساحات كبيرة.

اعتمادًا على مستوى الأمان المطلوب ، يمكن إجراء تكوينات مختلفة لبروتوكول IPsec. على سبيل المثال ، إذا كنت تحتاج فقط إلى توفير مصادقة المستخدم والتحقق من سلامة البيانات ومصداقيتها ، فيمكنك تقييد نفسك باستخدام AH ، والذي لن يؤثر بشكل كبير على أداء الشبكة ومحطات العمل الفردية ، حتى عند استخدام التجزئة الأكثر أمانًا الخوارزميات ، كما هو مبين أدناه. إذا كانت البيانات المرسلة تتطلب تشفيرًا ، فسيتم استخدام بروتوكول ESP ، والذي ، اعتمادًا على خوارزميات التشفير المستخدمة ومعدل نقل البيانات ، يمكن أن يؤثر بشكل كبير على أداء محطات العمل التي تعمل كنقاط نهاية نفق أو تشارك في شبكة حيث يتم استخدام وضع النقل IPsec ..

جلسة

إن وصف تكوين أنفاق VPN ، بالإضافة إلى مراعاة خصائصها وإمكانياتها ، خارج نطاق هذه المقالة ، لذلك سنقتصر على وصف عملية تكوين وضع النقل IPsec.

في نظام التشغيل Windows XP ، تم تكوين IPsec باستخدام الأداة الإضافية Local Security Settings (إعدادات الأمان المحلية) ، والتي يمكن تشغيلها من قائمة "الأدوات الإدارية" أو "لوحة التحكم" أو من خلال الأمر "تشغيل" secpol.msc. يمكنك استخدام السياسات الافتراضية أو إنشاء واحدة جديدة.

لإنشاء سياسة أمان IP ، حدد عنصر "سياسات أمان IP" من القائمة وحدد "إنشاء سياسة أمان IP" من قائمة "الإجراء".

أرز. 8 ، إنشاء سياسة أمان IP

يفتح معالج نهج أمان IP. للمتابعة ، انقر فوق "التالي". في النافذة التالية ، تحتاج إلى إدخال اسم للسياسة الجديدة ، والنقر فوق "التالي".

أرز. 9 ، اسم سياسة IP

في النافذة التالية ، سيطالبك المعالج بتحديد ما إذا كنت تريد استخدام القاعدة الافتراضية. يمكن أيضًا التراجع عن هذه القاعدة بعد إنشاء السياسة ، إذا لزم الأمر.

أرز. 10 ، القاعدة الافتراضية

بعد ذلك ، يطالبك "المعالج" بتحديد طريقة مصادقة المستخدم. يدعم IPsec الطرق التالية: من خلال بروتوكول Kerberos (بروتوكول المصادقة القياسي لمجالات Windows 2000 و Windows 2003) ، باستخدام شهادة مستخدم ، أو بناءً على سلسلة أمان ("كلمة المرور"). إذا لم تكن هناك وحدات تحكم بالمجال في شبكتك ولم يكن لدى مستخدمو الشبكة شهادات صالحة ، فكل ما تبقى هو اختيار سطر أكثر صعوبة والحفاظ عليه سريًا تمامًا. يمكن أن تتكون سلسلة الأمان في الواقع من عدة أسطر طويلة.

أرز. 11 ، تحديد طريقة المصادقة

اكتمل إنشاء السياسة تقريبًا. يمكنك تغيير الخصائص فور الانتهاء من المعالج (سيتم فتح نافذة الخصائص تلقائيًا) ، أو لاحقًا عن طريق تحديد السياسة المطلوبة وتحديد عنصر "الخصائص" من قائمة السياق.

أرز. 12 ، استكمال إنشاء السياسة

حان الوقت الآن لتعديل خصائص السياسة لتلائم احتياجاتك ، مما يعني إنشاء قواعد أمان IP وفلتر وقواعد تصفية.

لإنشاء قاعدة أمان ، تحتاج إلى فتح خصائص سياسة أمان IP التي تم إنشاؤها وفي علامة التبويب "القواعد" ، انقر فوق الزر "إضافة" ، بعد إلغاء تحديد مربع "استخدام المعالج" ، كما هو موضح في الشكل 13.

الشكل 13 ، إنشاء قاعدة أمان IP

في علامة التبويب إعدادات النفق ، لا يجب تغيير أي شيء إلا إذا كنت تقوم بتكوين IPsec في وضع النفق. في علامة التبويب "نوع الاتصال" ، يمكنك اختيار أيهما اتصالات الشبكةسيتم تطبيق القاعدة التي تم إنشاؤها - لجميع الاتصالات ، فقط للاتصالات المحلية ، أو للاتصالات البعيدة فقط. وبالتالي ، من الممكن إنشاء قواعد مختلفة لاتصالات الشبكة بمعدلات نقل بيانات مختلفة ، مما يسمح بتباطؤ ، وكقاعدة عامة ، أقل أمانًا اتصالات عن بعدتعيين خيارات أخرى لكل من المصادقة والتكامل والتشفير.

أرز. 14 نوع الاتصال

في علامة التبويب "أساليب المصادقة" ، يمكنك إضافة العديد من طرق المصادقة وتغيير ترتيب تفضيلاتها ، مما يتيح لك تكوين قاعدة أكثر مرونة للتواصل مع العقد المختلفة التي تدعم طرق مختلفةالمصادقة.

أرز. 15 طرق المصادقة

بعد تحديد نوع الاتصال وطرق المصادقة ، حدد قائمة عوامل تصفية IP وإجراء التصفية ، أو قم بإنشاء أخرى جديدة. لتحديد أو إنشاء عوامل تصفية IP ، انتقل إلى علامة التبويب "قائمة عوامل تصفية IP" (الشكل 16).

يتم إنشاء المرشحات التالية بشكل افتراضي:

حركة مرور IP الكاملة ، والتي تنطبق على جميع حركات مرور IP ، بغض النظر عن بروتوكول الطبقة الأعلى المستخدم ؛

حركة مرور ICMP الكاملة ، والتي تنطبق بشكل مناسب على كل حركة مرور ICMP.

أرز. 16 ، قائمة تصفية IP.

لإنشاء فلتر جديد ، انقر فوق الزر "إضافة" ، وبعد ذلك سيتم فتح نافذة "قائمة عوامل تصفية IP" ، حيث ، بعد إدخال اسم قائمة التصفية وإلغاء تحديد "استخدام المعالج" ، انقر فوق الزر "إضافة" (الشكل 17).

أرز. 17 ، إنشاء قائمة عوامل تصفية IP.

سيتم فتح نافذة "الخصائص: عامل التصفية" (الشكل 18) ، حيث يجب تحديد عناوين المصدر والوجهة للحزم التي سيتم تطبيق المرشح عليها ، وكذلك ، إذا لزم الأمر ، البروتوكول ومنافذ المصدر والوجهة .

أرز. 18 ، معلمات قائمة عوامل تصفية IP الجديدة

بعد تحديد قوائم عوامل التصفية أو إنشائها ، يجب عليك تحديد إجراء المرشح. يمكن القيام بذلك في علامة التبويب إجراء التصفية. الإجراءات التي تم إنشاؤها افتراضيًا:

السماح ، الذي يسمح بمرور الحزم غير الآمنة (بدون استخدام IPsec) ،

الأمان مطلوب ، والذي يحدد قطع الاتصال مع العملاء غير التابعين لـ IPsec ، وسيتواصل العملاء الذين تم تمكين IPsec باستخدام تكامل ESP ، ولكن بدون AH وبدون تشفير البيانات.

يتطلب الإجراء الأخير المحدد مسبقًا ، طلب الأمان ، من العملاء تأمين الاتصالات ، ولكن إذا لم يتم استيفاء هذه المتطلبات ، فلن يتم مقاطعة الاتصالات غير الآمنة.

أرز. 19 ، إجراءات التصفية

يمكنك إنشاء إجراء جديد بالنقر فوق الزر "إضافة" ، بعد إلغاء تحديد مربع "استخدام المعالج" (الشكل 19). في علامة التبويب "طرق الأمان" في نافذة "الخصائص: إنشاء إجراء عامل تصفية" التي تفتح ، يجب عليك تحديد ما إذا كنت تريد السماح بمرور البيانات أو حظرها أو التفاوض على الأمان (الشكل 20).

أرز. 20 ، قائمة فارغةإجراءات التصفية الممكنة

إذا قمت بتحديد "مفاوضة الأمان" ، يمكنك إضافة طرق أمان وتغيير ترتيب تفضيلاتها. عند إضافة طرق الأمان ، يجب عليك اختيار ما إذا كان سيتم استخدام AH ، أو ESP ، أو تكوين الأمان يدويًا عن طريق تحديد عنصر "أمان مخصص". بهذه الطريقة فقط يمكن استخدام كل من AH و ESP. تم تعيين البروتوكولات المطلوبة (AH و ESP) في إعدادات الأمان المخصصة (الشكل 21).

أرز. 21 ، إنشاء عمل مرشح

كما يوفر أيضًا القدرة على تحديد خوارزميات التكامل والتشفير يدويًا ، بالإضافة إلى معلمات تغيير مفاتيح الجلسة. بشكل افتراضي ، يتم تغيير المفاتيح كل ساعة أو كل 100 ميغا بايت من المعلومات المرسلة (الشكل 22).

أرز. 22 ، معلمات طريقة الأمان الخاصة

بعد تحديد إجراءات التصفية ، يمكن اعتبار تكوين سياسة أمان IP مكتملاً. إذا تم إجراء التكوين في نظام التشغيل Windows XP ، كما في هذا المثال ، بالنسبة لوضع النقل IPsec ، فيجب إجراء نفس العملية على كل كمبيوتر. أدوات الأتمتة في مشغل برامج وندوزتسمح لك بنشر سياسة IP مركزيًا على جميع محطات العمل في المجال. خارج المجال ، الأتمتة ممكنة جزئيًا فقط من خلال البرمجة النصية سطر الأوامر(باستخدام برنامج ipseccmd).

اختبارات

يهدف اختبار أداء IPsec إلى تحديد مستوى التحميل على المعالج المركزي عند نقل البيانات عبر شبكة باستخدام خوارزميات تشفير مختلفة.

تم إجراء الاختبار على أجهزة الكمبيوتر من التكوين التالي:

تم نقل ملف بحجم 701 ميغابايت بين جهازي كمبيوتر ، بإعدادات IPsec مختلفة ، وأيضًا بدون استخدام البروتوكول المعني.

لسوء الحظ ، لم يتم العثور على طريقة أكثر دقة لقياس استخدام وحدة المعالجة المركزية ووقت نقل الملفات من الساعة و Windows Task Manager ، لذلك قد يكون هناك بعض الأخطاء في القياسات.

بدون استخدام IPsec ، تم نقل الملف في 86 ثانية. في الوقت نفسه ، لم يكن حمل المعالج على كلا الجهازين مرتفعًا ، كما هو موضح في الشكلين 23 و 24 ، وبلغ متوسط ​​معدل نقل البيانات 65.21 ميجابت في الثانية.

بعد ذلك ، تم تكوين IPsec كما هو موضح أعلاه لضمان سلامة البيانات المرسلة (البروتوكول الفرعي AH باستخدام SHA-1).

زاد وقت نقل البيانات بشكل طفيف ، حتى 91 ثانية ، وانخفضت السرعة بشكل طفيف ، إلى 61.63 ميجابت في الثانية. في الوقت نفسه ، لم يزد حمل المعالج كثيرًا كما هو موضح في الشكلين 25 و 26.

كان إعداد اختبار IPsec التالي هو: ESP بدون استخدام AH ، مع تشفير DES وتجزئة MD5. لم تكن هناك تغييرات كبيرة في الأداء في هذا التكوين مقارنة بالتكوين السابق.

تم نقل الملف في 93 ثانية ، وكان معدل النقل 60.3 ميجابت في الثانية. يظهر استخدام المعالج في الشكلين 27 و 28 على التوالي ، وتجدر الإشارة إلى أن DES خوارزمية قديمة ولا يوصى باستخدامها حيث تكون البيانات المحمية ذات قيمة كبيرة بالفعل. في الوقت نفسه ، يمكن تحسين قوة هذه الخوارزمية بشكل كبير بسبب التغييرات الرئيسية المتكررة.

عند استخدام 3DES الأكثر أمانًا بدلاً من DES في نفس التكوين (MD5) ، انخفض معدل النقل بأكثر من النصف ، وبلغ 29.99 ميجابت في الثانية ، والوقت ، على التوالي ، 187 ثانية. لم تتغير مخططات تحميل المعالج كثيرًا (الشكلان 29 و 30).

عند استخدام ESP مع 3DES و SHA1 ، زاد وقت النقل بمقدار ثانية واحدة (حتى 188) ، وانخفضت السرعة إلى 29.83 ميجابت في الثانية. ليس من المنطقي إعطاء رسوم بيانية لحمل المعالج - فهي مماثلة للشكلين 29 و 30.

باستخدام بروتوكول AH جنبًا إلى جنب مع ESP في أكثر الإعدادات أمانًا ، وبالتالي التكوين الأكثر كثافة للموارد المتاحة في نظام التشغيل Windows XP ، تم الحصول على النتائج التالية: زاد وقت النقل إلى 212 ثانية ، وانخفضت السرعة إلى 26.45 ميجابت في الثانية.

الرسم التخطيطي 1 ، وقت نقل الملف وسرعته حسب خوارزميات التشفير المستخدمة

كما يتضح من نتائج الاختبار (الشكل 1) ، تكون النفقات العامة لـ IPsec منخفضة عند استخدام AH فقط وعند استخدام ESP مع DES. في حالة استخدام 3DES ، ينخفض ​​الأداء بشكل حاد ، ولكن مع سرعات منخفضةيكفي نقل بيانات الأداء حتى من المعالجات القديمة. عند الاقتضاء السرعه العاليهنقل البيانات ، قد يكون كافياً استخدام DES مع إعادة إدخال المفاتيح بشكل متكرر. من المميزات أن حمولة اثنين من المعالجات فئة مختلفةلا يختلف كثيرا.