Бид IPSec-ийн тухай ойлголтыг аль хэдийн хэлэлцсэн бөгөөд энэ материалд бид IPSec-ийг илүү нарийвчлан авч үзэх болно.

Тиймээс IPSec нэр нь IP Security-ээс гаралтай.
IPSec нь Layer3 түвшинд IP пакетуудыг хамгаалахад ашигладаг протокол, алгоритмуудын багц юм.

IPSec танд дараах баталгааг олгоно.
- Нууцлал - шифрлэлт ашиглан
- Мэдээллийн бүрэн бүтэн байдал - Hashing болон HMAC-ээр дамжуулан
- Баталгаажуулалт - Дижитал гарын үсэг эсвэл урьдчилан хуваалцсан түлхүүр (PSK) ашиглан.

Үндсэн IPsec протоколуудыг жагсаая:
■ ESP ба AH: IPsec-д хэрэглэгддэг хоёр үндсэн протокол.
Хамгаалалтын хамгаалалтын ачаалал (ESP), IPsec-д шаардлагатай бүх зүйлийг хийж чадна, мөн
Баталгаажуулалтын толгой хэсэг (AH), шифрлэлт, өгөгдлийг шифрлэхээс бусад бүх зүйлийг хийх боломжтой тул ESP-ийг ихэвчлэн ашигладаг.
■ Нууцлалд зориулсан шифрлэлтийн алгоритмууд: DES, 3DES, AES.
■Бүрэн бүтэн байдлын хувьд хэш хийх алгоритмууд: MD5, SHA.
■ Баталгаажуулах алгоритмууд: Урьдчилан хуваалцсан түлхүүрүүд (PSK), RSA тоон гарын үсэг.
■ Гол удирдлага: Жишээ нь ашиглаж болох Diffie-Hellman (DH) байж болно
тэгш хэмт алгоритмд ашиглах тэгш хэмтэй түлхүүрүүдийг динамикаар үүсгэх; PKI
итгэмжлэгдсэн CA-аас гаргасан дижитал гэрчилгээний функцийг дэмждэг; болон интернет
Түлхүүр солилцоо (IKE) нь бидний төлөө маш их хэлэлцээр, менежментийг хийдэг
ажиллахын тулд IPsec.

Яагаад IPSec хэрэгтэй байна

Хоёр оффисыг холбох дараах энгийн топологийг авч үзье.

Бид хоёр оффисыг холбож, дараах зорилтуудыг хэрэгжүүлэх шаардлагатай байна.

• Нууцлал- өгөгдлийн шифрлэлтээр хангагдсан.
• Өгөгдлийн бүрэн бүтэн байдал- хэш хийх, эсвэл дамжуулан өгөх Хашлагдсан мессежийн баталгаажуулалтын код (HMAC), - өгөгдөл өөрчлөгдөөгүй эсэхийг баталгаажуулах аргууд.
• Баталгаажуулалт- ашиглан хангана урьдчилан хуваалцсан түлхүүрүүд (PSK), эсвэл тоон гарын үсэг. Мөн HMAC ашиглах үед баталгаажуулалт байнга явагддаг.
• Дахин тоглуулахын эсрэг хамгаалалт- бүх VPN пакетууд дугаарлагдсан тул дахин давтагдахаас хамгаална.

IPSec протокол ба портууд

IPSec ажиллагаа

Аюулгүй VPN холболт үүсгэхийн тулд IPSec нь Интернет түлхүүр солилцох (IKE).
IKE бол өгөгдсөн хүрээ юм Интернетийн аюулгүй байдалХолбоо, мөн түүнчлэн Түлхүүр удирдлагын протокол (ISAKMP)

Тиймээс, бидний тохиргоонд чиглүүлэгч хоёулаа үүрэг гүйцэтгэх болно VPN гарцэсвэл IPsec үе тэнгийнхэн.

10.0.0.0 сүлжээнд байгаа хэрэглэгч 172.16.0.0 сүлжээнд пакет илгээдэг гэж үзье.
Хонгил хараахан байгуулагдаагүй байгаа тул R1 хоёр дахь чиглүүлэгч R2-тэй хэлэлцээр хийж эхэлнэ.

Алхам 1: IKEv1 1-р шатны туннелийн талаар тохиролцоно

Чиглүүлэгчийн хоорондох эхний алхам бол өсөлт юм Интернет түлхүүр солилцох (IKE) 1-р шатны хонгил.
Ийм хонгил нь хэрэглэгчийн мэдээллийг дамжуулахад зориулагдаагүй боловч удирдлагын урсгалыг хамгаалах зорилгоор албан ёсны зорилгоор ашигладаг.

IKE 1-р үе шатны хонгилыг өргөх ажлыг хоёр горимоор хийж болно:
- үндсэн горим
- түрэмгий горим
Үндсэн горим нь олон тооны пакет солилцохыг шаарддаг боловч илүү найдвартай гэж үздэг.

IKE 1-р үе шатны хонгилыг босгохын тулд дараах элементүүдийг тохиролцсон байх ёстой.

• Хэш алгоритм: Энэ байж болно мессежийн 5 алгоритм (MD5)эсвэл Хамгаалалтын хэш
  Алгоритм (SHA).
• Шифрлэлтийн алгоритм: Дижитал шифрлэлтийн стандарт (DES)(сул, зөвлөдөггүй), Гурвалсан DES (3DES)(бага зэрэг дээр) эсвэл Нарийвчилсан шифрлэлтийн стандарт (AES)(санал болгосон) AES нь өөр өөр урттай түлхүүрүүдийг ашиглах боломжтой: урт байх тусмаа аюулгүй.
• Ашиглах Diffie-Hellman (DH) бүлэг: DH "бүлэг" нь модулийн хэмжээг (урт
  түлхүүр) DH түлхүүр солилцоход ашиглах. 1-р бүлэгт 768 бит, 2-р бүлэгт 1024 бит, мөн
  5-р бүлэгт 1536-г ашигладаг. Илүү найдвартай DH бүлгүүд нь дараагийн үеийн шифрлэлтийн нэг хэсэг юм
  (NGE):
  - Бүлэг 14 эсвэл 24: 2048 битийн DH өгдөг
  - 15 ба 16-р бүлэг: 3072 ба 4096 битийн DH-г дэмждэг
  - 19 эсвэл 20-р бүлэг: 256 бит ба 384 битийн ECDH бүлгүүдийг тус тус дэмждэг

  DH-ийн даалгавар бол түлхүүрийн материал (тэгш хэмтэй түлхүүр) үүсгэх явдал юм. Эдгээр түлхүүрүүдийг өгөгдөл дамжуулахад ашиглана.
  DH нь өөрөө тэгш хэмтэй биш боловч түлхүүрүүдийг тэгш хэмтэйгээр үүсгэдэг.

• Баталгаажуулах арга: хэлбэрээр байж болно урьдчилан хуваалцсан түлхүүр (PSK)эсвэл RSA гарын үсэг
• Насан туршдаа: IKE 1-р шатны хонгилын ашиглалтын хугацаа. Үл тохирох цорын ганц параметр. Амьдралын хугацаа богино байх тусам түлхүүрүүд илүү олон удаа солигдож, аюулгүй байх болно.

Алхам 2: DH Key Exchange-г ажиллуул

Чиглүүлэгчид IKE 1-р шатны бодлогыг тохиролцсоны дараа тэд DH түлхүүр солилцох процессыг эхлүүлж болно. DH нь хоорондоо найдвартай холболтгүй байгаа хоёр төхөөрөмжийг AES гэх мэт тэгш хэмт алгоритмуудад ашиглах тэгш хэмтэй түлхүүрүүдийг найдвартай солилцох боломжийг олгодог.

Алхам 3: Үе тэнгийнхнээ баталгаажуулна уу

IKE 1-р үе шатанд хийгдэх хамгийн сүүлийн зүйл бол хоёр аргыг (PSK эсвэл RSA тоон гарын үсэг) ашиглан хийж болох хостуудын харилцан баталгаажуулалт юм.
Хэрэв баталгаажуулалт амжилттай бол IKE 1-р шатны хонгилыг дээшлүүлсэн гэж үзнэ. Хонгил нь хоёр чиглэлтэй.

Алхам 4: IKE 2-р үе шат

IKE 1-р шатны хонгилыг босгосны дараа чиглүүлэгчид IKE 1-р шатны хонгилыг босгож эхэлдэг.
Өмнө дурьдсанчлан, IKE 1-р шатны туннель нь цэвэр үйлчилгээ, менежментийн хэлэлцээрийн туннель бөгөөд IKE 2-р шатны хонгилыг дээшлүүлэхийн тулд бүх урсгал түүгээр дамждаг.
IKE Phase 2 туннель нь мөн хэш болон шифрлэлтийн алгоритмуудыг ашигладаг.
IKE 2-р үе шатны хонгилыг өсгөх ажлыг нэг горимд хийж болно:
- хурдан горим

IKE Phase 2 туннель нь үнэндээ хоёр нэг чиглэлтэй хонгилоос бүрддэг, i.e. тэдгээрийг бүтээсэн гэж бид хэлж чадна:
Хоёр чиглэлтэй нэг IKE 1-р шатны туннель нь хэрэглээний функцүүдэд ашиглагддаг.
Мөн нэг чиглэлтэй, ачааны урсгалыг шифрлэхэд ашигладаг хоёр IKE Phase 2 туннель.
Эдгээр бүх хонгилыг мөн гэж нэрлэдэг хоёр VPN түншийн хоорондох аюулгүй байдлын гэрэээсвэл аюулгүй байдлын холбоо (SA).
SA бүр өөрийн гэсэн өвөрмөц дугаартай байдаг.

Одоо IKE 2-р үе шатны хонгилыг босгосны дараа гадаад интерфейсээс гарах бүх пакетууд шифрлэгдэх болно.

Тохируулах жишээ

Энэ схемийг ашиглан IPsec-ийг тохируулах жишээг авч үзье.

1. Сонирхолтой замын хөдөлгөөнийг тохируулах
   Эхлээд бид шифрлэх урсгалыг тодорхойлох ёстой.
   Чиглүүлэгч R1

   IP хандалтын жагсаалт өргөтгөсөн VPN-ACL зөвшөөрөл ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

   Чиглүүлэгч R2

   IP хандалтын жагсаалт өргөтгөсөн VPN-ACL зөвшөөрөл ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

2. 1-р үе шатыг тохируулах (ISAKMP)
   1-р үе шат нь үйлчилгээний зориулалтаар ашиглагддаг хонгилыг босгодог: хуваалцсан нууц түлхүүрүүдийг солилцох, баталгаажуулах, IKE аюулгүй байдлын бодлогыг хэлэлцэх гэх мэт.
   Хэд хэдэн isakmp бодлогыг өөр өөр тэргүүлэх чиглэлүүдээр үүсгэж болно.

   Чиглүүлэгч R1

   crypto isakmp түлхүүрийн нууц түлхүүрийн хаяг 200.200.200.1

   Чиглүүлэгч R2

   crypto isakmp бодлого 1 шифрлэлт 3des hash md5 нэвтрэлт танилт урьдчилан хуваалцах бүлэг 2

   crypto isakmp түлхүүрийн нууц түлхүүрийн хаяг 100.100.100.1

   Энд түлхүүр нь IKE 1-р үе шатны баталгаажуулалтад чиглүүлэгчид ашигладаг PSK (Preshared Key) юм.

3. 2-р үе шатыг тохируулах (IPSEc)
   IKE 2-р шатны туннелийн зорилго нь хоёр оффисын хостуудын хооронд ашигтай урсгалыг шилжүүлэх явдал юм.
   2-р үе шатны хонгилын параметрүүдийг хувиргах багц гэж нэрлэдэг олонлогт бүлэглэв.
   Чиглүүлэгч R1

   crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ! крипто газрын зураг VPNMAP 10 ipsec-isakmp багц peer 200.200.200.1 багц хувиргах-сет TRSET тохирох хаяг VPN-ACL ! интерфейс FastEthernet0/0 крипто газрын зураг VPNMAP

   Чиглүүлэгч R2

   Crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ! крипто газрын зураг VPNMAP 10 ipsec-isakmp багц peer 100.100.100.1 багц хувиргах-сет TRSET тохирох хаяг VPN-ACL ! интерфейс FastEthernet0/0 крипто газрын зураг VPNMAP

   Хоёр хост хоёулаа crypto ipsec transform-set TRSET esp-3des esp-md5-hmac ашигласан.
   Энэ нь шифрлэлтэд 3des, баталгаажуулалтад md5-hmac ашиглана гэсэн үг.

   Интерфэйс дээр крипто газрын зургийг ашигласан. Cryptomap нь заасан нөхцөлийг хангасан урсгалыг хянадаг. Манай крипто карт нь дотоод траффикийн ACL-д заасан 100.100.100.1 хаягтай чиглүүлэгчтэй ажиллах бөгөөд энэ траффикт TRSET-ийг хувиргах болно.

IPSec шалгах

Ерөнхий жагсаалт ашигтай тушаалууддараагийн:
Crypto isakmp бодлогыг харуулах
крипто газрын зургийг харуулах
Crypto isakmp-г дэлгэрэнгүй харуулах
Crypto ipsec sa харуулах
крипто хөдөлгүүрийн холболтыг идэвхтэй харуулах

Практикт дараахь зүйлс хамгийн ашигтай байдаг.

Үзсэн: 8033

0 IPSec-ийг бүрдүүлдэг технологийн нарийн ширийнийг харцгаая. IPSec-д хэрэглэгддэг стандартуудыг ойлгоход нэлээд төвөгтэй байдаг тул энэ хэсэгт бид IPSec-ийн бүрэлдэхүүн хэсэг бүрийг нарийвчлан авч үзэх болно. IPSEC гэж юу болохыг ойлгохын тулд "IPSEC as a Security Protocol" баримт бичгийг ашиглана уу. сүлжээний урсгал", энэ сайт дээр өмнө нь нийтэлсэн. Энэхүү нийтлэл нь дээрх баримт бичгийн үргэлжлэл юм.

IPSec нь дараах технологиудыг ашигладаг:

• NA протокол;
• ESP протокол;
• DES шифрлэлтийн стандарт;
• 3DES шифрлэлтийн стандарт;
• IKE протокол;
• Diffie-Hellman гол гэрээний арга;
• хэшлэгдсэн мессежийн жинхэнэ кодууд (HMAC);
• RSA хамгаалалт;
• гэрчилгээжүүлэх төвүүд.

NA протокол

1. Пакетийн IP толгой болон ачааллыг хэш хийсэн.
2. Үүссэн хэш кодыг шинэ AH толгойг бүтээхэд ашигладаг бөгөөд энэ нь толгой болон ачааны блокийн хооронд анхны пакетт хавсаргасан байна.
3. Шинэ багцыг хоёр дахь IPSec тал руу илгээнэ.
4. Хүлээн авагч тал нь IP толгой болон ачааллын хэш кодын утгыг тооцоолж, AH толгой хэсгээс дамжуулсан хэш кодын утгыг гаргаж аваад хоёр утгыг харьцуулна. Харгалзах хэш кодын утгууд яг таарч байх ёстой. Хэрэв багцын нэг бит ч гэсэн өөрчлөгдөх юм бол хүлээн авагчийн тооцоолсон пакетын хэш код нь AH толгой хэсэгт заасан утгатай тохирохгүй.

ESP протокол

ESP протокол нь IP пакетийн түвшинд шифрлэлтээр дамжуулан нууцлалыг хангадаг. Үүний зэрэгцээ олон тэгш хэмт шифрлэлтийн схемийн алгоритмуудыг дэмждэг. IPSec-ийн анхдагч алгоритм нь 56 битийн түлхүүр бүхий DES юм. IPSec-ийг дэмждэг бүх бүтээгдэхүүнүүдийн хооронд нийцтэй байдлыг хангахын тулд энэ шифр заавал байх ёстой. Cisco бүтээгдэхүүнүүд нь 3DES алгоритмыг дэмждэг бөгөөд энэ нь илүү хүчтэй шифрлэлт өгдөг. Нууцлалыг бусад үйлчилгээнээс хамааралгүйгээр сонгож болно.

Өгөгдлийн гарал үүслийн баталгаажуулалт болон холболтгүй бүрэн бүтэн байдлын дэмжлэгийг хамтад нь ашигладаг бөгөөд нэмэлт (өөрөөр хэлбэл, нэмэлт). Эдгээр функцийг мөн нууцлалын үйлчилгээтэй хослуулж болно.
Дахин тоглуулах хамгаалалтын үйлчилгээг зөвхөн өгөгдлийн эх сурвалжийн баталгаажуулалтыг сонгосон тохиолдолд сонгох боломжтой бөгөөд энэ үйлчилгээг сонгох нь зөвхөн хүлээн авагчийн бүрэн эрх юм. Хэдийгээр анхдагч байдлаар илгээгч нь дахин тоглуулахаас хамгаалахад ашигладаг дарааллын дугаарыг автоматаар нэмэгдүүлэх шаардлагатай байдаг ч энэ үйлчилгээ нь хүлээн авагч дарааллын дугаарыг шалгасан тохиолдолд л үр дүнтэй болно. Замын хөдөлгөөний нууцлал нь хонгилын горимыг сонгохыг шаарддаг. Энэ нь аюулгүй байдлын гарцанд хамгийн үр дүнтэй бөгөөд эх сурвалжийг чиглүүлэх ажлыг бүх урсгал дээр нэгэн зэрэг гүйцэтгэх боломжтой. Хэдийгээр нууцлал болон баталгаажуулалт хоёулаа сонголтууд боловч эдгээр үйлчилгээний дор хаяж нэгийг нь сонгох ёстой гэдгийг энд тэмдэглэх нь зүйтэй.
ESP-ээс үзүүлж буй үйлчилгээ нь IPSec-ийн тохиргоонд заасан болон IPSec аюулгүй байдлын холбоог үүсгэх үед сонгосон параметрүүдээс хамаарна. Гэсэн хэдий ч, нууцлалыг бүрэн бүтэн байдал/баталгаажуулалтгүйгээр (ESP дотор эсвэл NA-г тусад нь ашиглах) сонгох нь ийм байдлаар ашиглагдаж буй нууцлалын үйлчилгээний ашиг тусыг хязгаарлаж болох тодорхой төрлийн халдлагад дайсанд нээлттэй байдаг.
ESP толгойг IP толгойн дараа, дээд давхаргын протоколын толгойн өмнө (тээврийн горимд) эсвэл капсуллагдсан IP толгойн өмнө (туннелийн горимд) багцад оруулна. ESP протоколын бүрэн тайлбарыг RFC 2406-д оруулсан болно.

NMAC ашиглан ESP шифрлэлт

ESP мөн нэмэлт баталгаажуулалтын талбарыг ашиглан пакетийн баталгаажуулалтыг хийж болно. Cisco IOS програм хангамж болон PIX галт хананд энэ үйлчилгээг ESP HMAC гэж нэрлэдэг. Баталгаажуулалтын утгыг шифрлэлт хийсний дараа тооцоолно. Өнөөдөр ашиглагдаж буй IPSec стандарт нь SHA1 болон MD5 алгоритмуудыг NMAC-д заавал байх ёстой гэж тодорхойлсон.
ESP нэвтрэлт танилт ба NA баталгаажуулалтын гол ялгаа нь тэдгээрийн хамрах хүрээ юм. ESP нь ESP капсулжуулалтыг зориулаагүй бол (туннелийн горим) ямар ч IP толгойн талбарыг хамгаалахгүй. Зураг дээр ESP NMAC ашиглах үед аль талбарууд хамгаалагдсан болохыг харуулж байна.

IPSec туннель ба тээврийн горимууд

IPSec нь туннель эсвэл тээврийн горимд ажилладаг. Зурагт хонгилын горимын хэрэгжилтийн диаграммыг үзүүлэв. Энэ горимд анхны IP датаграмм бүхэлдээ шифрлэгдсэн бөгөөд шинэ IP толгой болон нэмэлт IPSec толгой (зураг дээрх HDR товчилсон) бүхий шинэ IP пакет дахь ачаалал болж хувирдаг. Туннелийн горим нь сүлжээний төхөөрөмжид (PIX Firewall гэх мэт) галт хананы цаана байгаа хостуудад шифрлэлт хийх IPSec гарц эсвэл прокси серверийн үүргийг гүйцэтгэх боломжийг олгодог. Эх чиглүүлэгч нь пакетийг шифрлэж, IPSec туннелээр дамжуулдаг. Зориулалтын PIX Firewall нь хүлээн авсан IPSec пакетийн шифрийг тайлж, анхны IP датаграммыг задалж, очих систем рүү дамжуулдаг. Туннелийн горимын гол давуу тал нь төгсгөлийн системүүдийг IPSec ашиглах боломжийг олгохын тулд өөрчлөх шаардлагагүй юм. Туннелийн горим нь дайсанд өгөгдлийн урсгалыг шинжлэхээс сэргийлдэг. Туннелийн горимд солилцоо хийх үед дайсан хонгилын төгсгөлийн цэгүүд нь эх үүсвэр болон очих систем дээр байрладаг байсан ч хонгилоор дамжин өнгөрөх пакетуудын жинхэнэ эх үүсвэр, хүрэх газрыг тодорхойлох боломжгүй бөгөөд зөвхөн хонгилын төгсгөлийн цэгүүдийг тодорхойлох боломжтой байдаг.

Хонгил, тээврийн горимыг ашиглах

Хонгил эсвэл тээврийн горимыг сонгох дүрмийг харуулсан цөөн хэдэн жишээг харцгаая. Доорх зураг нь туннелийн горимыг ашиглах нөхцөл байдлыг харуулж байна. Энэ горимыг ихэвчлэн IPSec аюулгүй байдлын гарцуудын хоорондох өгөгдлийн урсгалыг шифрлэхэд ашигладаг - жишээлбэл, Cisco чиглүүлэгч болон PIX галт хана хооронд. IPSec гарцууд нь ийм гарцуудын ард байрлах төхөөрөмжүүдийн хувьд IPSec функцийг гүйцэтгэдэг (дээрх зурагт энэ нь хувийн компьютерАлис болон Хүний нөөцийн серверүүд). Энэ жишээнд Алис гарцуудын хооронд суурилуулсан IPSec туннелээр дамжуулан хүний ​​нөөцийн серверт аюулгүй нэвтрэх эрхийг олж авдаг.

Туннелийн горимыг CiscoSecure VPN клиент болон IPSec гарц зэрэг IPSec программ хангамжийг ажиллуулж буй төгсгөлийн цэгүүдийн хооронд харилцахад ашигладаг.
Энэ жишээнд туннелийн горимыг Cisco чиглүүлэгч болон IPSec программ хангамжийг ажиллуулж буй серверийн хооронд IPSec туннель үүсгэхэд ашигладаг. Cisco IOS программ хангамж болон PIX галт хананд туннелийн горим нь IPSec холбооны өгөгдмөл горим гэдгийг анхаарна уу.
Тээврийн горимыг IPSec-ийг дэмждэг төгсгөлийн цэгүүдийн хооронд, эсвэл гарцыг хост гэж тайлбарлавал төгсгөлийн цэг болон гарцын хооронд ашиглагддаг. Зураг дээр. Үйлчлүүлэгчийн программ хангамжийг ажиллуулж буй Алисын компьютерээс IPSec шифрлэгдсэн хонгил үүсгэхийн тулд тээврийн горимыг ашиглахыг харуулсан жишээ D-г доор харуулав. Microsoft Windows 2000, Cisco VPN 3000 баяжуулах үйлдвэрт, энэ нь Алисад IPSec дээр L2TP туннелийг ашиглах боломжийг олгодог.

AH болон ESP ашиглах

Тодорхой нөхцөл байдалд AN болон ESP хоёрын хооронд сонголт хийх асуудлыг шийдвэрлэхэд хэцүү мэт санагдаж болох ч хэд хэдэн дүрмийг дагаж мөрдвөл үүнийг хялбаршуулж болно. Хэрэв та тодорхой эх сурвалжаас авсан өгөгдөл нь түүний бүрэн бүтэн байдлыг зөрчихгүйгээр дамждаг бөгөөд нууцлалыг хангах шаардлагагүй гэдгийг мэдэх шаардлагатай бол дамжих явцад өөрчлөгддөггүй дээд түвшний протоколууд болон IP толгойн талбаруудыг хамгаалдаг AH протоколыг ашиглана уу. Аюулгүй байдал гэдэг нь харгалзах утгуудыг өөрчлөх боломжгүй, учир нь үүнийг хоёр дахь IPSec тал илрүүлж, өөрчлөгдсөн IP датаграммыг үгүйсгэх болно. AH протокол нь халдагчийн сувгийг чагнаж, толгой болон өгөгдлийг харахаас хамгаалдаггүй. Гэхдээ толгой болон өгөгдлийг үл мэдэгдэх байдлаар өөрчлөх боломжгүй тул өөрчилсөн пакетуудыг үгүйсгэдэг.

Хэрэв та өгөгдлийн нууцыг хадгалах шаардлагатай бол (нууцлалыг хангах) ESP ашиглана уу. Энэ протокол нь тээврийн горимд дээд түвшний протоколуудыг, туннелийн горимд бүх эх IP датаграммыг шифрлэдэг тул дамжуулах сувгийг үнэрлэх замаар пакетуудын талаарх мэдээллийг задлах боломжгүй юм. ESP протокол нь мөн пакетуудыг баталгаажуулах үйлчилгээг үзүүлж чадна. Гэсэн хэдий ч ESP-г тээврийн горимд ашиглах үед гаднах эх IP толгой хамгаалалтгүй, туннелийн горимд шинэ IP толгой хамгаалалтгүй болно. IPSec-ийг ашиглах үед хэрэглэгчид тээврийн горимоос илүү туннелийн горимыг ашиглах магадлал өндөр байдаг.

IPSec нь хэд хэдэн технологи, шифрлэлтийн аргууд дээр тулгуурладаг боловч IPSec-ийг ерөнхийд нь дараах үндсэн алхамууд гэж үзэж болно.

Алхам 1. IPSec процессыг эхлүүлж байна.

IPSec талуудын тохиролцсон IPSec аюулгүй байдлын бодлогын дагуу шифрлэлтийг шаарддаг урсгал нь IKE процессыг эхлүүлнэ. Алхам 2. IKE нэгдүгээр үе шат

. IKE процесс нь IPSec талуудыг баталгаажуулж, IKE аюулгүй байдлын холбооны параметрүүдийг хэлэлцдэг бөгөөд ингэснээр IKE-ийн хоёр дахь үе шатанд IPSec аюулгүй байдлын холбооны параметрүүдийг тохиролцох найдвартай суваг бий болно.Алхам 3.

IKE хоёр дахь үе шат . IKE процесс нь IPSec аюулгүй байдлын холбооны параметрүүдийг хэлэлцэж, холбогдох талуудын төхөөрөмжүүдэд тохирох IPSec аюулгүй байдлын холбоог бий болгодог.

Алхам 5. IPSec туннелийг зогсоож байна.

IPSec аюулгүй байдлын холбоо нь устгагдсан эсвэл ашиглалтын хугацаа хэтэрсэн учраас дуусгавар болно.

IPSec үйлдлийн горимууд

IPSec үйлдлийн хоёр горим байдаг: тээвэрлэлт ба туннель.

Тээврийн горимд зөвхөн IP пакетийн мэдээллийн хэсэг шифрлэгдсэн байдаг. IP пакетийн толгой өөрчлөгдөөгүй тул чиглүүлэлтэд нөлөөлөхгүй. Тээврийн горимыг ихэвчлэн хостуудын хооронд холболт үүсгэхэд ашигладаг. Туннелийн горимд IP пакет бүхэлдээ шифрлэгдсэн байдаг. Үүнийг сүлжээгээр дамжуулахын тулд өөр IP багцад байрлуулна. Энэ нь аюулгүй IP туннель үүсгэдэг. Туннелийн горимыг алсын компьютерийг виртуальтай холбоход ашиглаж болнохувийн сүлжээ

эсвэл виртуал хувийн сүлжээний өөр өөр хэсгүүдийг нэгтгэхийн тулд гарцуудын хооронд нээлттэй холбооны сувгаар (Интернет) аюулгүй өгөгдөл дамжуулах ажлыг зохион байгуулах.

IPSec өөрчлөлтийн хэлэлцээр

IKE протокол нь IPSec хувиргалтыг (IPSec аюулгүй байдлын алгоритмууд) тохиролцдог. IPSec хувиргалт ба тэдгээртэй холбоотой шифрлэлтийн алгоритмууд дараах байдалтай байна. AH протокол (Authentication Header - баталгаажуулалтын толгой).

Баталгаажуулалт болон (заавал биш) дахин тоглуулах илрүүлэх үйлчилгээ үзүүлдэг аюулгүй протокол. AH протокол нь тоон гарын үсгийн үүрэг гүйцэтгэдэг бөгөөд IP пакет дахь өгөгдөлд хөндлөнгөөс оролцохгүй байхыг баталгаажуулдаг. AH протокол нь өгөгдлийг шифрлэх, тайлах үйлчилгээ үзүүлдэггүй. Энэ протоколыг бие даан эсвэл ESP протоколтой хамт ашиглаж болно.

ESP (Encapsulating Security Payload) протокол.Пакет өгөгдлийг шифрлэх, тайлах алгоритм. DES алгоритмыг IPSec болон IKE аль алинд нь ашигладаг. DES алгоритм нь 56 битийн түлхүүрийг ашигладаг бөгөөд энэ нь тооцоолох нөөцийн хэрэглээг нэмэгдүүлэхээс гадна илүү хүчтэй шифрлэлт гэсэн үг юм. DES алгоритм нь IPSec-тэй харилцах тал бүрийн төхөөрөмжид ижил нууц шифрлэлтийн түлхүүрүүдийг шаарддаг тэгш хэмт шифрлэлтийн алгоритм юм. Диффи-Хеллманы алгоритмыг тэгш хэмтэй түлхүүрүүдийг бий болгоход ашигладаг.

IKE болон IPSec нь мессежийг шифрлэхийн тулд DES алгоритмыг ашигладаг."Гурвалсан" DES (3DES). Стандарт DES-ийн гурван давталт дээр суурилсан DES-ийн хувилбарөөр өөр түлхүүрүүд

, энэ нь DES-ийн хүчийг бараг гурав дахин нэмэгдүүлдэг. 3DES алгоритмыг IPSec программ дотор өгөгдлийн урсгалыг шифрлэх, тайлахад ашигладаг. Энэ алгоритм нь 168 битийн түлхүүрийг ашигладаг бөгөөд энэ нь шифрлэлтийн өндөр найдвартай байдлыг баталгаажуулдаг. IKE болон IPSec нь мессежийг шифрлэхийн тулд 3DES алгоритмыг ашигладаг.AES(дэвшилтэт шифрлэлтийн стандарт

).

AES протокол нь Rine Dale4 шифрлэлтийн алгоритмыг ашигладаг бөгөөд энэ нь илүү хүчтэй шифрлэлт өгдөг.Олон криптографчид AES нь ерөнхийдөө эвдэрдэггүй гэдэгт итгэдэг. AES нь одоо холбооны мэдээлэл боловсруулах стандарт юм. Энэ нь нууцлаг боловч нууцлагдмал мэдээллийг хамгаалахын тулд АНУ-ын төрийн байгууллагуудад ашигладаг шифрлэлтийн алгоритм гэж тодорхойлогддог. AES-ийн асуудал нь үүнийг хэрэгжүүлэхийн тулд ижил төстэй протоколуудаас илүү их тооцоолох хүч шаарддаг явдал юм.

IPSec хөрвүүлэлт нь өгөгдлийн баталгаажуулалтыг хангахын тулд хоёр стандарт хэшлэх алгоритмыг ашигладаг.Өгөгдлийн пакетуудыг баталгаажуулахад ашигладаг хэш алгоритм. Cisco бүтээгдэхүүнүүд нь SHA-1 ашиглан тооцоолсон HMAC кодын хувилбарыг ашигладаг. IKE, AH болон ESP нь өгөгдлийг баталгаажуулахад SHA-1 ашигладаг.

IKE протоколын дагуу DES, 3DES, MD5, SHA ашиглан Diffie-Hellman алгоритмыг ашиглан тэгш хэмт түлхүүрүүдийг үүсгэдэг. Diffie-Hellman протокол нь програм дээр суурилсан криптографийн протокол юм нийтийн түлхүүрүүд. Энэ нь хангалттай аюулгүй харилцааны суваггүйгээр хоёр тал хуваалцсан нууц түлхүүрийн талаар тохиролцох боломжийг олгодог. DES болон NMAC алгоритмуудад хуваалцсан нууц түлхүүрүүд шаардлагатай. Diffie-Hellman алгоритмыг IKE-д сессийн түлхүүр үүсгэхэд ашигладаг. Diffie-Hellman (DH) бүлгүүд - түлхүүр солилцох журамд ашигладаг шифрлэлтийн түлхүүрийн "хүч чадал" -ыг тодорхойлно. Бүлгийн тоо өндөр байх тусам түлхүүр нь "илүү хүчтэй", аюулгүй болно. Гэсэн хэдий ч DH бүлгийн дугаар нэмэгдэхийн хэрээр түлхүүрийн "хүч чадал" болон аюулгүй байдлын түвшин нэмэгдэж, харин "илүү хүчтэй" түлхүүр үүсгэхийн тулд төв процессорын ачаалал нэмэгддэг гэдгийг анхаарч үзэх хэрэгтэй. илүү их цаг хугацаа, нөөц.

WatchGuard төхөөрөмжүүд нь DH бүлгийн 1, 2, 5-ыг дэмждэг:

DH бүлэг 1: 768 битийн түлхүүр

DH бүлэг 2: 1024 битийн түлхүүр

DH бүлэг 5: 1536 битийн түлхүүр

VPN-ээр холбогддог төхөөрөмж хоёулаа ижил DH бүлгийг ашиглах ёстой. Төхөөрөмжүүдэд ашиглах DH бүлгийг IPSec Phase 1 процедурын үеэр сонгоно.

0 Энэ нийтлэлд виртуал хувийн сүлжээ (VPN) үүсгэхэд ашигладаг Cisco бүтээгдэхүүнүүдэд байдаг IP аюулгүй байдлын (IP аюулгүй байдлын) хэрэгслүүд болон холбогдох IPSec протоколуудын тоймыг өгдөг. Энэ нийтлэлд бид IPSEC гэж юу болох, IPSEC-ийн үндэс нь ямар протокол, аюулгүй байдлын алгоритмууд байгааг тодорхойлох болно.

Танилцуулга

Cisco VPN бүтээгдэхүүнүүд нь VPN-ийн баялаг чадавхийг хангах салбарын стандарт болох IPSec протоколын багцыг ашигладаг. IPSec нь интернет гэх мэт хамгаалалтгүй сүлжээгээр дамжуулж буй мэдээллийн нууцлал, бүрэн бүтэн байдал, найдвартай байдлыг баталгаажуулж, IP сүлжээгээр аюулгүй өгөгдөл дамжуулах механизмыг санал болгодог. IPSec нь Cisco сүлжээнд дараах VPN боломжуудыг олгодог:

• Өгөгдлийн нууцлал. IPSec өгөгдөл илгээгч нь пакетуудыг сүлжээгээр илгээхээс өмнө шифрлэх чадвартай.
• Өгөгдлийн бүрэн бүтэн байдал. IPSec хүлээн авагч нь түүнтэй харилцаж буй талууд (IPSec туннель эхэлж, дуусдаг төхөөрөмж эсвэл программ хангамж) болон тэдгээр талуудын илгээсэн IPSec пакетуудыг дамжих явцад өгөгдөл өөрчлөгдөөгүй эсэхийг баталгаажуулах чадвартай.
• Өгөгдлийн эх сурвалжийн баталгаажуулалт. IPSec хүлээн авагч нь хүлээн авсан IPSec пакетуудын эх сурвалжийг баталгаажуулах чадвартай. Энэ үйлчилгээ нь мэдээллийн бүрэн бүтэн байдлын үйлчилгээнээс хамаарна.
• Дахин тоглуулах хамгаалалт. IPSec хүлээн авагч нь дахин тоглуулсан пакетуудыг илрүүлж, татгалзаж, тэднийг хууран мэхлэх, дундын хүний ​​дайралтанд өртөхөөс сэргийлж чадна.

IPSec нь стандартад суурилсан аюулгүй байдлын протокол, алгоритмуудын багц юм. IPSec технологи болон түүнтэй холбоотой аюулгүй байдлын протоколууд нь Интернэт Инженерийн Ажлын хэсэг (IETF)-аас мөрддөг, RFC техникийн үзүүлэлтүүд болон IETF-ийн ноорог дээр тайлбарласан нээлттэй стандартад нийцдэг. IPSec нь сүлжээний түвшинд ажилладаг бөгөөд Cisco чиглүүлэгч, PIX галт хана, Cisco VPN клиент ба баяжуулагч зэрэг IPSec төхөөрөмжүүд (талууд) хооронд илгээсэн IP пакетуудын аюулгүй байдал, баталгаажуулалтыг хангадаг. IPSec нь маш жижиг сүлжээнээс маш том сүлжээ хүртэл ажилладаг.

Аюулгүй байдлын холбоо (SA)

Батлан ​​хамгаалах нийгэмлэг(Аюулгүй байдлын ассоциаци - SA) нь харилцан тохиролцож тохиролцсон бодлого эсвэл мэдээлэл боловсруулах арга бөгөөд харилцаа холбоо бүхий талуудын хоёр төхөөрөмжийн хооронд солилцох зорилготой юм. Ийм бодлогын нэг бүрэлдэхүүн хэсэг нь өгөгдлийг шифрлэхэд ашигладаг алгоритм байж болно. Хоёр тал хоёулаа шифрлэлт болон тайлахдаа ижил алгоритмыг ашиглаж болно. Үр дүнтэй SA параметрүүдийг хоёр талын Аюулгүй байдлын нийгэмлэгийн мэдээллийн санд (SAD) хадгалдаг.

SA-ийн хоёр талд байрлах хоёр компьютер нь SA-д ашигласан горим, протокол, алгоритм, түлхүүрүүдийг хадгалдаг. SA бүрийг зөвхөн нэг чиглэлд ашигладаг. Хоёр чиглэлтэй харилцаа холбоо нь хоёр SA шаарддаг. SA бүр нэг горим, протоколыг хэрэгжүүлдэг; Тиймээс хэрэв нэг пакетад хоёр протокол ашиглах шаардлагатай бол (AH болон ESP гэх мэт) хоёр SA шаардлагатай.

IKE (Internet Key Exchange) протокол нь хосолсон протокол юм тусгай үйлчилгээ IPSec-ийн хувьд, тухайлбал, IPSec талуудын нэвтрэлт танилт, IKE болон IPSec аюулгүй байдлын холбооны параметрүүдийн тохиролцоо, IPSec-д хэрэглэгдэх шифрлэлтийн алгоритмуудын түлхүүрүүдийг сонгох. IKE протокол нь IPSec хувиргалтанд хэрэглэгддэг шифрлэлтийн түлхүүрүүдийг үүсгэх, боловсруулах үйл явцыг удирдахад ашигладаг ISAKMP (Интернетийн аюулгүй байдлын холбоо ба түлхүүр менежментийн протокол) болон Oakley протоколд тулгуурладаг. IKE протоколыг IPSec-ийн боломжит талуудын хооронд аюулгүй байдлын холбоо үүсгэхэд ашигладаг.
IKE болон IPSec хоёулаа харилцааны параметрүүдийг тодорхойлохын тулд аюулгүй байдлын холбоог ашигладаг.
IKE нь протоколд ашиглах олон төрлийн үндсэн функцуудыг дэмждэг. Тэдгээрийн дотор хэш функц ба псевдо санамсаргүй функц (PRF) орно.

Хэш функцмөргөлдөөнд тэсвэртэй функц юм. Мөргөлдөөний эсэргүүцэл гэдэг нь m1 ба m2 гэсэн хоёр өөр мессежийг олох боломжгүй гэдгийг хэлнэ.

H(m1)=H(m2), энд H нь хэш функц юм.

Псевдо санамсаргүй функцүүдийн хувьд HMAC дизайн дахь тусгай PRF-ийн оронд хэш функцийг ашиглаж байна (HMAC нь хэш функцийг ашиглан мессежийн баталгаажуулалтын механизм юм). HMAC-г тодорхойлохын тулд бидэнд криптограф хэш функц (үүнийг H гэж нэрлэе) болон нууц түлхүүр K хэрэгтэй. Бид H нь өгөгдлийн блокуудын дараалалд шахалтын процедурыг ашиглан өгөгдлийг хэш болгодог хэш функц гэж бид таамаглаж байна. Бид ийм блокуудын уртыг байтаар B гэж тэмдэглэж, L (L) -ээр хэш хийсний үр дүнд олж авсан блокуудын уртыг тэмдэглэнэ.
ipad = байт 0x36, B удаа давтагдсан;
opad = байт 0x5C дахин B удаа.

"Текст" өгөгдлөөс HMAC-ийг тооцоолохын тулд та дараах үйлдлийг гүйцэтгэх хэрэгтэй.

H(K XOR opad, H(K XOR ipad, текст))

Тайлбараас харахад IKE нь талуудыг баталгаажуулахын тулд HASH утгыг ашигладаг. HASH in доор байгааг анхаарна уу энэ тохиолдолд ISAKMP дахь ачааны нэр нь зөвхөн зориулагдсан бөгөөд энэ нэр нь түүний агуулгатай ямар ч холбоогүй болно.

IPSec дэд бүтэц

IPSec хэрхэн ажилладаг

• Алхам 1: IPSec процессыг эхлүүлнэ үү. IPSec талуудын тохиролцсон IPSec аюулгүй байдлын бодлогын дагуу шифрлэлтийг шаарддаг урсгал нь IKE процессыг эхлүүлнэ.
• Алхам 2: IKE Нэгдүгээр шат. IKE процесс нь IPSec талуудыг баталгаажуулж, IKE аюулгүй байдлын холбооны параметрүүдийг хэлэлцдэг бөгөөд ингэснээр IKE-ийн хоёр дахь үе шатанд IPSec аюулгүй байдлын холбооны параметрүүдийг тохиролцох найдвартай суваг бий болно.
• Алхам 3: IKE Хоёрдугаар шат. IKE процесс нь IPSec аюулгүй байдлын холбооны параметрүүдийг хэлэлцэж, холбогдох талуудын төхөөрөмжүүдэд тохирох IPSec аюулгүй байдлын холбоог бий болгодог.
• Алхам 4: Өгөгдөл дамжуулах. Аюулгүй байдлын холбооны мэдээллийн санд хадгалагдсан IPSec параметрүүд болон түлхүүрүүд дээр тулгуурлан харилцах IPSec талуудын хооронд харилцаа холбоо үүсдэг.
• Алхам 5: IPSec туннелийг дуусгана уу. IPSec аюулгүй байдлын холбоо нь устгагдсан эсвэл ашиглалтын хугацаа хэтэрсэн учраас дуусгавар болно.

Та IPsec протокол болон түүний тохиргоотой дэлгэрэнгүй танилцаж эхлэхээсээ өмнө түүний чадвар, бусдаас давуу талыг олж мэдэх хэрэгтэй. боломжтой протоколуудмэдээллийн хамгаалалт.

IPsec нь IPv4 протоколын өргөтгөл бөгөөд IPv6-ийн салшгүй хэсэг юм. Энэ протокол нь сүлжээний IP түвшний (ISO/OSI загварын 3-р давхарга, Зураг 1) аюулгүй байдлыг хангадаг бөгөөд энэ нь ихэнх програм, үйлчилгээ болон дээд түвшний протоколуудад ил тод байх өндөр түвшний аюулгүй байдлыг хангах боломжийг олгодог. IP протоколыг тээвэрлэлт болгон ашиглах. IPSec нь одоо байгаа програмууд эсвэл үйлдлийн системд өөрчлөлт оруулах шаардлагагүй.

Цагаан будаа. 1, ISO/OSI загвар.

Энэ давхаргад хамгаалалтыг хэрэгжүүлснээр IP давхаргаас эхлээд TCP, UDP, ICMP болон бусад олон протоколууд TCP/IP гэр бүлийн бүх протоколуудын аюулгүй байдлыг хангана.

SSL (Secure Sockets Layer) протокол гэх мэт 3-р давхаргаас дээш ажилладаг бусад хамгаалалтын үйлчилгээнүүд нь зөвхөн тодорхой програмын залгуурыг хамгаалдаг. Бүх тогтсон холболтыг хамгаалахын тулд ийм протоколууд нь протоколыг дэмжихийн тулд бүх үйлчилгээ, программд өөрчлөлт оруулахыг шаарддаг бол холбоосын түвшний техник хангамжийн шифрлэлт гэх мэт гурав дахь давхаргаас доош ажилладаг үйлчилгээнүүд зөвхөн тодорхой холболтыг хамгаалах боломжтой боловч дээрх бүх холболтыг хамгаалахгүй. сүлжээний өгөгдлийн замууд нь тэдгээрийг интернетэд ашиглах боломжгүй болгодог.

IPsec протоколыг ашиглах нь өөр компьютер эсвэл сүлжээнүүдийн хоорондох аюулгүй холболтыг хангахад хамгийн тохиромжтой том хэмжээний сүлжээ, аюулгүй байдлыг нь хянах боломжгүй. IPsec протоколын чухал давуу талуудын нэг нь хэрэгжүүлэх зардал бага байдаг, учир нь ихэнх тохиолдолд шинэ тоног төхөөрөмж суурилуулах, хуучин тоног төхөөрөмжийг солих шаардлагагүй, мөн протокол нь стандарт, нээлттэй бөгөөд бараг бүх орчин үеийн програмуудтай ирдэг. үйлдлийн системүүд.

Протоколын чухал давуу талуудын нэг нь ашиглалтын өртөг багатай байдаг. Энэ нь өмнө нь гаргасан бүх техник хангамжтай нийцтэй хэвээр байгаа тул нэмэлт сүлжээний техник хангамжийн зардалгүйгээр өмнө нь хамгаалагдаагүй сүлжээний хэрэглэгчид болон өгөгдлийг баталгаажуулах, өгөгдлийг хамгаалах боломжийг олгоно.

IPsec нь криптографид суурилсан үйлчилгээгээр дамжуулан аюулгүй байдлын өндөр түвшний тохируулгатай байдаг. хэш хийх– давтагдахаас хамгаалах, мэдээллийн бүрэн бүтэн байдлыг хангах, жинхэнэ эсэхийг шалгах, мөн шууд шифрлэлт,мэдээллийн нууцлалыг хангах).

AH (Authentication Header) болон ESP (Encapsulating Security Payload) дэд протоколуудыг хамтад нь эсвэл бие биенээсээ хамааралгүйгээр хамгийн дээд түвшний аюулгүй байдлыг хангах зорилгоор ашиглаж болно.

Протокол нь тээврийн болон хонгил гэсэн хоёр горимд ажиллах боломжтой бөгөөд янз бүрийн түвшний аюулгүй байдлыг хангаж, өөр өөр нөхцөлд ашиглах боломжтой.

Тээврийн горимЭнэ нь ихэвчлэн нэг (орон нутгийн) сүлжээнд нэгдсэн тодорхой компьютеруудын хоорондох холболтыг хамгаалах зорилготой. Тээврийн горим нь IP-ийн ачааллыг (TCP сегмент гэх мэт) хамгаалж, унших боломжтой хэвээр байхын зэрэгцээ IP толгойг өөрчлөхөөс хамгаалдаг.

Тээврийн горимд AH болон ESP протоколууд нь дараахь функц, чадвартай байдаг.

AH протоколөгөгдлийн баталгаажуулалт, бүрэн бүтэн байдал, мөн давталт байхгүй (IP толгой ба ачаалал хоёулаа), өөрөөр хэлбэл зорилтот өөрчлөлтөөс өгөгдлийг хамгаалдаг. Энэ тохиолдолд өгөгдөл шифрлэгдээгүй бөгөөд унших боломжтой хэвээр байна. AH нь багцуудыг түлхүүртэй хэш алгоритм (MD5 ба илүү орчин үеийн хувилбаруудад SHA1) ашиглан тэмдэглэж, AH толгой хэсгийг IP толгой ба ачааллын хооронд байрлуулна (Зураг 2-т үзүүлсэн шиг). AH толгой нь сүлжээгээр дамжуулж байх үед өөрчлөх шаардлагатай талбаруудаас бусад бүх IP багцад гарын үсэг зурдаг (Зураг 3). AH толгойг үргэлж Ipsec-д ашигладаг бусад толгойнуудын өмнө байрлуулна.

Цагаан будаа. 2, AH толгойн байрлал

Цагаан будаа. 3, AH хамрах хүрээ (тээврийн горим)

ESP протоколтээвэрлэлтийн горимд IP-ийн ачааллын нууцлалыг баталгаажуулдаг боловч IP толгой биш. IP ачааллыг шифрлэхээс гадна ESP нь багцын үнэн зөв, бүрэн бүтэн байдлыг баталгаажуулдаг, тухайлбал ESP толгой, IP ачаалал, ESP трейлер (гэхдээ IP толгой биш). Бүрэн бүтэн байдлыг шалгах утгыг ESP баталгаажуулалтын трейлерийн талбарт хадгална. ESP толгойг IP ачааллын өмнө байрлуулж, ESP чиргүүл болон ESP баталгаажуулалтын чиргүүлийг IP ачааллын ард байрлуулна (Зураг 5).

Цагаан будаа. 4, ESP гарчиг, чиргүүлийг байрлуулах

Цагаан будаа. 5, ESP хамрах хүрээ (тээврийн горим)

Туннелийн горимЭнэ нь үндсэндээ VPN хонгилтой хамт хэрэглэгддэг бөгөөд энэ нь газарзүйн хувьд хоёр хоорондын харилцаа холбоог хамгаалах боломжийг олгодог алсын сүлжээнүүд, интернетээр холбогдсон. Энэ горим нь IP пакетийг бүхэлд нь AH эсвэл ESP ачаалал гэж үзэх замаар хамгаалдаг. Энэ горимыг ашиглах үед IP пакетийг бүхэлд нь AH эсвэл ESP толгой болон нэмэлт IP толгой хэсэгт багтаасан болно. Гаднах IP толгойн IP хаягууд нь хонгилын төгсгөлийн цэгүүдийг, капсуллагдсан IP толгойн IP хаягууд нь пакетийн эх сурвалж, очих газрыг заана. Энэ нь IP толгойг оруулаад IP пакетийг бүхэлд нь хамгаална.

Туннелийн горимд байгаа AH нь бүрэн бүтэн байдлыг хадгалахын тулд багцад гарын үсэг зурж, IP болон AH толгой хэсэгт (Зураг 6) багтаасан бөгөөд өгөгдлийг унших боломжтой хэвээр байна.

Цагаан будаа. 6, AH хамрах хүрээ (туннелийн горим)

Туннелийн горимд байгаа ESP нь IP толгойг оруулаад ESP гарчиг болон ESP баталгаажуулалтын чиргүүлийн хооронд эх пакетийг бүхэлд нь байрлуулж, туннелийн серверүүдийн IP хаягийг дараах байдлаар тодорхойлсон AH гэх мэт шинэ IP толгойг үүсгэн энэ өгөгдлийг шифрлэдэг. эх сурвалж болон очих газрын хаягууд (Зураг 7). Нөгөө талд байгаа туннелийн сервер нь пакетын шифрийг тайлж, туннелийн IP толгой болон ESP толгойг хаяж, пакетыг өөрийн дотоод сүлжээн дэх хүлээн авагч руу дамжуулдаг. Бүх процесс нь эцсийн ажлын станц хүртэл бүрэн ил тод явагддаг.

Цагаан будаа. 7, ESP хамрах хүрээ (туннелийн горим)

IPsec туннелийн горимыг дамжуулсан өгөгдлийг (IP толгойг оруулаад) хамгаалах шаардлагатай үед ашигладаг нийтийн сүлжээ. Жишээлбэл, компанийн алслагдсан хэлтэс хоорондын холболтууд орно.

Тээврийн горим нь үндсэндээ нэг сүлжээн дэх өгөгдлийг хамгаалахад үйлчилдэг бөгөөд тэдгээрийн аюулгүй байдлыг ихээхэн зардалгүйгээр өөр аргаар найдвартай хангах боломжгүй, эсвэл аюулгүй байдлын өндөр түвшин шаардлагатай үед үүнийг олж авдаг. хуваалцахянз бүрийн протоколууд. Жишээ нь орно утасгүй сүлжээнүүд, түүнчлэн том талбайг хамарсан кабелийн сүлжээ.

Шаардлагатай аюулгүй байдлын түвшингээс хамааран IPsec протоколын янз бүрийн тохиргоог хийх боломжтой. Жишээлбэл, хэрэв та зөвхөн хэрэглэгчийн баталгаажуулалтыг хийж, мэдээллийн бүрэн бүтэн байдал, үнэн зөвийг шалгах шаардлагатай бол AH ашиглахаар хязгаарлаж болох бөгөөд энэ нь хамгийн найдвартай хэш функцийг ашиглаж байсан ч сүлжээ болон бие даасан ажлын станцуудын гүйцэтгэлд төдийлөн нөлөөлөхгүй. алгоритмуудыг доор үзүүлэв. Хэрэв дамжуулагдсан өгөгдөлд шифрлэлт шаардлагатай бол ESP протоколыг ашигладаг бөгөөд энэ нь ашигласан криптографийн алгоритмууд болон өгөгдөл дамжуулах хурдаас хамааран туннелийн төгсгөлийн цэг болдог эсвэл IPsec тээврийн горимыг ашигладаг сүлжээнд оролцдог ажлын станцуудын гүйцэтгэлд ихээхэн нөлөөлдөг. ..

Тохиргоо

VPN хонгилыг тохируулах тодорхойлолт, мөн тэдгээрийн шинж чанар, чадавхийг харгалзан үзэх нь энэ нийтлэлийн хамрах хүрээнээс гадуур тул бид IPsec тээврийн горимыг тохируулах үйл явцыг тайлбарлахаар хязгаарлагдах болно.

Windows XP дээр IPsec-ийн тохиргоог Local Security Settings-ийн нэмэлт хэрэгсэл ашиглан гүйцэтгэдэг бөгөөд үүнийг Захиргааны хэрэгсэл цэс, Хяналтын самбар эсвэл "secpol.msc" Run командаас ажиллуулж болно. Та өгөгдмөл бодлогыг ашиглах эсвэл шинээр үүсгэж болно.

IP аюулгүй байдлын бодлогыг бий болгохын тулд жагсаалтаас "IP аюулгүй байдлын бодлого" гэсэн зүйлийг сонгоод "Үйлдэл" цэснээс "IP аюулгүй байдлын бодлогыг бий болгох" -ыг сонгоно уу.

Цагаан будаа. 8, IP аюулгүй байдлын бодлогыг бий болгох

IP аюулгүй байдлын бодлогын шидтэн нээгдэнэ. Үргэлжлүүлэхийн тулд "Дараах" дээр дарна уу. Дараагийн цонхонд та шинэ бодлогын нэрийг оруулаад "Дараах" дээр дарна уу.

Цагаан будаа. 9, IP бодлогын нэр

Дараагийн цонхонд "Ид шидтэн" таныг үндсэн дүрмийг ашиглах эсэхээ шийдэхийг хүсэх болно. Шаардлагатай бол бодлогыг үүсгэсний дараа та энэ дүрмийг цуцалж болно.

Цагаан будаа. 10, Үндсэн дүрэм

Үүний дараа "Ид шидтэн" таныг хэрэглэгчийн баталгаажуулалтын аргыг сонгохыг танаас хүсэх болно. IPsec нь дараах аргуудыг дэмждэг: Kerberos протоколоор (Windows 2000 болон Windows 2003 домэйн дэх баталгаажуулалтын стандарт протокол), хэрэглэгчийн гэрчилгээг ашиглан эсвэл аюулгүй байдлын мөр ("нууц үг") дээр үндэслэсэн. Хэрэв таны сүлжээнд домэйн хянагч байхгүй бөгөөд сүлжээний хэрэглэгчид хүчинтэй гэрчилгээгүй бол илүү хэцүү мөрийг сонгож, нууцлах л үлдлээ. Аюулгүй байдлын шугам нь үнэндээ хэд хэдэн шугамаас бүрдэж болно.

Цагаан будаа. 11, Баталгаажуулах аргыг сонгоно уу

Бодлого боловсруулалт бараг дуусч байна. Та шидтэн ажиллаж дууссаны дараа шинж чанаруудыг нэн даруй өөрчлөх боломжтой (шинж чанаруудын цонх автоматаар нээгдэнэ) эсвэл дараа нь хүссэн бодлогыг сонгоод контекст цэснээс "Properties" -ийг сонгоод.

Цагаан будаа. 12, Бодлого бүтээж дуусгах

Одоо IP аюулгүй байдлын дүрэм, шүүлтүүр, шүүлтүүрийн дүрмийг бий болгох гэсэн үг бөгөөд таны хэрэгцээнд нийцүүлэн бодлогын шинж чанаруудыг өөрчлөх цаг болжээ.

Аюулгүй байдлын дүрмийг бий болгохын тулд та үүсгэсэн IP аюулгүй байдлын бодлогын шинж чанарыг нээж, "Дүрэм" таб дээрээс "Нэмэх" товчийг дарж, Зураг 13-т үзүүлсэн шиг "Ашиглах Wizard" нүдийг сонгосны дараа "Нэмэх" товчийг дарна уу.

Зураг 13, IP аюулгүй байдлын дүрмийг бий болгох

Хэрэв та туннелийн горимд IPsec-ийг тохируулаагүй бол "Туннелийн тохиргоо" таб дээр юу ч өөрчлөх ёсгүй. "Холболтын төрөл" таб дээрээс та алийг нь сонгох боломжтой сүлжээний холболтуудүүсгэсэн дүрмийг бүх холболтод, зөвхөн дотоод холболт эсвэл зөвхөн алсын холболтод ашиглах болно. Энэ нь өөр өөр өгөгдөл дамжуулах хурдтай сүлжээний холболтын өөр өөр дүрмийг бий болгож, илүү удаан, ерөнхийдөө хамгаалалт багатай болгох боломжийг олгодог. алсын холболтуудбаталгаажуулалт, бүрэн бүтэн байдлыг шалгах болон шифрлэлтийн аль алинд нь бусад параметрүүдийг тохируулах.

Цагаан будаа. 14, Холболтын төрөл

"Баталгаажуулалтын аргууд" таб дээр баталгаажуулалтын хэд хэдэн аргыг нэмж, тэдгээрийн сонгосон дарааллыг өөрчлөх боломжтой бөгөөд энэ нь таныг дэмждэг янз бүрийн зангилаатай харилцах дүрмийг илүү уян хатан тохируулах боломжийг олгодог. янз бүрийн арга замуудбаталгаажуулалт.

Цагаан будаа. 15, Баталгаажуулах аргууд

Холболтын төрөл болон баталгаажуулалтын аргыг сонгосны дараа та IP шүүлтүүрийн жагсаалт болон шүүлтүүрийн үйлдлийг сонгох эсвэл шинээр үүсгэх ёстой. IP шүүлтүүрийг сонгох эсвэл үүсгэхийн тулд "IP шүүлтүүрийн жагсаалт" таб руу очно уу (Зураг 16).

Дараах шүүлтүүрүүд нь анхдагчаар үүсгэгддэг:

Ашигласан дээд түвшний протоколоос үл хамааран бүх IP урсгалд хамаарах бүрэн IP урсгал;

Бүрэн ICMP траффик нь бүх ICMP урсгалд хамаарна.

Цагаан будаа. 16, IP шүүлтүүрүүдийн жагсаалт.

Шинэ шүүлтүүр үүсгэхийн тулд "Нэмэх" товчийг дарсны дараа "IP шүүлтүүрийн жагсаалт" цонх нээгдэх бөгөөд шүүлтүүрийн жагсаалтын нэрийг оруулаад "Ашиглах Wizard" нүдийг сонгосны дараа "Нэмэх" товчийг дарна уу. (Зураг 17).

Цагаан будаа. 17, IP шүүлтүүрийн жагсаалтыг үүсгэх.

"Properties: Filter" цонх нээгдэнэ (Зураг 18), та шүүлтүүр хэрэглэх пакетуудын эх сурвалж, очих хаяг, шаардлагатай бол эх сурвалж, хүлээн авагчийн протокол, портуудыг зааж өгөх ёстой. .

Цагаан будаа. 18, Шинэ IP шүүлтүүрийн жагсаалтын параметрүүд

Шүүлтүүрийн жагсаалтыг сонгох буюу үүсгэсний дараа шүүлтүүрийн үйлдлийг тодорхойлох шаардлагатай. Үүнийг "Шүүлтүүрийн үйлдэл" таб дээр хийж болно. Үүсгэсэн өгөгдмөл үйлдлүүд:

Аюулгүй пакетуудыг нэвтрүүлэхийг зөвшөөрөх (IPsec ашиглахгүйгээр),

Аюулгүй байдал шаардлагатай бөгөөд энэ нь IPsec-ийг дэмждэггүй үйлчлүүлэгчид болон IPsec-ийг дэмждэг үйлчлүүлэгчидтэй харилцах эвдрэлийг тодорхойлдог бөгөөд ESP-ийн бүрэн бүтэн байдлын шалгалтыг ашиглан өгөгдөл солилцох боловч AH-гүй, өгөгдөл шифрлээгүй болно.

Урьдчилан тодорхойлсон сүүлчийн үйлдэл болох Аюулгүй байдлын хүсэлт нь үйлчлүүлэгчдээс найдвартай харилцахыг шаарддаг боловч эдгээр шаардлагыг хангаагүй тохиолдолд найдвартай холбоо тасрахгүй.

Цагаан будаа. 19, Шүүлтүүрийн үйлдэл

Та "Нэмэх" товчийг дарж "Ид шидтэн ашиглах" нүдийг сонгосны дараа шинэ үйлдэл үүсгэж болно (Зураг 19). Нээгдэх "Properties: шүүлтүүрийн үйлдэл үүсгэх" цонхны "Аюулгүй байдлын аргууд" таб дээр та өгөгдөл дамжуулах, хаах эсвэл аюулгүй байдлын талаар тохиролцох эсэхээ зааж өгөх ёстой (Зураг 20).

Цагаан будаа. 20, Хоосон жагсаалтболомжтой шүүлтүүрийн үйлдлүүд

Хэрэв та "Аюулгүй байдлын талаар тохиролцох"-ыг сонговол хамгаалалтын аргуудыг нэмж, тэдгээрийн сонголтын дарааллыг өөрчилж болно. Аюулгүй байдлын аргуудыг нэмэхдээ AH, ESP ашиглах уу эсвэл "Захиалгат хамгаалалт"-ыг сонгон хамгаалалтыг гараар тохируулах уу. Энэ нь AH болон ESP хоёуланг нь ашиглах цорын ганц арга зам юм. Захиалгат хамгаалалтын параметрүүдэд шаардлагатай протоколуудыг (AH ба ESP) тохируулсан (Зураг 21).

Цагаан будаа. 21, Шүүлтүүрийн үйлдэл үүсгэх

Энэ нь бүрэн бүтэн байдал, шифрлэлтийн алгоритм, сессийн түлхүүрүүдийг өөрчлөх параметрүүдийг гараар сонгох боломжийг олгодог. Анхдагч байдлаар товчлуурууд нь цаг тутамд эсвэл 100Mb дамжуулагдсан мэдээлэл тутамд өөрчлөгддөг (Зураг 22).

Цагаан будаа. 22, Хамгаалалтын тусгай аргын параметрүүд

Шүүлтүүрийн үйлдлүүдийг сонгосны дараа IP аюулгүй байдлын бодлогын тохиргоог дууссан гэж үзэж болно. Хэрэв тохиргоог Windows XP дээр, энэ жишээн дээрх IPsec зөөвөрлөх горимд хийсэн бол компьютер бүр дээр ижил үйлдлийг гүйцэтгэх ёстой. Автоматжуулалтын хэрэгслүүд Windows сервердомэйны бүх ажлын станцууд дээр IP бодлогыг төвлөрсөн байдлаар байрлуулах боломжийг танд олгоно. Домэйн гадна, автоматжуулалт нь скриптээр дамжуулан зөвхөн хэсэгчлэн боломжтой байдаг тушаалын мөр(ipseccmd програмыг ашиглан).

Туршилт хийх

IPsec гүйцэтгэлийн тест нь янз бүрийн криптографийн алгоритмуудыг ашиглан сүлжээгээр өгөгдөл дамжуулах үед CPU-ийн ачааллын түвшинг тодорхойлох зорилготой юм.

Туршилтыг дараах тохиргоотой компьютер дээр хийсэн.

701 МБ файлыг хоёр компьютер хооронд өөр IPsec тохиргоотой, мөн тухайн протоколыг ашиглахгүйгээр шилжүүлсэн.

Харамсалтай нь процессорын ачаалал болон файл дамжуулах хугацааг Windows цаг болон ажлын менежерээс илүү нарийвчлалтай хэмжих арга олдоогүй тул хэмжилтийн зарим алдаа гарч болзошгүй.

IPsec ашиглахгүйгээр файлыг 86 секундын дотор шилжүүлсэн. Үүний зэрэгцээ 23, 24-р зурагт үзүүлсэн шиг хоёр компьютерийн процессорын ачаалал тийм ч өндөр биш байсан бөгөөд өгөгдөл дамжуулах дундаж хурд 65.21 Мбит/с хүрсэн байна.

Дараа нь дамжуулсан өгөгдлийн бүрэн бүтэн байдлыг хангахын тулд IPsec-ийг дээр дурдсанчлан тохируулсан (SHA-1 ашиглан AH дэд протокол).

Өгөгдөл дамжуулах хугацаа бага зэрэг нэмэгдэж, 91 секунд болж, хурд нь бага зэрэг буурч, 61.63 Mbit / s болж байна. Үүний зэрэгцээ процессорын ачаалал тийм ч их нэмэгдээгүй бөгөөд 25, 26-р зурагт үзүүлэв.

Дараагийн туршилтын IPsec тохиргоо нь: AH-гүй ESP, DES шифрлэлт, MD5 хэштэй. Өмнөхтэй харьцуулахад энэ тохиргоонд гүйцэтгэлд мэдэгдэхүйц өөрчлөлт гарсангүй.

Файлыг 93 секундын дотор шилжүүлсэн бөгөөд дамжуулах хурд 60.3 Мбит/с байв. Процессорын ачааллыг Зураг 27 ба 28-д тус тус үзүүлэв. DES нь хуучирсан алгоритм бөгөөд хамгаалагдсан өгөгдөл нь үнэхээр үнэ цэнэтэй тохиолдолд ашиглахыг зөвлөдөггүй. Үүний зэрэгцээ түлхүүрийг илүү олон удаа өөрчлөх замаар энэ алгоритмын хүч чадлыг эрс сайжруулж болно.

Ижил тохиргоонд (MD5) DES-ийн оронд илүү бат бөх 3DES ашиглах үед дамжуулах хурд хагасаас илүү буурч, 29.99 Мбит / сек, хугацаа нь тус тус 187 секунд байв. Процессорын ачааллын график бараг өөрчлөгдөөгүй хэвээр байна (Зураг 29, 30).

ESP-ийг 3DES болон SHA1-тэй ашиглах үед дамжуулах хугацаа 1 секундээр (188 хүртэл) нэмэгдэж, хурд нь 29.83 Мбит/с болж буурсан. Процессорын ачааллын графикийг харуулах нь утгагүй юм - тэдгээр нь 29, 30-р зурагтай ижил байна.

AH протоколыг ESP-тэй хамт Windows XP дээр хамгийн найдвартай, тиймээс хамгийн их нөөц шаарддаг тохиргоонд ашигласнаар дараах үр дүнд хүрсэн: дамжуулах хугацаа 212 секунд болж, хурд нь 26.45 Мбит/с хүртэл буурсан.

Диаграм 1, Ашигласан криптографийн алгоритмаас хамааран файл дамжуулах хугацаа, хурд

Туршилтын үр дүнгээс харахад (Диаграм 1) зөвхөн AH ашиглах үед IPsec нөөцийн зарцуулалт бага, ESP-ийг DES-тэй ашиглах үед бага байна. 3DES ашиглах тохиолдолд гүйцэтгэл огцом буурдаг, гэхдээ хэзээ бага хурдтайХуучин процессоруудад ч гэсэн гүйцэтгэлийн өгөгдлийг дамжуулах нь хангалттай байх болно. Шаардлагатай тохиолдолд өндөр хурдөгөгдөл дамжуулахын тулд байнга түлхүүр өөрчлөлттэй DES-ийг ашиглахад хангалттай. Хоёр процессор дээр ачаалал өгдөг нь ердийн зүйл юм янз бүрийн ангиудтийм ч их ялгаатай байгаагүй.