Ne kemi diskutuar tashmë konceptin e IPSec, në këtë material do të shohim më në detaje IPSec.

Pra, emri IPSec vjen nga IP Security.
IPSec është një grup protokollesh dhe algoritmesh që përdoren për të mbrojtur paketat IP në nivelin Layer3.

IPSec ju lejon të garantoni:
- Konfidencialiteti - duke përdorur enkriptimin
- Integriteti i të dhënave - nëpërmjet Hashing dhe HMAC\
- Autentifikimi - përmes përdorimit të nënshkrimeve dixhitale ose çelësit të përbashkët (PSK).

Le të rendisim protokollet kryesore IPsec:
■ ESP dhe AH: Dy protokollet kryesore të përdorura në IPsec.
Kapsulimi i ngarkesës së sigurisë (ESP), mund të bëjë gjithçka që kërkohet për IPsec, dhe
Kreu i vërtetimit (AH), mund të bëjë gjithçka përveç kriptimit, enkriptimit të të dhënave, prandaj përdoret më shpesh ESP.
■ Algoritme enkriptimi për konfidencialitet: DES, 3DES, AES.
■Algoritmet e hashimit për integritetin: MD5, SHA.
■ Algoritmet e vërtetimit: Çelësat e përbashkët (PSK), nënshkrimet dixhitale RSA.
■ Menaxhimi i çelësave: Një shembull do të ishte Diffie-Hellman (DH), i cili mund të përdoret
gjenerojnë në mënyrë dinamike çelësa simetrik për t'u përdorur nga algoritmet simetrike; PKI
i cili mbështet funksionin e certifikatave dixhitale të lëshuara nga CA të besuara; dhe Internet
Shkëmbimi i çelësave (IKE), i cili bën shumë negociata dhe menaxhim për ne
IPsec për të funksionuar.

Pse nevojitet IPSec

Konsideroni topologjinë e mëposhtme të thjeshtë për lidhjen e dy zyrave.

Duhet të lidhim dy zyrat dhe të arrijmë qëllimet e mëposhtme:

• Konfidencialiteti- sigurohet përmes enkriptimit të të dhënave.
• Integriteti i të dhënave- sigurohet përmes hashimit, ose përmes Kodi i vërtetimit të mesazheve të hash (HMAC), - metodat për të siguruar që të dhënat nuk janë ndryshuar.
• Autentifikimi- sigurohet duke përdorur çelësat e parapërndarë (PSK), ose nënshkrimet dixhitale. Dhe kur përdorni HMAC, vërtetimi ndodh vazhdimisht.
• Mbrojtje kundër riprodhimit- të gjitha paketat VPN janë të numëruara, gjë që i mbron nga përsëritja.

Protokollet dhe portet IPSec

Operacioni IPSec

Për të krijuar një lidhje të sigurt VPN, IPSec përdor Shkëmbimi i çelësave të internetit (IKE).
IKE është një kornizë e ofruar Siguria në Internet Shoqata, dhe gjithashtu Protokolli i menaxhimit të çelësave (ISAKMP)

Pra, në konfigurimin tonë, të dy ruterat do të veprojnë si Porta VPN ose IPsec kolegët.

Le të supozojmë se një përdorues në rrjetin 10.0.0.0 dërgon një paketë në rrjetin 172.16.0.0.
Meqenëse tuneli nuk është krijuar ende, R1 do të fillojë negociatat me ruterin e dytë R2.

Hapi 1: Negocioni Tunelin e Fazës 1 IKEv1

Hapi i parë ndërmjet ruterave po rritet Tuneli i Fazës 1 të Shkëmbimit të Çelësave të Internetit (IKE)..
Një tunel i tillë nuk është menduar për transmetimin e të dhënave të përdoruesit, por përdoret për qëllime zyrtare, për të mbrojtur trafikun e menaxhimit.

Ngritja e një tuneli të Fazës 1 IKE mund të kryhet në dy mënyra:
- mënyra kryesore
- mënyra agresive
Modaliteti kryesor kërkon shkëmbimin e një numri të madh paketash, por gjithashtu konsiderohet më i sigurt.

Për të ngritur një tunel të Fazës 1 IKE, duhet të negociohen elementët e mëposhtëm:

• Algoritmi hash: Mund të jetë Algoritmi i përmbledhjes së mesazhit 5 (MD5) ose Hash i sigurt
  Algoritmi (SHA).
• Algoritmi i enkriptimit: Standardi i kriptimit dixhital (DES)(i dobët, nuk rekomandohet), DES e trefishtë (3DES)(pak më mirë) ose Standardi i avancuar i enkriptimit (AES)(rekomandohet) AES mund të përdorë çelësa me gjatësi të ndryshme: sa më gjatë, aq më i sigurt.
• Grupi Diffie-Hellman (DH) për t'u përdorur: "Grupi" i DH i referohet madhësisë së modulit (gjatësia prej
  çelësi) për t'u përdorur për shkëmbimin e çelësave DH. Grupi 1 përdor 768 bit, grupi 2 përdor 1024 dhe
  grupi 5 përdor 1536. Grupet më të sigurta DH janë pjesë e enkriptimit të gjeneratës së ardhshme
  (NGE):
  - Grupi 14 ose 24: Ofron DH 2048-bit
  - Grupet 15 dhe 16: Mbështetje DH 3072-bit dhe 4096-bit
  - Grupi 19 ose 20: Mbështet grupet ECDH 256-bit dhe 384-bit, përkatësisht

  Detyra e DH është të gjenerojë material kyçës (çelësat simetrik). Këta çelësa do të përdoren për të transferuar të dhëna.
  Vetë DH është asimetrike, por gjeneron çelësat në mënyrë simetrike.

• Metoda e vërtetimit: mund të jetë në formë çelësi i parapërndarë (PSK) ose Nënshkrimet e RSA
• Jetëgjatësia: Jetëgjatësia e tunelit të Fazës 1 IKE. Parametri i vetëm që mund të mos përputhet. Sa më i shkurtër jetëgjatësia, aq më shpesh do të ndërrohen çelësat dhe aq më i sigurt është.

Hapi 2: Drejtoni shkëmbimin e çelësave DH

Pasi ruterët të kenë rënë dakord për politikën e Fazës 1 të IKE, ata mund të fillojnë procesin e shkëmbimit të çelësave DH. DH lejon dy pajisje që nuk kanë ende një lidhje të sigurt mes tyre të shkëmbejnë në mënyrë të sigurt çelësat simetrik që do të përdoren nga algoritme simetrike si AES.

Hapi 3: Vërtetoni kolegun

Gjëja e fundit që do të bëhet në Fazën 1 të IKE është vërtetimi i ndërsjellë i hosteve, i cili mund të bëhet duke përdorur dy metoda (nënshkrimet dixhitale PSK ose RSA)
Nëse vërtetimi është i suksesshëm, tuneli IKE Faza 1 konsiderohet i hapur. Tuneli është me dy drejtime.

Hapi 4: Faza 2 e IKE

Pasi të jetë ngritur tuneli i Fazës 1 IKE, ruterët fillojnë të ngrenë tunelin e Fazës 1 IKE.
Siç është përmendur tashmë, tuneli IKE Faza 1 është një tunel thjesht shërbimi, negocimi menaxhimi dhe i gjithë trafiku kalon përmes tij për të ngritur tunelin e Fazës 2 të IKE.
Tuneli IKE Faza 2 përdor gjithashtu algoritme hashing dhe encryption.
Ngritja e një tuneli IKE Faza 2 mund të kryhet në një mënyrë:
- modaliteti i shpejtë

Tuneli IKE Faza 2 në fakt përbëhet nga dy tunele me një drejtim, d.m.th. mund të themi se janë krijuar:
Një tunel i Fazës 1 IKE, i cili është me dy drejtime, përdoret për funksionet e shërbimeve.
Dhe dy tunele IKE Faza 2, të cilat janë me një drejtim dhe që përdoren për të koduar trafikun e ngarkesës.
Të gjitha këto tunele quhen edhe si marrëveshjet e sigurisë midis dy kolegëve të VPN ose shoqatat e sigurisë (SA).
Çdo SA ka numrin e vet unik.

Tani, pasi të jetë ngritur tuneli IKE Faza 2, të gjitha paketat që largohen nga ndërfaqet e jashtme do të kodohen.

Shembulli i vendosjes

Le të shohim një shembull të konfigurimit të IPsec duke përdorur këtë skemë si shembull.

1. Konfiguro Trafikun Interesant
   Së pari, ne duhet të përcaktojmë trafikun që do të kodojmë.
   Ruteri R1

   ip akses-lista e zgjeruar leje VPN-ACL ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

   Ruteri R2

   ip akses-lista e zgjeruar leje VPN-ACL ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

2. Konfiguro Fazën 1 (ISAKMP)
   Faza 1 ngre një tunel që përdoret për qëllime shërbimi: shkëmbimi i çelësave të përbashkët sekret, vërtetimi, negociimi i politikave të sigurisë IKE, etj.
   Mund të krijohen disa politika isakmp me prioritete të ndryshme.

   Ruteri R1

   Adresa e çelësit sekret kripto isakmp 200.200.200.1

   Ruteri R2

   politika kripto isakmp 1 enkriptim 3des hash md5 autentifikimi para ndarjes grupi 2

   Adresa e çelësit sekret kripto isakmp 100.100.100.1

   Këtu çelësi është PSK (Çelësi i parapërndarë) i përdorur nga ruterat për vërtetimin e Fazës 1 të IKE.

3. Konfiguro Fazën 2 (IPSEc)
   Qëllimi i tunelit të fazës 2 të IKE është të transferojë trafikun e dobishëm midis pritësve të dy zyrave.
   Parametrat e tunelit të fazës 2 grupohen në grupe të quajtura grupe transformimi.
   Ruteri R1

   kripto ipsec transform-set TRSET esp-3des esp-md5-hmac ! kripto harta VPNMAP 10 set ipsec-isakmp peer 200.200.200.1 set transform-set TRSET adresa e ndeshjes VPN-ACL ! ndërfaqja FastEthernet0/0 harta kripto VPNMAP

   Ruteri R2

   kripto ipsec transform-set TRSET esp-3des esp-md5-hmac ! kripto harta VPNMAP 10 ipsec-isakmp set peer 100.100.100.1 set transform-set TRSET adresa e ndeshjes VPN-ACL ! ndërfaqja FastEthernet0/0 harta kripto VPNMAP

   Të dy hostet përdorën grupin e transformimit të kripto-ipsec TRSET esp-3des esp-md5-hmac.
   Kjo do të thotë që 3des do të përdoret për kriptim dhe md5-hmac për vërtetim.

   kripto harta aplikohet në ndërfaqe. Kriptomap monitoron trafikun që plotëson kushtet e specifikuara. Karta jonë e kriptos do të funksionojë me një ruter me adresën 100.100.100.1, të specifikuar nga ACL e trafikut të brendshëm dhe do të aplikojë TRSET të transformimit në këtë trafik.

Kontrolli IPSec

Lista e përgjithshme komandat e dobishme tjetër:
shfaq politikën e kripto isakmp
tregoni hartën e kriptove
trego kripto isakmp sa detaje
trego crypto ipsec sa
tregoni lidhjet e motorit kripto aktiv

Në praktikë, këto janë më të dobishmet:

Shikime: 8033

0 Le të shohim detajet e teknologjive që përbëjnë IPSec. Standardet e përdorura brenda IPSec janë mjaft komplekse për t'u kuptuar, kështu që në këtë seksion do të shikojmë në detaje secilin nga komponentët e IPSec. Për të kuptuar se çfarë është IPSEC, përdorni dokumentin "IPSEC si një protokoll sigurie" trafiku i rrjetit", publikuar më herët në këtë faqe. Ky artikull është vazhdim i dokumentit të mësipërm.

IPSec përdor teknologjitë e mëposhtme:

• protokolli NA;
• Protokolli ESP;
• standardi i enkriptimit DES;
• Standardi i enkriptimit 3DES;
• protokolli IKE;
• Metoda e marrëveshjes kyçe Diffie-Hellman;
• kodet e autenticitetit të mesazheve të hashuara (HMAC);
• Mbrojtja RSA;
• qendrat e certifikimit.

Protokolli i NA

1. Kreu i IP-së dhe ngarkesa e paketës janë hash.
2. Kodi hash që rezulton përdoret për të ndërtuar një titull të ri AH, i cili është i bashkangjitur në paketën origjinale midis kokës dhe bllokut të ngarkesës.
3. Paketa e re i dërgohet palës së dytë IPSec.
4. Ana marrëse llogarit vlerën e kodit hash për kokën IP dhe ngarkesën, nxjerr vlerën e transmetuar të kodit hash nga kreu AH dhe krahason dy vlerat. Vlerat përkatëse të kodit hash duhet të përputhen saktësisht. Nëse edhe një bit i paketës ndryshon gjatë rrugës, kodi hash i paketës i llogaritur nga marrësi nuk do të përputhet me vlerën e specifikuar në kokën AH.

Protokolli ESP

Protokolli ESP siguron privatësi përmes enkriptimit në nivelin e paketës IP. Në të njëjtën kohë, mbështeten shumë algoritme të skemave simetrike të enkriptimit. Algoritmi i parazgjedhur për IPSec është DES me një çelës 56-bit. Ky shifër duhet të jetë i pranishëm për të siguruar përputhshmërinë midis të gjithë produkteve të aftë për IPSec. Produktet Cisco mbështesin gjithashtu algoritmin 3DES, i cili siguron kriptim më të fortë. Privatësia mund të zgjidhet pavarësisht nga shërbimet e tjera.

Autentifikimi i origjinës së të dhënave dhe mbështetja e integritetit pa lidhje përdoren së bashku dhe janë opsionale (d.m.th., opsionale). Këto veçori mund të kombinohen gjithashtu me një shërbim privatësie.
Shërbimi i mbrojtjes së përsëritjes mund të zgjidhet vetëm nëse zgjidhet vërtetimi i origjinës së të dhënave dhe zgjedhja e këtij shërbimi është e vetmja prerogativë e marrësit. Edhe pse si parazgjedhje dërguesit i kërkohet të rrisë automatikisht numrin e sekuencës së përdorur për mbrojtjen e përsëritjes, ky shërbim është efektiv vetëm nëse marrësi kontrollon numrin e sekuencës. Konfidencialiteti i trafikut kërkon zgjedhjen e një modaliteti tuneli. Kjo është më efektive në një portë sigurie, ku maskimi i destinacionit të burimit mund të kryhet në të gjithë trafikun menjëherë. Duhet të theksohet këtu se megjithëse privatësia dhe vërtetimi janë opsione, të paktën një nga këto shërbime duhet të zgjidhet.
Shërbimet e ofruara nga ESP varen nga parametrat e specifikuar në konfigurimin IPSec dhe të zgjedhur gjatë krijimit të lidhjes së sigurisë IPSec. Megjithatë, zgjedhja e konfidencialitetit pa integritet/autentifikim (qoftë brenda ESP ose veçmas duke përdorur NA) e lë kundërshtarin të hapur ndaj llojeve të caktuara të sulmeve që mund të kufizojnë dobinë e shërbimit të konfidencialitetit të përdorur në këtë mënyrë.
Titulli ESP futet në paketë pas kokës së IP-së, përpara titullit të protokollit të shtresës më të lartë (në modalitetin e transportit) ose përpara kokës së IP-së së kapsuluar (në modalitetin tunel). Një përshkrim i plotë i protokollit ESP gjendet në RFC 2406.

Kriptimi ESP duke përdorur NMAC

ESP gjithashtu mund të sigurojë vërtetimin e paketave duke përdorur një fushë vërtetimi opsionale. Në softuerin Cisco IOS dhe Firewall-et PIX, ky shërbim quhet ESP HMAC. Vlerat e vërtetimit llogariten pas kriptimit. Standardi IPSec në përdorim sot përshkruan algoritmet SHA1 dhe MD5 si të detyrueshëm për NMAC.
Dallimi kryesor midis vërtetimit ESP dhe vërtetimit NA është fushëveprimi i tyre. ESP nuk mbron asnjë fushë të kokës së IP-së, përveç nëse synohet kapsullimi i ESP (modaliteti i tunelit). Figura tregon se cilat fusha janë të mbrojtura kur përdorni ESP NMAC.

Tuneli IPSec dhe mënyrat e transportit

IPSec operon ose në mënyrë tunel ose transporti. Figura tregon diagramin e zbatimit të mënyrës së tunelit. Në këtë modalitet, i gjithë datagrami origjinal IP kodohet dhe bëhet ngarkesa në një paketë të re IP me një kokë të re IP dhe një kokë shtesë IPSec (shkurtuar HDR në figurë). Modaliteti i tunelit lejon një pajisje rrjeti (siç është muri i zjarrit PIX) të veprojë si një portë IPSec ose server proxy që kryen kriptim për hostet pas murit të zjarrit. Ruteri burimor kodon paketën dhe e përcjell atë mbi tunelin IPSec. Firewall-i i destinacionit PIX deshifron paketën e marrë IPSec, nxjerr të dhënat origjinale të IP-së dhe e përcjell atë në sistemin e destinacionit. Avantazhi kryesor i modalitetit të tunelit është se sistemet fundore nuk kanë nevojë të modifikohen për t'i mundësuar ata të përdorin IPSec. Modaliteti i tunelit gjithashtu parandalon një kundërshtar që të analizojë rrjedhën e të dhënave. Kur shkëmbehet në modalitetin e tunelit, një kundërshtar është në gjendje të përcaktojë vetëm pikat fundore të tunelit, por jo burimin dhe destinacionin e vërtetë të paketave që kalojnë nëpër tunel, edhe nëse pikat fundore të tunelit janë të vendosura në sistemet e burimit dhe të destinacionit.

Përdorimi i mënyrave të tunelit dhe transportit

Le të shohim disa shembuj që ilustrojnë rregullat për zgjedhjen e një tuneli ose mënyra transporti. Figura më poshtë tregon situatat në të cilat përdoret modaliteti i tunelit. Kjo mënyrë përdoret më shpesh për të kriptuar rrjedhën e të dhënave midis portave të sigurisë IPSec - për shembull, midis një ruteri Cisco dhe një mur zjarri PIX. Portat IPSec kryejnë funksione IPSec për pajisjet e vendosura prapa portave të tilla (në figurën e mësipërme kjo është kompjuter personal Serverët Alice dhe HR). Në këtë shembull, Alice fiton akses të sigurt në serverët e HR përmes një tuneli IPSec të krijuar midis portave.

Modaliteti i tunelit përdoret gjithashtu për të komunikuar midis pikave fundore që ekzekutojnë softuerin IPSec, si p.sh. midis një klienti CiscoSecure VPN dhe një porte IPSec.
Në këtë shembull, modaliteti i tunelit përdoret për të krijuar një tunel IPSec midis një ruteri Cisco dhe një serveri që ekzekuton softuerin IPSec. Vini re se në softuerin Cisco IOS dhe në murin e zjarrit PIX, modaliteti i tunelit është mënyra e paracaktuar për komunikimet IPSec.
Modaliteti i transportit përdoret midis pikave fundore që mbështesin IPSec, ose midis një pike fundore dhe një porte nëse porta interpretohet si një host. Në Fig. Më poshtë është Shembulli D, i cili ilustron përdorimin e mënyrës së transportit për të krijuar një tunel të koduar IPSec nga kompjuteri i Alices që drejton softuerin e klientit Microsoft Windows 2000, në një koncentrues Cisco VPN 3000, i cili lejon Alice të përdorë një tunel L2TP mbi IPSec.

Duke përdorur AH dhe ESP

Në situata të caktuara, problemi i zgjedhjes midis AN dhe ESP mund të duket i vështirë për t'u zgjidhur, por mund të thjeshtohet duke ndjekur disa rregulla. Nëse duhet të dini se të dhënat nga një burim i identifikuar transmetohen pa cenuar integritetin e tij dhe nuk ka nevojë të sigurohet konfidencialiteti i tyre, përdorni protokollin AH, i cili mbron protokollet e nivelit më të lartë dhe fushat e kokës IP që nuk ndryshojnë gjatë tranzitit. Siguria do të thotë që vlerat përkatëse nuk mund të ndryshohen sepse kjo do të zbulohet nga pala e dytë IPSec dhe çdo të dhëna e modifikuar IP do të refuzohet. Protokolli AH nuk ofron mbrojtje kundër përgjimit të kanalit dhe shikimit të kokës dhe të dhënave nga një ndërhyrës. Por duke qenë se titulli dhe të dhënat nuk mund të ndryshohen në mënyrë të pazbuluar, paketat e modifikuara refuzohen.

Nëse keni nevojë t'i mbani sekret të dhënat (siguroni konfidencialitetin), përdorni ESP. Ky protokoll kodon protokollet e shtresave më të larta në modalitetin e transportit dhe të gjithë të dhënat IP origjinale në modalitetin tunel, kështu që është e pamundur të nxirret informacione rreth paketave duke nuhatur kanalin e transmetimit. Protokolli ESP mund të ofrojë gjithashtu një shërbim vërtetimi për paketat. Megjithatë, kur përdorni ESP në modalitetin e transportit, titulli i jashtëm origjinal i IP-së nuk mbrohet, dhe në modalitetin tunel, koka e re e IP-së nuk mbrohet. Kur përdorin IPSec, përdoruesit kanë më shumë gjasa të përdorin mënyrën e tunelit sesa mënyrën e transportit.

IPSec mbështetet në një numër teknologjish dhe metodash kriptimi, por IPSec në përgjithësi mund të konsiderohet si hapat kryesorë të mëposhtëm:

Hapi 1. Fillimi i procesit IPSec.

Trafiku që kërkon kriptim sipas politikës së sigurisë IPSec të rënë dakord nga palët IPSec fillon procesin e IKE. Hapi 2. Faza e parë e IKE

. Procesi IKE vërteton palët IPSec dhe negocion parametrat e lidhjes së sigurisë IKE, duke rezultuar në një kanal të sigurt për negocimin e parametrave të lidhjes së sigurisë IPSec gjatë fazës së dytë të IKE. Hapi 3.

Faza e dytë e IKE . Procesi IKE negocion parametrat e lidhjes së sigurisë IPSec dhe krijon shoqatat e duhura të sigurisë IPSec për komunikimin e pajisjeve të palëve.

Hapi 5. Përfundimi i një tuneli IPSec.

Shoqatat e sigurisë IPSec ndërpriten ose sepse janë fshirë ose sepse është tejkaluar afati i jetës së tyre.

Mënyrat e funksionimit IPSec

Ekzistojnë dy mënyra të funksionimit të IPSec: transporti dhe tuneli.

Në modalitetin e transportit, vetëm pjesa e informacionit të paketës IP është e koduar. Rutimi nuk ndikohet pasi koka e paketës IP nuk është ndryshuar. Mënyra e transportit përdoret zakonisht për të krijuar lidhje midis hosteve. Në modalitetin e tunelit, e gjithë paketa IP është e koduar. Në mënyrë që ai të transmetohet përmes rrjetit, ai vendoset në një paketë tjetër IP. Kjo krijon një tunel të sigurt IP. Modaliteti i tunelit mund të përdoret për të lidhur kompjuterët në distancë me një virtual rrjet privat

ose për të organizuar transferim të sigurt të të dhënave përmes kanaleve të hapura të komunikimit (Internet) ndërmjet portave për të bashkuar pjesë të ndryshme të një rrjeti privat virtual.

Negocimi i transformimit IPSec

Protokolli IKE negocion transformimet IPSec (algoritmet e sigurisë IPSec). Transformimet IPSec dhe algoritmet e tyre të kriptimit të lidhura janë si më poshtë: Protokolli AH (Authentication Header - header authentication).

Një protokoll i sigurt që ofron shërbimin e vërtetimit dhe zbulimit (opsionale) të riprodhimit. Protokolli AH vepron si një nënshkrim dixhital dhe siguron që të dhënat në paketën IP të mos ngatërrohen. Protokolli AH nuk ofron shërbim të enkriptimit dhe deshifrimit të të dhënave. Ky protokoll mund të përdoret në mënyrë të pavarur ose në lidhje me protokollin ESP.

Protokolli ESP (Encapsulating Security Payload). Algoritmi për enkriptimin dhe deshifrimin e të dhënave të paketave. Algoritmi DES përdoret si në IPSec ashtu edhe në IKE. Algoritmi DES përdor një çelës 56-bit, që nënkupton jo vetëm konsum më të lartë të burimeve kompjuterike, por edhe kriptim më të fortë. Algoritmi DES është një algoritëm simetrik enkriptimi që kërkon çelësa identikë të enkriptimit në pajisjet e secilës palë IPSec që komunikon. Algoritmi Diffie-Hellman përdoret për të krijuar çelësa simetrik.

IKE dhe IPSec përdorin algoritmin DES për të enkriptuar mesazhet."Triple" DES (3DES). Një variant i DES i bazuar në tre përsëritje të DES standarde me treçelësa të ndryshëm

, e cila praktikisht trefishon fuqinë e DES. Algoritmi 3DES përdoret brenda IPSec për të kriptuar dhe deshifruar rrjedhën e të dhënave. Ky algoritëm përdor një çelës 168-bit, i cili garanton besueshmëri të lartë të kriptimit. IKE dhe IPSec përdorin algoritmin 3DES për të enkriptuar mesazhet.AES(standard i avancuar i enkriptimit

).

Protokolli AES përdor algoritmin e kriptimit Rine Dale4, i cili siguron kriptim dukshëm më të fortë. Shumë kriptografë besojnë se AES është përgjithësisht i pathyeshëm. AES tani është një standard federal i përpunimit të informacionit. Përkufizohet si një algoritëm enkriptimi për përdorim nga organizatat qeveritare amerikane për të mbrojtur informacione të ndjeshme, por të paklasifikuara. Problemi me AES është se kërkon më shumë fuqi kompjuterike për t'u zbatuar sesa protokolle të ngjashme.

Konvertimi IPSec përdor gjithashtu dy algoritme standarde hashing për të siguruar vërtetimin e të dhënave. Një algoritëm hashing i përdorur për të vërtetuar paketat e të dhënave. Produktet Cisco përdorin një variant të kodit HMAC që llogaritet duke përdorur SHA-1. IKE, AH dhe ESP përdorin SHA-1 për vërtetimin e të dhënave.

Sipas protokollit IKE, çelësat simetrik krijohen duke përdorur algoritmin Diffie-Hellman duke përdorur DES, 3DES, MD5 dhe SHA. Protokolli Diffie-Hellman është një protokoll kriptografik i bazuar në aplikacion çelësat publikë. Ai i lejon dy palët të bien dakord për një çelës sekret të përbashkët pa pasur një kanal komunikimi mjaftueshëm të sigurt. Kërkohen çelësa të përbashkët sekret për algoritmet DES dhe NMAC. Algoritmi Diffie-Hellman përdoret brenda IKE për të gjeneruar çelësat e sesionit. Grupet Diffie-Hellman (DH) – përcaktojnë "forcën" e çelësit të enkriptimit që përdoret në procedurën e shkëmbimit të çelësave. Sa më i lartë të jetë numri i grupit, aq "më i fortë" dhe më i sigurt është çelësi. Sidoqoftë, duhet të merret parasysh fakti se me rritjen e numrit të grupit DH, rritet "forca" dhe niveli i sigurisë së çelësit, por në të njëjtën kohë rritet ngarkesa në procesorin qendror, pasi gjenerimi i një çelësi "më të fortë" kërkon më shumë kohë dhe burime.

Pajisjet WatchGuard mbështesin grupet DH 1, 2 dhe 5:

Grupi DH 1: çelësi 768-bit

Grupi DH 2: çelësi 1024-bit

Grupi DH 5: çelësi 1536-bit

Të dy pajisjet që komunikojnë përmes VPN duhet të përdorin të njëjtin grup DH. Grupi DH që do të përdoret nga pajisjet zgjidhet gjatë procedurës IPSec Faza 1.

0 Ky artikull ofron një përmbledhje të mjeteve të Sigurisë IP (IP Security) dhe protokolleve përkatëse IPSec të disponueshme në produktet Cisco të përdorura për të krijuar rrjete private virtuale (VPN). Në këtë artikull, ne do të përcaktojmë se çfarë është IPSEC dhe cilat protokolle dhe algoritme sigurie qëndrojnë në themel të IPSEC.

Hyrje

Produktet Cisco VPN përdorin paketën e protokollit IPSec, i cili është standardi i industrisë për ofrimin e aftësive të pasura VPN. IPSec ofron një mekanizëm për transmetimin e sigurt të të dhënave përmes rrjeteve IP, duke siguruar konfidencialitetin, integritetin dhe besueshmërinë e të dhënave të transmetuara përmes rrjeteve të pasigurta si interneti. IPSec ofron aftësitë e mëposhtme VPN në rrjetet Cisco:

• Privatësia e të dhënave. Dërguesi i të dhënave IPSec ka aftësinë për të enkriptuar paketat përpara se ato të dërgohen në rrjet.
• Integriteti i të dhënave. Një marrës IPSec ka aftësinë të vërtetojë palët që komunikojnë me të (pajisjet ose softueri ku fillojnë dhe mbarojnë tunelet IPSec) dhe paketat IPSec të dërguara nga ato palë për të siguruar që të dhënat nuk janë modifikuar në tranzit.
• Autentifikimi i burimit të të dhënave. Marrësi IPSec ka aftësinë të vërtetojë burimin e paketave IPSec që merr. Ky shërbim varet nga shërbimi i integritetit të të dhënave.
• Mbrojtja e riprodhimit. Marrësi IPSec mund të zbulojë dhe refuzojë paketat e riprodhuara, duke i penguar ato të mashtrohen ose t'i nënshtrohen sulmeve nga njeriu në mes.

IPSec është një grup i protokolleve dhe algoritmeve të sigurisë bazuar në standarde. Teknologjia IPSec dhe protokollet e saj të sigurisë përputhen me standardet e hapura të mbajtura nga Task Forca e Inxhinierisë së Internetit (IETF) dhe të përshkruara në specifikimet RFC dhe draftet e IETF. IPSec operon në shtresën e rrjetit, duke ofruar siguri dhe vërtetim për paketat IP të dërguara midis pajisjeve (palëve) IPSec - të tilla si ruterët Cisco, Firewalls PIX, klientët dhe koncentratorët Cisco VPN dhe shumë produkte të tjera që mbështesin IPSec. IPSec mbështet shkallët nga rrjetet shumë të vogla në shumë të mëdha.

Shoqata e Sigurisë (SA)

Shoqata e Mbrojtjes(Security Association - SA) është një politikë ose metodë e rënë dakord e përpunimit të të dhënave që synohet të shkëmbehet midis dy pajisjeve të palëve komunikuese. Një komponent i një politike të tillë mund të jetë algoritmi i përdorur për të enkriptuar të dhënat. Të dyja palët mund të përdorin të njëjtin algoritëm si për kriptim ashtu edhe për deshifrim. Parametrat efektivë SA ruhen në bazën e të dhënave të Shoqatës së Sigurisë (SAD) të të dyja palëve.

Dy kompjuterë në secilën anë të SA ruajnë modalitetin, protokollin, algoritmet dhe çelësat e përdorur në SA. Çdo SA përdoret vetëm në një drejtim. Komunikimi i dyanshëm kërkon dy SA. Çdo SA zbaton një mënyrë dhe protokoll; Kështu, nëse duhet të përdoren dy protokolle për një paketë (si AH dhe ESP), atëherë kërkohen dy SA.

Protokolli IKE (Internet Key Exchange) është një protokoll hibrid që ofron shërbim special për IPSec, përkatësisht vërtetimi i palëve IPSec, negociimi i parametrave të lidhjes së sigurisë IKE dhe IPSec dhe përzgjedhja e çelësave për algoritmet e enkriptimit të përdorura brenda IPSec. Protokolli IKE mbështetet në protokollet ISAKMP (Internet Security Association and Key Management Protocol) dhe Oakley, të cilat përdoren për të menaxhuar procesin e krijimit dhe përpunimit të çelësave të enkriptimit të përdorur në transformimet IPSec. Protokolli IKE përdoret gjithashtu për të formuar shoqata sigurie midis palëve të mundshme IPSec.
Si IKE ashtu edhe IPSec përdorin shoqata sigurie për të specifikuar parametrat e komunikimit.
IKE mbështet një grup funksionesh të ndryshme primitive për përdorim në protokolle. Midis tyre janë funksioni hash dhe funksioni pseudo-random (PRF).

Funksioni hashështë një funksion rezistent ndaj përplasjeve. Rezistenca ndaj përplasjes i referohet faktit që është e pamundur të gjenden dy mesazhe të ndryshme m1 dhe m2 të tilla që

H(m1)=H(m2), ku H është funksioni hash.

Sa i përket funksioneve pseudo të rastësishme, aktualisht përdoret një funksion hash në vend të PRF-ve speciale në dizajnin HMAC (HMAC është një mekanizëm vërtetimi i mesazheve që përdor funksionet hash). Për të përcaktuar HMAC, na duhet një funksion hash kriptografik (le ta quajmë atë H) dhe një çelës sekret K. Supozojmë se H është një funksion hash ku të dhënat hashohen duke përdorur një procedurë kompresimi të aplikuar në mënyrë sekuenciale në një sekuencë blloqesh të dhënash. Ne shënojmë me B gjatësinë e blloqeve të tilla në bajt dhe gjatësinë e blloqeve të marra si rezultat i hashimit me L (L
ipad = bajt 0x36, përsëritur B herë;
opad = bajt 0x5C e përsëritur B herë.

Për të llogaritur HMAC nga të dhënat "tekst", duhet të kryeni operacionin e mëposhtëm:

H(K XOR opad, H(K XOR ipad, tekst))

Nga përshkrimi rezulton se IKE përdor vlerat HASH për të vërtetuar palët. Vini re se nën HASH in në këtë rast emri Payload në ISAKMP nënkuptohet ekskluzivisht dhe ky emër nuk ka të bëjë fare me përmbajtjen e tij

Infrastruktura IPSec

Si funksionon IPSec

• Hapi 1: Filloni procesin IPSec. Trafiku që kërkon kriptim sipas politikës së sigurisë IPSec të rënë dakord nga palët IPSec fillon procesin e IKE.
• Hapi 2: Faza e parë e IKE. Procesi IKE vërteton palët IPSec dhe negocion parametrat e lidhjes së sigurisë IKE, duke rezultuar në një kanal të sigurt për negocimin e parametrave të lidhjes së sigurisë IPSec gjatë fazës së dytë të IKE.
• Hapi 3: Faza e dytë e IKE. Procesi IKE negocion parametrat e lidhjes së sigurisë IPSec dhe krijon shoqatat e duhura të sigurisë IPSec për komunikimin e pajisjeve të palëve.
• Hapi 4: Transferimi i të dhënave. Komunikimi ndodh ndërmjet palëve IPSec që komunikojnë bazuar në parametrat IPSec dhe çelësat e ruajtur në bazën e të dhënave të lidhjes së sigurisë.
• Hapi 5: Përfundoni tunelin IPSec. Shoqatat e sigurisë IPSec ndërpriten ose sepse janë fshirë ose sepse është tejkaluar afati i jetës së tyre.

Para se të filloni të njiheni në detaje me protokollin IPsec dhe konfigurimin e tij, duhet të identifikoni aftësitë dhe avantazhet e tij ndaj të tjerëve. protokollet e disponueshme mbrojtjen e të dhënave.

IPsec ekziston si një zgjatim i protokollit IPv4 dhe është pjesë integrale e IPv6. Protokolli në fjalë ofron siguri në shtresën IP të rrjetit (shtresa 3 në modelin ISO/OSI, Fig. 1), e cila lejon një nivel të lartë sigurie që është transparent për shumicën e aplikacioneve, shërbimeve dhe protokolleve të nivelit të lartë që përdorni protokollin IP si transport. IPSec nuk kërkon ndryshime në aplikacionet ose sistemet operative ekzistuese.

Oriz. 1, modeli ISO/OSI.

Zbatimi i sigurisë në këtë shtresë ofron siguri për të gjitha protokollet në familjen TCP/IP, duke filluar nga shtresa IP, si TCP, UDP, ICMP dhe shumë të tjera.

Shërbime të tjera sigurie që funksionojnë mbi Shtresën 3, të tilla si protokolli SSL (Secure Sockets Layer), mbrojnë vetëm një fole të veçantë aplikacioni. Për të mbrojtur të gjitha lidhjet e vendosura, protokolle të tilla kërkojnë ndryshime në të gjitha shërbimet dhe aplikacionet për të mbështetur protokollin, ndërsa shërbimet që funksionojnë nën shtresën e tretë, si kriptimi i harduerit në nivel lidhjeje, janë në gjendje të mbrojnë vetëm një lidhje specifike, por jo të gjitha lidhjet në shtigjet e të dhënave, gjë që e bën përdorimin e tyre në internet.

Përdorimi i protokollit IPsec është më i përshtatshmi për të siguruar komunikim të sigurt ndërmjet kompjuterëve ose rrjeteve përmes një tjetri rrjet në shkallë të gjerë, siguria e të cilave nuk mund të kontrollohet. Një nga avantazhet e rëndësishme të protokollit IPsec është edhe kostoja e ulët e zbatimit, pasi në shumicën e rasteve nuk ka nevojë të instaloni pajisje të reja ose të zëvendësoni pajisjet e vjetra, si dhe që protokolli është standard dhe i hapur dhe vjen me pothuajse të gjitha moderne. sistemet operative.

Një nga avantazhet e rëndësishme të protokollit është kostoja e ulët e përdorimit të tij. Ju lejon të siguroni të dhëna dhe të siguroni vërtetim për përdoruesit dhe të dhënat në një rrjet të pasiguruar më parë pa kosto shtesë të harduerit të rrjetit, sepse ai mbetet i pajtueshëm me të gjithë pajisjet e lëshuara më parë.

IPsec ofron një nivel sigurie shumë të konfigurueshëm përmes shërbimeve të bazuara në kriptografi ( hashing– për të mbrojtur kundër përsëritjes, për të siguruar integritetin e të dhënave dhe për të verifikuar vërtetësinë e tyre, dhe drejtpërdrejt enkriptimi, sigurimi i konfidencialitetit të të dhënave).

Nënprotokollet AH (Authentication Header) dhe ESP (Encapsulating Security Payload) mund të përdoren ose së bashku për të ofruar nivelin më të lartë të sigurisë, ose në mënyrë të pavarur nga njëri-tjetri.

Protokolli mund të funksionojë në dy mënyra - transport dhe tunel, duke ofruar nivele të ndryshme sigurie dhe të zbatueshme në kushte të ndryshme.

Mënyra e transportit synon të sigurojë lidhjet ndërmjet kompjuterëve të veçantë, zakonisht të bashkuar nga një rrjet i vetëm (lokal). Modaliteti i transportit mbron ngarkesat IP (të tilla si segmentet TCP) ndërsa mbron kokën e IP-së nga modifikimi ndërsa mbetet i lexueshëm.

Në modalitetin e transportit, protokollet AH dhe ESP kanë funksionet dhe aftësitë e mëposhtme:

Protokolli AH siguron vërtetimin dhe integritetin e të dhënave, si dhe mungesën e përsëritjeve (si titulli i IP-së ashtu edhe ngarkesa), domethënë, mbron të dhënat nga ndryshimet e synuara. Në këtë rast, të dhënat nuk janë të koduara dhe mbeten të lexueshme. AH nënshkruan paketat duke përdorur algoritme hashing me çelës (MD5, dhe në implementimet më moderne SHA1), me kokën AH të vendosur midis kokës së IP dhe ngarkesës (siç tregohet në figurën 2). Kreu AH nënshkruan të gjithë paketën IP, me përjashtim të fushave që duhet të ndryshohen gjatë transmetimit në rrjet (Figura 3). Titulli AH vendoset gjithmonë përpara çdo titulli tjetër të përdorur në Ipsec.

Oriz. 2, Vendosja e kokës AH

Oriz. 3, Mbulimi AH (modaliteti i transportit)

Protokolli ESP në modalitetin e transportit, siguron konfidencialitetin e ngarkesës së IP-së, por jo kokën e IP-së. Përveç enkriptimit të ngarkesës IP, ESP siguron verifikimin e origjinalitetit dhe integritetit të paketës, veçanërisht kokës së ESP, ngarkesës së IP-së dhe rimorkios ESP (por jo kokës së IP-së). Vlera e kontrollit të integritetit ruhet në fushën e rimorkios së vërtetimit ESP. Titulli ESP vendoset përpara ngarkesës së pagesës IP, dhe rimorkio ESP dhe rimorkio e vërtetimit ESP vendosen pas ngarkesës së dobishme IP (Figura 5).

Oriz. 4, Vendosja e titullit ESP dhe rimorkiove

Oriz. 5, Mbulimi ESP (modaliteti i transportit)

Modaliteti i tunelit përdoret kryesisht në lidhje me tunelet VPN, gjë që ju lejon të mbroni komunikimet midis dy gjeografikisht rrjetet në distancë, i lidhur nëpërmjet internetit. Ky modalitet mbron të gjithë paketën IP duke e trajtuar atë si ngarkesë AH ose ESP. Kur përdorni këtë modalitet, e gjithë paketa IP është e kapsuluar në një kokë AH ose ESP dhe një kokë shtesë IP. Adresat IP të kokës së jashtme IP tregojnë pikat fundore të tunelit dhe adresat IP të kapsuluara të kokës IP tregojnë burimin dhe destinacionin e paketës. Kjo siguron që e gjithë paketa IP, duke përfshirë kokën e IP-së, është e mbrojtur.

AH në modalitetin e tunelit nënshkruan paketën për të ruajtur integritetin dhe e kapsulon atë në kokat IP dhe AH (Figura 6), ndërsa të dhënat mbeten të lexueshme.

Oriz. 6, Mbulimi AH (modaliteti i tunelit)

ESP në modalitetin e tunelit vendos të gjithë paketën origjinale midis titullit ESP dhe rimorkios së vërtetimit të ESP, duke përfshirë kokën e IP-së, dhe i kodon këto të dhëna duke krijuar një titull të ri IP, si AH, në të cilin adresat IP të serverëve të tunelit specifikohen si adresat e burimit dhe të destinacionit (Figura 7). Serveri i tunelit në anën tjetër dekripton paketën dhe, duke hedhur poshtë kokën e IP-së së tunelit dhe kokën ESP, ia përcjell paketën marrësit në intranetin e tij. I gjithë procesi ndodh plotësisht në mënyrë transparente deri në stacionet e punës fundore.

Oriz. 7, Mbulimi ESP (modaliteti i tunelit)

Modaliteti i tunelit IPsec përdoret kur ju duhet të mbroni të dhënat (përfshirë kokat e IP-së) të transmetuara mbi rrjet publik. Shembujt përfshijnë lidhjet midis divizioneve të largëta të një kompanie.

Mënyra e transportit shërben për mbrojtjen e të dhënave kryesisht brenda një rrjeti, siguria e të cilit nuk mund të sigurohet në mënyrë të besueshme me mjete të tjera pa kosto të konsiderueshme, ose kur kërkohet një nivel i lartë sigurie, i cili arrihet. ndarjen protokolle të ndryshme. Shembujt përfshijnë rrjetet pa tela, si dhe rrjete kabllore që mbulojnë zona të mëdha.

Në varësi të nivelit të kërkuar të sigurisë, janë të mundshme konfigurime të ndryshme të protokollit IPsec. Për shembull, nëse ju duhet vetëm të siguroni vërtetimin e përdoruesit dhe të kontrolloni integritetin dhe autenticitetin e të dhënave, mund të kufizoheni në përdorimin e AH, gjë që nuk do të ndikojë ndjeshëm në performancën e rrjetit dhe të stacioneve të punës individuale, edhe kur përdorni funksionin më të fuqishëm hash algoritme, siç do të tregohet më poshtë. Nëse të dhënat e transmetuara kërkojnë kriptim, përdoret protokolli ESP, i cili, në varësi të algoritmeve kriptografike të përdorura dhe shpejtësisë së transferimit të të dhënave, mund të ndikojë ndjeshëm në performancën e stacioneve të punës që shërbejnë si pika fundore të tunelit ose marrin pjesë në një rrjet ku përdoret mënyra e transportit IPsec ..

Cilësimet

Një përshkrim i konfigurimit të tuneleve VPN, si dhe një shqyrtim i vetive dhe aftësive të tyre, është përtej qëllimit të këtij artikulli, kështu që ne do të kufizohemi në përshkrimin e procesit të konfigurimit të mënyrës së transportit IPsec.

Në Windows XP, konfigurimi i IPsec kryhet duke përdorur skedarin snap-in Local Security Settings, i cili mund të hapet nga menyja Administrative Tools, Control Panel ose nëpërmjet komandës Run “secpol.msc”. Mund të përdorni politikat e paracaktuara ose të krijoni një të re.

Për të krijuar një politikë sigurie IP, zgjidhni artikullin "Politikat e sigurisë IP" nga lista dhe zgjidhni "Krijo politikën e sigurisë IP" nga menyja "Veprim".

Oriz. 8, Krijoni një politikë sigurie IP

Hapet magjistari i politikave të sigurisë IP. Për të vazhduar, klikoni "Next". Në dritaren tjetër, duhet të vendosni emrin e politikës së re dhe të klikoni "Next".

Oriz. 9, Emri i politikës së IP

Në dritaren tjetër, "Magjistari" do t'ju kërkojë të vendosni nëse do të përdorni rregullin e paracaktuar. Ju mund ta anuloni këtë rregull pasi të krijoni politikën, nëse është e nevojshme.

Oriz. 10, Rregulli i parazgjedhur

Pas kësaj, "Wizard" ju kërkon të zgjidhni një metodë vërtetimi të përdoruesit. IPsec mbështet metodat e mëposhtme: përmes protokollit Kerberos (protokolli standard i vërtetimit në domenet Windows 2000 dhe Windows 2003), duke përdorur një certifikatë përdoruesi ose bazuar në një varg sigurie ("fjalëkalim"). Nëse nuk ka kontrollues domenesh në rrjetin tuaj dhe përdoruesit e rrjetit nuk kanë certifikata të vlefshme, mbetet vetëm të zgjidhni një linjë më të vështirë dhe ta mbani atë rreptësisht të fshehtë. Linja e sigurisë në fakt mund të përbëhet nga disa linja.

Oriz. 11, Zgjidhni metodën e vërtetimit

Krijimi i politikave është pothuajse i përfunduar. Ju mund t'i ndryshoni vetitë menjëherë pas përfundimit të magjistarit (dritarja e vetive do të hapet automatikisht), ose më vonë duke zgjedhur politikën e dëshiruar dhe duke zgjedhur "Properties" nga menyja e kontekstit.

Oriz. 12, Përfundimi i krijimit të politikave

Tani është koha për të ndryshuar vetitë e politikës për t'iu përshtatur nevojave tuaja, që do të thotë të krijoni rregulla sigurie IP, një filtër dhe rregulla filtri.

Për të krijuar një rregull sigurie, duhet të hapni vetitë e politikës së krijuar të sigurisë IP dhe në skedën "Rules", klikoni butonin "Shto", pasi të zgjidhni kutinë e kontrollit "Përdor magjistarin", siç tregohet në figurën 13.

Fig. 13, Krijimi i një rregulli sigurie IP

Nuk duhet të ndryshoni asgjë në skedën "Cilësimet e tunelit" nëse nuk po konfiguroni IPsec në modalitetin e tunelit. Në skedën "Lloji i lidhjes", mund të zgjidhni cilin lidhjet e rrjetit do të zbatohet rregulli i krijuar - për të gjitha lidhjet, vetëm për lidhjet lokale ose vetëm për ato të largëta. Kjo bën të mundur krijimin e rregullave të ndryshme për lidhjet e rrjetit me shpejtësi të ndryshme të transferimit të të dhënave, duke lejuar më të ngadalshëm dhe përgjithësisht më pak të sigurt lidhjet në distancë vendosni parametra të tjerë si për vërtetimin ashtu edhe për kontrollin dhe enkriptimin e integritetit.

Oriz. 14, Lloji i lidhjes

Në skedën "Metodat e vërtetimit", është e mundur të shtoni disa metoda të vërtetimit dhe të ndryshoni rendin e preferencës së tyre, gjë që ju lejon të konfiguroni në mënyrë më fleksibël rregullin për komunikimin me nyje të ndryshme që mbështesin mënyra të ndryshme vërtetimi.

Oriz. 15, Metodat e vërtetimit

Pasi të zgjidhni llojin e lidhjes dhe metodat e vërtetimit, duhet të zgjidhni një listë të filtrave IP dhe një veprim filtri, ose të krijoni të reja. Për të zgjedhur ose krijuar filtra IP, shkoni te skeda "Lista e filtrave IP" (Figura 16).

Filtrat e mëposhtëm janë krijuar si parazgjedhje:

Trafiku i plotë IP, i cili vlen për të gjithë trafikun IP, pavarësisht nga protokolli i shtresës më të lartë të përdorur;

Trafiku i plotë ICMP, i cili zbatohet për të gjithë trafikun ICMP në përputhje me rrethanat.

Oriz. 16, Lista e filtrave IP.

Për të krijuar një filtër të ri, klikoni butonin "Shto", pas së cilës do të hapet dritarja "Lista e filtrave IP", ku pasi të keni futur emrin e listës së filtrave dhe të zgjidhni kutinë "Përdorni magjistarin", klikoni butonin "Shto". (Figura 17).

Oriz. 17, Krijimi i një liste të filtrave IP.

Do të hapet dritarja "Properties: Filter" (Figura 18), ku duhet të specifikoni adresat e burimit dhe destinacionit të paketave në të cilat do të aplikohet filtri, si dhe, nëse është e nevojshme, protokollin dhe portat e burimit dhe marrësit. .

Oriz. 18, Parametrat e listës së filtrit të ri IP

Pas zgjedhjes ose krijimit të listave të filtrave, duhet të përcaktoni veprimin e filtrit. Kjo mund të bëhet në skedën "Veprimi i filtrit". Veprimet e paracaktuara të krijuara:

Lejo, e cila lejon kalimin e paketave të pasigurta (pa përdorur IPsec),

Kërkohet siguria, e cila përcakton ndarjen e komunikimit me klientët që nuk mbështesin IPsec, dhe me klientët që mbështesin IPsec, të dhënat do të shkëmbehen duke përdorur kontrolle të integritetit të ESP, por pa AH dhe pa kriptim të të dhënave.

Veprimi i fundit i paracaktuar, Kërkesa e Sigurisë, kërkon që klientët të komunikojnë në mënyrë të sigurt, por nëse këto kërkesa nuk plotësohen, komunikimi i pasigurt nuk do të ndërpritet.

Oriz. 19, Veprimet e filtrit

Mund të krijoni një veprim të ri duke klikuar në butonin "Shto", pasi të zgjidhni kutinë "Përdor magjistarin" (Figura 19). Në skedën "Metodat e sigurisë" të dritares "Properties: krijimi i një veprimi filtri" që hapet, duhet të specifikoni nëse dëshironi të lejoni kalimin e të dhënave, t'i bllokoni ato ose të negocioni sigurinë (Figura 20).

Oriz. 20, Lista e zbrazët veprimet e mundshme të filtrit

Nëse zgjidhni Negocio sigurinë, mund të shtoni metoda sigurie dhe të ndryshoni rendin e preferencës së tyre. Kur shtoni metoda sigurie, duhet të zgjidhni nëse do të përdorni AH, ESP ose të konfiguroni manualisht sigurinë duke zgjedhur "Custom Security". Kjo është mënyra e vetme për të përdorur AH dhe ESP. Në parametrat e personalizuar të sigurisë, janë vendosur protokollet e kërkuara (AH dhe ESP) (Figura 21).

Oriz. 21, Krijo një veprim filtri

Ai gjithashtu ofron mundësinë për të zgjedhur manualisht algoritmet e integritetit dhe enkriptimit, si dhe parametrat për ndryshimin e çelësave të sesionit. Si parazgjedhje, çelësat ndryshojnë çdo orë ose çdo 100 Mb të informacionit të transmetuar (Figura 22).

Oriz. 22, Parametrat e Metodës Speciale të Sigurisë

Pas zgjedhjes së veprimeve të filtrit, konfigurimi i politikës së sigurisë IP mund të konsiderohet i plotë. Nëse konfigurimi është bërë në Windows XP, si në këtë shembull, për mënyrën e transportit IPsec, atëherë i njëjti operacion duhet të kryhet në çdo kompjuter. Mjetet e automatizimit në Windows Server ju lejon të vendosni në mënyrë qendrore politikën IP në të gjitha stacionet e punës në domen. Jashtë domenit, automatizimi është i mundur vetëm pjesërisht përmes skripteve rreshti i komandës(duke përdorur programin ipseccmd).

Testimi

Testimi i performancës IPsec është krijuar për të identifikuar nivelin e ngarkesës së CPU-së kur transmeton të dhëna përmes një rrjeti duke përdorur algoritme të ndryshme kriptografike.

Testimi u krye në kompjuterë me konfigurimin e mëposhtëm:

Një skedar 701 MB u transferua midis dy kompjuterëve, me cilësime të ndryshme IPsec dhe gjithashtu pa përdorur protokollin në fjalë.

Fatkeqësisht, nuk janë gjetur metoda më të sakta për të matur ngarkesën e procesorit dhe kohën e transferimit të skedarëve sesa ora e Windows dhe menaxheri i detyrave, kështu që disa gabime në matje janë të mundshme.

Pa përdorur IPsec, skedari u transferua në 86 sekonda. Në të njëjtën kohë, ngarkesa e procesorit në të dy kompjuterët nuk ishte e lartë, siç tregohet në figurat 23 dhe 24, dhe shpejtësia mesatare e transferimit të të dhënave arriti në 65.21 Mbit/s.

IPsec më pas u konfigurua siç përshkruhet më sipër për të siguruar integritetin e të dhënave të transmetuara (nënprotokolli AH duke përdorur SHA-1).

Koha e transferimit të të dhënave u rrit pak, në 91 s, dhe shpejtësia ra pak, në 61.63 Mbit/s. Në të njëjtën kohë, ngarkesa e procesorit nuk u rrit shumë dhe tregohet në figurat 25 dhe 26.

Konfigurimi tjetër i testit IPsec ishte: ESP pa AH, me enkriptim DES dhe hash MD5. Nuk kishte ndryshime të rëndësishme në performancën në këtë konfigurim krahasuar me ato të mëparshme.

Skedari u transferua në 93 sekonda, shpejtësia e transferimit ishte 60.3 Mbit/s. Ngarkesa e procesorit është treguar respektivisht në figurat 27 dhe 28. Duhet të theksohet se DES është një algoritëm i vjetëruar dhe nuk rekomandohet për përdorim aty ku të dhënat që mbrohen janë vërtet me vlerë. Në të njëjtën kohë, fuqia e këtij algoritmi mund të përmirësohet ndjeshëm duke ndryshuar çelësin më shpesh.

Kur përdorni 3DES më të fortë në vend të DES në të njëjtin konfigurim (MD5), shpejtësia e transferimit ra me më shumë se gjysmën dhe arriti në 29.99 Mbit/s, dhe koha, përkatësisht, ishte 187 s. Grafikët e ngarkesës së procesorit mbetën pothuajse të pandryshuar (Figurat 29 dhe 30).

Kur përdorni ESP me 3DES dhe SHA1, koha e transferimit u rrit me 1 s (në 188) dhe shpejtësia ra në 29.83 Mbit / s. Nuk ka kuptim të tregojmë grafikët e ngarkesës së procesorit - ato janë të njëjta si në figurat 29 dhe 30.

Duke përdorur protokollin AH së bashku me ESP në konfigurimin më të sigurt dhe rrjedhimisht më intensiv të burimeve të disponueshme në Windows XP, u morën rezultatet e mëposhtme: koha e transferimit u rrit në 212 s, shpejtësia ra në 26.45 Mbit/s.

Diagrami 1, Koha dhe shpejtësia e transferimit të skedarëve në varësi të algoritmeve kriptografike të përdorura

Siç mund të shihet nga rezultatet e testimit (Diagrami 1), konsumi i burimit IPsec është i ulët kur përdoret vetëm AH dhe kur përdoret ESP me DES. Në rastin e përdorimit të 3DES, performanca bie ndjeshëm, por kur shpejtësi të ulëta transferimi i të dhënave të performancës edhe për procesorët më të vjetër do të jetë i mjaftueshëm. Aty ku kërkohet shpejtësi të lartë transmetimi i të dhënave, mund të jetë e mjaftueshme përdorimi i DES me ndryshime të shpeshta të çelësave. Është tipike që ngarkesa në dy procesorë klasa të ndryshme nuk ishte shumë ndryshe.