IPSec VPN

IPsec protokoll nem egy, és protokoll-rendszer célja, hogy megvédje az adatokat IP-hálózatok hálózati szinten. Ez a cikk ismertetjük az elmélet IPsec alkalmazás létrehozása VPN alagút.

VPN alapú IPsec technológia lehet két részre oszlik:

  • Internet Key Exchange protokoll (IKE)
  • IPsec protokollok (AH / ESP / mindkettő)

Az első rész (IKE) egy megfelelő fázis, melynek során a két VPN-válogatott pontokat módszereket kell használni, hogy megvédje a forgalom küldött IP közöttük. Ezen kívül IKE is használják kapcsolatok kezelésére, erre a fogalom bevezetésre biztonsági szövetségek (SA) minden egyes vegyületre. SA irányított csak egy irányban, így a tipikus IPSec kapcsolatot használ két SA.

Második rész - az IP adatok titkosítását és hitelesíteni a továbbítás előtt módszereket megállapodott az első részben (IKE). Vannak különböző IPsec protokoll, amely használható: AH, ESP, vagy mindkettő.

A sorozat létrehozásáról VPN IPSec feletti lehet összefoglalni:

  • IKE IKE védelmi szint
  • IKE IPsec védelmi szint
  • védett adatokat viszi át VPN IPSec

IKE, Internet Key Exchange

A titkosítási és hitelesítési adatokat kell választania a titkosítás módja / hitelesítés (algoritmus) és a kulcsok ott használt. A problémát az Internet Key Exchange protokoll IKE, ebben az esetben csökkenti a terjesztési adatok „session key” és a harmonizáció algoritmusokat, amelyek védik az adatokat a VPN-pontokat.

Fő feladata az IKE:

  • VPN-pontok egymás hitelesítés
  • A szervezet új IPSec kapcsolatok (létrehozása révén SA pár)
  • jelenlegi kapcsolat menedzsment

IKE nyilvántartást vezet a kapcsolatok hozzárendelésével mindegyikük egy bizonyos biztonsági szövetségek, SA. SA leírja a paramétereket egy adott vegyület, beleértve IPSec protokoll (AH / ESP vagy mindkettő), a munkamenet használt kulcsokat titkosítás / visszafejtés és / vagy a hitelesítési adatokat. SA egyirányú, így néhány SA használjuk egy kapcsolat. A legtöbb esetben, kizárólag az ESP és az AH, csak két SA az egyes kapcsolatok, az egyik a bejövő forgalmat, és egy kimenő. Amikor az ESP és az AH együtt használják, SA szükség négy.

IKE tárgyalási folyamat megy keresztül több fázisban (fázisok). Ezek a fázisok a következők:

  1. IKE Phase (IKE Phase-1):
    - jóváhagyása védelmére IKE (ISAKMP alagútban)
  2. IKE második szakasz (IKE Phase-2):
    - koordinálja az IPsec-védelem
    - Adatok fogadása egy első fázisban az esemény kulcs

Vegyületek IKE és az IPsec korlátozott időtartam (másodperc) és a száma a továbbított adatok (kilobájt). Ez úgy történik, hogy a biztonság növeléséhez.
Időtartam IPsec kapcsolat, mint általában, rövidebb IKE. Ezért, amikor a határidő IPSec vegyület új IPSec kapcsolat újra keresztül a második szakasz megfelelő. Az első szakasz a harmonizáció csak akkor kell használni, amikor újjáépítése egy IKE kapcsolatot.

bevezeti a IKE javaslat (IKE javaslat) az IKE tárgyalások - ez a javaslat, hogy hogyan adatok védelme érdekében. inicializálja IPsec VPN-pont kapcsolat küld egy listát (ajánlat), amely azonosítja a különböző módszereket, hogy megvédje a kapcsolatot.
Tárgyalások lehet végezni mind a létesítmény egy új IPsec kapcsolat, valamint a létesítmény egy új IKE kapcsolatot. Amennyiben az adatok védelmét az IPsec a forgalom, hogy már küldött VPN-alagúton, és abban az esetben a védett adatok IKE - az adatok önmagukban jóváhagyások IKE.
VPN-pont kapott egy listát a (javasolt), kiválasztja belőle a legmegfelelőbb, és jelzi a válaszban. Ha egyik a javaslatok nem lehet kiválasztani, VPN gateway megtagadja.
A javaslat tartalmazza a szükséges információkat, hogy kiválasszon egy titkosító algoritmus és a hitelesítés és így tovább.

IKE Phase - védelem összehangolása IKE (ISAKMP Tunnel)
Az első fázisban a megfelelő pont a VPN-hitelesítik egymást alapuló közös kulcsot (Pre-Shared Key). hash algoritmus hitelesítéshez: MD5, SHA-1, SHA-2.
Mielőtt azonban hitelesíti egymást úgy, hogy nem továbbítja az információt egyszerű szöveges, VPN-váltási pontok működnek listák javaslatok (Javaslatok), korábban leírtak szerint. Csak miután mindkét VPN-illesztés ajánlat kiválasztott pontokat, hitelesített VPN-pont egymást.
A hitelesítés lehet tenni a különböző módon: a megosztott kulcsot (Pre-Shared Keys), bizonyítványok vagy nyilvános kulcsú titkosítás. Gyakori gombok a leggyakoribb módszer hitelesítést.
IKE Phase Matching is előfordulhat egyik két mód: fő (primer) és agresszív (agresivny). A fő mód hosszabb, de biztonságosabb. Ez folyamat cseréje hat üzeneteket. Agresszív mód gyorsabb, csak három üzeneteket.
A fő munkája az első fázisban a IKE kulcscserét DiffieHellman-. Ez alapján nyilvános kulcsú titkosítás, mindegyik fél titkosítja a hitelesítési lehetőség (Pre-Shared Key) nyilvános kulcs szomszéd, aki megkapta az üzenetet dekódolja azt saját privát kulcsával. Egy másik módja, hogy hitelesítse a felek egymással - a tanúsítványok használata.

IKE Phase II - megfelelő IPsec-védelem
A második fázisban végezzük, hogy kiválassza, hogyan védheti IPsec kapcsolat.
A használata a második fázisú anyag (beírása anyag) kivontuk a kulcscsere DH (Diffie-Hellman kulcscsere), esemény az első fázisban. Alapján ez az anyag által létrehozott kulccsal (munkamenetkulcsokat), amellyel az adatok védelme érdekében a VPN-alagutat.

Ha ön használ egy olyan mechanizmust, Perfect Forwarding titkossága (PFS). akkor minden illeszkedő második fázisban fogja használni az új kulcs csere DiffieHellman-. Enyhén csökkent a sebesség, ez az eljárás biztosítja, hogy a session kulcsok nem függnek egymástól, ami növeli a védelmet, mert még ha kosz van az egyik kulcs, akkor nem használható a válogatás a többit.

Üzemmódban a második fázisban a IKE egyeztetés csak egy, ez az úgynevezett gyors üzemmód - gyors üzemmódban. A tárgyalási folyamat során a második fázis cseréje három üzenetet.

A második fázis teljes, állítsa be a VPN-kapcsolat.

IKE paramétereket.
A létesítmény több paramétert a kapcsolat által használt, beleegyezése nélkül, amelyben lehetetlen megállapítani a VPN-kapcsolat.

IKE hitelesítési módszerek

  • kézi üzemmód
    A legegyszerűbb módszer, amelyben IKE nem használják, és a hitelesítési és titkosítási kulcsokat, valamint néhány egyéb paraméterek beállítása kézzel mindkét pont a VPN-kapcsolat.
  • Megosztott kulcsot (Pre-Shared Keys, PSK)
    Előre megosztott kulcs bevitt mindkét pontban VPN kapcsolatot. Ellentétben a korábbi módszerrel, hogy a használt az IKE, amely lehetővé teszi, hogy hitelesítse a végpontok és használja a változó munkamenetkulcsokat, ahelyett, hogy a rögzített titkosítási kulcsot.
  • bizonylatok
    Minden VPN használja a lényeg: a privát kulcs, a nyilvános kulcs tanúsítvány tartalmaz egy nyilvános kulcsot és aláírt egy megbízható hitelesítésszolgáltató. Ellentétben a korábbi módszerrel elkerülhető a bemeneti közös kulcsa minden pont a VPN kapcsolatok helyett a személyes aláírt tanúsítványt egy megbízható.

IPsec protokollok

IPsec protokoll védelmére küldött adatokat. Protokoll kiválasztása és a legfontosabb akkor jelentkezik, amikor tárgyal IKE.

AH (Authentication Header)

Az AH hitelesítéséhez a továbbított adatokat. Ez használ egy kriptográfiai hash függvény kapcsolatban szereplő adatok az IP-csomag. A funkció kimenete (hash) együtt küldik a csomagot, és lehetővé teszi a távoli VPN végpont megerősíteni a integritását az eredeti IP-csomag, amely megerősíti, hogy nem változott az út mentén. Amellett, hogy az IP-alapú csomagkapcsolt adatátviteli AH is hitelesíti része a cím.

A közlekedési mód, AH beágyazza a fejléc után az eredeti IP csomag.
Az alagút üzemmódban AH beágyazza a fejléc után egy külső (új) IP-fejléc és mielőtt a belső (eredeti) IP fejléc.

ESP (Encapsulating biztonsági adattartalom)

ESP protokoll használható titkosítás, hitelesítés, vagy mindkettő, hogy a másik képest az IP-csomag.

A közlekedési mód, ESP protokoll beilleszt egy fejléc után az eredeti IP fejléc.
Az alagút üzemmódban ESP fejléc után külső (új) IP fejléc, és mielőtt a belső (eredeti).

A két fő különbség az ESP és az AH:

  • ESP mellett hitelesítés egy másik lehetőséget a titkosítást (AH nem biztosít)
  • ESP alagút üzemmódban hitelesíti csak az eredeti IP fejléc (AH hitelesíti a külső).

Munkahelyi NAT (NAT)
Munkájának támogatása a NAT hajtották végre külön leírás. Ha a VPN-pont támogatja a leírásban, IPsec munkáját támogatja a NAT, azonban vannak bizonyos követelményeknek.
NAT támogatás két részből áll:

  • Szintjén IKE végpontok információt cserélhetnek egymással támogatás, NAT és a változat által támogatott specifikáció
  • A szint által kialakított ESP csomag tokozott UDP.

Miután a végpontok megállapítja, hogy megköveteli NAT, IKE tárgyalások költözött UDP port 500 port 4500. Ezt azért, mert egyes készülékek nem kezelik IKE ülésén port 500 NAT.
A másik probléma abból adódik, hogy az ESP protokoll - szállítási réteg protokoll található és közvetlenül a tetején IP. Emiatt nem alkalmazható a koncepció TCP / UDP port, amely lehetetlenné teszi, hogy keresztül csatlakozik a NAT több ügyfél ugyanazt az átjárót. A probléma megoldására ESP van csomagolva UDP datagram és elküldte a port 4500, ugyanaz, amely az IKE, amikor a NAT.
NAT van építve a protokoll, hogy támogatja és működteti nélkül Előbeállítással.

Kapcsolódó cikkek