Golovna
iPad
ipsec setine dahil edilecek protokoller. IPSEC'de araştırılan teknolojiler. IKE kimlik doğrulama yöntemleri

ipsec setine dahil edilecek protokoller. IPSEC'de araştırılan teknolojiler. IKE kimlik doğrulama yöntemleri

VPN teknolojileri dünyanın her yerinde kullanılıyor. Faaliyetler (örneğin PPTP) zamanla güvensiz hale gelir ve yavaş yavaş yok olur, ancak diğerleri (OpenVPN) ciltte komplikasyonlar geliştirir. Ancak, özel kanalların hırsızlığını oluşturma ve önleme konusunda tartışmasız lider ve en popüler teknoloji, daha önce olduğu gibi artık IPsec VPN değil. Bazen, sızma testi sırasında, silinmesi gereken beş yüz UDP bağlantı noktasına sahip, ciddi şekilde çalınmış bir ağı tespit etmek mümkündür. Geri kalan her şey kapatılabilir, yamalanabilir ve güvenilir bir şekilde filtrelenebilir. Böyle bir durumda burada yapılacak özel bir şeyin olmadığını düşünebilirsiniz. Ale tse zhzhzhd öyle. Ayrıca, IPsec'in varsayılan yapılandırmalarda zaptedilemez kalacağı ve yeterli düzeyde güvenlik sağlayacağı fikrini genişlettik. Bugünkü durumun kendisi şaşırtıcı. Ancak öncelikle IPsec ile mümkün olduğunca etkili bir şekilde baş edebilmek için ne yaptığını ve nasıl çalıştığını anlamanız gerekir. Hadi devam edelim!

IPsec ortada

Doğrudan IPsec'e geçmeden önce ne tür VPN'lerin bulunduğunu bilmek zor. VPN'in sınıflandırması kişisel değildir, ancak uç teknolojilere derinlemesine dahil olmayacağız ve konuyu basitçe ifade etmeyeceğiz. Bu nedenle VPN iki ana türe ayrılabilir - siteden siteye VPN bağlantıları (bunlara kalıcı da denilebilir) ve uzaktan erişim VPN'si (RA, bu yüzden).
İlk tip, çeşitli hemstone adalarının, örneğin merkez ofisin, dosyaların net bir şekilde dağıtılmasıyla kalıcı olarak bağlanmasına hizmet eder. RA VPN, istemcinin kısa bir süre için bağlandığı, önceki çevresel kaynaklara erişimi reddettiği ve işi tamamladıktan sonra güvenli bir şekilde bağlandığı bir senaryodur.

Başka bir seçenekle ilgileneceğiz, çünkü başarılı bir saldırı, pentester'ın ulaşamayacağı bir yerde olan işletmenin iç ağına erişimi anında engelleyebilir. IPsec özünde hem siteden siteye hem de uzaktan erişim VPN'i uygulamanıza olanak tanır. Ne tür bir teknoloji ve hangi bileşenlerden oluşuyor?

IPsec'in yalnızca bir tane değil, öngörü ve güvenli veri koruması sağlayan bir dizi farklı protokol olduğu unutulmamalıdır. IPsec'in özgüllüğü, orta seviyede uygulanması ve bir sonraki seviye için her şeyin açıkça anlaşılabileceği şekilde desteklenmesi gerçeğinde yatmaktadır. Temel zorluk, güvenli bir kanalda iki katılımcı arasında bağlantı kurma sürecinde çeşitli farklı parametrelerin uyumlaştırılmasının gerekli olmasıdır. Ve birbirinizin kimliğini doğrulamaktan, anahtarlar oluşturmaktan ve değiş tokuş etmekten (dahası, güvenilmeyen bir ortam aracılığıyla) ve ayrıca verileri şifrelemek için herhangi bir protokolün yardımına başvurmaktan kendiniz sorumlusunuz.

Tam da bu nedenle IPsec, korumalı bir bağlantının robot tarafından kurulmasını ve kontrol edilmesini sağlamak için gereken bir dizi protokole dayanmaktadır. Bağlantı kurma sürecinin tamamı iki aşamadan oluşur: ilk aşama, diğer aşamada güvenli bir ISAKMP değişiminin sağlanması için kapatılır. ISAKMP (İnternet Güvenlik Birliği ve Anahtar Yönetimi Protokolü), VPN bağlantısı katılımcıları arasındaki güvenlik politikalarını (SA) korumaya ve güncellemeye hizmet eden bir protokoldür. Bu politikalar, hangi şifreleme protokolünün (AES veya 3DES) ve hangi kimlik doğrulama protokolünün (SHA veya MD5) kullanıldığını belirtir.

IPsec'in iki ana aşaması

Artık katılımcıların öncelikle düzenleme yapması gerektiğini, belirli mekanizmalar aracılığıyla güvenli bir bağlantı oluşturulacağını anladık ve artık IKE protokolü devreye giriyor. IKE (İnternet Anahtar Değişimi), basitçe söylemek gerekirse, korumalı bir bağlantıdaki katılımcıların çalışmasını kolaylaştıran IPsec SA'yı (Güvenlik Birliği, güvenlik politikalarının kendisi) formüle etmek için kullanılır. Bu protokol aracılığıyla katılımcılar hangi şifreleme algoritmasının kullanılacağını ve hangi algoritmanın geçerlilik ve kimlik doğrulamasına tabi tutulacağını belirler. Bugün protokolün iki versiyonunun bulunduğunu unutmamak önemlidir: IKEv1 ve IKEv2. Biz IKEv1 ile daha çok ilgileniyoruz: IETF'nin (İnternet Mühendisliği Görev Gücü) onu ilk kez 1998'de tanıtmış olmasına rağmen, özellikle RA VPN için hala sıklıkla eleştiriliyor (böl. Şekil 1).

İlk taslakları 2005 yılında oluşturulan, açıklamaların çoğu RFC 5996 (2010)'da olan ve daha da yakın zamanda İnternet standardının (RFC 729 6) rolüne ilişkin oylamalar yapılan IKEv2'de durum nedir? IKEv1 ve IKEv2 arasındaki fark hakkında daha fazla bilgiyi ortağımızdan okuyabilirsiniz. IKE'den çıktıktan sonra IPsec aşamalarına geri dönüyoruz. İlk aşamada, katılımcılar birbirlerinin kimliklerini doğrular ve yalnızca şifreleme algoritmaları ve mevcut IPsec tünelinin diğer ayrıntıları hakkında bilgi alışverişini amaçlayan özel bir bağlantı kurma parametrelerine karar verirler. İlk tünelin parametreleri (ISAKMP tüneli olarak da bilinir) ISAKMP politikasına göre belirlenir. Önce karmaları ve şifreleme algoritmalarını kullanıyoruz, ardından Diffie-Hellman (DH) anahtarlarını değiştiriyoruz ve sonra kimin kim olduğunu buluyoruz. Daha sonra PSK veya RSA anahtarıyla kimlik doğrulama işlemi gerçekleşir. Taraflar geldikten sonra bir ISAKMP tüneli kurulur ve bu tünel daha sonra başka bir IKE aşamasından geçer.

Diğer aşamada ise birbirlerine zaten güvenen katılımcılar, verileri doğrudan iletecek ana tünelin kim olacağını çözüyorlar. Dönüşüm seti parametresinde belirtilen seçeneklerden birini deneyin ve ardından ana tüneli yükseltin. Ek bir ISAKMP tüneli kurduktan sonra herhangi bir yere gitmenize gerek olmadığını unutmamak önemlidir; ana tünelin SA'sını periyodik olarak güncellemek için bunu kullanmanız gerekecektir. Sonuç olarak IPsec bir değil iki tünel kuracaktır.

haraç nasıl toplanır

Şimdi dönüşüm seti hakkında birkaç kelime. Tünelden geçmeden önce verilerin şifrelenmesi gerekmektedir. Bu nedenle, tipik bir konfigürasyonda dönüşüm kümesi, paketin nasıl işlenmesi gerektiğini açıkça belirten bir dizi parametredir. Görünüşe göre bu tür veri işleme için iki seçenek var: ESP ve AH protokolleri. ESP (Kapsülleme Güvenlik Yükü), verilerin şifrelenmesine doğrudan dahil olur ve ayrıca verilerin bütünlüğünün doğrulanmasını da sağlayabilir. AH (Kimlik Doğrulama Başlığı) ise yalnızca verilerin bütünlüğünün doğrulanması ve doğrulanmasından sorumludur.

Örneğin, SET10 ile dönüşüm seti yapan her yönlendiricideki crypto ipsec transform-set SET10 esp-aes komutu, yalnızca ESP protokolünü ve AES şifreleme algoritmasını kullanmak için gereklidir. Önüne geçerek şunu söyleyeyim, burada ve gelecekte Cisco firmasının router ve güvenlik duvarlarının nasıl kullanıldığını inceliyor olacağız. Sağda ESP'nin gücü giderek daha belirgin hale geldi; şifrelemek ve böylece gizliliği sağlamak için, aksi halde hala AH'ye ihtiyacınız var mı? AH, verilerin bizimle iletişime geçilen kişiden geldiğini ve bu süreçte değiştirilmediğini doğrulayarak verilerin doğrulanmasını sağlayacaktır. Bu, bazen tekrar oynatmaya karşı koruma olarak adlandırılan korumayı sağlayacaktır. Mevcut aralıklarda AH pratikte etkilenmez; bu sayede ESP'ye odaklanmak mümkündür.

Bir IPsec tünelindeki bilgileri şifrelemek için seçilen parametrelerin (yani SA'nın), değiştirilme ihtiyacından sonra bir kullanım ömrü vardır. Varsayılan olarak ömür boyu IPsec SA parametresini 86400 s veya 24 yıl olarak ayarlayın.
Sonuç olarak katılımcılar, onları kontrol etmek ve buraya veri akışları göndermek için parametreler içeren ve şifrelemeyi kolaylaştıracak bir şifreleme tüneli oluşturdular. Ana tünelin şifreleme anahtarları ömür boyu periyodik olarak güncellenir: katılımcılar ISAKMP tüneline yeniden bağlanır, başka bir aşamadan geçer ve SA'yı yeniden kurar.

IKEv1 modları

IPsec robotunun ilk yakın mekaniğine baktık, yoksa birkaç konuşma daha yapmak gerekiyor. İlk aşama, diğerlerine ek olarak iki modda gerçekleştirilebilir: ana mod veya agresif mod. İlk seçeneğe zaten baktık ama agresif moda kadar bekleyemeyiz. Bu modun üç bildirimi vardır (ana modda altı yerine). Bu durumda, bağlantıyı başlatan kişi tüm verilerini - ne isterse ve aradaki her şeyi ve DH değişimindeki payını bir kerede verir. Daha sonra çizgiye yakın olan taraf DH kuşağının kendi payına düşen kısmını tamamlayacak. Bu moddaki sonuçların esas olarak iki aşaması vardır. Daha sonra ana moddaki ilk iki aşama (hash kullanımı ve DH değişimi) bire sıkıştırılacaktır. Sonuç olarak, bu mod, düz metinde çok fazla teknik bilgi bulunmasıyla aynı nedenden dolayı önemli ölçüde güvensizdir. Ve en önemlisi, VPN ağ geçidi, ilk aşamada kimlik doğrulama için kullanılan bir şifre karması gönderebilir (bu şifreye genellikle önceden paylaşılan anahtar veya PSK denir).

Gelecekte şifreleme daha önce olduğu gibi değişmeden devam edecek. Bu rejim neden hala galip geliyor? Sağda, yaklaşık iki katı kadar zengin bir şekilde olgunlaşmış olduğu görülüyor. Bir pentester için özellikle ilgi çekici olan, RA IPsec VPN'de agresif modun sıklıkla kullanılmasıdır. Agresif modda RA IPsec VPN'in bir diğer küçük özelliği: istemci sunucuya bağlandığında tanımlayıcısını (grup adı) zorlar. Tünel grubu adı (böl. Şekil 2) - bu, bu IPsec bağlantısına ilişkin politikaları ayarlamak için kullanılan girişin adıdır. Bu zaten Cisco'ya özgü özelliklerden biri.


İki aşama yetersiz görünüyordu

Görünüşe göre robotun şeması o kadar basit değil, ama gerçekte hala biraz daha karmaşık. Yıllar geçtikçe güvenliği sağlamak için tek bir PSK'nın yeterli olmadığı ortaya çıktı. Örneğin, bir bilgisayar güvenliği iş istasyonunun güvenliği ihlal edildiğinde, saldırgan tüm dahili güvenlik sistemlerine erişimi anında reddedebilir. Bu nedenle aşama 1.5, birinci ve diğer klasik aşamalar arasında ikiye bölünmüştür. Konuşmadan önce, bu aşama standart bir siteden siteye VPN bağlantısına bağlı değildir, ancak uzak bir VPN bağlantısı (bizim sürümümüz) düzenlenirken askıya alınır. Bu aşamada iki yeni uzantı tanıtılmaktadır: Genişletilmiş Kimlik Doğrulama (XAUTH) ve Mod Yapılandırması (MODECFG).

XAUTH – IKE protokolü dahilinde istemcilerin ek kimlik doğrulamasını sağlar. Bu kimlik doğrulamaya bazen başka bir IPsec faktörü de denir. MODECFG, istemciye IP adresleri, maske, DNS sunucusu vb. gibi ek bilgilerin aktarılmasına hizmet eder. Bu aşamanın daha önce incelenen aşamaları tamamladığı açıktır ancak rengi tartışılmazdır.

IKEv2 vs IKEv1

Protokoller 500 numaralı UDP bağlantı noktasının arkasında çalışıyorsa, ancak bu saçmasa, tünelin bir ucunda IKEv1'in, diğer ucunda IKEv2'nin bulunmasına izin verilmez. İlk versiyondan başka bir versiyonun ana özelliklerinin ekseni:

  • IKEv2'nin agresif veya ana modlar gibi başka seçeneği yoktur.
  • IKEv2'de, ilk aşamanın yerini IKE_SA_INIT (şifreleme/karma protokollerini ve DH anahtarlarının oluşturulmasını sağlayan iki mesajın değişimi) alır ve diğer aşamanın yerini IKE_AUTH (uygulayan aynı iki mesaj) alır. ).
  • Mode Config (IKEv1'de faz 1.5 olarak adlandırılan) artık protokol spesifikasyonunu ve onun görünmez kısmını açıklamaktadır.
  • IKEv2, DoS saldırılarına karşı koruma sağlamak için ek bir mekanizma ekledi. Bunun özü, ilk olarak kurulu güvenli bağlantıya (IKE_SA_INIT) IKEv2'ye ilk isteğin yapılması, VPN ağ geçidinin her çerez için istek göndermesi ve onay için kontrol etmesidir. Sonuç onaylandıktan sonra her şey yolundaysa, onunla DH oluşturmaya başlayabilirsiniz. Cihaz bunu tanımazsa (DoS saldırısı durumunda, bu teknik TCP SYN taşmasını öngörür), VPN ağ geçidi bunu unutur. Bu mekanizma olmadan, cilt üzerinden temas kurulduğunda VPN ağ geçidi bir DH anahtarı oluşturabilecektir (bu da kaynak yoğun bir süreç ekleyecektir) ve kaçınılmaz olarak sorunlarla karşılaşacaktır. Saldırıya uğrayan cihazda artık tüm işlemler bağlantının karşı tarafından onay gerektirmesi sonucunda çok sayıda kapalı oturum oluşturmak mümkün olamamaktadır.

Kordondayız

IPsec'in ve bileşenlerinin özelliklerini anladıktan sonra ana olanlara, pratik saldırılara geçebilirsiniz. Topoloji basit kalacak ve yakında gerçeğe yakın olacaktır (böl. Şekil 3).


Öncelikle IPsec VPN ağ geçidinin mevcut olup olmadığını belirlememiz gerekir. Portları tarayarak para kazanabilirsiniz ancak pek bir fark yoktur. ISAKMP, UDP protokolünü, bağlantı noktası 500'ü kullanır ve artık Nmap için varsayılan tarama, TCP bağlantı noktasını kaldırır. Sonuç şu mesaj olacaktır: 37.59.0.253'te taranan 1000 bağlantı noktasının tümü filtrelendi.

Durum şu ki, tüm bağlantı noktaları filtreleniyor ve açık bağlantı noktası yok. Ale vikonavshi ekibi

Nmap -sU --top-ports=20 37.59.0.253 Nmap 6.47 (http://nmap.org) 2015-03-21 12:29 GMT'de başlatılıyor. LİMAN DEVLETİ HİZMETİ 500/udp open isakmp

Neyin yanlış olduğuna bakalım ve gerçek bir VPN cihazına bakıyoruz.

Saldırının ilk aşaması

Artık ilk aşamaya, agresif moda ve önceden paylaşılan anahtarı (PSK) kullanan kimlik doğrulamaya sahibiz. Bu senaryoda, hatırladığımız gibi, VPN cihazı veya yanıt veren taraf, başlatıcıya PSK hash'lerini gönderir. IKE protokolünü test etmek için en popüler yardımcı programlardan biri, Kali Linux dağıtımında bulunan ike-scan'dir. Ike-scan, çeşitli parametrelerle IKE bildirimleri göndermenize ve tabii ki çıktıdaki paketlerin kodunu çözmenize ve ayrıştırmanıza olanak tanır. Hedef cihazı silmeyi deneyelim:

Root@kali:~# ike-scan -M -A 37.59.0.253 0 el sıkışmayı döndürdü; 0 geri bildirimde bulunuldu

A tuşu agresif mod gerektirenleri, M ise daha kolay okuma için sonuçları çok satırlı olarak görüntüleyenleri belirtir. İstenilen sonuca ulaşılamadığı açıktır. Bunun nedeni bu tanımlayıcıyı ve VPN grubunun adını girmenin gerekli olmasıdır. Görünüşe göre ike-scan yardımcı programı bu tanımlayıcıyı parametrelerinden biri olarak ayarlamanıza izin veriyor. Bizim bilmediğimiz şarap parçaları dışında oldukça önemlidir, örneğin 0000.

Root@kali:~# ike-scan -M -A --id=0000 37.59.0.253 37.59.0.253 Agresif Mod El Sıkışma geri döndü

Bu kez kanıtların reddedilmesi (böl. Şekil 5) ve bize birçok yararlı bilginin verilmiş olması önemlidir. Kaldırılan bilgilerin önemli kısmı dönüşüm kümesidir. Wi-Fi alanımızda "Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK" yazıyor.

Tüm bu parametreler, ek --trans anahtarı kullanılarak ike-scan yardımcı programında belirtilebilir. Örneğin --trans=5,2,1,2, 3DES şifreleme algoritması, HMAC-SHA karma, PSK kimlik doğrulama yöntemi ve başka bir DH grubu türü (1024-bit MODP) olanlardan bahsedecektir. Bu adrese ait değer türü tablosunu görüntüleyebilirsiniz. Paketin tam yükünü veya daha doğrusu PSK karmasını görüntülemek için başka bir anahtar (-P) ekleyin.

Root@kali:~# ike-scan -M -A --id=0000 37.59.0.253 -P

Podolaimaem ilk katlama

Görünüşe göre karma kaldırılmış ve havlamayı deneyebilirsiniz, ancak her şey o kadar basit değil. Uzun zaman önce, yani 2005'te birçok Cisco cihazında bir sorun vardı: Bu cihazlar, saldırgana doğru kimlik değerlerini ileten bir hash sağlıyordu. Enfeksiyon, elbette, bu tür bir ele geçirme pratik olarak imkansızdır ve saldırgana doğru kimlik değerlerinin gönderilip gönderilmediğine bakılmaksızın hash değerleri aşırı güçlenir. Açıkçası, yanlış karma tamamen yanlıştır. Bu nedenle doğru hash’in elde edilebilmesi için ilk adım doğru ID değerinin belirlenmesidir. Ve bize nasıl yardımcı olabileceğimiz konusunda bir çelişki yakın zamanda ortaya çıktı. Sağda iletişim sırasında türler arasında çok az fark olduğu görülüyor. Kısacası, doğru grup adını seçerseniz, bir VPN bağlantısı artı başka bir aşamanın iki şifreli paketini kurmaya devam etme girişimiyle karşı karşıya kalacaksınız. Her yanlış kimliğe sahip olduğunuzda yalnızca iki paket gelir. Aslına bakılırsa, SpiderLabs şirketi (daha az kullanışlı olmayan Responder aracının yazarı) bir PoC sistemi geliştirdi ve ardından dağıtımda bunun kullanılması için IKEForce yardımcı programını geliştirdi.

IKE'nin gücü kimde?

Komutu çalıştırarak IKEForce'u belirli bir dizine yükleyebilirsiniz.

Git klonu https://github.com/SpiderLabs/ikeforce

Bu iki ana mod için geçerlidir: numaralandırma modu -e (numaralandırma) ve kaba kuvvet modu -b (kaba kuvvet). Başka bir faktöre yönelik saldırılara karşı koyamazsak bir sonraki adıma geçelim ve ilklerini bir an önce ele alalım. Kimlik atama işlemine başlamadan önce dönüşüm kümesinin tam değerlerini ayarlamanız gerekir. Bu daha önce belirtildiği için -t 5 2 1 2 seçeneğiyle belirtilir. Sonuç olarak ID bulma sürecini şu şekilde görebilirsiniz:

Python ikeforce.py 37.59.0.253 -e -w kelime listeleri/grup.txt -t 5 2 1 2

Daha sonra doğru ID değerlerini seçmeye karar verdim (Şekil 7). İlk adım bitti, daha da parçalanabilirsiniz.

Çıkarılabilir PSK

Artık doğru grup adını kullanarak PSK karmasını dosyaya kaydetmeniz gerekiyor, yardım için ike-scan'i kullanabilirsiniz:

Ike-scan -M -A --id=vpn 37.59.0.253 -Pkey.psk

Ve şimdi eğer doğru ID değerleri seçildiyse ve doğru PSK hash'i alındıysa çevrimdışı kaba kuvvete başlayabiliriz. Bu tür kaba kuvvet için çok sayıda seçenek var - klasik psk-crack yardımcı programı, John the Ripper (jumbo yamasıyla) ve görünüşe göre GPU'nun gücünü azaltmanıza izin veren oclHashcat dahil. Basit olması açısından, hem doğrudan kaba kuvveti hem de sözlüğün arkasındaki saldırıyı destekleyen psk-crack'i kullanacağız:

Psk-crack -d /usr/share/ike-scan/psk-crack-sözlük anahtarı.psk

Ancak PSK'yı başarılı bir şekilde güncelleyebilirsiniz (böl. Şekil 8) - yalnızca yarısı doğrudur. Bu aşamada XAUTH ve diğer bir IPsec VPN faktörü için bizi kontrol edenleri bilmemiz gerekiyor.

Başka bir IPsec faktörüyle uğraşmak

Peki, XAUTH'un ek bir güvenlik, başka bir kimlik doğrulama faktörü olduğunu ve 1.5 aşamasında olduğunu hatırlatmama izin verin. XAUTH seçenekleri bir dizi seçenek içerebilir; buna RADIUS protokolünün doğrulanması, tek kullanımlık şifreler (OTP) ve birincil yerel müşteri tabanı dahildir. Yerel muhabir veri tabanının başka bir faktörü doğrulamak için kullanılması durumunda standart duruma güveniyoruz. Yakın zamana kadar XAUTH kaba kuvvet için halka açık bir araç yoktu. Alez, IKEForce'un ortaya çıkmasıyla bu görev günün kararını elinden aldı. XAUTH kaba kuvveti basitçe başlatılır ve tamamlanır:

python ikeforce.py 37.59.0.253 -b -i vpn -k cisco123 -u admin -w wordlists/passwd.txt -t 5 2 1 2 [+] kullanıcı için şifreler: admin [*]XAUTH Kimlik Doğrulaması Başarılı! Kullanıcı adı: admin Şifre: cisco

Bu durumda, bulunan tüm değerler belirtilir: Kimlik (anahtar -i), PSK güncellemeleri (anahtar -k) ve oturum açma aktarımları (anahtar -u). IKEForce, hem bir oturum açma işleminin kaba kuvvetle numaralandırılmasını hem de -U parametresiyle belirtilebilen bir oturum açma listesinin numaralandırılmasını destekler. Seçimin engellenebildiği durumlarda kaba kuvvetin hızını azaltmanızı sağlayan -s seçeneği bulunmaktadır. Konuşmadan önce, yardımcı program, özellikle kimlik değerini ayarlamak için yararlı olan bir dizi kötü sözlükle birlikte gelir.

İç sınırdan giriyoruz

Şimdi, eğer tüm verilere sahipsek, geriye kalan güçten - yerel boyuta güç nüfuzundan mahrum kalıyoruz. Neden herhangi bir türde VPN istemcisine ihtiyacımız var? Kali'niz varsa VPNC'yi sorunsuz bir şekilde hızlı bir şekilde kurabilirsiniz. Bir istekte bulunmak için bir yapılandırma dosyasını özelleştirmeniz gerekir - /etc/vpnc/vpn.conf. Böyle bir şey yoksa, bir dizi bariz parametrenin oluşturulması ve doldurulması gerekir:

IPSec ağ geçidi 37.59.0.253 IPSec kimliği vpn IPSec gizli cisco123 IKE Kimlik Doğrulama modu psk Xauth Kullanıcı Adı admin Xauth şifresi cisco

Burada, verilerin ilk satırlarında bulunan tüm bilgilerin (başka bir yetkilinin kimliği, PSK değerleri, kullanıcı adı ve şifresi) kesinlikle kurtarılması önemlidir. Bu bağlantının ardından bir komut gereklidir:

Root@kali:~# vpnc vpn

Bağlantı basit bir şekilde yapılabilir:

Root@kali:~# vpnc-bağlantıyı kesme

Bağlantının işlevselliğini ifconfig tun0 ek komutunu kullanarak kontrol edebilirsiniz.

Güvenilir bir defans oyuncusu nasıl olunur?

Mevcut saldırılara karşı savunma karmaşık olabilir: Sürekli olarak yamalar yüklemek, mümkünse dijital sertifikalarla değiştirilebilecek sabit önceden paylaşılan anahtarları vikorize etmek gerekir. Parola politikası ve İnternet Güvenliğinin diğer belirgin unsurları da güvenlik yönetiminde önemli bir rol oynamaktadır. Durumun giderek değiştiğini ve IKEv2'nin yakında kaybolacağını unutmamak mümkün değil.

Sonuç nedir?

RA IPsec VPN denetim sürecine her ayrıntısıyla baktık. Yani çılgınca, bu sorun önemsiz olmaktan çok uzak. Pek çok beceri üzerinde çalışmak gerekir ve bunlar ciltte zorluklara neden olabilir, ancak başarılı olursanız sonuç daha az düşmanca olacaktır. Sınırlar, iç kaynaklara erişimi kısıtlayarak daha geniş bir eylem yelpazesinin önünü açar. Sınır çevresinin korunmasına önem verenler için hazır varsayılan şablonlara güvenmemek, ciltsiz topun dikkatlice düşünülmesi gerekir. Pentest yapanlar için beşinci yüzüncü UDP bağlantı noktasının tespiti, IPsec VPN güvenliğinin kapsamlı bir analizini yapmak ve belki de kötü sonuçları reddetmek için bir nedendir.

0 Bu makale, IPSEC (IP Güvenliği) özelliklerine ve Cisco ürünlerinde bulunan IPSec protokol türlerine ve sanal özel ağlar (VPN) oluşturmak için kullanılanlara genel bir bakış sunmaktadır. Bu makalede, IPSEC'in yanı sıra tüm protokol ve algoritmaların da IPSEC'in temeli olması önemlidir.

Girmek

IP Güvenliği, IP paketlerinin taşınması sırasında şifreleme, kimlik doğrulama ve güvenlik sağlayan bir dizi protokoldür; Bu deponun önünde standartlara dayalı en az 20 öneri ve 18 RFC bulunmaktadır.

Cisco VPN ürünleri, artık geniş VPN yetenekleri sağlamak için endüstri standardı olan IPSec protokol paketini kullanır. IPSec, IP tabanlı ağlarda güvenli bir iletim mekanizması uygulayarak, güvenli olmayan İnternet türü ağlar üzerinden iletilen verilerin gizliliğini, bütünlüğünü ve güvenilirliğini sağlar. IPSec, Cisco ağlarıyla aşağıdaki VPN yeteneklerini sağlar:

  • Veri gizliliği. IPSec veri göndericisi, paketleri internet üzerinden iletmeden önce şifreleyebilir.
  • Verilerin bütünlüğü. IPSec verilerinin alınması, onu alan tarafların (IPSec tünellerini başlatan ve sonlandıran cihazlar veya yazılımlar) ve bu taraflarca kötüye kullanılan IPSec paketlerinin kimliğini doğrulayabilir, böylece dozajda değişiklik yapmayan birini suçlayabilir.
  • Veri kimlik doğrulaması. IPSec verilerinin alınması, IPSec paketlerinin içeriğinin kimliğini doğrulayabilir. Bu hizmet, veri bütünlüğü hizmeti altında saklanır.
  • Yaratılıştan korunma. IPSec verilerinin bakımı, oluşturulan paketleri algılayıp tanımlayabilir, böylece bunların sahte olmasını veya ortadaki adam saldırılarını önleyebilir.

IPSec, bir dizi protokol ve güvenlik algoritmasına yönelik standartlara dayanmaktadır. IPSec teknolojisi ve onunla ilişkili protokoller, IETF (İnternet Mühendisliği Görev Gücü) tarafından sağlanan ve RFC spesifikasyonlarında ve IETF projelerinde açıklanan standartlarla tutarlıdır. IPSec, Cisco yönlendiricileri, PIX Güvenlik Duvarları, Cisco VPN istemcileri ve yoğunlaştırıcıları gibi IPSec cihazları (partiler) ve IPSec'i destekleyen diğer birçok ürün arasında gönderilen IP paketlerini güvenli bir şekilde koruma ve kimlik doğrulama konusunda ön plandadır. IPSec destek özellikleri küçükten büyüğe ölçeklendirilebilir.

Güvenlik Derneği (SA)

IPSec, iletişim kuran taraflar arasındaki iletişimin kimlik doğrulaması ve şifrelenmesi için standart bir yöntem sağlar. Güvenli bağlantılar sağlamak amacıyla IPSec, şifreleme ve kimlik doğrulama için yeniden yürürlüğe koyma adı verilen standart algoritmalar (veya matematiksel formüller) kullanır. IPSec, taraflar arasında iletişim kurabilmeyi sağlamak amacıyla şifreleme anahtarları ve iletişim için gelişmiş standartlar kullanır. IPSec teknolojisi, IPSec taraflarının İnternet üzerinden birbirleriyle iletişim kurmasına olanak tanıyan yöntemler sunar. Gerekli parametreleri belirlemek için Koruma Birliği tarafından IPSec seçilir.

Zakhistu Derneği(Güvenlik Birliği - SA), alıcı tarafların iki cihazı arasında değiştirilen verilerin işlenmesine yönelik özel bir politika ve yöntemdir. Bu politikalardan biri verileri şifrelemek için kullanılan bir algoritma olabilir. Her iki taraf da hem şifreleme hem de şifre çözme için aynı algoritmayı kullanabilir. Etkin olan SA parametreleri her iki tarafın Güvenlik Birliği Veritabanında (SAD) saklanır.

SA'nın aynı tarafındaki iki bilgisayar, SA tarafından kullanılan modu, protokolü, algoritmaları ve anahtarları kaydeder. Kozhen SA öyle ya da böyle vikoristtir. Çift yönlü iletişim için iki SA gereklidir. Kozhen SA tek bir mod ve protokol uygulamaktadır; Bu nedenle, bir paket için iki protokolün (örneğin AH ve ESP) kullanılması gerektiğinden, iki SA gereklidir.

IKE protokolü (İnternet Anahtar Değişimi), IKE ve IPSec koruma ilişkisinin parametrelerini kullanarak IPSec için özel bir hizmet sağlamanın yanı sıra IPSec taraflarının kimlik doğrulamasını sağlayan ve ayrıca şifreleme algoritmaları için bir anahtar seçen hibrit bir protokoldür. IPSec çerçevesinde test edilmektedir. IKE protokolü, IPSec yeniden tasarımlarında kullanılan şifreleme anahtarlarının oluşturulması ve işlenmesi sürecini yönetmek için tasarlanmış ISAKMP (İnternet Güvenlik Birliği ve Anahtar Yönetimi Protokolü) ve Oakley protokollerini temel alır. IKE protokolü ayrıca potansiyel IPSec tarafları arasında koruma için bir ilişki kurar.
Hem IKE hem de IPSec, ilişkilendirme parametrelerini belirtmek için ilişkilendirme korumasını kullanır.
IKE, değişen protokoller için çeşitli yararlı işlevleri destekler. Bunların arasında karma işlevini ve sözde değiştirme işlevini (PRF) görebilirsiniz.

Özet fonksiyonu- Bu işlev çarpışmaya dayanıklıdır. Çarpışmalara karşı direnç altında, m1 ve m2'nin iki farklı seviyesini bilmenin imkansız olduğu gerçeğini anlıyoruz;

H(m1)=H(m2), burada H bir karma fonksiyonudur.

Sözde düşmüş işlevler olmadığından, özel PRF'ler yerine, özel PRF'ler yerine HMAC tasarımındaki bir karma işlevi kullanılır (HMAC, çeşitli karma işlevleriyle ilişkili bir kimlik doğrulama mekanizmasıdır). HMAC atamak için, bir kriptografik karma fonksiyonuna (önemli bir şekilde H olarak adlandırılır) ve gizli bir K anahtarına ihtiyacımız var. H'nin bir karma fonksiyonu olduğunu varsayıyoruz, ancak sonuna kadar tutarlı bir şekilde yoğunlaşan ek bir sıkıştırma prosedürü kullanmak istiyoruz. bloklar. B için bu tür blokların bayt cinsinden ikiye katlanmasını ve karma sonucundan alınan blokların ikiye katlanmasını L (L) olarak belirtiyoruz.
ipad = bayt 0x36, B kez tekrarlanır;
opad = bayt 0x5C, B kez tekrarlanır.

"Metin" verileri için HMAC'yi hesaplamak amacıyla aşağıdaki işlemi girmeniz gerekir:

H(K XOR ipad, H(K XOR ipad, metin))

Açıklama, IKE'nin tarafların kimliğini doğrulamak için HASH değerini kullandığını gösterir. Bu durumda HASH'in ISAKMP'deki Payload ismini temel alması önemlidir ve bu isim tek başına anlamlı bir anlam ifade etmemektedir.

IPSec altyapısı

IPSec tabanlı VPN hizmetleri, Cisco Router'lar, Cisco Secure PIX Güvenlik Duvarları, Cisco Secure VPN İstemci Yazılımı ve Cisco VPN 3000 ve 5000 Serisi Konsantratörler gibi çeşitli Cisco cihazlarına bağlanabilir. Cisco Routers VPN desteği, en yeni zengin IOS ile sunulmuştur. Karmaşıklığı azaltan en iyi çözüm, beklenen hizmetlerden çok fazla koruma almanın mümkün olduğu durumlarda VPN'in performansını düşürmesidir. PIX Güvenlik Duvarı güvenlik duvarı, tünellerin uç noktalarına hizmet edebilen, yüksek verim ve muhteşem güvenlik duvarı işlevselliği sağlayan yüksek performanslı bir uç cihazdır. CiscoSecure VPN istemci yazılımı, e-ticaret işlemleri için uzaktan erişim için gelişmiş VPN yeteneklerinin yanı sıra mobil erişim yeteneklerini de desteklerken, IPSec ve IPSec standartlarını uygulamaya devam ederek Cisco yönlendiricileri ve PIX Güvenlik Duvarları arasında güvenilir etkileşim sağlar.

IPSec nasıl çalışır?


IPSec bir dizi teknolojik çözüme ve şifreleme yöntemine dayanmaktadır ve IPSec ilkesi aşağıdaki temel ilkelerle temsil edilebilir:
  • Krok 1. IPSec sürecinin koçanı. IPSec tarafları tarafından sürdürülen IPSec güvenlik politikasına uygun olarak şifreleme gerektiren trafik, IKE sürecini başlatır.
  • Krok 2. İlk aşama IKE. IKE süreci, IPSec taraflarının kimliğini doğrular ve IKE güvenlik ilişkisi parametrelerini görüşür; bu, başka bir IKE aşaması sırasında IPSec güvenlik ilişkisi parametrelerinin anlaşması için ele geçirilen bir kanalın oluşturulmasıyla sonuçlanır.
  • Krok 3. Başka bir aşama IKE. IKE süreci, IPSec güvenlik ilişkisi parametrelerini görüşür ve alıcı tarafların cihazları için belirli IPSec güvenlik ilişkilerini ayarlar.
  • Krok 4. Veri aktarımı. Taraflar arasında, IPSec tarafından rapor edilen ve güvenlik ilişkisi veritabanında saklanan IPSec parametrelerine ve anahtarlara dayanan bir veri alışverişi vardır.
  • Croc 5. IPSec tünelinin tamamlanması. IPSec dernekleri ya bunların kaldırılması sonucunda ya da operasyonlarının sınır saatini değiştirerek işlerini tamamlamak istiyorlar.
Aşağıdaki bölümlerde raporda açıklamalar yer alacaktır.
gizli ve hassas verileri yetkisiz değişikliklere ileten güvenli bir tünele (küçük 5.9). Böyle bir tünel, bilgileri korumak için ek şifreleme yöntemleri kullanılarak oluşturulur.

Protokol, ara OSI modeli üzerinde çalışır ve açıkçası programlar için bir atılımdır. Başka bir deyişle eklentilerin (web sunucusu, tarayıcı, DBMS vb.) çalışması etkilenmez ve IPSec üzerinden yapılan veri aktarımlarının koruması korunur.

Windows 2000 ailesinin işletim sistemleri de IPSec protokolünü destekler. Zengin model açısından bakıldığında bu protokolün korunması özellikle tedbir seviyesinin korunmasıdır.


Küçük 5.9.

IPSec mimarisi açıktır ve iletilen verilerin korunmasına, ulusal standartlarla uyumlu olanlar gibi yeni şifreleme algoritmalarına ve protokollerine olanak tanır. Bunun için etkileşimde bulunan tarafların bu algoritmaları desteklemesi ve bağlantı parametrelerinin açıklamasında standart olarak kaydedilmesi gerekmektedir.

Çalıntı transfer süreci sistemin benimsediği güvenlik kurallarına tabidir. Oluşturulmakta olan tünelin parametreleri, güvenlik bağlamı veya güvenlik ilişkisi (İngilizce Güvenlik Birliği'nde, SA olarak kısaltılır) adı verilen bilgi yapısı tarafından tanımlanır. Yukarıda belirtildiği gibi IPSec bir dizi protokolden oluşur ve SA deposu belirli protokole bağlı olarak alt bölümlere ayrılabilir. SA şunları içerir:

  • Sahibinin IP adresleri;
  • veri aktarımı sırasında gerekli olan güvenlik protokollerinin bir göstergesi;
  • şifreleme ve oluşturma ve ekleme için gerekli anahtarlar (gerektiği gibi);
  • Başlıkların nasıl oluşturulduğu anlamına gelen biçimlendirme yöntemine ilişkin bir not;
  • Güvenlik Parametresi Dizini (SPI hızı) - gerekli SA'yı bulmanızı sağlayan bir tanımlayıcı.

Koruma bağlamını tek yönlü hale getirin ve verileri tünel üzerinden iletmek için her iki tarafta da iki SA kullanılır. Her ana bilgisayar, gerekli öğenin SPI'den veya ana bilgisayarın IP adresinden seçildiği bir temel SA kullanır.

IPSec deposunda iki protokol bulunur:

  1. kimlik doğrulama başlığı protokolü- Veri aktarımlarının bütünlüğünün ve kimlik doğrulamasının doğrulanmasını sağlayan AH (İngilizce Kimlik Doğrulama Başlığından); Protokolün geri kalan sürümü RFC 4302 (daha önce - RFC 1826, 2402) tarafından açıklanmıştır;
  2. Kapsüllenen Veri Koruma Protokolü - ESP Kapsüllenen Güvenlik Yükü) - gizliliği sağlar ve ayrıca RFC 4303'teki (eski adıyla RFC 1827, 2406) açıklamaların bütünlüğünün doğrulanmasını ve kimlik doğrulamasını sağlayabilir.

Bu protokollerin iki çalışma modu vardır - taşıma modu ve tünel modu, kalan değer ana değerdir. Tünel modu Düğümlerden birinin bir güvenlik ağ geçidi olarak bağlanmasını isteyip istemediğinizi seçmeniz gerekir. Bu çıkışta yeni bir IP başlığı oluşturulur ve çıkış IP paketi yeni bir pakete kapsüllenir.

Taşıma modu ana bilgisayar-ana bilgisayar bağlantısına doğru yönelim. Taşıma modunda ESP seçildiğinde sadece IP paketinin verileri çalınır, başlık takılmaz. AH seçildiğinde koruma, başlık alanlarının bu bölümünü kapsayacak şekilde genişletilir. Robot modunun raporu daha aşağıya getirilir.

AH protokolü

IP ver.4'te, kimlik doğrulama başlığı IP başlığından sonra genişletilir. Çıkış IP paketi, IP başlığı, üst düzey protokol başlığı (genellikle TCP veya UDP, Şekil 5.10'da ULP - Üst Düzey Protokol vardır) ve verilerin bir kombinasyonu olarak tanımlanır.


Küçük 5.10.

ESP başlık formatına bakalım (Şekil 5.13). VIN iki adet 32 ​​bitlik değerle başlar. SPIі SN. Rolleri AH protokolününkiyle aynıdır - SPI Bu tüneli oluşturmak için kullanılan SA'yı tanımlar; SN- kendinizi tekrarlanan paketlerden korumanızı sağlar. SNі SPIşifrelenmemiş.

Gelelim şifrelenmiş verileri kaldırabileceğiniz alana. Bunlardan sonra, şifrelenecek alan sayısını, şifreleme algoritmasının blok boyutunun katı olan bir değerle eşleştirmek için gereken bir yedekleme alanı gelir.


Küçük 5.12.


Küçük 5.13.

Doldurduktan sonra son dakika değerlerini girmek için alanlara gidin ve en üst seviyedeki protokoldeki girişi doldurun. Aşağıdaki alanların birçoğu (veri, yedekleme, dozhina, saldırı protokolü) şifrelenmiştir.

Verilerin kimliğini doğrulamak için ESP kullanılıyorsa paket, ICV'yi değiştirmek için değişimi tamamlar. Eklemenin değerini değiştirirken, IP başlık alanı (yeni - tünel modu için, değiştirilmiş eski - aktarım için) AH, ESP görünümü tarafından kapsanmaz.

AH ve ESP protokolleri birleştirildiğinde, IP başlığından sonra AH, yenisinden sonra ise ESP gelir. Bu durumda, gizlilik koruması açısından ESP en yüksek önceliğe sahipken, bütünlük koruması ve bağlantı kimlik doğrulaması için AH önceliğe sahiptir.

IPSec ağıyla ilişkili düşük güç kaynağına bir göz atalım. Ayrıca SA bağlantı parametreleri hakkında bilgi alınır. SA tabanının oluşturulması farklı yollar kullanılarak gerçekleştirilebilir. Zokrema, buradan çıkabilirsin güvenlik yöneticisi manuel olarak veya çeşitli özel protokoller kullanılarak formüle edilir - SKIP, ISAKMP (İnternet Güvenlik Birliği ve Anahtar Yönetimi Protokolü) ve IKE (İnternet Anahtar Değişimi).

IPSec ve NAT

Bir kuruluş İnternet'e bağlandığında, genellikle ağ adresi çeviri mekanizması - NAT (Ağ Adresi Çevirisi) - kullanılır. Bu, izlenmekte olan kayıtlı IP adreslerinin sayısını değiştirmenize olanak sağlar. Ağın ortasında kayıtlı olmayan adresler tespit edilir (bu işaret için özel olarak belirlenmiş aralıklardan, örneğin C sınıfı ağ için 192.168.x.x gibi adresler). Böyle bir katmandan bir paket İnternet'e iletildiğinde, harici arayüzü kayıtlı bir IP adresini kabul edecek şekilde atanan yönlendirici, katman paketlerinin IP başlıklarını değiştirerek özel adres yerine kayıtlı adresi sunar. Oyuncu değişikliğine uğrayanlar özel bir tabloya kaydedilir. Hat kesilirse masaya bağlanır, iade değişimi yapılır ve paket iç sınırda iletilir.

Vikoristan NAT'ın poposuna bir göz atalım. 5.14. Bu durumda, dahili ağda 192.168.0.x özel adresleri bulunur. 192.168.0.2 adresli bilgisayardan bir üst seviyeye geçerek 195.242.2.2 adresli bilgisayara geçerler. Lütfen web sunucusuna (TCP bağlantı noktası 80 olan HTTP protokolü) bağlanmayın.

Bir paket, çeviri adresi olan bir yönlendiriciden geçtiğinde, gönderenin IP adresi (192.168.0.2), yönlendiricinin harici arayüzünün adresi (195.201.82.146) ile değiştirilecek ve buna benzer bir giriş çeviri tablosuna eklenecek

Başlamadan önce IPsec protokolünü ayrıntılı olarak anlayın ve mevcut diğer veri koruma protokollerine göre yeteneklerini ve avantajlarını tanımlayacak şekilde yapılandırın.

IPsec, IPv4 protokolünün bir uzantısıdır ve IPv6'nın görünmez bir parçasıdır. Bu protokol, IP düzeyindeki ağın güvenliğini sağlar (ISO/OSI modeli için Düzey 3, Şekil 1), bu da yüksek düzeyde güvenlik, çoğu eklenti, hizmet ve üst düzeydeki protokoller için kapsam sağlar. Taşıma protokolü IP'si olarak vikoryst gibi. IPSec, diğer programlarda veya işletim sistemlerinde değişiklik yapılmasını gerektirmez.

Küçük 1, ISO/OSI modeli.

Bu düzeydeki güvenlik koruması, TCP, UDP, ICMP ve diğerleri gibi IP düzeyinden başlayarak TCP/IP ailesinin tüm protokolleri için koruma sağlayacaktır.

SSL (Güvenli Yuva Katmanı) protokolü gibi üçüncü katmanın üzerinde çalışan diğer güvenlik hizmetleri yalnızca belirli bir uygulama soketini çalar. Benzer protokollerin tüm kurulumlarını korumak için, tüm servisleri ve eklentileri değiştirerek onlara destek sağlamak gerekir, üçüncü seviyenin altında çalışan servisler gibi protokoller, seviye şifreleme gibi donanım bağlantılarını bile çalabilirsiniz. belirli bir bağlantı, ancak veri yollarına olan tüm bağlantılar geçmez, bu nedenle İnternet'in zihnindeki durgunlukları etkisizdir.

Güvenliği kontrol edilemeyen diğer büyük ölçekli ağlar üzerinden bilgisayarlar ve ağlar arasında güvenli iletişim sağlamak için IPsec protokolünün kullanılması en kullanışlı olanıdır. IPsec protokolünün önemli avantajlarından biri aynı zamanda düşük arıza riskidir, çünkü çoğu kurulum yeni bir cihazın kurulmasını veya eskisinin değiştirilmesini gerektirmez ve ayrıca protokolün standart ve açık olması ve pratik bir şekilde teslim edilmesidir. mevcut tüm işletim sistemleriyle aynı şekilde.

Protokolün önemli avantajlarından biri de düşük maliyetli olmasıdır. Sınırda ek kayıplar olmadan verileri güvence altına almanıza ve daha önce korumasız olan sınırlardan gelen verilerin doğruluğunun doğrulanmasını sağlamanıza olanak tanırken, daha önce açıklanan bilgilerden tasarruf etmenizi sağlar. tamam mı?

IPsec protokolü, şifrelemeye dayalı hizmetler kullanılarak yapılandırılan yüksek düzeyde güvenlik sağlar ( heshuvannya– tekrarların korunması, verilerin bütünlüğünün sağlanması ve orijinalliklerinin doğrulanması ve ötesi için şifreleme, Verilerin gizliliğini sağlayacaktır).

AH (Kimlik Doğrulama Başlığı) ve ESP (Kapsüllenen Güvenlik Yükü) alt protokolleri, maksimum güvenlik düzeyini sağlamak için ayrı ayrı kullanılabildiği gibi bağımsız olarak da kullanılabilir.

Protokol, farklı zihinlerde farklı düzeyde güvenlik ve durgunluk sağlayacak olan taşıma ve tünel olmak üzere iki modda kullanılabilir.

Taşıma modu Amaç, genellikle tek bir (yerel) ağ ile bağlanan belirli bilgisayarlar arasındaki bağlantıyı sağlamaktır. Taşıma modu seçildiğinde, orijinal IP verilerinin (örneğin TCP segmentleri) korunması sağlanır, böylece IP başlığı değişime karşı korunur ve artık okunamaz.

Aktarım modunda AH ve ESP protokolleri aşağıdaki işlevlere ve yeteneklere sahiptir:

    AH protokolü verilerin geçerliliğinin ve bütünlüğünün doğrulanmasını ve tekrar sayısının (IP başlığı ve temel veriler gibi) sağlanmasını ve böylece verilerin doğrudan değişiklik amacıyla korunmasını sağlayacaktır. Bu durumda veriler şifrelenmez ve artık okunamaz. AH, AH üstbilgisi IP üstbilgisi ile temel veriler arasında yer alacak şekilde (Küçük 2'de gösterildiği gibi) anahtarlarla (MD5 ve daha modern uygulamalar SHA1) karma algoritmalar kullanarak paketleri imzalar. AH başlığı, sınırdan iletim sırasında değişiklikleri kolaylaştıran bir dizi alanla birlikte IP paketinin tamamı tarafından imzalanır (Şekil 3). AH başlığı, Ipsec'te kullanılan diğer başlıklardan farklıdır.

Küçük 2, AH başlık yerleşimi

Küçük 3, AH (taşıma modu)

    ESP protokolü Aktarım modu, IP başlığı yerine temel IP verilerinin gizliliğini sağlar. Orijinal IP verilerinin şifrelenmesine ek olarak ESP, paketin uygunluğunun ve bütünlüğünün, daha doğrusu ESP başlığının, orijinal IP verilerinin ve ESP fragmanının (IP başlığının değil) doğrulanmasını sağlayacaktır. Bütünlük doğrulama değerleri “ESP kimlik doğrulama fragmanı” alanında saklanır. ESP başlığı arka IP verisinden önce yerleştirilir ve ESP fragmanı ile ESP kimlik doğrulama fragmanı arka IP verisinden sonra yerleştirilir (Şekil 5).

Küçük 4, Başlık ve ESP römorklarının yerleştirilmesi

Küçük 5, ESP bastırma (taşıma modu)

Tünel moduİnternete bağlı coğrafi olarak birbirinden uzak iki sınır arasındaki bağlantıları güvenli hale getirmenize olanak tanıyan VPN tünelleriyle yakın çalışmak önemlidir. Bu mod, AH veya ESP'den kaynaklandığı düşünülerek tüm IP paketlerinin korunmasını sağlayacaktır. Bu modda, IP paketinin tamamı AH veya ESP başlığında ve ek IP başlığında kapsüllenir. Dış IP başlığının IP adresleri tünelin bitiş noktalarını belirtir ve kapsüllenmiş IP başlığının IP adresleri paketin çıkış noktasını gösterir. Bu, IP başlığı da dahil olmak üzere tüm IP paketinin korunmasını sağlayacaktır.

    Tünel modunda AH, bütünlüğü korumak için paketi imzalar ve onu IP ve AH başlıklarında kapsüller (Şekil 6), bu durumda veriler artık okunamaz.

Küçük 6, AH (tünel modu)

    Tünel modunda ESP, çıkış paketini, IP başlığı da dahil olmak üzere ESP başlığı ile ESP kimlik doğrulama fragmanı arasına yerleştirir ve verileri şifreleyerek, hem dizin adreslerinin hem de sahibinin IP adreslerini belirttiği yeni bir IP başlığı (hem hem de AH) oluşturur. ve tüneldeki sunucular (küçük 7) . Diğer taraftaki tünel sunucusu paketin şifresini çözer ve tünel IP başlığını ve ESP başlıklarını ekledikten sonra paketi intranetine iletir. Tüm süreç terminal iş istasyonları için tamamen şeffaftır.

Küçük 7, ESP bastırma (tünel modu)

IPsec tünel modu, gizlice erişilebilen bir ağ üzerinden iletilen verilerin (IP başlıkları dahil) çalınmasının gerekli olduğu durumlarda kullanılır. Uçlar işletmenin uzak alt bölümleri arasındaki bağlantılar olabilir.

Taşıma rejimi Zachist Danny'nin aynı şekilde aşılmasına hizmet edecek, serbest lamba yer değiştirmenin anlamı olmadan aynı yolların içinde değil, yarı zamanlı flappy'nin koynunda sıra ve vicoroster vicorinas protokollerine ulaşıldı. Örnekler arasında drone içermeyen hatların yanı sıra geniş bölgeleri kapsayan kablolu hatlar yer alıyor.

IPsec protokolünün tüm olası yapılandırmaları için gerekli güvenlik düzeyinin sağlanması önemlidir. Örneğin, kullanıcıların kimlik doğrulamasını ve verilerin bütünlüğünün ve uygunluğunun doğrulanmasını sağlamanız gerekiyorsa, ağın ve diğer iş istasyonlarının üretkenliğini hiç etkilemeyen AH wiki'lerini kullanabilirsiniz. Evet, bu, en çok Aşağıda gösterildiği gibi kararlı karma işlevi algoritmaları kullanılır. İletilen verilerin şifrelenmiş olması nedeniyle, karmaşık şifreleme algoritmaları ve veri aktarım hızı nedeniyle iş istasyonlarının verimliliğini önemli ölçüde etkileyebilen ve uç noktaların işlevlerini devredebilen ESP protokolü kullanılır. tünel veya sınırda yer almak, IPsec aktarım modu devre dışı bırakılır.

Kurulum

VPN tünellerinin kurulumunun açıklaması ve bunların güç ve yeteneklerinin değerlendirilmesi, IPsec aktarım modunu ayarlama sürecinin bir açıklamasıyla çevrelenen bu makalenin sınırlarını aşmaktadır.

Windows XP'de IPsec'i ayarlamak, "Yönetim" menüsünden, "Hizmet Panelleri"nden veya "Viconati" "secpol.msc" aracılığıyla başlatılabilen ek "Yerel Güvenlik Ayarları" ek bileşenini gerektirir. Politikacıların zihinlerindeki yaratımları vikorize etmek ya da yenilerini yaratmak mümkün.

IP güvenlik politikası oluşturmak için listede “IP Güvenlik Politikaları” öğesini görmeniz ve “Eylem” menüsünden “IP Güvenlik Politikası Oluştur” seçeneğini seçmeniz gerekmektedir.

Küçük 8, IP güvenlik politikasının oluşturulması

IP Güvenlik Politikası Yöneticisini açın. Yola devam etmek için “İleri”ye basın. Bir sonraki pencerede yeni politikanın adını girmeniz ve “İleri” ye tıklamanız gerekir.

Küçük 9, IP Politikası Adı

Önümüzdeki yüzyılda “Meister” sizi karar vermeye ve düşünme kurallarına uymaya teşvik ediyor. Bu kural, eğer böyle bir ihtiyaç yoksa, politika oluşturulduktan sonra da uygulanabilir.

Küçük 10, Akıl kuralı

Bundan sonra “Meister” size müşterinin kimlik doğrulama yöntemini seçmenizi söyler. IPsec şu yöntemleri destekler: ek Kerberos protokolünün kullanılması (Windows 2000 ve Windows 2003 etki alanlarındaki standart kimlik doğrulama protokolü), ek kullanıcı sertifikasının kullanılması veya bir güvenlik dizesinin ("parola") kullanılması. Ağınızda etki alanı denetleyicileri yoksa ve ağınızın geçerli sertifikaları yoksa yalnızca bir satırı seçip onu sıkı bir gizlilik içinde saklayabilirsiniz. Bir savunma sırası aslında birçok sıradan oluşabilir.

Küçük 11, Bir kimlik doğrulama yöntemi seçin

Siyasetin yaratılışı fiilen tamamlandı. Yetkileri, ustanın çalışmasını tamamladıktan hemen sonra (yetkiler penceresi otomatik olarak açılacaktır) veya daha sonra gerekli politikayı gördükten ve bağlamsal bağlamdan “Yetkiler” öğesini seçtikten sonra değiştirebilirsiniz.

Küçük 12, Politikanın tamamlanması

Artık kokuların ihtiyaçlara cevap vermesi için siyasetin gücünü değiştirmenin, ayrıca IP güvenlik kuralları, filtreler ve filtre kuralları oluşturmanın zamanı geldi.

Bir güvenlik kuralı oluşturmak için, oluşturulan IP güvenlik politikasının gücünü açmanız ve "Kurallar" sekmesindeki "Ekle" düğmesine basmanız, önce şekil 13'te gösterildiği gibi "Vikorystuvati Master" işaretini seçmeniz gerekir.

Şekil 13, IP güvenlik kurallarının oluşturulması

“Tünel Ayarları” sekmesinde IPsec'i tünel modunda yapılandırmazsanız hiçbir şeyi değiştirmeyin. "Bağlantı türü" sekmesinde, kuralın hangi uç bağlantılar için oluşturulacağını seçebilirsiniz - tüm bağlantılar için, yalnızca yerel bağlantılar için ve hatta uzak bağlantılar için. Bu, değişen veri aktarım hızlarında uzak bağlantılar için farklı kuralların oluşturulmasına olanak tanır; bu, uzak bağlantılar için daha fazla ve kural olarak daha az güvenliğe ve kimlik doğrulama, hem bütünlük doğrulaması hem de şifreleme gibi diğer parametrelere izin verir.

Küçük 14, Bağlantı tipi

"Kimlik Doğrulama Yöntemleri" sekmesinde, bir dizi doğrulama yöntemi eklemek ve doğrulama sırasını değiştirmek mümkündür; bu, farklı düğümlerle bağlantı kurma kuralını özelleştirmenize olanak tanır; bu, Başka kimlik doğrulama yöntemleri de vardır.

Küçük 15, Kimlik Doğrulama Yöntemleri

Bağlantı türünü ve kimlik doğrulama yöntemlerini seçtikten sonra IP filtreleri listesini ve aynı filtreyi seçin veya yeni bir tane oluşturun. IP filtreleri seçmek veya oluşturmak için “IP filtreleri listesi” sekmesine gidin (Şekil 16).

İşleme için aşağıdaki filtreler oluşturulmuştur:

    Üst düzey protokolden bağımsız olarak tüm IP trafiğinin önünde duran ek IP trafiği;

    Tüm ICMP trafiğine paralel olarak durgunlaşan yeni ICMP trafiği.

Küçük 16, IP filtrelerinin listesi.

Yeni bir filtre oluşturmak için, "Ekle" düğmesine tıklayın, ardından filtre listesi için bir ad girdikten ve "Victory Master" onay kutusunun işaretini kaldırdıktan sonra "IP Filtre Listesi" penceresi açılacaktır, ardından "Ekle" düğmesine tıklayın (Şek. no 17).

Küçük 17, IP filtrelerinin bir listesini oluşturun.

Filtrenin engelleneceği paketlerin ana bilgisayar ve ana bilgisayar adreslerini ve gerekirse ana bilgisayar ve ana bilgisayarın protokolünü belirleyebileceğiniz “Yetki: Filtre” penceresi açılacaktır (Şekil 18). .

Küçük 18, Yeni IP filtre listesi için parametreler

Filtre listesini seçtikten veya oluşturduktan sonra filtre türünü seçmelisiniz. Bu, "Filtre Eylemi" sekmesinde yapılabilir. Aklımızın arkasındaki yaratımlar:

    Güvenli olmayan paketlerin geçişine izin veren İzin Ver (IPsec wiki'si olmadan),

    Güvenlik gereklidir, bu, IPsec'i desteklemeyen istemcilerle bağlantının kesildiği ve IPsec'i destekleyen istemcilerle, hedeflerin doğrulanması ihtiyacı nedeniyle veri alışverişi yapılacağı anlamına gelir: ESP verileri, ancak AH olmadan ve veri şifrelemesi olmadan.

    Geri kalan eylem yüklenir - Güvenlik Gücü - istemcilere en güvenli bağlantıları aktarır, aksi takdirde güvenli olmayan bağlantılarda herhangi bir kesinti yaşanmaz.

Küçük 19, Filtre boyutu

Daha önce “Vikoristuvati meister” işaretini seçtikten sonra “Ekle” düğmesine basarak yeni bir eylem oluşturabilirsiniz (Şekil 19). “Güvenlik Yöntemleri” sekmesinde, “Güç: Filtre Oluşturma” penceresinde, veri geçişine izin vermeniz, engellemeniz veya güvenlik amacıyla mı ihtiyacınız olduğunu belirtin (Şekil 20).

Küçük 20, Olası filtre eylemlerinin boş listesi

Güvenlik seçeneğini seçtikten sonra güvenlik yöntemleri ekleyebilir ve adımlarının sırasını değiştirebilirsiniz. Güvenlik yöntemleri eklediyseniz, AH'yi mi, ESP'yi mi seçeceğinizi veya "Güvenlik kurulumu" öğesini seçerek güvenliği manuel olarak mı kuracağınızı seçin. Ancak bu şekilde hem AH'yi hem de ESP'yi vikorize edebilirsiniz. Yapılandırılan güvenlik parametrelerinde gerekli protokoller (AH ve ESP) kuruludur (Şekil 21).

Küçük 21, Filtre oluşturma

Burada ayrıca bütünlük doğrulama ve şifreleme algoritmalarının yanı sıra oturum anahtarlarını değiştirmek için parametreleri manuel olarak seçebilirsiniz. Anahtarlar her gün iletilen her 100 Mb bilgi aracılığıyla değiştirilir (Şekil 22).

Küçük 22, Özel bir güvenlik yönteminin parametreleri

Filtrelerinizi seçtikten sonra artık IP güvenlik politikanızı ayarlamayı tamamlayabilirsiniz. Uygulamasında olduğu gibi Windows XP'de IPsec aktarım modu için yapılandırıldığından, aynı işlemin bilgisayarda da yapılması gerekir. Windows Server otomasyon özellikleri, IP ilkesini etki alanındaki tüm iş istasyonlarına merkezi olarak dağıtmanıza olanak tanır. Etki alanı otomasyonu yalnızca ek komut satırı komut dosyalarıyla (ipseccmd programının yardımıyla) mümkündür.

Test yapmak

IPsec protokolünün performansının test edilmesi, çeşitli şifreleme algoritmaları kullanılarak veri aktarımının yapıldığı saat için merkezi işlemciye olan talebin düzeyini ortaya çıkarabilir.

Testler aşağıdaki konfigürasyona sahip bilgisayarlarda gerçekleştirildi:

Bilgisayar 1

Bilgisayar 2

İşlemci

AMD Athlon 64 3000+ Soket 754

AMD Athlon XP 1700+ Soket A

Anakart

2*512 Mb Samsung PC 3200

256 Mb Samsung PC 2700

Hard disk

Seagate ST3160023A

Seagate ST380011A

Birleşme adaptörü

701 MB'lık bir dosya, görüldüğü gibi iki bilgisayar arasında farklı IPsec ayarlarıyla ve aynı zamanda protokol ihlali olmadan aktarıldı.

Ne yazık ki, işlemciyi dosya aktarım süresi, dosya yöneticisi ve Windows görev yöneticisi ile sınırlandırmak için daha kesin bir yöntem bulunamamıştır, bu nedenle bunların silinmesi olasılığı vardır.

Wikoristan IPsec olmadan 86 saniyede dosya aktarımı. Ancak her iki bilgisayardaki işlemcilere olan talep Şekil 23 ve 24'te gösterildiği gibi yüksek değildi ve ortalama iletim hızı 65,21 Mbit/s'ye ulaştı.

Bu IPsec kurulumundan sonra veri bütünlüğünü sağlamak için bir teknik açıklayacağız (SHA-1 wiki'leriyle AH alt protokolü).

Veri aktarım saati 91 saniyeye kadar çıktı ve veri hızı 61,63 Mbit/s'ye düştü. Aynı zamanda işlemcilere olan talep de arttı ve 25 ve 26 yaşlarındaki küçüklerde tasvir ediliyor.

IPsec'i ayarlamak için bir sonraki test seçeneği şu şekilde olacaktır: AH şifrelemesi olmayan ESP, DES şifrelemesi ve MD5 karmaları. Bu konfigürasyonun verimliliğinde öncekilere kıyasla önemli değişiklikler harflerle işaretlenmiştir.

Dosya 93 saniyede aktarıldı, aktarım hızı 60,3 Mbit/s idi. İşlemcilerin önemi 27 ve 28 gibi küçük sayılarla açıkça gösterilmektedir. Lütfen DES'in güncelliğini kaybetmiş bir algoritma olduğunu ve çalınan veriler büyük değere ulaşana kadar önerilmediğini unutmayın. Aynı zamanda sık sık yapılan anahtar değişiklikleri nedeniyle bu algoritmanın gücü önemli ölçüde azalabilir.

Aynı konfigürasyonda (MD5) DES yerine kararlı 3DES kullanıldığında iletim hızı yarıdan fazla düşerek 29,99 Mbit/s'ye düştü ve saat 187 saniye oldu. İşlemci kullanım grafikleri çok az değişti (Şekil 29 ve 30).

ESP, 3DES ve SHA1 kapalıyken iletim saati 1 saniye arttı (188'e kadar) ve bant genişliği 29,83 Mbit/s'ye düştü. İşlemci yoğunluğunun grafiklerini çizmenin bir anlamı yok - 29 ve 30 yaşındaki bebeklerle aynı kokuyorlar.

AH protokolünü ESP ile birlikte Windows XP'deki en güvenli ve dolayısıyla en yoğun kaynak kullanan yapılandırmada kullanarak mevcut sonuçlar kaldırıldı: iletim saati 212 saniyeye çıkarıldı, hız 2 6,45 Mbit/s'ye düştü.

Diyagram 1, Dosya aktarım süresi ve hızı, geliştirilen şifreleme algoritmalarına bağlı olarak değişir.

Test sonuçlarından da görülebileceği gibi (Diyagram 1), yalnızca AH seçildiğinde ve ESP ve DES sabit olduğunda IPsec'in kaynak kapasitesi düşüktür. 3DES kurulduğunda üretkenlik keskin bir şekilde düşer, ancak düşük veri aktarım hızlarında eski işlemcilerin üretkenliği yeterli olacaktır. Yüksek veri aktarım hızlarının gerekli olduğu durumlarda, sık anahtar değişiklikleri nedeniyle DES yeterli olabilir. Farklı sınıflardaki iki işlemcinin çekiciliğinin bölünmesine gerek olmaması karakteristiktir.

(İnternet Anahtar Değişimi (IKE)) - Anahtar değişimi.

  • RFC 2410 (Boş Şifreleme Algoritması ve IPsec ile Kullanımı) - Boş Şifreleme Algoritması ve IPsec ile Kullanımı.
  • RFC 2411 (IP Güvenlik Belgesi Yol Haritası) - Standardın daha da geliştirilmesi.
  • RFC 2412 (OAKLEY Anahtar Belirleme Protokolü) - Anahtar geçerliliği doğrulaması.

    • IPsec mimarisi

    IPsec protokolleri, diğer iyi bilinen SSL ve TLS protokollerine ek olarak orta düzeyde (OSI modelinin 3. düzeyi) çalışır. IPsec daha esnek olduğundan TCP ve UDP'ye dayalı tüm protokolleri korumak için kullanılabilir. IPsec, iki IP düğümü arasında, iki güvenlik ağ geçidi arasında veya bir IP düğümü ile bir güvenlik ağ geçidi arasında güvenlik sağlamak için kullanılabilir. Protokol, IP protokolünün üstündedir ve aşağıda açıklanan şekilde bir IP paketi oluşturur. IPsec, ağ üzerinden iletilen verilerin bütünlüğünü ve/veya gizliliğini sağlayabilir.

    IPsec çeşitli işlevler için aşağıdaki protokolleri kullanır:

    • Kimlik Doğrulama Başlığı (AH), sanal bağlantının bütünlüğünü (veri aktarımı), hedef bilgilerin kimlik doğrulamasını ve paketlerin yeniden iletimini önlemek için ek işlevi sağlar
    • Kapsüllenen Güvenlik Yükü (ESP), gizli trafik akışı arasında aktarılan bilgilerin gizliliğini (şifrelenmesini) sağlayabilir. Ek olarak, sanal bağlantının bütünlüğünü (veri iletimi), bilgilerin doğrulanmasını ve paketlerin yeniden iletilmesini önlemek için ek işlevi sağlayabilirsiniz (ESP'nin durması durumunda, bu hizmetlerin diğer setinin güvenlikten alınması zorunludur) emniyet)
    • Güvenlik Birliği (SA), AH ve/veya ESP'nin çalışması için gerekli parametreleri sağlayan algoritmalar ve veriler arasındaki bağlantıları korur. İnternet Güvenliği Birliği ve Anahtar Yönetimi Protokolü (ISAKMP), kimlik doğrulama ve anahtar değişimi, anahtar kimlik doğrulamanın temelini oluşturur.

    Güvenlik Derneği

    "Güvenli Sanal Bağlantı" (SA, "Güvenlik Birliği") kavramı IPsec mimarisinin temelini oluşturur. SA, yeni bir trafik hattı üzerinden taşıma için oluşturulmuş tek yönlü bir bağlantıdır. Güvenlik hizmetlerini uygularken, AH veya ESP protokolleri (veya her ikisi de aynı anda) kullanılarak bir SA oluşturulur. SA, terminaller arası bağlantı (noktadan noktaya) konseptine uygun olarak tasarlanmış olup, taşıma modu (RTR) ve tünel modu (RTU) olmak üzere iki modda çalışabilmektedir. Taşıma modu, SA'nın perde arkasında iki IP düğümü arasında uygulanır. SA tünelleme modunda bir IP tüneli oluşturulur.

    Tüm SA'lar IPsec modülünün SADB (Güvenlik İlişkileri Veritabanı) veritabanında saklanır. Skin SA, üç unsurdan oluşan benzersiz bir işaretleyici içerir:

    • Güvenlik Parametresi Dizini (SPI)
    • IP adresleri ve atamalar
    • Güvenlik protokolü tanımlayıcısı (ESP veya AH)

    Üç parametreli bir IPsec modülü, SADB'de belirli bir SA hakkında bir giriş bulabilir. SA bileşenlerinin listesi şunları içerir:

    Seri numarası Alanı oluşturmak için kullanılan 32 bitlik değerler Sıra numarası AN ve ESP başlıklarında. Doktorun seri numarasının yeniden belirlenmesi Doktorun seri numarasının yeniden atandığını gösteren bayrak. Yaratıcı saldırıları bastırma penceresi Vikorist, paketlerin yeniden iletimini belirlemek için kullanılır. Alanın anlamı nedir? Sıra numarası görev aralığını tüketmez, paket azalır. Bilgi AH Kimlik doğrulama algoritması, gerekli anahtarlar, anahtar ömrü ve diğer parametreler seçilir. ESP bilgilerişifreleme ve kimlik doğrulama algoritmaları, gerekli anahtarlar, başlatma parametreleri (örneğin IV), anahtar ömrü ve diğer parametreler IPsec robot modu tünel veya ulaşım MTU Parçalanma olmadan sanal bir kanal tarafından iletilebilecek maksimum paket boyutu.

    Korunan sanal yarının (SA) parçaları tek yönlüdür, bu durumda çift yönlü bir kanalın organizasyonu minimum olarak iki SA gerektirir. Üstelik cilt protokolü (ESP/AH), doğrudan cilt için annesinin güç SA'sından sorumludur, dolayısıyla AH+ESP arasındaki bağlantı, birçok SA'nın açıklığını vurgular. Tüm veriler SADB'de bulunur.

    • AH: kimlik doğrulama algoritması.
    • AH: kimlik doğrulama için gizli anahtar
    • ESP: şifreleme algoritması.
    • ESP: gizli şifreleme anahtarı.
    • ESP: vykoristannya kimlik doğrulaması (öyle/yok).
    • Anahtar değişim parametreleri
    • Yönlendirme değişimi
    • IP filtreleme politikası

    IPsec uygulamaları, SADB veritabanına ek olarak SPD (Güvenlik Politikası Veritabanı) veritabanını da destekler. Bir SPD kaydı, bir dizi IP başlık alanı değeri ve üst düzey protokol başlık alanlarından oluşur. Bu alanlara seçiciler denir. Seçiciler, her paketi SA ile aynı sınıfa yerleştirerek çıkış paketlerini filtrelemek için kullanılır. Bir paket oluşturulduğunda, paketteki ilgili alanların (seçici alanlar) değerleri SPD'ye karşılık gelenlere eşittir. En son SA hakkında bilgi edinin. Daha sonra paket için SA (her durumda) ve paketle ilişkili güvenlik parametreleri dizini (SPI) atanır. Bundan sonra IPsec işlemleri (AH ve ESP protokol işlemleri) eklenir.

    SPD için geçerli seçici örnekleri:

    • Atanan IP adresleri
    • Yönetici IP adresleri
    • IPsec protokolü (AH, ESP veya AH+ESP)
    • Yönetmenin ve sahibinin limanı

    Kimlik Doğrulama Başlığı

    Kimlik Doğrulama Başlığı biçim
    Ofsetler 16 Ekim 0 1 2 3
    16 Ekim Bit 10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
    0 0 Sonraki Başlık Yük Uzunluğu Rezerve
    4 32
    8 64 Sıra numarası
    C 96 Bütünlük Kontrol Değeri (ICV)
    Sonraki Başlık(8 bit) AH başlığından sonra gelen protokol başlığı türü. Bu alanı takiben birincil IP-sec modülü, üst düzeyde korunan protokolü öğrenir. Bu alanın farklı protokoller için anlamı RFC 1700'de bulunabilir. Yük Uzunluğu(8 bit) Bu alan AN başlığının toplam boyutunu 32 bitlik sözcükler eksi 2 cinsinden gösterir. Ne olursa olsun, IPv6 vicorstan ile ek başlığın 8 baytın katı olması gerekir. Rezerve(16 bit) Ayrılmıştır. Sıfırlarla doldurulacaktır. Güvenlik Parametreleri Dizini(32 bit) Güvenlik parametreleri dizini. Bu alanın değeri, IP adresiyle birlikte güvenlik protokolü (AN protokolü) tarafından korunur ve bu paket için sanal bağlantının (SA) çalındığını açıkça belirtir. SPI değeri aralığı 1…255 IANA rezervasyonları. Sıra numarası(32 bit) Seri numarası. Yeniden iletimden korunmak için. Alan parametrenin değeriyle monoton olarak artar. Paketin yeniden iletimi sırasında koruma hizmeti olarak kullanılabilecek olanlardan bağımsız olarak, zorunludur ve AH başlığında her zaman mevcuttur. Bu alanı ileten IPsec modülü her zaman korunur, aksi halde işlenemeyebilir. Bütünlük Kontrolü Değeri

    AH protokolü, iletişim kurduğumuz şeyin olması gerektiği gibi olduğundan ve aldığımız verilerin iletim sırasında tehlikeye atılmadığından emin olmak için kimlik doğrulama için kullanılır.

    Giden IP paketlerinin işlenmesi

    IPsec yönlendirme modülü, AH işlemini ileten SA ile ilişkili paketin işlemeye başladığını belirlediğinden. Moda bağlı olarak (taşıma veya tünelleme), AH başlığını IP paketine farklı şekillerde ekler. Aktarım modunda, AH başlığı, IP protokolü başlığından sonra ve üst düzey protokol başlıklarından önce genişletilir (TCP veya UDP'yi çağırın). Tünel modunda, giden IP paketinin tamamı önce AH başlığı, ardından IP protokol başlığı tarafından çerçevelenir. Böyle bir başlığa harici denir ve çıkış IP paketinin başlığına dahili denir. Bundan sonra IPsec iletim modülünün bir seri numarası oluşturması ve bunu alana yazması gerekir. Sıra numarası. SA yüklendiğinde sıra numarası 0'a ayarlanır ve IPsec paketini göndermeden önce bir artırılır. Ayrıca doktorun fazla takılıp kalmaması için tekrar kontrol yapılması gerekmektedir. Maksimum değere ulaşırsa 0'a sıfırlanır. Yeniden iletim hizmeti başarısız olursa maksimum değere ulaştığında iletim yapan IPsec modülü SA'yı sıfırlar. Bu, paketin yeniden gönderilmesine karşı koruma sağlayacaktır; birincil IPsec modülü alanı kontrol eder Sıra numarası ve yeniden gelen paketleri yoksay. Daha sonra ICV kontrol toplamı hesaplanır. Burada kontrol toplamının gizli anahtarın saklanmasından hesaplandığını unutmamak gerekir; herhangi bir kötü niyet olmadan hash'i yeniden hesaplayabilirsiniz, ancak anahtarı bilmiyorsanız doğru kontrol toplamını formüle edemezsiniz. ICV'yi hesaplamak için kullanılan özel algoritmalar RFC 4305'te bulunabilir. Şu anda örneğin HMAC-SHA1-96 veya AES-XCBC-MAC-96 algoritmaları takılıp kalabilir. AH protokolü, IPsec paketi için aşağıdaki alanların arkasındaki kontrol değerini (ICV) hesaplar:

    • Çeviri sürecindeki değişikliklerden önce etkilenmeyen ancak en önemli olarak belirlenen IP başlık alanları
    • AN başlığı (Alanlar: “Sonraki Başlık”, “Yük Uzunluğu”, “Ayrılmış”, “SPI”, “Sıra Numarası”, “Bütünlük Kontrol Değeri”. ICV hesaplanırken “Bütünlük Kontrol Değeri” alanı 0 olarak ayarlanır
    • üst seviye protokolüne saygı duruşu
    Alan taşıma sırasında değiştirilebildiği için ICV hesaplamalarından önce değeri 0 olarak ayarlanır. Lütfen değiştirilebilecek alanları ve kabul edildiğinde aktarılabilecek değerleri belirtiniz. ICV hesaplanırken koku sıfırlarla doldurulacaktır. Değiştirilen alan sağlama toplamı alanı olabilir, ancak sahibinin değiştirilen veya değiştirilen IP adresi olabilir. ICV hesaplanırken kapsanacak alanların daha ayrıntılı bir açıklaması RFC 2402 standardında bulunabilir.

    Gelen IP paketlerinin işlenmesi

    AH protokolüne karşılık gelen bir paketi aldıktan sonra, birincil IPsec modülü, sahibinin IP adresine, güvenlik protokolüne (AN) ve SPI dizinine dayalı olarak güvenli bir sanal bağlantı (SA) SADB (Güvenlik İlişkileri Veritabanı) arar. Geçerli bir SA bulunamazsa paket atılır. Paket yeniden iletim hizmetinin tehlikeye atıldığını gösteren güvenli bir sanal bağlantı (SA) algılandı. alanı yeniden kontrol etme ihtiyacı nedeniyle Sıra numarası. Hizmetçi kontrol edildiği gibi saha da kontrol edilir. Bu amaçla dövme pencere yöntemi kullanılmaktadır. Tipik bir IPsec modülü W genişliğinde bir pencere şeklindedir. Pencerenin sol kenarı minimum seri numarasını gösterir ( Sıra numarası) N doğru şekilde alınan paket. Alanlı paket Sıra numarası N+1 ile başlayıp N+W ile biten değerler nereye konulursa yerleştirilsin doğru kabul edilir. Paket çıkarıldığı anda pencerenin ortasında solda belirir ve belirir. Daha sonra ana IPsec modülü, alınan paketin karşılık gelen alanlarından ICV'yi, SA kaydından tanınan kimlik doğrulama algoritmasını hesaplar ve "Bütünlük Kontrol Değeri" alanında görüntülenen ICV değerinin sonucunu eşit şekilde çıkarır. ICV değeri hesaplanıp kabul edildikten sonra paket geçerli kabul edilir ve daha sonraki IP işlemleri için kabul edilir. Doğrulamanın olumsuz sonuç vermesi durumunda orijinal paket satılacaktır.

    Kapsüllenen Güvenlik Yükü biçim
    Ofsetler 16 Ekim 0 1 2 3
    16 Ekim Bit 10 0 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31
    0 0 Güvenlik Parametreleri Dizini (SPI)
    4 32 Sıra numarası
    8 64 Yük verileri
    Dolgu (0-255 oktet)
    Ped Uzunluğu Sonraki Başlık
    Bütünlük Kontrol Değeri (ICV)
    Güvenlik Parametreleri Dizini(32 bit) Güvenlik parametreleri dizini. Bu alanın değeri, IP adresiyle birlikte güvenlik protokolü (AN protokolü) tarafından korunur ve bu paket için sanal bağlantının (SA) çalındığını açıkça belirtir. SPI değerlerinin aralığı daha ileri kullanım için 1...255 IANA rezervasyonudur. Sıra numarası(32 bit) Seri numarası. Yeniden iletimden korunmak için. Alan parametrenin değeriyle monoton olarak artar. Paketlerin yeniden iletilmesine karşı koruma sağlamak için kullanılabildiğinden bağımsız olarak, AH başlığında her zaman mevcut olacaktır. Bu alanın değiştirilmesinden her zaman gönderen (IPsec yönlendirme modülü) sorumludur, aksi takdirde alan sahibi bu işleme gerek duymayabilir. Yük verileri(değişken) Bu veri alanı "Sonraki Başlık" alanıyla tutarlıdır. Bu alan sınırlıdır ve tam sayıda bayttan oluşur. Bu alanı şifrelemek için kullanılan algoritma, kripto işlemlerini senkronize etmek için verileri çıkardığından (örneğin Başlatma Vektörü), bu alan bu verileri açık bir biçimde içerebilir. Dolgu malzemesi(0-255 oktet) Ek. Örneğin, belirli sayıda baytın çalınmasından düz metni çıkaran algoritmalar için, örneğin bir blok şifresinin blok boyutu gereklidir. Ped Uzunluğu(8 bit) Ek boyut (bayt cinsinden). Sonraki Başlık(8 bit) Bu alan, "Yük verileri" alanı gibi veri türünü belirtir. Bütünlük Kontrolü Değeri Toplamı kontrol et. Değer, IPv6 için 8 baytın ve IPv4 için 4 baytın katıdır.

    Giden IPsec paketlerini işleme

    IPsec yönlendirme modülü, ESP işlemini geçen SA ile ilişkili paketin işleme başladığını belirlediğinden. Moda bağlı olarak (aktarım veya tünel), giden IP paketi farklı şekilde işlenir. Taşıma modunda, IPsec iletim modülü, çıkış IP paketinin başlığına müdahale etmeden, ESP başlığına ve ESP terminaline bağlı olan üst düzey protokol (örneğin, TCP veya UDP) için kapsülleme prosedürünü gerçekleştirir. . Tünel modunda, IP paketi bir ESP başlığı ve bir ESP ucu tarafından çerçevelenir ve ardından dış IP başlığı tarafından çerçevelenir. Daha sonra şifreleme gerçekleştirilir - taşıma modunda, yalnızca temel seviyenin üzerindeki protokol (yani, çıkış paketinin IP başlığından sonraki her şey), tünel modunda - tüm çıkış IP paketi şifrelenir. SA kaydından iletim yapan IPsec modülü, şifreleme algoritmasını ve gizli anahtarı gösterir. IPsec standartları üçlü DES, AES ve Blowfish şifreleme algoritmalarının kullanımına izin verir. Şifrelenmiş metnin boyutu bayt sayısının katı olduğundan (örneğin, blok algoritmaları için bloğun boyutu), şifrelemeden önce neyin şifrelendiğine ilişkin ek bilgilerin sağlanması da gereklidir. Şifrelenmiş mesaj alana yerleştirilir Yük Verileri. Alan içerisinde Ped Uzunluğu dovezhna dopovennya'da gerçekleşecek. Daha sonra AH'de olduğu gibi hesaplanır Sıra numarası. Bundan sonra kontrol değeri (ICV) önemlidir. Sağlama toplamı AH protokolüne tabidir ve hesaplanırken IP başlığının aynı alanları dahil edilir, ESP yalnızca ICV alanından sonraki ESP paketinin alanları tarafından hesaplanır. Kontrol toplamını hesaplamadan önce sıfırlarla doldurulacaktır. ICV hesaplama algoritması, AH protokolünde olduğu gibi, gönderen IPsec modülü, işlenen paketle ilişkili SA kaydından tanınır.

    Gelen IPsec paketlerini işleme

    ESP protokolüne karşılık gelen bir paketi aldıktan sonra, birincil IPsec modülü, SADB'de (Güvenlik İlişkileri Veritabanı) ana bilgisayar IP adresi, güvenlik protokolü (ESP) ve SPI endeksiyle eşleşen güvenli bir sanal bağlantı (SA) algılar. Geçerli bir SA bulunamazsa paket atılır. Paket yeniden iletim hizmetinin tehlikeye atıldığını gösteren güvenli bir sanal bağlantı (SA) algılandı. Sıra Numarası alanını revize etme ihtiyacı üzerine. Hizmetçi kontrol edildiği gibi saha da kontrol edilir. Bunun için AH'de olduğu gibi dövme pencere yöntemi kullanılmaktadır. Tipik bir IPsec modülü, genişliği W olan bir pencereye benzer. Pencerenin sol kenarı, doğru şekilde alınan bir paketin minimum Sıra Numarasını (N) gösterir. N+1 ile başlayan ve N+W ile biten değerleri içeren Sıra Numarası alanına sahip bir paket doğru şekilde alınır. Paket çıkarıldığı anda pencerenin ortasında solda belirir ve belirir. Ardından, kimlik doğrulama hizmeti algılanır algılanmaz, birincil IPsec modülü, alınan paketin kimlik doğrulama alanlarına, SA kaydından tanınan kimlik doğrulama algoritmasına ve eşleşenlere göre ICV'yi hesaplar. Sonucu ICV değerlerinden kaldır ​​ve bunları "Bütünlük Denetimi Değeri" alanından genişletin. Hesaplanan ICV değeri kabul edildikten sonra gelen paket geçerli kabul edilir. Doğrulamanın olumsuz sonuç vermesi durumunda orijinal paket satılacaktır. Daha sonra paketin şifresi çözülür. Hangi şifreleme algoritmasının kullanıldığı SA girişinden uygun IPsec modülü belirlenir ve gizli anahtar belirlenir. Lütfen kontrol toplamının doğrulanmasının ve şifre çözme prosedürünün yalnızca sırayla değil paralel olarak da gerçekleştirilebileceğini unutmayın. Geri kalan durumda, sağlama toplamı doğrulama prosedürünün şifre çözme prosedüründen önce sona ermesi gerekir ve ICV doğrulaması başarısız olursa şifre çözme prosedürünün de başarısız olması gerekir. Bu, sıkıştırılmış paketlerin daha iyi algılanmasına olanak tanır ve bu da DOS saldırılarına karşı korumayı artırır. Aşağıdaki bilgiler alana deşifre edilir Sonraki Başlık daha ileri işlemler için aktarılır.

    Vikoristannya

    IPsec protokolü esas olarak VPN tünellerini düzenlemek için kullanılır. Bu durumda ESP ve AH protokolleri tünel modunda çalışır. Ayrıca oluşturulan güvenlik politikası ve protokolünde değişiklik yapılarak sınır perdesi oluşturulabilir. Sınırlararası ekranın sensörü, belirtilen kurallara bağlı olarak içinden geçen paketleri kontrol etmesi ve filtrelemesi gerçeğinde yatmaktadır. Bir dizi kural yüklenir ve ekran, içinden geçen tüm paketlere bakar. İletilen paketler bu kurallara tabi ise ara ekranda bunları ayrı olarak görüntüler. Örneğin, şarkı söyleyen paketleri yok ederek bağlantıyı güvensiz hale getirebilirsiniz. Güvenlik politikanızı doğru şekilde ayarlayarak örneğin İnternet trafiğini engelleyebilirsiniz. Bunu yapmak için HTTP ve HTTPS iletişimlerini içeren paketlerin gücünü korumak yeterlidir. IPsec, sunucu işlevlerinin doğru şekilde etkinleştirilmesi için gerekli olan paketler hariç, tüm paketlerin döndürüldüğü sunuculardan kontrol edilebilir ve korunabilir. Örneğin, bir Web sunucusu için tüm trafiği engelleyebilirsiniz, aksi takdirde TCP protokolüne bağlantı noktası 80 üzerinden veya HTTPS'nin engellendiği durumlarda TCP bağlantı noktası 443 aracılığıyla bağlanabilirsiniz.

    Bölüm Ayrıca

    Posilannya

    • IPSec Yapılandırma Açıklaması (cisco.com)
    Güvenlik mekanizmaları
    iPad

    Siz de hak edebilirsiniz