Прим.: автор подразумевает, что читатель обладает знаниями примерно на уровне CCNA Security
LAN-to-LAN IPsec VPN подразумевает под собой взаимодействие двух сетевых устройств. В результате их взаимодействия принимаются решения о шифровании определенного трафика. Процесс согласование всех политик делится на две фазы:
IPsec фаза1: Устройства аутентифицируют друг друга используя один из преднастроенных методов (преднастроенные ключи, цифровые сертификаты). В самом начале общения две железки в первую очередь обмениваются методами аутентификации. В течение фазы аутентификации устройства обмениваются своими личными данными (IP-адреса, имена, цифровые сертификаты). Если все прошло хорошо, то устройства устанавливают безопасный канал связи, который называют ISAKMP SA (Security Associations), который используется для защиты всей передаваемой дальше информации.
Важнейшим процессом для установления такого безопасного канала является обмен секретными ключами по алгоритму Диффи-Хилмана. Эта процедура позволяет паре устройств в автоматическом режиме согласовывать секретный ключ для последующего шифрования. Если вкратце описать алгоритм ДХ, то ситуация будет выглядеть примерно следующим образом: сетевые устройства генерируют по два числа, обмениваются одним (одним в плане из каждой пары) из них и далее проводят определенные математические операции. Генерируемые числа являются псевдослучайными, подчиняются определенным математическим условиям и могут быть разной длины. Длина такого случайного числа задается с помощью «группы Диффи-Хилмана»: чем больше номер группы, тем большего размера будут сгенерированы случайные числа, следовательно, тем сложнее будет взломать данный алгоритм.
Прим.: думаю, что многие из Вас слышали такое понятие как IKE (Internet Key Exchange) и отождествляют его с понятием ISAKMP. В целом это не так. ISAKMP – это некое абстрактное понятие (оно говорит о том, что надо делать и что в итоге получить), а IKE – конкретная реализация алгоритма.
Первая фаза IPsec может работать в двух режимах: обычный и агрессивный. В первом режиме обмен всеми политиками происходит за 6 сообщений. Перед тем как устройства перейду к обмену своими персональными данными (identity) и аутентифицируют друг друга, обычный режим запускает алгоритм ДХ для генерации секретного ключа, который будет шифровать передаваемые identity. Агрессивный же режим укладывается в 3 служебных сообщения для установления ISAKMP SA. В этом режиме обмен identity и установление секретного ключа идут в параллель. Это менее безопасно, но дает определенные преимущества когда используется аутентификация устройств по преднастроенному ключу. Как мы с Вами увидим позже, обычный IKE режим с установленными ключами имеет определенные ограничения, поскольку обмен всеми identity идет только после установления секретного канала связи.
IPsec фаза 2: Две конечные точки (два маршрутизатора) согласовывают какой трафик необходимо шифровать, какой алгоритм шифрования для этого использовать и какая хэш-функция будет использована для проверки целостности трафика. При этом чаще всего устройства работают в туннельном режиме IPsec (когда оригинальный IP-заголовок заменяется другим). Такой новый IP-заголовок называется ESP (Encapsulated Standard Payload). В нем содержатся IP-адреса (source и destination) устройств, на которых терминируется VPN туннель, а оригинальный IP-пакет зашифрован и скрыт от внешнего мира.
Прим.: помимо протокола ESP можно использовать AH (Authentication Header). В этом случае исходный пакет не шифруется, а к нему просто прицепляется контрольная сумма, которая используется для проверки целостности данных. Используется довольно редко.
В отличии от первой фазы, вторая фаза может работать только в одном режиме – быстром (Quick Mode). В этом режиме для установления защищенного канала связи (IPsec SA) используется три сообщения.
Прим.: в течение второй фазы нет необходимости сильно заботиться о безопасности служебных сообщений, которые передаются для установления шифрованного канала, поскольку эти сообщения уже в свою очередь защищены ISAKMP SA.
Настройка IPsec на IOS состоит из нескольких шагов:
- Настраиваем политики первой фазы IPsec – определяем метод шифрования, группу ДХ, метод аутентификации. Делается это в режиме конфигурирования crypto isakmp policy
- Если на первом шаге для аутентификации были выбраны преднастроенные ключи, то этот ключ необходимо задать командой crypto isakmp key
- Задаем набор политик для второй фазы IPsec: алгоритм шифрования, метод проверки подлинности трафика (иными словами, хэш-функцию). Делается это командой crypto ipsec transform-set.
- Создаем расширенные списки доступа для определения того, какой трафик необходимо шифровать, а какой нет.
- Создаем карту шифрования, которая будет в себе содержать необходимый набор политик второй фазы, идентификатор удаленной стороны и вешаем эту карту на интерфейс. Создать карту шифрования можно командой crypto-map
Метки: IPSec
Опубликовано: Безопасность cisco , Маршрутизаторы и коммутаторы
Всегда считал, что ESP — Enc SECURITY Payload
Не буду придираться здесь, т.к. строгости изложения здесь и не предусматривалось, но если нужна более строгая «математика» напомню, что я уже писал такую штуку. Она лежит в закладке «Почитать» (Про алгоритмы и протоколы). В III главе как раз про алгоритмы IPSec.
ЗЫ Леш, не восприми как суровую критику.
Да, и вычисляют они 1 число каждый, потом возводят в степень, берут дискретный логарифм и это отправляют.
Да, Сереж, конечно Security Payload 🙂
Я вкладку «Почитать» заметил только после того, как прочитал твой коммент здесь 🙂