Ipsec протокол защиты сетевого трафика на ip уровне

Основы IPsec

IPsec – это набор сопутствующих протоколов для криптографической защиты данных на уровне IP-пакетов. IPsec также предоставляет методы ручного и автоматического согласования ассоциаций безопасности (SAS) и распределения ключей, все атрибуты, для которых собраны в домене интерпретации (DOI). IPsec DOI – это документ, содержащий определения всех параметров безопасности, необходимых для успешного согласования VPN туннеля — по сути, все атрибуты, необходимые для SA и IKE согласований. Дополнительные сведения см. в RFC 2407 и RFC 2408.

Чтобы использовать службы безопасности IPsec, между хостами создаются SAS. SA – это простое соединение, которое позволяет двум хостам взаимодействовать друг с другом безопасно при помощью IPsec. Существует два типа SAS: ручной и динамический.

IPsec поддерживает два режима безопасности (транспортный и туннельный).

Связи безопасности

Ассоциация безопасности (SA) — однонаправленное соглашение между участниками VPN о методах и параметрах, используемых для обеспечения безопасности канала связи. Полная двунаправленная связь требует как минимум двух СА, по одному для каждого направления. С помощью SA туннель IPsec может обеспечить следующие функции безопасности:

  • Конфиденциальность (посредством шифрования)
  • Целостность содержимого (с помощью аутентификации данных)
  • Аутентификация отправитель и (при использовании сертификатов) нерезиляция (с помощью аутентификации источника данных)

Функции безопасности, которые вы выполняете, зависят от ваших потребностей. Если требуется только аутентификация источника и целостности содержимого IP-пакета, можно аутентификацию пакета без применения шифрования. С другой стороны, если речь идет только о сохранении конфиденциальности, то можно зашифровать пакет без применения механизмов аутентификации. При желании можно зашифровать и аутентификацию пакета. Большинство разработчиков сетевых безопасности выбирает шифрование, аутентификацию и повторную защиту трафика VPN.

Читайте также:  Назовите конфигурацию локальной компьютерной сети в которой все рабочие станции соединены

Туннель IPsec состоит из пары однонаправленных SA — по одной SA для каждого направления туннеля, которые определяют индекс параметра безопасности (SPI), IP-адрес назначения и протокол безопасности (Заглавная пара аутентификации [AH] или инкапсулирующий security полезная нагрузка [ESP]. SA объединяет следующие компоненты для обеспечения безопасности связи:

  • Алгоритмы и ключи обеспечения безопасности.
  • Протокольный режим ( транспортный или туннельный). Junos OS устройства всегда используют туннельный режим. (См. «Обработка пакетов в туннельном режиме.)
  • Метод управления ключами, ручной ключ или autoKey IKE.
  • Срок действия SA.

Для входящий трафика Junos OS sa с помощью следующего триплета:

  • IP-адрес назначения.
  • Протокол безопасности AH или ESP.
  • Значение индекса параметра безопасности (SPI).

Для исходя трафика VPN политика вызывает SA, связанную с туннелем VPN.

Управление ключами IPsec

Распределение и управление ключами очень важно для успешного использования VPN. Junos OS IPsec поддерживает технологию создания VPN-туннелей с тремя типами механизмов создания ключей:

Механизм создания ключей (также называемый методом аутентификации) можно выбрать в фазах 1 и 2 в конфигурации предложений. См. Internet Key Exchange.

Данная тема включает в себя следующие разделы:

Ключ вручную

С помощью ключей вручную администраторы на обоих концах туннеля настраивают все параметры безопасности. Это прием прием приемов для небольших, статических сетей, где распределение, обслуживание и отслеживание ключей не сложно. Однако безопасное распределение настроек вручную на большом расстоянии создает проблемы безопасности. За выряду с передачей ключей лицом к лицу нельзя полностью убедиться, что ключи не были скомпрометированы при передаче. Кроме того, при изменении ключа сталкиваются с проблемами безопасности, с которыми вы сталкивались при первоначальном распределении ключей.

AutoKey IKE

При создании и управлении многочисленными туннелями необходим метод, который не требует ручной настройки каждого элемента. IPsec поддерживает автоматическое генерацию и согласование ключей и ассоциаций безопасности с помощью Internet Key Exchange (IKE) протокола. Junos OS термином автоматическое согласование туннеля, например AutoKey IKE, поддерживается автоматическое согласование ключей IKE с предварительными ключами и AutoKey IKE с сертификатами.

  • AutoKey IKE с предварительными ключами — использование IKE AutoKey с предварительно предварительными ключами для аутентификации участников сеанса IKE, каждая сторона должна заранее настроить и безопасно обмениваться предварительным ключом. В этом отношении проблема защищенного распределения ключей такая же, как и при ручных ключах. Однако после распределенного использования автоматическое управление, в отличие от ручного ключа, может автоматически изменить свои ключи через заранее определенные интервалы с помощью IKE протокола. Частое изменение ключей значительно улучшает безопасность и автоматически снижает ответственность за управление ключами. Однако изменение ключей увеличивает объем трафика; поэтому слишком частое изменение ключей может снизить эффективность передачи данных. Предварительный ключ является ключом для шифрования и дешифрования, который должны иметь оба участника перед инициацией связи.
  • AutoKey IKE сертификатами — при использовании сертификатов для аутентификации участников во время согласования IKE AutoKey каждая сторона генерирует пару общедоступных частных ключей и получает сертификат. Пока команды, центр сертификации (CA) доверенные обеими сторонами, участники могут извлечь открытый ключ одноранговых участников и проверить подпись одноранговых участников. Нет необходимости отслеживать ключи и SAS; IKE делает это автоматически.
Читайте также:  Структура связей компьютерной сети между ее основными функциональными элементами

Diffie-Hellman Exchange

Обмен Diffie-Hellman (DH) позволяет участникам создавать общее секретное значение. Сила метода заключается в том, что он позволяет участникам создавать секретное значение через незащиченную среду без передачи секретного значения через провод. Размер обычного модуля, используемого в расчетах каждой группы, отличается, как показано в таблице ниже. Обмен Diffie Hellman (DH) может выполняться как в программном, так и в аппаратном обеспечении. Когда эти операции обмена выполняются на аппаратном оборудовании, мы используем криптографию QuickАst Technology (QAT). Ниже Табл. 1 перечислены различные группы Diffie Hellman (DH) и указывается, выполняется ли операция для этой группы в оборудовании или программном обеспечении.

Источник

Оцените статью
Adblock
detector