Основы IPsec
IPsec – это набор сопутствующих протоколов для криптографической защиты данных на уровне IP-пакетов. IPsec также предоставляет методы ручного и автоматического согласования ассоциаций безопасности (SAS) и распределения ключей, все атрибуты, для которых собраны в домене интерпретации (DOI). IPsec DOI – это документ, содержащий определения всех параметров безопасности, необходимых для успешного согласования VPN туннеля — по сути, все атрибуты, необходимые для SA и IKE согласований. Дополнительные сведения см. в RFC 2407 и RFC 2408.
Чтобы использовать службы безопасности IPsec, между хостами создаются SAS. SA – это простое соединение, которое позволяет двум хостам взаимодействовать друг с другом безопасно при помощью IPsec. Существует два типа SAS: ручной и динамический.
IPsec поддерживает два режима безопасности (транспортный и туннельный).
Связи безопасности
Ассоциация безопасности (SA) — однонаправленное соглашение между участниками VPN о методах и параметрах, используемых для обеспечения безопасности канала связи. Полная двунаправленная связь требует как минимум двух СА, по одному для каждого направления. С помощью SA туннель IPsec может обеспечить следующие функции безопасности:
- Конфиденциальность (посредством шифрования)
- Целостность содержимого (с помощью аутентификации данных)
- Аутентификация отправитель и (при использовании сертификатов) нерезиляция (с помощью аутентификации источника данных)
Функции безопасности, которые вы выполняете, зависят от ваших потребностей. Если требуется только аутентификация источника и целостности содержимого IP-пакета, можно аутентификацию пакета без применения шифрования. С другой стороны, если речь идет только о сохранении конфиденциальности, то можно зашифровать пакет без применения механизмов аутентификации. При желании можно зашифровать и аутентификацию пакета. Большинство разработчиков сетевых безопасности выбирает шифрование, аутентификацию и повторную защиту трафика VPN.
Туннель IPsec состоит из пары однонаправленных SA — по одной SA для каждого направления туннеля, которые определяют индекс параметра безопасности (SPI), IP-адрес назначения и протокол безопасности (Заглавная пара аутентификации [AH] или инкапсулирующий security полезная нагрузка [ESP]. SA объединяет следующие компоненты для обеспечения безопасности связи:
- Алгоритмы и ключи обеспечения безопасности.
- Протокольный режим ( транспортный или туннельный). Junos OS устройства всегда используют туннельный режим. (См. «Обработка пакетов в туннельном режиме.)
- Метод управления ключами, ручной ключ или autoKey IKE.
- Срок действия SA.
Для входящий трафика Junos OS sa с помощью следующего триплета:
- IP-адрес назначения.
- Протокол безопасности AH или ESP.
- Значение индекса параметра безопасности (SPI).
Для исходя трафика VPN политика вызывает SA, связанную с туннелем VPN.
Управление ключами IPsec
Распределение и управление ключами очень важно для успешного использования VPN. Junos OS IPsec поддерживает технологию создания VPN-туннелей с тремя типами механизмов создания ключей:
Механизм создания ключей (также называемый методом аутентификации) можно выбрать в фазах 1 и 2 в конфигурации предложений. См. Internet Key Exchange.
Данная тема включает в себя следующие разделы:
Ключ вручную
С помощью ключей вручную администраторы на обоих концах туннеля настраивают все параметры безопасности. Это прием прием приемов для небольших, статических сетей, где распределение, обслуживание и отслеживание ключей не сложно. Однако безопасное распределение настроек вручную на большом расстоянии создает проблемы безопасности. За выряду с передачей ключей лицом к лицу нельзя полностью убедиться, что ключи не были скомпрометированы при передаче. Кроме того, при изменении ключа сталкиваются с проблемами безопасности, с которыми вы сталкивались при первоначальном распределении ключей.
AutoKey IKE
При создании и управлении многочисленными туннелями необходим метод, который не требует ручной настройки каждого элемента. IPsec поддерживает автоматическое генерацию и согласование ключей и ассоциаций безопасности с помощью Internet Key Exchange (IKE) протокола. Junos OS термином автоматическое согласование туннеля, например AutoKey IKE, поддерживается автоматическое согласование ключей IKE с предварительными ключами и AutoKey IKE с сертификатами.
- AutoKey IKE с предварительными ключами — использование IKE AutoKey с предварительно предварительными ключами для аутентификации участников сеанса IKE, каждая сторона должна заранее настроить и безопасно обмениваться предварительным ключом. В этом отношении проблема защищенного распределения ключей такая же, как и при ручных ключах. Однако после распределенного использования автоматическое управление, в отличие от ручного ключа, может автоматически изменить свои ключи через заранее определенные интервалы с помощью IKE протокола. Частое изменение ключей значительно улучшает безопасность и автоматически снижает ответственность за управление ключами. Однако изменение ключей увеличивает объем трафика; поэтому слишком частое изменение ключей может снизить эффективность передачи данных. Предварительный ключ является ключом для шифрования и дешифрования, который должны иметь оба участника перед инициацией связи.
- AutoKey IKE сертификатами — при использовании сертификатов для аутентификации участников во время согласования IKE AutoKey каждая сторона генерирует пару общедоступных частных ключей и получает сертификат. Пока команды, центр сертификации (CA) доверенные обеими сторонами, участники могут извлечь открытый ключ одноранговых участников и проверить подпись одноранговых участников. Нет необходимости отслеживать ключи и SAS; IKE делает это автоматически.
Diffie-Hellman Exchange
Обмен Diffie-Hellman (DH) позволяет участникам создавать общее секретное значение. Сила метода заключается в том, что он позволяет участникам создавать секретное значение через незащиченную среду без передачи секретного значения через провод. Размер обычного модуля, используемого в расчетах каждой группы, отличается, как показано в таблице ниже. Обмен Diffie Hellman (DH) может выполняться как в программном, так и в аппаратном обеспечении. Когда эти операции обмена выполняются на аппаратном оборудовании, мы используем криптографию QuickАst Technology (QAT). Ниже Табл. 1 перечислены различные группы Diffie Hellman (DH) и указывается, выполняется ли операция для этой группы в оборудовании или программном обеспечении.