IPSEC

Введение

IPSec (сокр. IP Security) — надстройка к протоколу IP, обеспечивающая безопасность протоколов более высокого уровня. IPSec был разработан для IPv6 протокола, а позже портирован на IPv4 протокол. Протоколы IPSec, являющиеся неотъемлемой частью IPv6(позже был портирован для IPv4), обеспечивают сквозную защиту передаваемых по сети данных с помощью шифрования, алгоритмов хеширования и цифровой подписи. Технология работает на сетевом уровне (3-й уровень модели OSI) — защищаются собственно передаваемые данные, а не канал, по которому они передаются.

Терминалогия

IKE(Internet Key Exchange) — протокол обмена ключами, используется для взаимной проверки подлинности и соответствия параметров безопасности между точками подключения(или сетями). По умолчанию использует порт 500/udp.

SP(Security Policy) — политики безопасности, определяют какие именно пакеты будут передаваться с помощью ipsec, а так же, через какие ассоциации и какие действия к ним должны быть применены. Политики безопасности хранятся в Security Policies Database (База политики безопасности).

SA(Security Associations) — проще говоря — параметры, по которым производится шифрование пакетов(ключи, алгоритмы, ip адреса).

ESP(Encapsulating Security Payload) — протокол безопасности, который обеспечивает защиту данных путем шифрования различными алгоритмами. Возможно использование аутентификации (AH) и обнаружение повторных пересылок. ESP полностью инкапсулирует пакеты IP. ESP может применяться сам по себе, либо с использованием AH.

IPsec_ESP

Рис. 1

AH(Authentication Header) — защищающий заголовок IP пакета от вмешательства третьей стороны и подделки путем вычисления криптографической контрольной суммы и хеширования полей заголовка IP пакета защищенной функцией хеширования. К пакету добавляется дополнительный заголовок с хэшем, позволяющий аутентификацию информации пакета? содержимое пакета не шифруется.

Рис. 2

Рис. 2

Symmetric Key Encryption — шифрование с симметричным ключом. Один и тот же ключ используется шифрования и расшифровки информации. Как правило, более быстр и требует меньше вычислительных ресурсов, использует ключи размером от 40 до 1024 бит, примеры алгоритмов — DES,  3DES, AES.

Рис. 1

Рис. 3

 

Public Key Encrytion — шифрование с асимметричным ключом. Для шифрования данных используется так называемый публичный ключ(Public key). Для расшифровки же данных, используется приватный ключ(private key). Алгоритм более «тяжел» в плане вычислений, использует ключи размером от 512 до 2048 бит, примеры алгоритмов — RSA или DH.

Рис. 2

Рис. 4

 

Hash — для проверки целостности и отсутствия подмены пакета используются криптографические хэш функции. Примеры — MD5 или SHA.

Pre-shared key — секретный ключ, задается в ручную, позволяет пирам идентифицировать друг друга.

DH(Diffie-Hellman) — алгоритм Диффи-Хелмана(криптографический протокол),позволяющий двум и более сторонам получить общий секретный ключ, используя незащищенный от прослушивания канал связи. Полученный ключ используется для шифрования дальнейшего обмена с помощью алгоритмов симметричного шифрования.

PFS(Perfect Forward Secrecy) позволяет удостовериться, что ключи, которые используются на второй фазе (то есть, для защиты данных), не были получены из ключей на первой фазе. При включенном PFS во время второй фазы выполняется генерация нового ключа с помощью алгоритма DH. PFS DH Group — длина ключа PFS.

Режим работы

Ipsec работает в двух режимах — туннельном и транспортном.

Туннельный — предполагает шифрование всего пакета, включая заголовок сетевого уровня. Туннельный режим применяется в случае необходимости скрытия информационного обмена организации с внешним миром.

Транспортный — спользуется для шифрования поля данных IP пакета, содержащего протоколы транспортного уровня (TCP, UDP, ICMP).

Фазы установления соединения

Установка соединения происходит 2 фазы:

Фаза 1.

В первой фазе есть два режима установления подключения — Main mode и Aggressive mode.

1. Main mode используется, если на серверах статический ip адреса. В данном режиме процесс занимает  6 шагов:

В первые два шага пиры обмениваются SA, обмениваются «куками»(cookie) —  цепочки, формируемые инициатором и его партнером с использованием текущего времени (для защиты от воспроизведения).

В следующие два шага, пиры обмениваются параметрами DH алгоритма, и вспомогательными данными(«nonces»).

В последние два шага пиры обмениваются информацией идентифицируют обмен Диффи-Хеллмана, то есть проверяют корректен ли ключ.

2. Aggressive mode применяется если у одного из пиров динамический ip адрес. Процесс занимает всего 3 шага.

В первых двух сообщениях Aggressive Mode договариваются о политике, обмениваются открытыми значениями Диффи-Хеллмана и вспомогательными данными, необходимыми для обмена, а также идентификациями. Второе сообщение аутентифицирует получателя. Третье сообщение аутентифицирует инициатора.

Фаза 2.

В второй фазе, пиры обмениваются информацией о типе протокола IPSEC(ESP или AH), режимах работы(туннельный или транспортный), proxy ID и прочее. После прохождения второй фазы, соединение считается установленным.

Оставить комментарий

*

code