IPsec

Kokeneet kirjoittajat eivät ole vielä tarkistaneet sivun nykyistä versiota, ja se voi poiketa merkittävästi 4. huhtikuuta 2019 tarkistetusta versiosta . tarkastukset vaativat 22 muokkausta .

IPsec (lyhenne sanoista IP-turvallisuus ) on joukko protokollia , joilla varmistetaan IP -protokollan kautta siirrettyjen tietojen suojaus . Mahdollistaa IP-pakettien todennuksen ( todennus ), eheyden tarkistuksen ja/tai salauksen . IPsec sisältää myös protokollat ​​suojattua avainten vaihtoa varten Internetissä . Sitä käytetään pääasiassa VPN - yhteyksien järjestämiseen.

Historia

Aluksi Internet luotiin turvalliseksi välineeksi tietojen siirtoon armeijan välillä. Koska sen kanssa työskenteli vain tietty joukko ihmisiä, jotka olivat koulutettuja ja joilla oli käsitys turvallisuuspolitiikasta, ei ollut ilmeistä tarvetta rakentaa suojattuja protokollia. Turvallisuus oli järjestetty esineiden fyysisen eristämisen tasolla luvattomalta henkilöiltä, ​​ja tämä oli perusteltua, kun verkkoon oli pääsy rajoitetulla määrällä koneita. Kuitenkin, kun Internet tuli julkiseksi ja alkoi aktiivisesti kehittyä ja kasvaa, tällainen tarve ilmaantui [1] .

Ja vuonna 1994 Internet Architecture Board (IAB) julkaisi raportin "Internet Architectural Security". Se oli omistettu pääasiassa suojausmenetelmille luvattomalta valvonnalta, pakettien huijaukselta ja tietovirran hallinnasta. Tämän ongelman ratkaisemiseksi tarvittiin standardi tai konsepti. Tämän seurauksena syntyi suojattuja protokollastandardeja, mukaan lukien IPsec. Aluksi se sisälsi kolme asiakirjoissa kuvattua perusspesifikaatiota (RFC1825, 1826 ja 1827), mutta myöhemmin IETF IP Security Protocol -työryhmä tarkisti niitä ja ehdotti uusia standardeja (RFC2401 - RFC2412), joita käytetään edelleen.

Standardit

IPsec-arkkitehtuuri

Turvallisen viestintäkanavan rakentaminen voidaan toteuttaa OSI - mallin eri tasoilla . IPsec on toteutettu verkkokerroksessa . Suojatun kanavan toteutustason valinnassa on useita ristiriitaisia ​​argumentteja: toisaalta ylempien tasojen valintaa tukee niiden riippumattomuus kuljetustyypistä (verkko- ja linkkikerroksen protokollien valinta), toisaalta. Jokainen sovellus vaatii erillisen asetuksen ja määrityksen. Etuna alempien kerrosten valinnassa on niiden monipuolisuus ja näkyvyys sovelluksille, haittapuoli on riippuvuus tietyn protokollan valinnasta (esimerkiksi PPP tai Ethernet ). Se, että IPsec sijaitsee verkkokerroksessa, on kompromissi OSI-kerroksen valinnassa. IPsec käyttää yleisintä verkkokerroksen protokollaa - IP :tä, mikä tekee IPsecin käytöstä joustavaa - sillä voidaan suojata mitä tahansa IP-pohjaisia ​​protokollia ( TCP , UDP ja muut). Samalla se on läpinäkyvä useimmille sovelluksille [2] .

IPsec on joukko Internet-standardeja ja eräänlainen "lisäosa" IP-protokollalle. Sen ydin koostuu kolmesta protokollasta [3] :

Myös yksi keskeisistä käsitteistä on Security Association (SA). Itse asiassa SA on joukko parametreja, jotka kuvaavat yhteyttä. Esimerkiksi käytetty salausalgoritmi ja hash-funktio , salaiset avaimet, paketin numero jne.

Tunneli- ja kuljetusmuodot

IPsec voi toimia kahdessa tilassa: kuljetus ja tunneli.

Siirtotilassa vain IP-paketin tiedot salataan tai allekirjoitetaan, alkuperäinen otsikko säilyy. Siirtotilaa käytetään tyypillisesti yhteyden muodostamiseen isäntien välille. Sitä voidaan käyttää myös yhdyskäytävien välillä jollain muulla tavalla järjestettyjen tunnelien turvaamiseen (katso esimerkiksi L2TP ).

Tunnelitilassa koko alkuperäinen IP-paketti salataan: data, otsikko, reititystiedot ja sitten se lisätään uuden paketin tietokenttään, eli tapahtuu kapselointi [4] . Tunnelitilaa voidaan käyttää etätietokoneiden yhdistämiseen virtuaaliseen yksityisverkkoon tai suojatun tiedonsiirron järjestämiseen avoimien viestintäkanavien (esimerkiksi Internet) kautta yhdyskäytävien välillä virtuaalisen yksityisen verkon eri osien yhdistämiseksi .

IPsec-tilat eivät sulje toisiaan pois. Samalla isännällä jotkut SA:t voivat käyttää siirtotilaa, kun taas toiset voivat käyttää tunnelitilaa.

Security Association

Jotta voit aloittaa tiedonvaihdon kahden osapuolen välillä, sinun on muodostettava yhteys, jota kutsutaan nimellä SA (Security Association). Käsite SA on perustavanlaatuinen IPsec, itse asiassa on sen ydin. Siinä kuvataan, kuinka osapuolet käyttävät palveluja turvallisen viestinnän tarjoamiseen. SA-yhteys on simplex (yksisuuntainen), joten osapuolten on muodostettava kaksi yhteyttä. On myös syytä huomata, että IPsec-standardit sallivat suojatun kanavan päätepisteiden käyttää sekä yhtä SA:ta välittämään kaikkien tämän kanavan kautta vuorovaikutuksessa olevien isäntien liikennettä ja luoda mielivaltaisen määrän suojattuja assosiaatioita tätä tarkoitusta varten, esimerkiksi yhden jokaista TCP-yhteyttä kohden. . Näin voidaan valita haluttu suojaustaso. [2] Yhteyden muodostaminen alkaa osapuolten keskinäisellä autentikaatiolla. Seuraavaksi valitaan parametrit (suoritetaanko todennus, salaus, tietojen eheystarkistukset) ja tarvittava protokolla (AH tai ESP) tiedonsiirtoa varten. Tämän jälkeen tietyt algoritmit (esim. salaus, hash-funktio) valitaan useista mahdollisista menetelmistä, joista osa on standardin määrittelemiä (salaukselle - DES , hash-funktioille - MD5 tai SHA-1 ), toiset lisätään IPseciä käyttävien tuotteiden valmistajat (esim. Triple DES , Blowfish , CAST ) [5] .

Tietoturvayhdistysten tietokanta

Kaikki SA:t on tallennettu IPsec-moduulin SAD:iin (Security Associations Database). Jokaisella SA:lla on ainutlaatuinen merkki, joka koostuu kolmesta elementistä [6] :

IPsec-moduuli voi näiden kolmen parametrin perusteella etsiä tietyn SA-merkinnän SAD:sta. SA-komponenttien luettelo sisältää [7] :

Sarjanumero 32-bittinen arvo, jota käytetään AH- ja ESP-otsikoiden järjestysnumerokentän muodostamiseen. Jaksolaskurin ylivuoto Lippu, joka ilmoittaa järjestysnumerolaskurin ylivuodosta. Toista hyökkäyksen esto -ikkuna Käytetään määrittämään pakettien uudelleenlähetys. Jos Järjestysnumero -kentän arvo ei ole määritetyn alueen sisällä, paketti tuhotaan. AH tiedot käytetty todennusalgoritmi, tarvittavat avaimet, avainten käyttöikä ja muut parametrit. ESP tiedot salaus- ja todennusalgoritmit, vaaditut avaimet, alustusparametrit (esimerkiksi IV), avaimen käyttöikä ja muut parametrit IPsec-toimintatila tunneli tai kuljetus SA elinikäinen Määritetään tunnelin läpi kulkevan tiedon sekunteina tai tavuina. Määrittää SA:n olemassaolon keston, kun tämä arvo saavutetaan, nykyisen SA:n on lopetettava, tarvittaessa jatkettava yhteyttä, uusi SA muodostetaan. MTU Suurin paketin koko, joka voidaan lähettää virtuaalipiirin kautta ilman pirstoutumista.

Jokaisella protokollalla (ESP/AH) on oltava oma SA jokaiselle suunnalle, joten AH+ESP vaatii neljä SA :ta duplex -linkille. Kaikki nämä tiedot ovat SAD:ssa.

SAD sisältää:

Security Policy Database

SAD-tietokannan lisäksi IPsec-toteutukset tukevat Security Policy Databasea (SPD). SPD:tä käytetään korreloimaan saapuvat IP-paketit niiden käsittelysääntöjen kanssa. SPD:n tietueet koostuvat kahdesta kentästä. [8] Ensimmäiseen tallennetaan pakettien tunnusmerkit, joiden mukaan tietovirta voidaan erottaa toisistaan. Näitä kenttiä kutsutaan valitsimiksi. Esimerkkejä SPD:n [6] sisältämistä valitsimista :

SPD:n toinen kenttä sisältää tähän pakettivirtaan liittyvän suojauskäytännön. Valitsimia käytetään lähtevien pakettien suodattamiseen, jotta jokainen paketti voidaan sovittaa tiettyyn SA:han. Kun paketti saapuu, paketin vastaavien kenttien arvoja (valitsijakenttiä) verrataan SPD:n sisältämiin arvoihin. Kun vastaavuus löytyy, suojauskäytäntökenttä sisältää tietoja tämän paketin käsittelystä: välittää se muuttamattomana, hylkää se tai käsittele se. Käsittelyn yhteydessä sama kenttä sisältää linkin vastaavaan SAD-merkintään. Tämän jälkeen määritetään paketin SA ja siihen liittyvä Security Parameter Index (SPI), jonka jälkeen suoritetaan IPsec-toiminnot (AH- tai ESP-protokollatoiminnot). Jos paketti on saapuva, ​​se sisältää välittömästi SPI:n - vastaava käsittely suoritetaan.

Authentication Header

Todennusotsikon muoto
kompensaatioita lokakuun 16 0 yksi 2 3
lokakuun 16 bitti 10 0 yksi 2 3 neljä 5 6 7 kahdeksan 9 kymmenen yksitoista 12 13 neljätoista viisitoista 16 17 kahdeksantoista 19 kaksikymmentä 21 22 23 24 25 26 27 28 29 kolmekymmentä 31
0 0 Seuraava otsikko Hyötykuorma Len Varattu
neljä 32 Security Parameters Index (SPI)
kahdeksan 64 sekvenssi numero
C 96 Eheyden tarkistusarvo (ICV)
Seuraava otsikkotyyppi (8 bittiä) Protokollaotsikon tyyppi, joka tulee AH-otsikon jälkeen. Tämän kentän avulla vastaanottava IP-sec-moduuli oppii suojatun ylemmän kerroksen protokollan. Katso RFC 1700 tämän kentän merkityksestä eri protokollille . Sisällön pituus (8 bittiä) Tässä kentässä määritetään AH-otsikon kokonaiskoko 32-bittisinä sanoina miinus 2. IPv6:ta käytettäessä otsikon pituuden on kuitenkin oltava 8 tavun kerrannainen. Varattu (16 bittiä) Varattu. Täytetty nollalla. Suojausasetusten indeksi (32 bittiä) Suojausasetusten hakemisto. Tämän kentän arvo yhdessä kohde-IP-osoitteen ja suojausprotokollan (AH-protokollan) kanssa yksilöi tämän paketin suojatun virtuaalisen yhteyden (SA). SPI-arvoalue 1…255 on varattu IANA:n toimesta . Järjestysnumero (32 bittiä) Sarjanumero. Suojaa uudelleenlähetystä vastaan. Kenttä sisältää monotonisesti kasvavan parametrin arvon. Vaikka vastaanottaja voi kieltäytyä pakettien uudelleenlähetyksen suojauspalvelusta, se on pakollinen ja on aina läsnä AH-otsikossa. Lähettävä IPsec-moduuli käyttää aina tätä kenttää, mutta vastaanotin EI SAA käsitellä sitä. Todennustiedot Digitaalinen allekirjoitus. Käytetään todentamaan ja tarkistamaan paketin eheys. Se on täytettävä 8 tavun kerrannaiseksi IPv6:lle ja 4 tavun kerrannaiseksi IPv4:lle.

AH-protokollaa käytetään todentamiseen eli varmistamaan, että kommunikoimme tarkalleen sen kanssa, keitä luulemme olevansa, ja että vastaanottamiamme tietoja ei peukaloida siirron aikana [9] .

IP-lähtöpakettien käsittely

Jos lähettävä IPsec-moduuli määrittää, että paketti liittyy SA:han, joka vaatii AH-käsittelyä, se aloittaa käsittelyn. Tilasta (kuljetus- tai tunnelitila) riippuen se lisää AH-otsikon eri tavalla IP-pakettiin. Kuljetustilassa AH-otsikko näkyy IP-protokollaotsikon jälkeen ja ennen ylemmän kerroksen protokollaotsikoita (tyypillisesti TCP tai UDP ). Tunnelitilassa koko lähde-IP-paketti kehystetään ensin AH-otsikolla ja sitten IP-protokollan otsikolla. Tällaista otsikkoa kutsutaan ulkoiseksi, ja alkuperäisen IP-paketin otsikkoa kutsutaan sisäiseksi. Tämän jälkeen lähettävän IPsec-moduulin on luotava järjestysnumero ja kirjoitettava se Järjestysnumero -kenttään . Kun SA on perustettu, järjestysnumeroksi asetetaan 0 ja sitä lisätään yhdellä ennen kunkin IPsec-paketin lähettämistä. Lisäksi tarkistetaan, onko laskuri mennyt jaksoittain. Jos se on saavuttanut maksimiarvon, se asetetaan takaisin nollaan. Jos uudelleenlähetyksen estopalvelua käytetään, niin kun laskuri saavuttaa maksimiarvon, lähettävä IPsec-moduuli nollaa SA:n. Tämä suojaa pakettien uudelleenlähetystä vastaan ​​- vastaanottava IPsec-moduuli tarkistaa Järjestysnumero -kentän ja jättää huomioimatta uudelleen saapuvat paketit. Seuraavaksi lasketaan ICV-tarkistussumma. On huomattava, että tässä tarkistussumma lasketaan salaisella avaimella, jota ilman hyökkääjä voi laskea hashin uudelleen, mutta tietämättä avainta hän ei pysty muodostamaan oikeaa tarkistussummaa. ICV:n laskemiseen käytetyt erityiset algoritmit löytyvät RFC 4305 :stä . Tällä hetkellä voidaan käyttää esimerkiksi HMAC-SHA1-96- tai AES-XCBC-MAC-96-algoritmeja. AH-protokolla laskee tarkistussumman (ICV) seuraavista IPsec-paketin kentistä [10] :

Saapuvien IP-pakettien käsittely

Vastaanotettuaan AH-protokollasanoman sisältävän paketin vastaanottava IPsec-moduuli etsii sopivan SAD:n (Security Associations Database) suojatun virtuaaliyhteyden (SA) käyttämällä kohde-IP-osoitetta, suojausprotokollaa (AH) ja SPI-indeksiä. Jos vastaavaa SA:ta ei löydy, paketti hylätään. Löytynyt suojattu virtuaaliyhteys (SA) kertoo, käytetäänkö palvelua pakettien uudelleenlähetyksen estämiseen, eli tarvetta tarkistaa kenttä Sarjanumero . Jos palvelu on käytössä, kenttä tarkistetaan. Tämä käyttää liukuikkunamenetelmää rajoittamaan protokollan toimintaan tarvittavaa puskurimuistia. Vastaanottava IPsec-moduuli muodostaa ikkunan, jonka leveys on W (yleensä W valitaan 32 tai 64 paketiksi). Ikkunan vasen reuna vastaa oikein vastaanotetun paketin pienintä järjestysnumeroa ( Sequence Number ) N. Paketti , jonka järjestysnumerokenttä sisältää arvon N+1 - N+W, vastaanotetaan oikein. Jos vastaanotettu paketti on ikkunan vasemmalla reunalla, se tuhoutuu. Vastaanottava IPsec-moduuli laskee sitten ICV:n vastaanotetun paketin asianmukaisista kentistä käyttämällä todennusalgoritmia, jonka se oppii SA-tietueesta, ja vertaa tulosta "Integrity Check Value" -kentässä olevaan ICV-arvoon. Jos laskettu ICV-arvo vastaa vastaanotettua, saapuvan paketin katsotaan olevan kelvollinen ja se hyväksytään jatkokäsittelyyn. Jos tarkistus epäonnistuu, vastaanotettu paketti tuhotaan [10] .

Encapsulating Security Payload

Encapsulating Security Payload -muoto
kompensaatioita lokakuun 16 0 yksi 2 3
lokakuun 16 bitti 10 0 yksi 2 3 neljä 5 6 7 kahdeksan 9 kymmenen yksitoista 12 13 neljätoista viisitoista 16 17 kahdeksantoista 19 kaksikymmentä 21 22 23 24 25 26 27 28 29 kolmekymmentä 31
0 0 Security Parameters Index (SPI)
neljä 32 sekvenssi numero
kahdeksan 64 hyötykuormatiedot
   
  Täyte (0-255 oktettia)  
  Pehmusteen pituus Seuraava otsikko
Eheyden tarkistusarvo (ICV)
Suojausparametriindeksi (32 bittiä) Security Settings Index (samanlainen kuin vastaava AH-kenttä). Tämän kentän arvo yhdessä kohde-IP-osoitteen ja suojausprotokollan (ESP) kanssa yksilöi tämän paketin suojatun virtuaaliyhteyden (SA). IANA varaa SPI-arvoalueen 1…255 tulevaa käyttöä varten. Järjestysnumero (32 bittiä) Järjestysnumero (samanlainen kuin vastaava AH-kenttä). Suojaa uudelleenlähetystä vastaan. Kenttä sisältää monotonisesti kasvavan parametrin arvon. Vaikka vastaanottaja voi kieltäytyä pakettien uudelleenlähetyksen suojauspalvelusta, se on aina läsnä ESP-otsikossa. Lähettäjä (lähettävä IPsec-moduuli) PITÄÄ aina käyttää tätä kenttää, mutta vastaanottajan ei välttämättä tarvitse käsitellä sitä. hyötykuormatiedot (muuttuja) Tämä kenttä sisältää tiedot (riippuen muodon valinnasta - tunneli tai kuljetus, joko koko alkuperäinen kapseloitu paketti tai vain sen tiedot) "Seuraava otsikko" -kentän mukaisesti. Tämä kenttä on pakollinen, ja se koostuu kokonaisluvusta tavuja. Jos tämän kentän salaamiseen käytetty algoritmi vaatii tietoja kryptoprosessien synkronoimiseksi (esimerkiksi alustusvektori - "Initialization Vector" ), tämä kenttä voi sisältää nämä tiedot nimenomaisesti. Täyte (0-255 oktettia) Lisäys. Tarpeellinen esimerkiksi algoritmeille, jotka edellyttävät, että selväkieli on tietyn tavumäärän kerrannainen, kuten lohkosalauksen lohkokoko. Padin pituus (8 bittiä) Täytekoko (tavuina). Seuraava otsikko (8 bittiä) Tämä kenttä määrittää "Hyötykuormatiedot"-kentän sisältämien tietojen tyypin. Eheystarkistusarvo Tarkista summa. Käytetään todentamaan ja tarkistamaan paketin eheys. Sen on oltava 8 tavun kerrannainen IPv6:lle ja 4 tavun kerrannainen IPv4:lle [11] .

IPsec-lähtöpakettien käsittely

Jos lähettävä IPsec-moduuli määrittää, että paketti liittyy SA:han, joka vaatii ESP-käsittelyä, se aloittaa käsittelyn. Tilasta (kuljetus- tai tunnelitila) riippuen alkuperäinen IP-paketti käsitellään eri tavalla. Siirtotilassa lähettävä IPsec-moduuli suorittaa kehystysmenettelyn ylemmän kerroksen protokollalle (esimerkiksi TCP tai UDP) käyttämällä ESP-otsikkoa (otsikon Security Parameters Index- ja Sequence Number -kentät) ja ESP-traileria (loput). tietokenttää seuraavan otsikon kentät) tätä varten - Hyötykuormatiedot) vaikuttamatta alkuperäisen IP-paketin otsikkoon. Tunnelitilassa IP-paketti kehystetään ESP-otsikolla ja ESP-trailerilla ( kapselointi ), minkä jälkeen se kehystetään ulkoisella IP-otsikolla (joka ei välttämättä vastaa alkuperäistä - esimerkiksi jos IPsec-moduuli on asennettu yhdyskäytävä ) [8 ] . Seuraavaksi suoritetaan salaus - siirtotilassa vain ylemmän kerroksen protokollan viesti salataan (eli kaikki, mikä oli IP-otsikon jälkeen lähdepaketissa), tunnelitilassa - koko lähde-IP-paketti. SA-merkinnästä lähettävä IPsec-moduuli määrittää salausalgoritmin ja salaisen avaimen . IPsec-standardit sallivat Triple DES- , AES- ja Blowfish -salausalgoritmien käytön, jos molemmat osapuolet tukevat niitä. Muussa tapauksessa käytetään RFC 2405 :ssä määriteltyä DES: ää . Koska pelkän tekstin koon on oltava tietyn tavumäärän, esimerkiksi lohkoalgoritmien lohkokoon , kerrannainen , ennen salausta suoritetaan myös salatun viestin tarvittava lisäys. Salattu viesti sijoitetaan Payload Data - kenttään . Pad Length - kenttä sisältää tyynyn pituuden . Sitten, kuten AH:ssa, lasketaan järjestysnumero, jonka jälkeen lasketaan tarkistussumma (ICV). Toisin kuin AH-protokollassa, jossa jotkin IP-otsikon kentät otetaan huomioon myös sitä laskettaessa, ESP:ssä lasketaan vain ESP-paketin kentät miinus ICV-kenttä. Ennen tarkistussumman laskemista se täytetään nolilla. ICV-laskentaalgoritmi, kuten AH-protokollassa, lähettävä IPsec-moduuli oppii tietueesta SA:sta, johon prosessoitu paketti liittyy.

Saapuvien IPsec-pakettien käsittely

Vastaanotettuaan ESP-protokollasanoman sisältävän paketin vastaanottava IPsec-moduuli etsii sopivan suojatun virtuaalisen yhteyden (SA) SAD:sta käyttämällä kohde-IP-osoitetta, suojausprotokollaa (ESP) ja SPI [8] -indeksiä . Jos vastaavaa SA:ta ei löydy, paketti hylätään. Löydetty suojattu virtuaaliyhteys (SA) kertoo, onko pakettien uudelleenlähetyksen estopalvelua käytössä, eli tarvetta tarkistaa Sarjanumero-kenttä. Jos palvelu on käytössä, kenttä tarkistetaan. Tätä varten, kuten AH:ssa, käytetään liukuikkunamenetelmää. Vastaanottava IPsec-moduuli muodostaa ikkunan, jonka leveys on W. Ikkunan vasen reuna vastaa oikein vastaanotetun paketin pienintä järjestysnumeroa (Sequence Number) N. Paketti, jonka järjestysnumerokenttä sisältää arvon N+1 - N+W, vastaanotetaan oikein. Jos vastaanotettu paketti on ikkunan vasemmalla reunalla, se tuhoutuu. Sitten, jos todennuspalvelua käytetään, vastaanottava IPsec-moduuli laskee ICV:n vastaanotetun paketin vastaavista kentistä SA-tietueesta oppimansa todennusalgoritmin avulla ja vertaa tulosta "Integrity Check Value" -kohdassa olevaan ICV-arvoon. ala. Jos laskettu ICV-arvo vastaa vastaanotettua arvoa, saapuvan paketin katsotaan olevan kelvollinen. Jos tarkistus epäonnistuu, vastaanottava paketti hylätään. Seuraavaksi paketin salaus puretaan. Vastaanottava IPsec-moduuli oppii SA-merkinnästä, mitä salausalgoritmia käytetään ja salaisen avaimen. On huomattava, että tarkistussumman tarkistus ja salauksen purku voidaan suorittaa ei vain peräkkäin, vaan myös rinnakkain. Jälkimmäisessä tapauksessa tarkistussumman varmistustoimenpiteen tulee päättyä ennen salauksen purkamista, ja jos ICV-tarkistus epäonnistuu, myös salauksen purkuprosessi on lopetettava. Tämä mahdollistaa rikkinäisten pakettien nopeamman havaitsemisen, mikä puolestaan ​​lisää suojaustasoa palvelunestohyökkäyksiä ( DOS-hyökkäykset ) vastaan. Lisäksi seuraava otsikko -kentän mukainen salaus purettu viesti lähetetään jatkokäsittelyä varten.

ike

IKE (lausutaan haik , lyhenne sanoista Internet Key Exchange) on protokolla, joka sitoo kaikki IPsec-komponentit toimivaksi kokonaisuudeksi. Erityisesti IKE tarjoaa osapuolten alkuperäisen todennuksen sekä jaettujen salaisuuksien vaihdon .

Istuntoavain on mahdollista asettaa manuaalisesti (ei pidä sekoittaa esijaettuun avaimeen [PSK] todennusta varten). Tässä tapauksessa IKE:tä ei käytetä. Tätä vaihtoehtoa ei kuitenkaan suositella, ja sitä käytetään harvoin. Perinteisesti IKE toimii portissa 500 UDP .

On IKE ja uudempi versio protokollasta: IKEv2. Näiden protokollien spesifikaatioissa ja toiminnassa on joitain eroja. IKEv2 muodostaa yhteysparametrit yhdessä vaiheessa, joka koostuu useista vaiheista. IKE-prosessi voidaan jakaa kahteen vaiheeseen.

Ensimmäinen vaihe

IKE luo suojatun kanavan kahden solmun välille, jota kutsutaan IKE-tietoturvayhdistykseksi (IKE SA). Myös tässä vaiheessa kaksi solmua sopivat istuntoavaimesta Diffie-Hellman-algoritmin avulla . IKE:n ensimmäinen vaihe voi tapahtua jommassakummassa kahdesta tilasta [12] :

Turvallisuuden näkökulmasta aggressiivinen tila on heikompi, koska osallistujat alkavat vaihtaa tietoja ennen suojatun kanavan muodostamista, joten luvaton tietojen sieppaus on mahdollista. Tämä tila on kuitenkin nopeampi kuin päätila. IKE-standardin mukaan kaikki toteutus vaaditaan tukemaan päätilaa , ja on erittäin toivottavaa tukea aggressiivista tilaa .

Toinen vaihe

Toisessa IKE-vaiheessa on vain yksi nopea tila. Nopea tila suoritetaan vasta, kun suojattu kanava on muodostettu ensimmäisen vaiheen aikana. Se neuvottelee yhteisen IPsec-käytännön, hankkii jaetut salaisuudet IPsec-protokollaalgoritmeille (AH tai ESP), perustaa IPsec SA:n. Järjestysnumeroiden käyttö suojaa uusintahyökkäyksiä vastaan. Pikatilaa käytetään myös nykyisen IPsec SA:n tarkistamiseen ja uuden valitsemiseen SA:n vanhentuessa. Oletuksena nopea tila päivittää jaetut salaiset avaimet Diffie-Hellman-algoritmilla ensimmäisestä vaiheesta lähtien.

Kuinka IPsec toimii

IPsec-protokollat ​​voidaan jakaa viiteen vaiheeseen [13] :

  1. Ensimmäinen vaihe alkaa suojauskäytännön luomisella jokaiselle IPsec-standardia tukevalle solmulle. Tässä vaiheessa määritellään, mikä liikenne salataan, mitä toimintoja ja algoritmeja voidaan käyttää.
  2. Toinen vaihe on pohjimmiltaan IKE:n ensimmäinen vaihe. Sen tarkoituksena on järjestää suojattu kanava osapuolten välille IKE:n toista vaihetta varten. Toisessa vaiheessa suoritetaan seuraavat:
    • Solmuiden identiteetin todennus ja suojaus
    • Tarkistetaan Node IKE SA:n suojatun avainten vaihdon käytäntöjä
    • Diffie-Hellman-vaihto , jossa jokaisella solmulla on jaettu salainen avain
    • Suojatun kanavan luominen IKE:n toiselle vaiheelle
  3. Kolmas vaihe on IKE:n toinen vaihe. Sen tehtävänä on luoda IPsec-tunneli. Kolmannessa vaiheessa suoritetaan seuraavat toiminnot:
    • Neuvotella IPsec SA -parametreja IKE:n SA-suojatun kanavan kautta, joka on luotu IKE:n ensimmäisessä vaiheessa
    • IPsec SA on asetettu
    • IPsec SA tarkistetaan säännöllisesti sen turvallisuuden varmistamiseksi.
    • (Valinnainen) suoritetaan ylimääräinen Diffie-Hellman-vaihto
  4. Työvaihe. IPsec SA:n luomisen jälkeen alkaa tiedonvaihto solmujen välillä IPsec-tunnelin kautta SA:ssa asetettuja protokollia ja parametreja käyttäen.
  5. Nykyiset IPsec SA:t on lopetettu. Tämä tapahtuu, kun ne poistetaan tai kun käyttöaika (määritetty SA:ssa kanavan yli lähetetyn tiedon tavuina tai sekunteina), jonka arvo sisältyy kunkin solmun SAD:iin, umpeutuu. Jos siirron jatkaminen on välttämätöntä, IKE-vaihe 2 käynnistetään (ja tarvittaessa ensimmäinen vaihe) ja sitten luodaan uudet IPsec SA:t. Uusien SA:iden luominen voi tapahtua myös ennen nykyisten päättymistä, jos jatkuvaa tiedonsiirtoa tarvitaan.

Käyttö

IPsec - protokollaa käytetään pääasiassa VPN - tunneleiden järjestämiseen . Tässä tapauksessa ESP- ja AH-protokollat ​​toimivat tunnelitilassa. Lisäksi protokollaa voidaan käyttää palomuurin luomiseen määrittämällä suojauskäytännöt tietyllä tavalla . Palomuurin tarkoitus on, että se ohjaa ja suodattaa sen läpi kulkevia paketteja annettujen sääntöjen mukaisesti. Sääntöjoukko asetetaan ja näyttö tarkastelee kaikkia sen läpi kulkevia paketteja. Jos lähetetyt paketit ovat näiden sääntöjen alaisia, palomuuri käsittelee ne vastaavasti [14] . Se voi esimerkiksi hylätä tietyt paketit ja katkaista siten suojaamattomat yhteydet. Määrittämällä suojauskäytännön vastaavasti voit esimerkiksi estää verkkoliikenteen. Tätä varten riittää, että estetään HTTP- ja HTTPS -protokollaviestejä sisältävien pakettien lähettäminen . IPseciä voidaan käyttää myös palvelimien suojaamiseen - tätä varten kaikki paketit hylätään, lukuun ottamatta paketteja, jotka ovat välttämättömiä palvelintoimintojen oikeaan suorittamiseen. Voit esimerkiksi estää verkkopalvelimen kaiken liikenteen paitsi yhteyksiä TCP-portissa 80 tai TCP-portissa 443 tapauksissa, joissa käytetään HTTPS :ää .

Esimerkki [15] :

IPsec tarjoaa suojatun pääsyn palvelimeen. ESP-protokollaa käytettäessä kaikki palvelimelle tulevat puhelut ja sen vastaukset salataan. VPN-yhdyskäytävän takana (salausalueella) lähetetään kuitenkin selkeät viestit.

Muita esimerkkejä IPsecin käytöstä [16] :

Katso myös

Linkit

Muistiinpanot

  1. Stanislav Korotygin , IPSec - protokolla verkkoliikenteen suojaamiseen IP-tasolla Arkistoitu kopio 28. tammikuuta 2012 Wayback Machinessa .
  2. 1 2 Olifer, 2010 , s. 890.
  3. Olifer, 2010 , s. 891.
  4. Cryptographic Terminology 101 Arkistoitu 13. maaliskuuta 2013, Wayback Machine , Dru Lavigne, 2002.
  5. Olifer, 2010 , s. 892.
  6. 1 2 Olifer, 2010 , s. 898.
  7. Andrew Mason, IPSec Overview, 2002 , osa 5: Security Associations.
  8. 1 2 3 Olifer, 2010 , s. 896.
  9. RFC 2402 .
  10. 1 2 Olifer, 2010 , s. 895.
  11. RFC 2406 .
  12. Andrew Mason, IPSec Overview, 2002 , Osa neljä: Internet Key Exchange (IKE).
  13. Andrew Mason, IPSec Overview, 2002 , Miten IPSec toimii.
  14. VPN:t ja IPSec Demystified arkistoitu 5. tammikuuta 2011 Wayback Machinessa , Dru Lavigne, 2002.
  15. VPN ja IPSec sormissa Arkistoitu 12. heinäkuuta 2013 Wayback Machinessa , opennet.ru
  16. Roman Lukovnikov , IPSec:n käytännön sovellus Arkistoitu 8. maaliskuuta 2013 Wayback Machinessa , Hacker-lehti

Kirjallisuus

 Virtuaaliset yksityisverkot (VPN)
Tekniikka
Ohjelmisto
VPN-palvelut