IPSec (IP-безопасность): часть 1 — ESP

• IPSec (IP-безопасность): часть 3 — GRE

IPSec или IP-безопасность

IPSec — это тема, которая, если ее затронуть, часто вызывает недоуменные взгляды и, зачастую, недоумевающие комментарии. Эта область компьютерной безопасности и использования протоколов определенно требует дальнейшего изучения, поскольку она затрагивает как домашних пользователей, так и корпоративных пользователей. Возможно, вы уже используете его и не знаете об этом факте. В попытке демистифицировать область IPSec я рассмотрю различные ее аспекты. Некоторые могут не согласиться с тем, что все перечисленные ниже темы относятся к IPSec, но здесь они будут рассмотрены; Будут рассмотрены ESP, AH, IKE и GRE.

Также будет рассмотрено, как работают эти различные схемы. В дополнение к этому мы также рассмотрим некоторые конкретные примеры пакетов ESP (инкапсуляция полезной нагрузки безопасности), как они будут отображаться в сети, и подробно расскажем, почему анализ этого типа трафика с точки зрения безопасности практически невозможен. Также будет рассмотрен пакет GRE и часто запутанная тема IKE (интернет-обмен ключами) в дополнение к его роли в компьютерной безопасности. К концу этой серии статей вы будете гораздо лучше осведомлены о том, что такое IPSec и как он влияет на вас. Это важно, поскольку в ближайшем будущем вам может быть предложено приобрести VPN-решение для вашей компании. Таким образом, знания, содержащиеся в этой статье, позволят вам принять гораздо более взвешенное решение.

ESP не только для фильмов!

Мы действительно говорим об инкапсуляции полезной нагрузки безопасности, а не об экстрасенсорном восприятии. ESP — это один из наиболее известных аспектов IPSec, который легко распознать при рассмотрении на уровне пакетов, как вы скоро увидите. Этот протокол появился как способ защиты информации при передаче между двумя конечными точками, и некоторые называют его протоколом туннелирования. Это связано с тем, что информация инкапсулируется в ESP перед отправкой по сети. Его также можно использовать как в IPv4, так и в IPv6, и малоизвестный факт заключается в том, что ESP можно использовать в сочетании с AH (подробнее об AH позже). Вот почему многие люди говорят, что IPv4 по своей сути небезопасен. Ну, это очень спорное утверждение, не так ли.

Сама ESP может использоваться в двух отдельных режимах, известных как «туннельный» и «транспортный». В туннельном режиме отправляемая IP-датаграмма помещается в зашифрованную часть ESP, а затем весь кадр ESP, в свою очередь, помещается в дейтаграмму, IP-заголовки которой не зашифрованы. К сожалению, нет более простого способа объяснить это, но ключевые части, которые можно извлечь из этого, заключаются в том, что исходная дейтаграмма IP, которая должна быть отправлена, помещается в зашифрованную часть, то есть: ESP, который, в свою очередь, помещается в другую дейтаграмму, которая не зашифрована. IP-заголовки. Затем есть то, что также называют транспортным режимом. Что происходит в транспортном режиме, так это то, что заголовок ESP вставляется сразу после заголовка IP в самом пакете. Этот режим намного проще для понимания! Для хорошей диаграммы, которая выделит их обоих, я рекомендую вам посмотреть здесь. Взгляните на него, потому что он, безусловно, поможет прояснить два различных средства. Чем больше органов чувств (зрительных, чтения и т. д.) вы задействуете, когда пытаетесь чему-то научиться, тем лучше.

Вот пакет ESP!

Теперь мы рассмотрим реальный пакет ESP и пройдемся по некоторым его метрикам. Также я прокомментирую, почему этот тип трафика так сложно анализировать, так как он влияет на безопасность сети. Обратите внимание, что я буду комментировать пакет непосредственно под ним.

00:00:03.831546 192.168.1.100 > 192.168.1.200: ESP(spi=0x14579c09,seq=0x4926) (ttl 243, id 9712, len 1072)
0x0000 4500 0430 25f0 0000 f332 94e8 c0a8 0164 E..0%….2…{..
0x0010 c0a8 01c8 1457 9c09 0000 4926 67f3 2e95 …..W….I&g…
0x0020 6804 f49a a7e6 e6c5 4fd8 7b7a c2b0 1575 h…….O.{z…u
0x0030 dbdd a425 2d73 9565 0b13 0273 53dc c6b3 …%-se…sS…
0x0040 9301 eb2b 3d29 f85e 2b81 799c ec07 1e80 …+=).^+.y…..
0x0050 08fb cf16 9cea 3263 3d46 55f6 f070 a6f0 ……2c=FU..p.
0x0060 4029 0453 4707 19cc 0212 5d33 36fa 134a @).SG…..]36..J
0x0070 d640 690c 01f6 ac9c 3818 1da5 becb 2baa [электронная почта защищена]…..8 …..+.

Я очень быстро расскажу о метриках, которые упоминал ранее в других статьях. Слева направо у нас есть метка времени, исходный IP-адрес и исходный порт. Затем следует IP-адрес назначения и порт назначения. После этого нам фактически сообщают через «ESP», показанный выше, что это пакет ESP. Довольно мило! После этого у нас есть «spi» (индекс параметра безопасности) и число после него. Это произвольный назначенный номер, который идентифицирует SA или ассоциацию безопасности для этого пакета. Далее идет «seq» и шестнадцатеричное значение, которое является порядковым номером. Это значение можно использовать для предотвращения повторных атак. Этот вариант будет определен во время SA. После этого у нас есть обычные значения заголовка IP: «ttl» — время жизни, «id» или номер IP-идентификатора (используется для целей фрагментации) и «len» — общая длина пакета.

Прежде чем я забуду, я должен упомянуть, что я немного обрезал приведенный выше пакет. Думаю, я должен упомянуть об этом на случай, если вы подсчитываете байты и сравниваете их с общим размером пакета и замечаете разницу. Из подчеркнутых частей пакета видно, что здесь начинается зашифрованная часть. Также вы заметите, что в содержимом пакета ASCII нет различимой информации. Это потому, что исходная дейтаграмма была инкапсулирована в ESP. Из-за этого очень сложно попытаться провести какой-либо осмысленный анализ этого типа трафика. Практически все, что вы можете сделать, это статистический анализ. Под этим я подразумеваю, что вы внезапно видите всплеск трафика ESP, тогда как обычно его очень мало. Это будет очевидным признаком того, что может быть проблема. Сам ESP не защищен от атак, поэтому во время SA для соединения выбираются определенные параметры.

SA или сопоставление безопасности выполняется с использованием IKE или обмена ключами через Интернет. Следует отметить, что SA подходит только для одного направления, т. е. для отправителя. Если используется VPN-подключение, требуются два SA, один для отправителя и один для получателя. SA состоит из трех разных значений. SPI (поясняется выше), адрес назначения и протокол безопасности, например: 50 или 51, как указано в заголовке IP.

На этом мы закончим статью. До сих пор мы рассмотрели, что такое экстрасенсорное восприятие и как оно работает на высоком уровне. Мы также отметили, почему практически невозможно провести плодотворный анализ пакетов ESP. Кроме того, мы также рассмотрели, что такое SA и как оно является частью IKE. Во второй части этой серии статей, посвященных IPSec, мы более подробно рассмотрим IKE, чтобы увидеть, как происходит настройка соединений ESP и AH. Существуют различные способы, с помощью которых IKE может сделать это, и мы узнаем о них. Оставайтесь с нами для части II!

• IPSec (IP-безопасность): часть 3 — GRE