IPSec (IP-безопасность): часть 2 — IKE и AH

Опубликовано: 24 Марта, 2023

  • IPSec (IP-безопасность): часть 3 — GRE

Что такое ИКЕ?

В части I мы кратко коснулись того, что такое SA (ассоциация безопасности) и какую роль она играет в IKE. Что же такое IKE? Это протокол, который фактически используется для настройки SA. Именно во время переговоров по SA выбираются различные варианты. Одна из опций, которую можно включить, — это защита от повторного воспроизведения. Есть и другие параметры, которые можно включить, и, вероятно, они должны зависеть от ваших потребностей. Сам IKE и его роль на самом деле сводятся к аутентификации двух конечных точек IPSec и помощи в создании безопасного туннеля между ними.

IKE будет выполнять эту роль в течение так называемых двух «этапов». Фаза I аутентифицирует обе конечные точки IPSec. На этапе I IKE также будет согласовывать сопоставления SA (сопоставления безопасности) между двумя конечными точками, что позволит им безопасно и надежно обмениваться данными. Это, в свою очередь, позволяет IKE безопасно заботиться о Фазе II. Другим ключевым моментом является то, что будет происходить аутентифицированный обмен Диффи-Хеллмана, в результате которого обе конечные точки будут иметь совпадающие «общие секретные ключи».

Вышеупомянутая фаза I, тем не менее, может быть разбита на два режима. Это «основной режим» и «агрессивный режим». Основной режим разбит на три отдельных обмена информацией между обеими конечными точками.

  1. Конкретные алгоритмы и хэши, используемые для фактической защиты связи, согласованы.
  2. Происходит обмен Диффи-Хеллмана, который используется для генерации общих секретных ключей. Это используется для проверки подлинности обеих конечных точек на третьем шаге.
  3. На основе IP-адреса обеих конечных точек проверяется подлинность друг друга. Ранее отмеченный обмен ключами теперь используется для расшифровки IP-адресов, тем самым проверяя их.

Конечным результатом трех вышеперечисленных шагов является то, что теперь у нас есть совпадающая SA между обеими конечными точками. Теперь это позволяет обеим конечным точкам поддерживать связь через защищенный канал. Этот процесс представляет собой достаточно подробный и структурированный обмен. В другом «агрессивном режиме» обменивается меньше информации. Наверное, поэтому его и называют «агрессивным»!. Во время настройки «агрессивного режима» на первом этапе отправляется большая часть значений SA, таких как используемые алгоритмы и хэши. Также отправляется обмен Диффи-Хеллмана и идентификационный пакет.

Теперь второй шаг отправляет ту же информацию обратно в инициирующую конечную точку, и единственный оставшийся шаг — это сигнал инициатора о том, что обмен завершен. Однако есть одна вопиющая проблема с этим режимом. Дело в том, что информация передавалась туда и обратно в открытом виде до того, как она была защищена. Это может привести к тому, что кто-то сможет перехватить пакеты и проанализировать их на предмет возможной атаки.

Еще один этап!

В случае, если вы еще не совсем запутались, у нас есть еще один этап, и это будет этап II IKE. Не расстраивайтесь, если вы запутались, потому что эту информацию трудно понять. Если вы не всегда настраиваете VPN, чего не делает большинство людей, то с этой информацией может быть трудно справиться. В Фазе II есть только один режим, и он называется «быстрый режим». Этот режим задействуется после установки безопасного туннеля на этапе I. На этапе II в «быстром режиме» детали SA согласовываются и защищаются в связи с существующей настройкой туннеля на этапе I. Также устанавливаются сами SA, которые будут повторно согласованы по мере необходимости.. Наконец, можно выполнить дальнейшие обмены Диффи-Хеллмана.

На этом мы завершаем обсуждение IKE, и следует отметить, что IKE будет использоваться не только ESP, но и AH (заголовок аутентификации). AH — это еще один протокол IPSec, а именно proto 51. Это присвоенное ему числовое значение, которое вы увидите в заголовке IP в поле протокола. Я надеялся показать вам пакет AH, но не смог его придумать. Если вы хотите попытаться найти его в своей базе данных, если вы регистрируете свой трафик, попробуйте следующий фильтр BPF;

-nXvSs 0 ip и сеть 192.168 и ip[9] = 51

Вышеупомянутое будет регистрировать все пакеты с сетевым блоком 192.168 в нем, а также с полем протокола IP, равным 51. Если вы ведете журнал в двоичном журнале, вам просто нужно поставить –s 0 и игнорировать другие переключатели, как показано ниже;

-s 0 ip и сеть 192.168 и ip[9] = 51 –w bleh

Реальность такова, что большинство людей больше не используют AH как средство IPSec. На самом деле гораздо разумнее использовать ESP, поскольку вся отправляемая передача будет или может быть зашифрована. Зачем вам просто аутентифицироваться, когда вы можете полностью зашифровать поток данных? Это те самые решения, которые, надеюсь, эта серия статей позволит вам принимать более авторитетно.

Это очень похоже на поход в местный магазин электроники и просмотр дорогих стереосистем. Вы слышите, как продавец говорит с вами о качестве динамиков в хорошей системе. Однако проблема заключается в том, что диапазон радиочастот (радиочастот), который рекламируют эти динамики, на самом деле не влияет на вас, поскольку человеческое ухо может слышать только определенный частотный диапазон. Вот почему какой-то продавец стереосистем заставляет меня смеяться. Не просто запоминайте литературу по продуктам, понимайте лежащую в их основе теорию! Как видите, стоит провести небольшое исследование, будь то покупка VPN-решения или стереосистемы.

AH или заголовок аутентификации

Этот протокол, если хотите, двоюродный брат ESP, в двух словах обеспечивает целостность и аутентификацию для конечного пользователя. AH также может обеспечить защиту от атак с повторным воспроизведением, которые обычно наблюдаются для этих типов протоколов. При этом, если конечная точка назначения должна использовать опцию предотвращения повторного использования, она должна сообщить об этом во время SA (сопоставления безопасности). Одна из ключевых вещей, которые нужно знать об AH, заключается в том, что он обеспечивает аутентификацию только для определенных частей заголовка IP. Мы должны помнить, что некоторые части IP-заголовка изменяются в пути, т. е. когда он направляется к конечному пункту назначения.

Вернемся к основным метрикам IP-протокола, чтобы объяснить эту концепцию. В заголовке IP есть поле, которое называется TTL или «время жизни». Каждый раз, когда этот пакет проходит через маршрутизатор, сам маршрутизатор будет уменьшать значение TTL и отправлять его дальше. Что ж, каждый раз, когда этот TTL уменьшается, маршрутизатор пересчитывает контрольную сумму IP, чтобы компенсировать измененное значение заголовка IP. Если бы маршрутизатор не сделал этого, компьютер назначения после пересчета контрольной суммы IP заметил бы, что она отличается от той, что указана в заголовке, и отклонил бы ее. Как видите, не все заголовки IP аутентифицированы. Меньше, чем идеально, не так ли?

Во время некоторых интересных дискуссий, которые у меня были с моим другом по имени Мэтт Аткинсон, вы пришли к пониманию важности шифрования данных, если это возможно. Особенно, если вы говорите о протоколах маршрутизации! Есть несколько очень умных хакеров, которые всегда будут искать слабые места в протоколах и их использовании. Хорошо, что такие люди, как Мэтт, на нашей стороне. На этой ноте я прерву статью здесь и продолжу в третьей части с AH и GRE. До тех пор продолжайте поток пакетов!

  • IPSec (IP-безопасность): часть 3 — GRE


Компьютерные сети

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Что такое прокси IPv4 и что он умеет
14 Июня, 2023
Оптические патч-корды: что это за кабели и для чего они нужны?
11 Мая, 2023
Оборудование MikroTik: что это такое и зачем оно нужно?
5 Апреля, 2023
Сервер удаленного доступа (RAS) для дозвона
29 Марта, 2023
Проверка настройки удаленного доступа к сети
29 Марта, 2023
Разрешения пользователя NT4
29 Марта, 2023
Установка/настройка сетевых драйверов NT4
29 Марта, 2023
Сеть тормозит!
29 Марта, 2023