Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Инициализация IPsec.

Рубрика: Безопасность -> Топология сети
Метки: | |
Вторник, 3 марта 2009 г.
Просмотров: 5429

     Перед тем, как установить IPsec, нужно проделать некоторые действия, которые мы и рассмотрим.

     Обмен ключами.

     Для того, чтобы компьютеры смогли обмениваться данными с помощью IPsec, создадим ключи для кодирования/декодирования данных. Эти ключи обязательно должны быть на обоих концах IPsec-туннеля. До этого машины должны идентифицировать друг друга.

     Этому методу безопасности нужны разделя­емые ключи, если ключи не будут отправлены, безопасный канал не сможет быть установлен.


     Эта проблема решается с использованием криптографии с открытым ключом (Public Key Cryptography). PKC дает возможность сторонам аутентифицировать друг друга с помощью частного (private) и открытого (public) ключей.

     Для автоматического обмена ключами используется протокол IKE (Internet Key Exchange).

     Security Associations(SA).

     Обмен ключами по протоколу IKE - это небольшая часть обмена данными между IPsec-узлами перед началом обмена. Также во время обмена передается некоторая служебная информация: например, используемый про­токол (АН, ESP или оба), время жизни ключей, параметры криптографии. Все это назвали одним общим термином - «Ассоциации безопасности» (SA).

     SA служит для передачи трафика в одном направлении. Так как протокол TCP поддерживает передачу данных в обоих направлениях, то используют две SA. Следовательно схема шифрования, применяемая для отправ­ки пакетов с машины А на машину В будет различаться от схемы шифрова­ния, применяемой для передачи данных в обратном направлении - с машины В на машину А.

     Назначение SA для обмена данными управляется протоколом IKE. Например, SA бывает такой:

add 172.16.0.1 192.168.0.4 ah 1234 -A hmac-md5 "секретное слово"

     Такая SA дает указания протоколу IPsec о передаче данных с 172.16.0.1 к 192.168.0.4, используя при этом протокол АН (защита пакета вмес­те с заголовком) и метод шифрования данных hmac-md5, секретное слово "секретное слово".

     Передача трафика в другом направлении осуществляется под управлением другой SA:

add 192.168.0.4 172.16.0.1 ah 9876 -A hmac-md5 "другое секретное слово"

     Оба узла должны обязательно иметь одинаковые копии каждого ключа.

     SA хранятся в базе данных, называемой Security Polices Database (SPD) - база данных политик безопасности. Если входящие/исходящие пакеты приходят на интерфейс, адрес отправителя и получателя сверяется в соответствии с SPD.

     Если в SPD есть совпадение, читается SA соединения и применяется к пакету. При использовании нескольких соединений обычно используют одну и ту же SA.