IPSec

IPSec — набор открытых протоколов для установления шифрованного соединения между двумя пирами. Технология обесчивает аутентификацию данных, целостность данных при передаче по открытым сетям, конфиденциальность данных, Anti-replay (повторное воспроизведение) злоумышленником пакета при перехвате.

Используемые протоколы:

  • ISAKMP — <Internet Security Association and Key Management Protocol> — используется для согласования security associations (SA) между пирами. Используются пакеты UDP/500
  • IKE — <Internet Key Exchange> — Согласование ключей при использовании асимметричного шифрования.
  • ESP — <Encapsulating Security Payload> — Отвечает за шифрование данных, контроль целостности данных, аутентификацию пиров. Работает по IP/50
  • AH — <Authentication Header> — Обеспечивает контроль целостности данных и аутентификацию пиров, но не шифрует данные. Работает по IP/51

Вверх!

Режимы работы IPSec

  • Транспортный режим — IPSec заголовок добавляется после IP заголовка, т.о., шифруются только даннные.
  • Туннельный режим — Новый IP заголовок добавляется в начало пакета, т.о., исходный пакет шифруется полностью.

Вверх!

Алгоритмы шифрования

НазваниеТипДлина ключа в битахУровень криптования
DESСимметричный56Слабый
3DESСимметричный168Средний
AESСимметричный128/192/256Сильный

Вверх!

Алгоритмы хэширования

НазваниеДлина в битахУровень хэширования
MD5128Средний
SHA 1/256/384/512160/256/384/512Сильный

Вверх!

Типы IPsec Transform-set

ah-md5-hmacesp-3desesp-null
ah-sha-hmacesp-aesesp-seal
ah-sha256-hmacesp-desesp-sha-hmac
ah-sha384-hmacesp-gcmesp-sha256-hmac
ah-sha512-hmacesp-gmacesp-sha384-hmac
comp-lzsesp-md5-hmacesp-sha512-hmac

Вверх!

Фазы IKE

  • Фаза 1 — Между пирами создается ISAKMP SA для обмена служебным трафиком. Может быть в главном или агрессивном режиме.
  • Фаза 1.5 — Опционально. Включение XAuth для пользователей
  • Фаза 2 — Создается IPSec SA для обмена трафиком

Вверх!

Конфигурация (Cisco)

crypto isakmp policy policy_no
encryption {des/3des/aes 128/aes 192/aes 256}
hash {md5/sha/sha256/sha384/sha512}
authentication {pre-share/rsa-encr/rsa-sig}
group {1/14/15/16/19/2/20/21/24/5}
lifetime {60-86400}
crypto isakmp key key_no key_name address peer_ip_address
crypto ipsec transform-set tr_set_name ts_type1 ts_type2
mode {transport/tunnel}
crypto ipsec profile ipsec_profile_name
set transform-set tr_set_name
Interface Tunnel0
ip address tunnel_ip tunnel_ip_mask
tunnel source real_ip_source
tunnel destination real_ip_dest
tunnel mode {aurp/cayman/dvmrp/eon/gre/ipip/ipsec/iptalk/ipv6/ipv6ip/mpls/nos/rbscp} 
tunnel mode ipsec ipv4
tunnel protection ipsec profile ipsec_profile_name

Вверх!

Траблшутинг (Cisco)

show crypto isakmp sa
show crypto isakmp policy
show crypto ipsec sa
show crypto ipsec transform-set
debug crypto {isakmp/ipsec}

Вверх!

Метки