https://twistedminds.ru/tags/esp/Recent content in Esp on TwistedmindsHugoenFri, 20 Jul 2012 14:36:18 +0000https://twistedminds.ru/2012/07/ipsec-vpns-theory/Fri, 20 Jul 2012 14:36:18 +0000https://twistedminds.ru/2012/07/ipsec-vpns-theory/<p>[<img src="https://twistedminds.ru/wp-content/uploads/2012/07/vpn_logo_130.jpg" alt="" title="vpn">][1]IPsec – это на самом деле целый фреймворк, который предоставляет следующие сервисы:</p> <ul> <li>Конфиденциальность данных посредством их шифрования алгоритмами DES, 3DES и AES;</li> <li>Целостность данных и их аутентификация посредством HMAC функций MD5 и SHA-1;</li> <li>Защита от атак типа MitM с помощью зашифрованных порядковых номеров;</li> <li>Аутентификация устройств и пользователей. Фреймворк IPsec описан в нескольких RFC. У него есть две группы стандартов:</li> <li>ISAKMP/IKE/Oakley/SKEME используются для создания безопасных соединений, по которым проводится изначальное согласование параметров шифрования, сигнатур, ключей;</li> <li>AH и ESP используются непосредственно в таких механизмах защиты данных, как обеспечение конфиденциальности (только ESP), целостность данных, подтверждение того, что данные пришли из валидного источника и защиту от mitm атак. <strong>IPsec VPN:</strong> Конечные устройства или пользователи проходят пять начальных шагов для установки соединения:</li> </ul> <ol> <li>Должно быть что-то, что инициирует процесс установки соединения. К примеру трафик до назначения, которое описано в ACL. Естественно, соединение может быть установлено чуткими нежными руками сетевых инженеров.</li> <li>IPsec в процессе ISAKMP/IKE Phase 1 установит безопасное управляющее соединение, которое будет использоваться для последующего обмена информацией, необходимой для установки защищенного канала передачи данных. Соединения первой фазы – служебные соединения. По этим каналам не передаются какие-либо пользовательские данные или данные приложений.</li> <li>Через служебный канал конечные устройства согласуют параметры, необходимые для созданиях защищенных каналов передачи данных и устанавливают их.</li> <li>Как только защищенный канал передачи данных создан, устройства могут начинать передачу информации. Если используются HMAC функции, источник создает fingerprint, а получатель его проверяет. Если нужно шифрование – источник, соответственно, зашифровывает информацию, получатель ее расшифровывает.</li> <li>И каналы передачи данных, и управляющие каналы имеют время жизни, по истечении которого соединение будет разорвано. Если вам все еще необходимо передавать информацию, то они перестроятся автоматически. <strong>Security Assotiation (SA)</strong> – группировка компонентов безопасности (алгоритмы шифрования, HMAC функции, время жизни соединения, DH группы, AH/ESP протоколы, различные идентификаторы, такие как SPI), которые необходимы для установки надежного канала передачи данных. <strong>Процесс установки соединений для l2l:</strong></li> <li>Происходит инициация соединения;</li> <li>Начало ISAKMP/IKE Phase 1 – соседи договариваются о том, как управляющее соединение будет защищено;</li> <li>С использованием DH алгоритма соседи обмениваться ключами, которые необходимы для алгоритмов шифрования и работы HMAC функций;</li> <li>Происходит аутентификация устройств;</li> <li>Phase 1 на этом заканчивается, начинается ISAKMP/IKE Phase 2. Соседи согласовывают параметры и ключи необходимые для защиты канала передачи данных (либо через управляющее соединение, либо с использованием алгоритма DH снова);</li> <li>Phase 2 заканчивается и устанавливается защищенный канал передачи данных;</li> <li>По истечению времени жизни, канал передачи данных должен быть перестроен. С Remote Access VPN все несколько сложнее, так как дополнительно вам может понадобится аутентификация пользователей или необходимость применить какие-либо политики. <strong>Для Remote Access VPN это будет выглядеть так</strong>:</li> <li>Происходит инициация соединения;</li> <li>Начало ISAKMP/IKE Phase 1 – соседи договариваются о том как управляющее соединение будет защищено;</li> <li>С использованием DH алгоритма соседи обмениваться ключами, которые необходимы для алгоритмов шифрования и работы HMAC функций;</li> <li>Происходит аутентификация устройств;</li> <li><em><strong>Опционально:</strong></em> происходит аутентификация пользователя (стандарт XAUTH).</li> <li>На это шаге проходит применение политик. У Cisco это называется IKE Mode Config или IKE Client Config. Процесс изменяется от производителя к производителю, но смысл остается примерно один: клиент получает внутренний IP, имя домена, DNS, WINS, политики split tunnel, политики МСЭ и другие.</li> <li><em><strong>Опционально:</strong></em> в Cisco Remote Access VPNs происходит <a href="http://www.cisco.com/en/US/docs/ios/12_3t/12_3t14/feature/guide/gt_rrie.html" title="Reverse Route Injection" class="external-link" target="_blank" rel="noopener">Reverse Route Injection</a> (смысл в том, что клиент рассказывает о своих маршрутах VPN терминатору).</li> <li>Phase 1 на этом заканчивается, начинается ISAKMP/IKE Phase 2. Соседи согласовывают параметры и ключи необходимые для защиты канала передачи данных (либо через управляющее соединение, либо с использованием алгоритма DH снова);</li> <li>Phase 2 заканчивается и устанавливается защищенный канал передачи данных;</li> <li>По истечении времени жизни канал передачи данных должен быть перестроен. Теперь поговорим подробнее про фазы 1 и 2.</li> </ol> <h6 id="isakmpike-phase-1"> ISAKMP/IKE Phase 1 <a class="heading-link" href="#isakmpike-phase-1"> <i class="fa-solid fa-link" aria-hidden="true" title="Link to heading"></i> <span class="sr-only">Link to heading</span> </a> </h6> <p>Как уже было сказано выше, в процессе первой фазы устанавливается управляющее соединение. Используется 500 udp порт (4500 в случае NAT-T). Вне зависимости от того, является ли VPN l2l или remote access во время первой фазы происходит следующее:</p>