Introducere în studiul politicii IPSec

Din anumite motive, atât punct de vedere istoric, că multe organizații este dificil de a găsi o bună corelare între protecția sa de date și de recuperare a costurilor, care vor fi cheltuite pe suport pentru o astfel de protecție. Din păcate, cel mai adesea, doar administratorii să înțeleagă că furnizarea de sprijin și a infrastructurii în condiții de siguranță ar putea duce la costuri suplimentare în costurile echipamentelor de rețea. Toată lumea știe că, la momentul a fost creat World Wide Web pentru a deschide comunicarea între computerele de la distanță. De asemenea, toată lumea știe că, în ultimii ani, multe lucruri s-au schimbat, iar acum Internetul este considerat a fi un mediu de rețea destul de periculos. În domeniul securității, cele mai multe scenarii au ca scop prevenirea atacurilor rău intenționate, rătăcind pe întinderi de pe Internet. Calculatoarele care au acces la Internet este necesar să se apere în mod corespunzător împotriva unei varietăți de utilizatori și programe rău intenționate care mod neautorizat încearcă să obțină acces la date și resurse calculatoarele utilizator. Acum, sistemele firewall situate pe calculatoarele client și serverele, firewall-uri amplasate la perimetrul rețelei în securitatea DMZ, router și politica strictă de autentificare pentru conexiuni de la distanță face munca lor aproape impecabil. Poate unul dintre voi va fi surprins, dar să consolideze perimetrul rețelei organizației dvs. este doar o parte din securitatea organizației dumneavoastră, ca toate cele de mai sus înseamnă că nu se poate proteja împotriva atacurilor produse în cadrul companiei.

Uneori, intranet privat poate conține ca un fel de hackeri și malware, din cauza muncii pe care organizația dvs. poate pierde mult mai multe informații, deoarece un astfel de atac modelat de către personalul intern al organizației dumneavoastră și, firewall-uri și alte dispozitive de margine nu va fi în măsură să protejeze dvs. organizație împotriva acestor amenințări. Microsoft oferă tehnologie IPSec construit în sistemul de operare Windows care vă permite să protejați rețeaua organizației dvs., atât de la atacurile externe și interne de la posibile.

Posibilitatea IPSec

IPSec sistem de operare Windows, protocolul prevede următoarele caracteristici:

antete IPSec

AH. Antet AH oferă autentificare, integritatea datelor și protecția împotriva reluări întregul pachet, cu excepția pentru câmpurile de antet în PA, care este permisă schimbarea prin calcularea unei chei hash pentru fiecare pachet. Când se utilizează hash AH include întregul pachet și antet. Unele câmpuri care sunt permise să se schimbe în tranzit sunt excluse. Serviciul de protecție reluarea de lucru este asigurată prin includerea unui număr de secvență de fiecare pachet. Acest antet asigură confidențialitatea datelor fără criptare. Adică, datele sunt citite, dar protejate. Următoarea ilustrație prezintă structura header:

Fig. 1. Structura Header AH

După cum se vede în ilustrația anterioară, antetul include următoarele câmpuri:

Următoarea antet. câmp Byte, care este utilizat pentru a determina urmatoarea sarcina utilă antet.

Lungimea sarcinii utile. câmp octet care indică numărul de octeți în câmpul de lungime care precede AH sarcină utilă în 32 de biți (patru octeți) blocuri, excluzând primele două blocuri.

Rezervat. Un câmp de doi octeți, care este rezervată și trebuie să fie 0. domeniu rezervat este inclus în câmpul de date de autentificare.

Număr de serie. Patru câmp octet conține un contor, care începe cu 0, în cazul unei asociații de securitate. Primul pachet de asociere de securitate are un număr de serie 1. „numărul de serie“ oferă protecție împotriva reluare, deoarece protejează valoarea valorii de autentificare (ICV). Atunci când numărul de secvență atinge valoarea maximă (4294967295 sau 232-1), comparând noua securitate IPsec sunt setate pentru a menține un număr de secvență al repetiției SA. Dacă instalați noua securitate IPSec, apoi numărul de secvență pentru asocierea de securitate pornește de la 0 din nou.

ESP. Titlu Security Payload încapsulare (ESP) antet este o combinație a indicelui și completarea care oferă autentificarea, protecția de integritate și setările de confidențialitate repeta doar datele IP utile prin calcularea și inclusiv cheia hash pentru fiecare pachet. Atunci când se utilizează ESP hash include numai titlu, remorcă și date ESP utile, hash nu este folosit pentru a proteja antetul IP. Următoarea ilustrație arată ESP structura:

Fig. 2. Structura antet ESP

antetul ESP include următoarele domenii, în care principalele luate în considerare doar primele două:

Număr de serie. Patru octeți câmp care conține același domeniu ca și cel al câmpului „Număr de serie» antet AH.

Completarea. câmp de lungime variabilă (0 până la 255 de octeți), care este utilizat pentru a umple lungimea corespunzătoare de date utile, în funcție de algoritmul de criptare, porțiunea de aliniere pachet ESP 4 octeți sau ascunderea criptată lungime a datelor de sarcină utilă intenționată.

lungime de umplere. Lungimea câmpului de un octet, care specifică numărul de octeți din caseta de umplere.

Următoarea antet. câmp Byte care este utilizat pentru a determina următorul antet în sarcina utilă. Acest câmp utilizează aceleași valori ca și „antetul protocolului» IP.

Verificarea autenticității datelor. Un câmp de lungime variabilă, care conține calcul ICV expeditorului, adică valoarea HMAC MD5 sau HMAC SHA1.

Pentru ca foloseste un algoritm unic pentru ICV, care a fost de acord să trimită datele antetul ESP și completarea indicelui, fiecare la egal la egal cunoaște dimensiunea datelor de autentificare de la finalizarea indicelui ESP și poate determina locația sfârșitul datelor de sarcină utilă ESP-încapsulare.

componente IPSec

protocolul IPSec este format din trei componente principale: serviciul IPSec Policy Agent, Internet Key Exchange, precum și șoferul IPSec. Aceste componente sunt vopsite în detaliu în următoarele subsecțiuni.

IPSec Policy Agent

Această componentă este concepută pentru a descărca informații politici IPSec, precum și transferul acestora către alte componente IPSec, precum și pentru funcționarea serviciilor de securitate care necesită aceste informații. În esență, IPSec Policy Agent este un serviciu care se află pe fiecare computer cu sistemul de operare Windows și în matrițele corespunzătoare, este afișat în lista de servicii, ca un «serviciu IPSec.“ și efectuează următoarele acțiuni:

Încarcă politica IPSec atribuită de la Active Directory în cazul în care computerul este un membru de domeniu sau, în cazul în care computerul este un membru de domeniu - de la registrul local;
Interoghează prezența modificărilor în configurația politicii în sine;
Transmite informații atribuite politicii IPSec conducătorului auto IPSec.

Este demn de remarcat faptul că în cazul în care computerul este un membru de domeniu, politica de încărcare IPSec este efectuată în mod direct în timpul procesului de boot prin interfața de votare Winlogon, precum și un interval, care este specificat în politica IPSec.

Politica IPSec este prezentată în figura de mai jos.

Fig. 3. Principiul Agentului de politică IPSec

Internet Key Exchange

Așa cum sa spus mai devreme, înainte de comunicarea securizată între cele două computere trebuie să fie adoptate conexiune sigură. Pentru a crea un acord între cele două calculatoare există o metodă de comparare a securității și rezoluția de schimb cheie, numit Internet Key Exchange (Internet Key Exchange, IKE). Această metodă centralizeaza de gestionare a asociațiilor de securitate, reducând astfel timpul de conectare, precum și creează un chei secrete comune care sunt folosite pentru a proteja și de a gestiona date. O asociație de securitate este o combinație a unei chei negociate, protocol de securitate, și indicele de parametri de securitate definesc în mod colectiv mecanismele de securitate care sunt utilizate pentru a proteja datele transmise între conexiunile părți. Acest proces protejează nu numai comunicarea între două calculatoare, dar, de asemenea, protejează computerele de la distanță, care solicită acces securizat la rețeaua internă a organizației. de securitate indexul de parametri (securitate Parametrii Index, SPI) este unic determinat de valoarea în asociația de securitate, care este folosit pentru asociațiile de securitate multiple pe computerul care primește.

Pentru a asigura o comunicare de succes și sigură, IKE realizează un proces în două etape. La prima etapă două calculatoare a crea un canal securizat cu autentificare, care se numește modul de asociere de securitate. Pe parcursul acestei etape, încercați mai întâi să negocieze un mod principal de politică de securitate, folosind un algoritm de criptare (DES sau 3DES), algoritmul de integritate verificare (MD5 sau SHA1), grupul Diffie-Hellman, sau metoda de autentificare (Kerberos, certificat sau o cheie pre-partajată). Ulterior, în prima etapă a schimbului de informații necesare pentru a determina algoritmul unei chei Diffie-Hellman pentru a genera secret partajat. După schimbul de pe fiecare computer creați cheia de master utilizat pentru a proteja de autentificare. Ultimul pas în această etapă este de autentificare. În acest moment, calculatoarele efectua autentificarea cu schimbul de chei Diffie-Hellman. Toate informațiile trunchiate cont și criptate folosind cheile generate de rezultatele schimbului de informații cu privire la grupul Diffie-Hellman în etapa anterioară.

În a doua etapă a schimbului cheie în acordul de asociere Internet Security, în numele conducătorului auto IPSec. În timpul acestei faze, următorii pași: există o politică de coordonare, pe parcursul căreia computerele IPSec comunică aceste cerințe privind protecția datelor, astfel cum protocolul IPSec, și anume AH sau ESP, algoritmul de hash pentru autentificare (MD5 sau SHA1), și dacă algoritm de criptare solicitat (DES sau 3DES). În plus există o actualizare sau un schimb de material pentru a crea o cheie de sesiune. În acest moment, se actualizează informațiile cheie IKE, și apoi se întâmplă pentru a crea noi chei publice pentru autentificarea și criptarea pachetelor. Și, în sfârșit, există un proces de asociere de securitate, după care cheile sunt transmise conducătorului auto IPSec cu SPI.

Acest proces este descris pe scurt în următoarea ilustrație:

Fig. 4. Procesul de schimb de chei de pe Internet

conducător auto IPSec

Ultima componentă, IPSec conducător auto primește lista cu filtru activ de la Policy Agent IPSec, și apoi verifică toate pachetele de intrare și ieșire cu filtre din lista curentă. În acest caz, dacă pachetul este identic cu filtrul, efectul este aplicat acesta la filtru. În cazul în care pachetul nu se potrivește cu oricare dintre filtrele disponibile, apoi se întoarce la driverul TCP / IP pentru primirea sau transmiterea, fără nici o modificare. Cum să se ocupe de cheile de intrare și de ieșire de trafic utilizate și un mod rapid SA. La rândul său, IPSec conducător auto are în baza sa de date toate rapide curente modul SA și la aplicarea corectă a asociațiilor de securitate și a pachetelor folosind SPI.

După o coordonare de securitate va fi finalizat, IPSec driverul pe computer trimiterea primește de la asociația de securitate IKE care conține cheia de sesiune. Apoi, conducătorul auto IPSec în baza de date găsește ieșire SA și introduce SPI în antetul AH sau ESP. După aceea el semnează pachetele și le trimite la stratul de IP pentru a transfera la computerul destinație.

La primirea IP-pachetele care sunt considerate nesigure, IPSec conducător auto verifică întotdeauna lista de filtre, care specifică tunelurile IPSec, și apoi cu toate datele pentru filtrele de conexiune între părți.

Fig. 5. IPSec conducător auto Principiu