Сырая версия, но ньансов настолько много, что хочеться записать то что помниться, чтобы потом дополнять.
Итак, поговорим о ipsec. Знать это полезно при траблшутинге проблем связаных с установлением VPN туннеллями.
1. Определение трафика подлежащего шифрованию.
Чаще всего используеются так называемые crypto acl.
2. Первая фаза IKE.
2.1. Аутентификация обоих концов туннеля.
2.2. Создается IKE SA которая используется для защиты процесса IKE.
2.3. Выполняется алгоритм Диффи-Хелмана, который гарантирует, что на каждом конце туннеля будет использоватся одинаковый shared secret, без пересылания этого shared secret.
2.4. Создается туннель для работы второй фазы IKE.
Первая фаза IKE может проходить в двух режимах:
- Main mode
проходит в три этапа:
- согласование используемых алгоритмов
- обе стороны используеют алгоритм Диффи-Хелмана для определения ключей
- используя ключи стороны аутентифицируют друг-друга.
- Aggressive mode
Все что посылается в Main mode в три этапа, посылается в одном пакете. Основная проблема, что стороны обмениваются информацией до того как безопасное соединение будет установлено.
3. Вторая фаза IKE.
Основаня задача этого этапа подготовить IPSec SA которые будут использоватся непосредственно для шифрования трафика. Сюда входит согласование параметров и собственно установка.
IPSec может переходить из фазы 4 к фазе 4 и назад в нескольких случаях:
- каждая SA имеет определенное время жизни (например 1 час в Checkpoint), соостветственно по истечении этого часа необходимо пересоздать SA.
При этом для создания новой SA используется тот же shared secret, что и раньше.
- использование perfect forward secrecy (PFS). Алгоритм PFS гарантирует, что при создании новой SA предыдущий shared secret использоватся не будет, более того не будет никакой корреляции между старым и новым shared secret. Для реализации PFS используется алгоритм Диффи-Хелмана в quick mode.
Quick mode: для ренерации новой SA используется текущая SA (нет отброса на первую фазу IKE).
4. Нормальная работа.
На этой фазе туннель работает в нормальном режиме шифруя и расшифровывая трафик.
5. Закрытие туннеля.
Может быть принудительным (clear SA) либо по истечении тайм-аута.
Со временем обрывки знаний и умений становится все труднее удержать в голове. Они расползаются по уголкам памяти заполняя все свободное место. Извлекать необходимое на свет становится все сложнее. Этот блог - рабочая записная книжка.
Subscribe to:
Post Comments (Atom)
2 comments:
Фуфло, полный КОПИ-ПАСТ куска документации из по настройке VPN на циске. Лучше удалите и не позорьтесь!!!
P.S. shared secret - пароль, хранимый в зашифрованном виде.
Я вам больше скажу, Аноним. Это также copy-paste доки от Chekpoint, Nortel да и всех кто использует IPSec. Причем всех сразу.
В данной области сложно что-то придумать самому, всего-то шесть всем известных пунктов. Где уж тут разгулятся. :)
Post a Comment