Zasady działania i praktyczne implementacje sieci VPN na, ebook's network
[ Pobierz całość w formacie PDF ]//-->Zasady działania i praktyczne implementacje sieci VPN nabazie protokołów IPSec/IKE1.Techniczne zasady funkcjonowania sieci IPSecProtokół IPSec (IP Security) jest powszechnie stosowany do zabezpieczenia danychprzesyłanych w sieciach IP. Został opracowany przez IETF (Internet Engineering Task Force)jako standard ochrony danych przesyłanych w sieciach IPv6 i dopiero w późniejszym czasiezostał przystosowany do wykorzystania w sieciach IPv4. Pierwsza specyfikacja IPSec pojawiłasię w RFC1825-1829.Aktualna specyfikacja to RFC 2401-2412 i 2451. IPSec ustala, w jakisposób dane przesyłane w sieci powinny zostać zabezpieczone przed podsłuchemi nieupoważnioną modyfikacją za pomocą odpowiednich technik kryptograficznych (m.in.szyfrów, funkcji haszujących). Stosowane mogą być w tym zakresie m.in. algorytmy szyfrowaniaAES, 3DES, DES i CAST oraz algorytmy uwierzytelniania MD5 i SHA-1.Ochrona danych w IPSec realizowana jest na poziomie warstwy 3 modelu OSI, czyli napoziomie datagramów IP. IPSec zawiera dwa stosowane w zależności od potrzeb protokołyochrony danych:––ESP (Encapsulating Security Payload)- stosowany do szyfrowania orazczęściowego uwierzytelniania danych,AH (Authentication Header)- służy do uwierzytelniania danych bez ich szyfrowania.Technicznie, funkcjonowanie IPSec polega na zabezpieczeniu datagramu IP i dodaniudo niego nagłówków ESP lub AH tak, aby odbiorca datagramu mógł go odczytać i zweryfikowaćjego integralność i autentyczność. Nagłówki ESP i AH dodawane są w zależności od protokołuochrony, jaki został wybrany. W praktycznych implementacjach VPN zwykle stosuje się tylkoprotokół ESP. Rysunek przedstawia pakiet zabezpieczony protokołem IPSec ESP.Datagram IP zabezpieczony protokołem IPSec ESPZasady działania i implementacje sieci VPNOprócz protokołu ochrony (ESP, AH) można wybrać tryb funkcjonowania IPSec.Występują dwa tryby IPSec (patrz rysunek):––Transport Mode- tryb IPSec bez tunelowania pakietów (tzn. pozostają oryginalnenagłówki datagramów IP),Tunnel Mode- tryb IPSec z tunelowaniem pakietów.Tryby implementacji IPSecTryb IPSec bez tunelowania pakietów (Transport Mode) stosuje się zwykle przytworzeniu sieci VPN bezpośrednio pomiędzy komputerami. W sieciach VPN zestawianychpomiędzy urządzeniami typu Gateway/Router stosuje się tryb IPSec z tunelowaniem pakietów(Tunnel Mode).© 2003 CLICO SP.Z O.O. WSZELKIE PRAWA ZASTRZEŻONE2Zasady działania i implementacje sieci VPNPrzed rozpoczęciem sesji IPSec wymagane jest, aby strony uczestniczące w transmisjiwiedziały, w jaki sposób będą zabezpieczać dane. Zestaw informacji, które należy ustalić tom.in. protokół ESP czy AH, algorytmy i klucze kryptograficzne (patrz rysunek). Zestaw tychinformacji określany jest jakoSecurity Association (SA).Każdy tunel VPN powinien posiadaćunikalne SA do ochrony wysyłanych i odbieranych informacji (tzn. dla jednego tunelu VPNwymagane są dwa SA). Urządzenie VPN posiada do tego celu bazę SA ponumerowaną zapomocą unikalnych identyfikatorów o nazwieSecurity Parameters Index (SPI).Numery SPIprzekazywane są w nagłówkach ESP i AH tak, aby urządzenie odbierające pakiety IPSecwidziało, w jaki sposób zostały zabezpieczone.Elementy konfiguracji tunelu IPSec ESPBazy SA w urządzeniach VPN mogą być wpisywane ręcznie przez administratorów lubustalane automatycznie z użyciem protokołu Internet Key Exchange (IKE). Protokół IKE zostałprzedstawiony w dalszej części.© 2003 CLICO SP.Z O.O. WSZELKIE PRAWA ZASTRZEŻONE3Zasady działania i implementacje sieci VPN2. Negocjowanie sesji VPN za pomocą protokołu IKEPrzed zestawieniem tunelu IPSec wymagane jest, aby na urządzeniach VPN zostałyustalone związki bezpieczeństwa SA (m.in. zastosowany protokół ESP-AH, algorytmy i kluczekryptograficzne). Może odbywać się to ręcznie, bądź automatycznie za pomocą protokołuInternet Key Exchange (IKE).Protokół IKE (dawniej ISAKMP/Oakley) został opracowany przezIETF jako uzupełnienie IPSec o mechanizmy zarządzania kluczy.Protokół IKE bazuje na algorytmie Diffiego-Hellmana, który umożliwia wyznaczenietajnego klucza sesji bez konieczności wymiany tajnych informacji pomiędzy urządzeniami VPN.Bezpieczeństwo IKE jest w głównej mierze uzależnione od długości kluczy zastosowanych walgorytmie Diffiego-Hellmana (dokładnie chodzi o długość wykorzystywanej w algorytmie liczbypierwszej). Urządzenia VPN zwykle wspierają trzy opcje:–Diffie-Hellman Group1(klucz 768 bitów),––Diffie-Hellman Group 2 (klucz1024bity),Diffie-Hellman Group 3 (klucz1536bitów).Proces ustalania SA pomiędzy urządzeniami VPN za pomocą protokołu IKE przebiega wnastępujący sposób:––faza 1 (negocjacja IKE SA)– zestawienie bezpiecznego kanału komunikacji doprowadzenia dalszych negocjacji (tzn. dla fazy 2),faza 2 (negocjacja IPSec SA)– uzgodnienie SA do zabezpieczania transmisjidanych.Faza1może przebiegać w normalnym trybieMain Modelub trybie przyspieszonymAggressive Mode.W trybie Aggressive Mode w czasie negocjowania IKE SA przesyłana jestmniejsza liczba pakietów. Faza 2 nosi nazwęQuick Mode.W domyślnej konfiguracji IKE,poprzez jeden zestawiony w fazie1kanał może odbywać się potem wiele negocjacji fazy 2.Zwykle więc faza 2 jest wykonywana znacznie częściej od fazy1.Zachowanie to można zmienićwłączając opcję Perfect Forward Secrecy (PFS). Opcja ta została omówiona w dalszej części.W fazie1IKE urządzenia VPN generują także cztery tajne klucze -SKEYIDdowyznaczania kolejnych kluczy, SKEYID_d do wyznaczania materiału krypto dla IPSec i innychSA, SKEYID_a do sprawdzania integralności i autentycznościźródłakomunikatów IKE, a takżeSKEYID_e do szyfrowania komunikatów IKE.© 2003 CLICO SP.Z O.O. WSZELKIE PRAWA ZASTRZEŻONE4Zasady działania i implementacje sieci VPNFaza 1 IKE (Main Mode)Faza1protokołu IKE wykonywana w trybie Main Mode polega na wymianie sześciuwiadomości (patrz rysunek). W trybie Aggressive Mode wymieniane są tylko trzy wiadomości.Tryb Main Mode stosowany jest zwykle w konfiguracjach VPN Site-Site ze stałymi adresami IPurządzeń VPN, zaś tryb Aggressive Mode w konfiguracjach VPN Client-Site z adresami IPprzydzielanymi dynamicznie (np. Dial-up).Zasada działania fazy1IKEFaza1negocjacji IKE w trybie Main Mode przebiega w następującej kolejności:–Wiadomości 1 i 2- mają za zadanie wynegocjowanie SA umożliwiającychzestawienie bezpiecznego kanału, poprzez który będą prowadzone dalszenegocjacje. Dodatkowo, przesyłane sąCookiezawierające adresy IP urządzeń VPNw celu przeciwdziałania możliwościom fałszowania adresów (tzw. IP Spoofing).Urządzenie VPN jako propozycje SA może przesłać wiele zestawów np. <D-H Group2, 3DES, MD5> i <D-H Group 2, DES, SHA>. Urządzenie odpowiadające na IKEwybiera najmocniejszy z zaproponowanych zestawów SA, który jest w stanie zeswojej strony użyć.Wiadomości 3 i 4- zawierają klucze publiczne Diffiego-Hellmana. Urządzenia VPNpo wymienieniu pomiędzy sobą kluczy publicznych obliczają za pomocą algorytmuDiffiego-Hellmana tajny klucz sesji, który jest używany do szyfrowania dalszejkomunikacji IKE. Dodatkowo, wiadomości 3 i 4 służą do wymiany wygenerowanychlosowo liczbNonce,które w fazie 2 zostaną użyte do wyznaczenia kluczy.Wiadomości 5 i 6– mają za zadanie uwierzytelnienie autentyczności urządzeńzestawiających tunel VPN. Identyfikacja urządzeń VPN odbywa się za pomocątajnych kluczy Pre-Shared Secret (ustalanych ręcznie w konfiguracji IKE urządzeń)lub certyfikatów cyfrowych. Wymiana komunikatów 5 i 6 jest szyfrowanai uwierzytelniania za pomocą algorytmów wynegocjowanych w wiadomościach1i 2.5––© 2003 CLICO SP.Z O.O. WSZELKIE PRAWA ZASTRZEŻONE [ Pobierz całość w formacie PDF ]