Please enable JavaScript.
Coggle requires JavaScript to display documents.
Коммуникации на втором, третьем и четвертом уровнях модели OSI (Технология…
Коммуникации на втором, третьем и четвертом уровнях модели OSI
- Технология виртуальных частных сетей (VPN) – это набор решений, задачей которых является создание защищенной частной сети поверх небезопасной инфраструктуры публичной сети. VPN использует технику туннелирования совместно с криптографическими алгоритмами, для обеспечения конфиденциальности, целостности и аутентичности при передаче данных по сети.
Для реализации VPN необходимы следующие компоненты:
- Существующая сетевая инфраструктура
- Соединение с публичной сетью
- VPN-шлюз, как сетевое устройство (например маршрутизатор, с поддержкой технологии VPN) выполняющее роль конечной точки (endpoint) для установки, управления и контроля VPNподключений
- ПО для создания и управления туннелями
Две основные Модели реализации VPN
- Покрывающий VPN (L2 overlay VPN) - применяется поверх канального уровня. В основном реализуют провайдеры поверх протокола канального уровня глобальных сетей (Frame Relay VPN, ATM VPN, MPLS VPN)
- Одноранговый VPN (peer-to-peer VPN) - так же называемый L3 overlay VPN, использует тунелироавние IP-IP. Данный вариант не требует больших расходов от заказчика, и не требует спец оборудования (PPTP, L2TP, IPSec).
- Топологии VPN:
- VPN подключение удаленного доступа (Remote access VPN
- сеть-сеть (Site-to-site VPN)
VPN-подключение удаленного доступа
Являет собой подключение типа "точка-точка" между компами клиента и организации.
VPN-подключение типа «сеть-сеть»
также называются VPN-подключения типа «маршрутизатор-маршрутизатор» позволяют организациям устанавливать маршрутизируемые подключения между отдельным офисами по публичной сети
- Характеристики VPN
Основой безопасности VPN являются аутентификация, шифрование и обеспечение целостности данных, а также инкапсуляция
Аутентификация - является гарантией того, что сообщение пришло от законного источника и получатель является тем, за кого себя выдает (пароли, цифровые сертификаты, смарт-карты и биометрия)
Шифрование данных
Успешность процессов шифрования и расшифровки гарантируется в том случае, когда отправитель и получатель используют общий ключ шифрования. Для гарантии конфиденциальности данных рекомендуется использовать наибольший возможный ключ.
Обеспечение целостности данных
гарантирует отсутствие вмешательства или подделки данных при их передаче. Обычно используется хэш-функции, MAC – коды аутентификации сообщений или цифровые подписи
- Инкапсуляция
Обеспечивает инкапсуляцию частных данных с заголовком, содержащим сведения маршрутизации.
Туннелирование - процесс помещения одного пакета внутри другого и пересылка его по сети. Когда внешний пакет достигает своего назначения из него извлекается и передается конечному узлу. При этом, используется тунельный интерфейс, обеспечивающий инкапсуляцию и извлечение пакета.
Существует 3 типа протоколов в процессе инкапсуляции:
- Протокол-носитель - по которму инфа передается (PPP, Ethernet, Frame Relay, MPLS)
- Протокол инкапсулирования - внутрь которого упаковываются данные (GRE, IPSec, PPTP, L2TP, L2F)
- Протокол-пассажир - протокол исходных данных (IPX, IPv4, IPv6)
- GRE (Generic Routing Encapsulation) - туннельный протокол (RFC 1702, 2784). Cisco. Поддерживает мультипротокольное туннелирование. Позволяет реализовать групповое вещание. Не хранит инфу о соединении (statless). Не содержит средств обеспечения безопасности. Необходимо использовать с IPSec or MPPE.
Заголовок состоит из мин. 2 обязательных полей - GRE flags and Protocol Type (тип протоколов).
Поле Protocol Type содержит тип протокола который переносит GRE (IP - 0x0800)
- Преимущества:
-- поддержка множества протоколов
-- поддержка группового вещания и широковещания, что обеспечивает возможность работы протоколов маршрутизации
- Недостатки:
-- низкий уровень безопасности (реализована только аутентификация на основе незашифрованного пароля)
Key Present (bit 2): Если это поле установлено в 1, то в заголовке присутствует дополнительное поле Key(ключ)
Sequence Number Present (bit 3): Если это поле установлено в 1, то в заголовке присутствует дополнительное поле Sequence Number
Version Number (bits 13–15): Идентифицирует версию GRE. Значение 0 используется для базовой реализации GRE. Протокол PPTP использует версию 1
Настройка GRE туннеля в Cisco IOS состоит из пяти шагов:
- Создать туннельный интерфейс используя команду intrerface tunnel 0
- Назначить IP адреса точкам туннеля
- Определить источник туннельного интерфейса (tunnel source)
- Определить точку назначения туннеля (tunnel destination)
- Настроить какой протокол будет инкапсулировать GRE (tunnel mode gre)
R1(config)# interface tunnel 0
R1(config-if)# ip address 10.2.2.1 255.255.255.252
R1(config-if)# tunnel source s1/0
R1(config-if)# tunnel destination 200.0.0.2
R1(config-if)# tunnel mode gre ip
Checksum Present (bit 0): Если это поле установлено в 1, то в заголовке присутствует дополнительное поле Checksum
- Технология IPSec - набор стандартов IETF (RFC 2401-2412) обеспечивающих защиту данных передаваемых с помощью протокола IP. Представляет собой архитектуру для стандартов, которые описывают правила и механизмы обеспечения безопасности. Работает на сетевом уровне модели OSI.
Отсутствие привязки к определенным алгоритмам дает гибкость, масштабируемость и возможность регулирования уровня безопасности и вычислительной нагрузки.
- Режимы работы:
Транспортный (шифрует вложенные данные) и туннелирование
Обеспечение конфиденциальности в IPSec - достигается путем шифрования трафика
- DES – Использует ключи длинной 56 бит. Обладает высокой производительностью. Рекомендован для применения в системах с не высоким уровнем безопасности
- 3DES – Одна из модификаций DES. Использует три независимых 56-битных ключа на один 64-битный блок
- AES – Предоставляет более высокую степень безопасности Используется с ключами
следующей длинны: 128 бит, 192 бит, 256 бит.
Архитектура IPSec состоит из пяти ключевых блоков:
- Первый представляет собой протокол IPSec. AH, ESP, AH и ESP
- Второй определяет то, как обеспечивается конфиденциальность (алгоритмы шифрования DES, 3DES, AES, Blowfish и др)
- Третий определяет то, как реализуется целостность (хеширования SHA or MD5)
- Четвертый определяет способ создания секретного ключа ( PSK (pre-shared key) - пароль задается вручную, и цифровая подпись RSA)
- Пятый представляет собой группу алгоритмов Diffie-Hellman. позволяющих выполнять безопасное распределение ключа.
Обеспечение целостности данных в IPSec - Целостность предотвращает атаки направленные на перехват и изменение данных
Ф-я HMAC - наиболее надежный алгоритм обеспечения целостности данных, с использованием хеш-функции и секретного ключа.
- HMAC-MD5 - использует 128-битный секретный ключ.
- HMAC-SHA-1 - использует 160-битный секретный ключ.
Обеспечение аутентичности в IPSec
- Общие ключи (Pre-shared keys - PSKs) - это значение, вручную введенное на каждой стороне и используемое для аутентификации.
"+" - просты в настройке
"-" - плохо масштабируются
- Подписи RSA - обмен цифровыми сертификатами аутентифицирует стороны. Узел вычисляет хеш-код и шифрует его с использованием своего секретного ключа. Потом его прикрепляет к сообщению и в роли цифровой подписи отсылается второй стороне. На другой стороне зашифрованный хеш-код расшифровывается с использованием открытого ключа и сравнивает с вычисленным.
Безопасное распределение ключа в IPSec
Для распределения ключа используется алгорит Диффи-Хеллмана (DH группы). Существует 4 таких группы:
- 1, 2 и 5 - используют возведение в степень по модулю с длиной ключа 768, 1024, 1536 соответственно
- DES и 3DES шифрование поддерживается в группах 1 и 2
- AES шифрования поддерживаются в группах 2 и 5
- группа 7 реализует криптографию эллиптических кривых, в которой уменьшено время необходимое для генерации ключа
- Протоколы безопасности IPSec
AH (Authentication Header – заголовок аутентификации) - номер протокола в заголовке IP 51, предназначен для использования в ситуациях, когда конфиденциальность не требуется. Задача - обеспечить аутентичность данных и их целостность. Не шифрует данные.
ESP (Encapsulation Security Payload – шифрование нагрузки) - номер в заголовке IP 50, может использоваться для обеспечения конфиденциальности путем шифрования полезной нагрузки пакета. Опционально может обеспечить аутентичность передаваемой инфы.
Протокол AH - является обычным опциональным заголовком, и располагается между основным заголовком пакета IP и полем данных. Не влияет на процесс передачи инфы транспортного и более высоких уровней. Состоит из 96битового заголовка и данных переменной длины, состоящих из 32 бытовых слов.
Механизм обеспечения целостности данных является специальное применение алгоритма MD5: в процессе формирования АН последовательно вычисляется хэш-функция от обьединения самого пакета и некоторого предварительного согласованного ключа, а затем от обьединения полученного результата и преобразованного ключа.
Протокол ESP - основной целью является обеспечение конфиденциальности данных; Формат может иметь значительные изменения в зависимости от используемых криптографических алгоритмов. Обязательные поля:
- SPI - указывает на конекст безопасности
- Sequenc Number Field - содержит последовательный номер пакета.
- Authentication Data - данные аутентификации, и не является обязательным в заголовке.
Режимы работы
Тунельный используется для топологии "Сеть-Сеть", а транспортный в VPN-подключении удаленного доступа (Remote Access VPN)
Транспортный режим - обеспечивается безопасность начиная с транспортного режима модели OSI и выше. Защищает полезные данные пакета, но оставляет исходные адреса IP пакета открытыми.
Туннельный режим - реализует безопасность всего исходного пакета. Пакет обрабатывается АН или ESP, затем инкапсулируется в дополнительный IP заголовок.
SA (security association) - это основной компонент IPSec. Хранятся в базе данных (SABD), которая создается на каждой стороне. VPN имеет записи описывающие параметры шифрования и аутентификации, а также SA записи описывающие параметры распределения ключа.
IPSec использует протокол IKE для реализации процесса распределения ключа.
IKE
IKE использует UDP качестве транспорта. Порт 500 - для обмена IKE сообщениями между узлами.
IKE (RFC-2409) - гибридный протокол, состоящий из протокола ISAKMP (Internet Security Assosiation and Key Management Protocol) и методов распределения ключа Jakley and Skeme. Описывает формат сообщений, принципов работы протоколов распределения ключа и процесса согласования SA.
Каждый узел должен иметь идентичные параметры ISAKMP и IPSec для создания безопасного VPN.
Этапы работы:
- 1 этап. Два узла выполняют начальное согласование своих SA. Основное назначение этого этапа - согласовать наборы политик IKE, аутентифицировать стороны и установить защищенный канал. Может быть реализовано в основном режиме (main mode) или в агрессивном (aggressive mode)
- 2 этапю SA согласовываются IKE при помощи процесса ISAKMP по поручени. IPSec. Это происходит в быстром режиме (quick mode)