Протокол ipsec, ipsec site to site

Протокол IPSec как и ряд других технологий обеспечивает безопасное соединение, он является стандартом для шифрования трафика между сетевыми устройствами — чаще всего говорят об ipsec site to site.

 

Более известный SSL использует TCP порт 443, TLS (современная версия SSL) — UDP порт 443, они лучше работают чем IPSec и применяется для шифрования соединения клиент-сервер. Для шифрование же передаваемых между роутерами и файерволам и трафика почти всегда используется IPSec. Основные его преимущества в возможности создания канала между двумя узлами в незащищенной среде и шифрования всего трафика, передаваемого по каналу.

 
 
ipsec site to site
 
 

Протокол ipsec в теории, настройка ipsec site to site

IPSEC обеспечивается в 2 этапа: на первом устанавливается политика, которая будет использована для установленного соединения, на втором непосредственно передаются данные пользователей. На каждом из этапов может использоваться несколько технологий.

 

Этап 1.
Установка соединения, определение политики и обмен ключами

На этом этапе используется либо первая либо вторая версия протокола IK (IK/IKEv2)

В самом начале соединения происходит обмен ключами. Туннель не устанавливается, создается  SA — соглашение о том как шифровать данные.

IK/IKEv2 использует udp порт 500

IKE – это реализация концепции ISAKMP для использования с IPsec.

IK/IKEv2

 

 

 

IKv1 (internet key Exchange) — работа проходит также в 2 фазы:
  • создание ISAKMP SA — канала управления, через который передаются сигналы о состоянии соединения.
    udp port 500, используется policy set — политика, определяющая как обеспечивается безопасность сессии и как происходит аутентификация других роутеров, policy set распространяется на обе стороны канала.IKE SA может устанавливаться либо в основном режиме, либо в агрессивном. В первом случае (Main Mode) проверяется подлинность участников процесса — за счет identity protection exchange ISAKMP, во втором (Aggressive Mode) она не проверяется, но скорость установления политики несколько выше.

 

  • создание Ipsec SAs — определяет как обеспечивается безопасность данных конечных пользователей. Здесь используется Quick mode — быстрый режим. На фазе 1 образуется 1 SA, на фазе 2 — 2 SA, в случае с Ipsec SA передача данных осуществляется только в одном направлении — соответственно, есть входящий и исходящий каналы

 

Этап 2.
Передача пользовательских данных по каналу

На втором этапе может использоваться одна из двух технологий AH или ESP

 
 
AH и ESP
 
 
AH — обеспечивает инкапсуляцию пользовательских данных. Сейчас практически не используется поскольку никакого шифрования не используется. Проверяется только подлинность сторон и целостность пакетов данных.

 

 

 

ESP — обеспечивает проверку подлинности сторон и шифрование. Целостность пакетов не проверяет.

Структура пакета с использованием ESP:
 
ESP структура пакета
 
 
ESP работает на 4м уровне модели OSI, IP в первом случае с с адресом назначения до роутера, во втором — до внешнего узла назначения

 

Структура пакета с использованием AH:
 
AH структура пакета
 
 
Преимущество AH в том, что он проверяет целостность заголовков в том числе и внешнего заголовка IP, ESP не проверяет. AH не обеспечивает шифрования

Если на роутере, смотрящем во внешнюю сеть используется NAT AH не используется.

 

Передача данных с использованием ESP

С каждой SA ассоциированы SPI (security parameter index), которые характеризуют ESP

ESP трафик не использует портов, все пакеты, направляющиеся через канал от одного отправителя другому (вернее те, пакеты, что принадлежать одной SA) имеют один SPI

В соответствии с политикой для SA может быть, например, задан способ шифрования MD5. При помощи снифера трафика способ шифрования не увидеть, но известен роутерам на обоих концах канала.

 

Два узла в сети могут соединяться при помощи множества VPN-туннелей, каждый из которых будет принадлежать к отдельной SA (для SA может быть индивидуально задана политика шифрования). Настройка IPSEC site to site является частой задачей и применяется не только на аппаратных сетевых устройствах, но и на Linux роутерах.