Monday, July 24th, 2017

Фазы (этапы) IPSec

Published on Апрель 23, 2009 by   ·   Комментариев нет

Итак,  поговорим  о  ipsec. Знать это полезно при траблшутинге проблем
связаных с установлением VPN туннеллями.

1. Определение трафика подлежащего шифрованию.

Чаще всего используеются так называемые crypto acl.

2. Первая фаза IKE.

2.1. Аутентификация обоих концов туннеля.

2.2. Создается IKE SA которая используется для защиты процесса IKE.

2.3.  Выполняется  алгоритм Диффи-Хелмана, который гарантирует, что на
каждом конце туннеля будет использоватся одинаковый shared secret, без
пересылания этого shared secret.

2.4. Создается туннель для работы второй фазы IKE.

Первая фаза IKE может проходить в двух режимах:
— Main mode

проходит в три этапа:
— согласование используемых алгоритмов
— обе  стороны  используеют  алгоритм  Диффи-Хелмана  для определения
ключей
— используя ключи стороны аутентифицируют друг-друга.

— Aggressive mode

Все что посылается в Main mode в три этапа, посылается в одном пакете.
Основная  проблема,  что  стороны обмениваются информацией до того как
безопасное соединение будет установлено.

3. Вторая фаза IKE.

Основаня  задача  этого  этапа  подготовить  IPSec  SA  которые  будут
использоватся  непосредственно  для  шифрования  трафика.  Сюда входит
согласование параметров и собственно установка.

IPSec  может  переходить  из  фазы  4  к  фазе  4 и назад в нескольких
случаях:

— каждая  SA  имеет  определенное  время  жизни  (например  1  час  в
Checkpoint),   соостветственно  по  истечении  этого  часа  необходимо
пересоздать SA.

При  этом для создания новой SA используется тот же shared secret, что
и раньше.

— использование   perfect   forward   secrecy  (PFS).  Алгоритм  PFS
гарантирует,  что  при  создании  новой  SA  предыдущий  shared secret
использоватся  не  будет, более того не будет никакой корреляции между
старым и новым shared secret. Для реализации PFS используется алгоритм
Диффи-Хелмана в quick mode.

Quick  mode:  для  ренерации  новой  SA  используется  текущая SA (нет
отброса на первую фазу IKE).

4. Нормальная работа.

На   этой   фазе   туннель  работает  в  нормальном  режиме  шифруя  и
расшифровывая трафик.

5. Закрытие туннеля.

how to get your ex back

Может быть принудительным (clear SA) либо по истечении тайм-аута.

zp8497586rq























Смотрите также:

Readers Comments (Комментариев нет)

Comments are closed.

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]