Thursday, November 23rd, 2017

Безопасность IP: Часть 1 — ESP

Published on Февраль 18, 2009 by   ·   Комментариев нет

Безопасность IP представляет собою область, скрытую от большинства глаз и доступную лишь тем, кто непосредственно соприкасается с ней. Жаль, поскольку эта область заслуживает более детального рассмотрения. В данной статье мы рассмотрим сущность безопасности IP и основные условные обозначения связанные с ней.

Безопасность IP

Безопасность IP является областью, которой если и касаются, то лишь невзначай; к которой если и делают комментарии, то смутные и неясные. Данная сфера компьютерной безопасности должна получать четкое развитие, так как оказывает непосредственное влияние, как на домашних, так и на корпоративных пользователей. Вы, возможно, уже пользовались ею, но даже об этом и не подозревали. В целях «разоблачения» Безопасности IP я расскажу о различных ее аспектах. Некоторые из читателей могут не согласиться по поводу того, что все обсуждаемые в настоящей статье темы относятся к безопасности IP, но, тем не менее, они обсуждаются именно здесь (ESP, AH, IKE и GRE).

Также мы рассмотрим, каким образом используются все эти схемы, а также изучим некоторые отдельные пакеты ESP (инкапсулирование нагрузки безопасности — encapsulating security payload) для большей наглядности и объяснения невозможности проведения анализа данного вида трафика. Также мы рассмотрим пакет GRE, и, часто смешиваемый с указанным, объект IKE (обмен ключей Internet — Internet key exchange) вместе с их ролью в обеспечении компьютерной безопасности. Прочитав всю серию настоящих статей, вы узнаете гораздо больше о том, что представляет собою Безопасность IP, и каким образом она оказывает непосредственное влияние на Вас. Неудивительно, если Вас попросят приобрести в ближайшем будущем для своей компании пакет для Виртуальной Частной Сети VPN; знания, которые Вы получите, прочитав эти статьи, помогут вам сделать более детальный выбор.

ESP не только для кино!

Мы на самом деле говорим об инкапсулировании нагрузки безопасности, а не об экстрасенсорном восприятии (также обозначаемым термином ESP). ESP является одной из наиболее известных составных частей системы безопасности IP; ее легко распознать на пакетном уровне, в чем Вы скоро и убедитесь. Данный протокол используется для обеспечения защиты информации, проходящей между двумя конечными пунктами; некоторые обращаются к нему, как к «замещающему туннельному» протоколу. Это происходит потому, что информация инкапсулируется в ESP перед отправкой. Подобный механизм может быть использован как в IPv4, так и в IPv6. Кроме того, немногие знают о том, что ESP может быть использовано в сочетании с AH (подробнее об AH позже). Вот почему некоторые говорят, что IPv4 по своей сути небезопасно. Что ж, с этим можно хорошенько поспорить, не так ли?

ESP, само по себе, может быть использовано в двух различных типах систем, которые известны как “туннельная” и “передающая”. В туннельном режиме датаграмма IP, которую необходимо отправить, закладывается в зашифрованную часть ESP, а затем, все ESP вкладывается в датаграмму, которую зашифровывают заголовки IP. К сожалению, по простому объяснить здесь ничего невозможно, но ключевой момент всего вышесказанного заключается в том, что датаграмма оригинального IP, которая подлежит отправке, включается в зашифрованную часть, т.е. ESP, которое располагается в другой датаграмме, содержит незашифрованные заголовки IP. Также существует такое понятие, как режим передачи. В данном случае заголовок ESP помещается сразу же после заголовка IP непосредственно в самом пакете. Схему действия подобного режима нетрудно понять! Для более детального ознакомления с обоими из указанных режимов я советую Вам заглянуть сюда. Вам это действительно поможет лучше понять суть всего вышесказанного. Чем больше чувств (видение, чтение и т.д.) вы вовлекаете в процесс обучения, тем лучше.

Посмотрим на пакет ESP!

Теперь мы посмотрим на содержимое пакета ESP и разберемся в некоторых из его показателей. Также я объясню, почему так сложно анализировать данный вид трафика, влияющий на систему сетевой безопасности. Обратите особое внимание на то, что я помещаю свои комментарии к пакету непосредственно под ним.

00:00:03.831546 192.168.1.100 > 192.168.1.200: ESP(spi=0x14579c09,seq=0x4926) (ttl 243, id 9712, len 1072)
0x0000   4500 0430 25f0 0000 f332 94e8 c0a8 0164        E..0%….2…{..
0x0010   c0a8 01c8 1457 9c09 0000 4926 67f3 2e95 …..W….I&g…
0x0020   6804 f49a a7e6 e6c5 4fd8 7b7a c2b0 1575 h…….O.{z…u
0x0030   dbdd a425 2d73 9565 0b13 0273 53dc c6b3 …%-s.e…sS…
0x0040   9301 eb2b 3d29 f85e 2b81 799c ec07 1e80 …+=).^+.y…..
0x0050   08fb cf16 9cea 3263 3d46 55f6 f070 a6f0 ……2c=FU..p.
0x0060   4029 0453 4707 19cc 0212 5d33 36fa 134a @).SG…..]36..J
0x0070   d640 690c 01f6 ac9c 3818 1da5 becb 2baa .@i…..8…..+.

Очень кратко коснусь тех показателей, о которых уже говорил в предыдущих статьях. Слева направо идут: временная метка, адрес источника IP, порт источника. Затем следует адрес назначения IP и порт назначения. Итак, то, что мы увидели под “ESP” выше, и есть стандартный пакет ESP. Прекрасно! После этого мы можем видеть “spi” (индекс параметров безопасности — security parameter index) и число, стоящее рядом с ним. Это произвольное число, которое определяет SA (службу безопасности — Security Association) для данного конкретного пакета. Затем следует “seq” и шестнадцатеричная величина, являющаяся порядковым номером. Данное число может быть использовано для предотвращения повторных атак. Данная опция определяется посредством SA. Затем идет привычные для нас заголовки IP “ttl” (предписанное время жизни), “id” или число IP ID (использующееся для фрагментации), а также “len” для обозначения длины всего пакета.

Пока не забыл, должен сказать Вам о том, что я несколько «урезал» данный пакет. Если Вы посчитаете биты и сравните их с размером всего пакета, то сразу же заметите разницу. Подчеркнутые секции пакета означают места, откуда исходят зашифрованные данные. Также вы можете заметить, что не содержится информации в содержимом ASCII пакета. Это происходит потому, что оригинальная датаграмма была инкапсулирована в ESP. Именно из-за этого так сложно проводить какой-либо критический анализ данного типа трафика. Все, что Вы можете реально сделать, это провести статистический анализ. Под этим я подразумеваю тот факт, что Вы можете неожиданно увидеть чрезвычайно «раздутый» в размерах трафик ESP, в отличие от обычного легкого. Данная ситуация будет явным показателем наличия ошибки. ESP сам по себе не защищен от атак извне, и именно поэтому некоторые определенные опции должны быть выбраны в SA при обеспечении соединения.

SA сделана с использованием IKE (обмен ключей Internet). Следует запомнить, что SA хорошо подходит только для одной стороны: отправителя. Если же используется соединение VPN, то необходимо две SA; одна — для отправителя, а другая — для получателя. SA составляют три независимые величины: SPI (о чем было рассказано выше), адрес назначения, а также протокол безопасности, т.е. 50 или 51, что внесено в заголовок IP.

На этой ноте мы прервемся. Выше мы совершили краткий экскурс в то, что собою представляет ESP, каким образом оно работает на высшем уровне. Также было подробно разъяснено, почему практически невозможно проводить полный анализ пакетов ESP. Кроме того, мы также раскрыли сущность понятия SA и тот факт, что оно каким-то образом является составной частью IKE. Во второй части настоящей статьи о Безопасности IP мы глубже заглянем в IKE, чтобы понять, Аким образом оно обеспечивает установку соединений ESP и AH. Существуют различные способы, с помощью которых IKE может выполнять эту свою функцию — мы разберем их все. Ждите второй части!

www.windowsnetworking.com










Смотрите также:

Tags: , , ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]