Sunday, November 19th, 2017

Безопасность IP: Часть 2 — IKE и AH

Published on Февраль 18, 2009 by   ·   Комментариев нет

Данная статья входит в серию работ, посвященных защите IP. В первой части был обсужден ESP. Часть II должна осветить смысл понятия IKE, а также — AH. Настоящая серия статей расширяет ваши познания в области того, что же собою представляет защита IP, и каким образом построить весь блок защиты. Читайте, чтобы узнать больше!

Если вы пропустили первую часть статьи настоящей серии, то, пожалуйста, прочитайте IPSec (Безопасность IP): Часть 1 — ESP.

Что значит IKE?

В I части мы кратко рассмотрели, что представляет собою SA (Служба безопасности — security association), и какую роль играет IKE. Что же такое IKE? В принципе, это протокол, предназначенный для установки SA. Во время работы SA происходит процесс согласования выбора различных опций. Одна из опций, которая может быть активирована — это защита от повторных атак. Существуют также и другие опции, которые могут быть активированы, и активация которых напрямую зависит от Ваших потребностей. Роль IKE сводится к тому, чтобы проводить аутентификацию двух конечных точек защиты IP и обеспечивать безопасное соединение между ними.

IKE осуществляет данную работу в двухфазовом процессе. На фазе I происходит аутентификация двух конечных точек безопасности IP. В это время IKE также обеспечивает сочетание SA (служб безопасности) между двумя указанными конечными точками, что, в свою очередь, позволяет им проводить безопасное, охраняемое соединение. Это позволяет IKE осуществлять безопасный переход к фазе II. Еще один ключевой момент заключается в том, что при подобном аутентичном обмене по типу Diffie-Hellman конечный результат будет заключаться в том, что обе конечные точки будут иметь “общие секретные ключи”.

Указанная выше Фаза I может быть распределена на два режима, каковыми являются “главный режим” и “агрессивный режим”. Главный режим подразделяется на три независимых канала обмена информацией между двумя конечными точками.

  1. Специальные алгоритмы и «мусор» используются по соглашению для защиты соединения.
  2. Присутствует обмен по типу Diffie-Hellman, который используется для генерации совместно используемых секретных ключей для идентификации обеих конечных точек на третьем этапе.
  3. Выверяется аутентичность обеих конечных точек, что основывается на адресе IP. Обмен ключами, упомянутый несколько ранее, используется на данном этапе для дешифровки и выверки адресов IP.

Конечный результат расписанных выше трех этапов заключается в том, что теперь мы имеем сочетающиеся между собою SA двух конечных точек соединения. Теперь между обеими точками может быть осуществлено сообщение по заранее охраняемому каналу. Данный процесс представляет собою детально расписанный и структурированный обмен информацией. При использовании “агрессивного режима” происходит обмен меньшим количеством информации. Наверное, поэтому он и называется “агрессивным”! В ходе использования “агрессивного режима” используются также алгоритмы и «мусор» SA, как и на первом этапе, расписанном выше. Также происходит обмен по типу Diffie-Hellman и генерируется пакет идентичности.

Теперь, идентичная информация пересылается к первой из двух точек соединения, оставляя за второй точкой сигнал того, что обмен информацией завершен. С использованием этого режима, однако, возникает одна серьезная проблема — информация пересылается в обе стороны еще до того, как была обеспечена безопасность канала передачи. Это, в свою очередь, может привести к тому, что кто-нибудь может перехватить пакеты информации и использовать их для последующей атаки.

Теперь следующая фаза!

Если вы еще продолжаете все понимать в деталях, то настало время для того, чтобы объяснить, что представляет собою Фаза II IKE. Если вы уже устали, то не волнуйтесь — все в порядке! Это, все-таки, довольно трудная для понимания информация! До тех пор, пока Вы не будете пользоваться Виртуальной частной сетью VPN, что редко делают рядовые пользователи, эта информация будет чрезвычайно сложна для Вас. Фаза II представлена всего лишь одним режимом—“быстрый режим”. Данный режим используется после установки безопасного канала для соединения посредством Фазы I. В “Быстром режиме” SA охраняется посредством уже созданного канала; кроме того, SA будет самостоятельно обновлено и регенерировано при необходимости. Также здесь может присутствовать и обмен по типу Diffie-Hellman.

На этом наша дискуссия о сути понятия IKE должна подойти к концу. Следует запомнить, что IKE не только в ESP, но и в AH (заголовок аутентификации — authentication header). AH является одним из видов протоколов безопасности IP (согласно спецификации, протокол 51). Эта цифровая величина будет отображена в заголовке в поле протокола. Я надеялся показать Вам пакет AH, но это так и не вышло. Если хотите, то можете попытаться найти один в Вашей базе данных. Если вы регистрируете Ваши трафики, то попробуйте использовать следующий BPF фильтр:

-nXvSs 0 ip and net 192.168 and ip[9] = 51

Так Вы вызовете все пакеты с сетевым блоком 192.168 внутри с протокольным полем IP, равным 51. Если вы можете регистрировать записи в двоичной системе, то Вам необходимо всего лишь набрать –s 0 и отвергнуть все остальные установки, как показано ниже:

-s 0 ip and net 192.168 and ip[9] = 51 –w bleh

на самом деле, большинство людей уже не используют AH в качестве вспомогательного средства обеспечения безопасности IP. Гораздо лучше использовать ESP для отправки данных и их зашифровки. Зачем производить аутентификацию, если можно, просто-напросто, все зашифровать? Это обычное решение, которое принимают все. Теперь, прочитав эту статью, вы будете принимать его с большей серьезностью и пониманием.

Все очень похоже на прогулку к вашему местному распространителю за покупкой дорогой стереосистемы. Вам приходится слышать, как продавец увлеченно рассказывает о необыкновенной четкости динамиков, обеспечивающих высокое качество работы. Однако, проблема заключается в том, что диапазон RF (радио частот), которые в состоянии поддерживать эти динамики, выходит далеко за пределы Вашего человеческого слуха, и вы оказываетесь не в состоянии услышать всего. Наверное, поэтому я всегда смеюсь над некоторыми продавцами. Стоит не просто теоретизировать, а применять все на практике и понимать теорию! Как вы понимаете, необходимы некоторые практические изыскания, хотите ли Вы использовать стерео-систему, или же—использовать VPN.

Заголовок аутентификации AH

Данный вид протокола, близкий к ESP, обеспечивает интегрированность и аутентичность конечных пользователей. AH обладает также способностью обеспечения защиты от повторных атак, которые часто происходят при использовании данных видов протокола. Если опция, обеспечивающая использование подобного рода защиты, активирована конечным пользователем, то это обязательно должно быть указано в SA. Один из ключевых моментов насчет AH заключается в том, что оно обеспечивает аутентичность только по отношению к отдельным частям заголовка IP. Мы должны хорошо помнить, что отдельные части заголовка IP меняются в процессе передачи, т.е.: при отправке информации к месту назначения.

Следует вернуться обратно к параметрам протокола IP, чтобы объяснить все четко. В заголовке IP присутствует поле, которое называется TTL или “время жизни”. Каждый раз, как пакет проходит через маршрутизтаор, последний будет уменьшать величину TTL и отсылать пакет далее. Раз за разом происходит понижение величины TTL и маршрутизатор пересчитывает компенсационную сумму IP для покрытия убывшей в заголовке IP величины. Если этого не будет происходить, то компьютер, принимающий информацию, и сверяющий сумму величин IP заметит несоответствие и откажется принимать данный пакет. Таким образом, не все заголовки IP подлежат аутентификации. Менее, чем идеально, не так ли?

Я имел множество интересных дискуссий с моим хорошим другом Мэттом Эткинсом и поняол, как важно, если есть возможность, производить зашифровку данных; в особенности, если дело обстоит с маршрутными протоколами! Некоторые умные хакеры всегда ищут слабые места в протоколах и ошибки при их использовании. Хорошо, что такие люди, как Мэтт, на нашей стороне. На этой ноте я позволю себе завершить эту статью и перейти к третьей части, рассказывающей об AH и GRE. Пусть идет обмен информацией между пользователями до нашей следующей встречи!

www.windowsnetworking.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]