Во второй части серии статей, посвященных безопасности IP, было рассмотрено, что собою представляют IKE и как использовать различные его составляющих. Также была слегка затронута сущность термина AH. В третьей части статьи будет законченно рассмотрение AH, и перейдем к изучению GRE. Читайте!
Заголовок аутентификации AH, продолжение…
Вторую часть статьи мы закончили рассмотрением того, каким образом AH выполняет аутентификацию частей заголовка IP. Это меньшее, что можно пожелать, учитывая, что части заголовка IP будут изменяться вместе с переходом. Вот почему вы, в основном, видите не использование AH, а применение трафика ESP. На этом давайте продолжим рассмотрение AH!
AH не замкнуто на собственном применении. Оно может быть использовано в сочетании с ESP, что называют “гнездованием” в туннельном режиме. Одно из четких различий между ESP и AH заключается в следующем: ESP не производит аутентификацию частей заголовка IP, пока оно используется в туннельном режиме. Если оно находится в туннельном режиме, то заголовок IP будет инкапсулирован в ESP, которое, в свою очередь, сгенерирует другой заголовок IP для маршрутизации. В этом и заключается основное различие между AH и ESP.
Как выглядит AH?
Как же выглядит заголовок AH? В принципе, он поход на ESP. Так как я не нашел подходящих пакетов AH, то опишу его схему следующим образом:
|| Заголовок Mac || Заголовок IP || Заголовок AH || данные ||
Это—схема пакета AH при его горизонтальном рассмотрении. Заголовок MAC—обычный MAC адрес компьютера, за которым следует заголовок IP. Затем—заголовок AH. Заголовок AH разбивается на различные сегменты, что показано на схеме ниже:
|| Следующий заголовок || Длина || SPI || порядковый номер || Данные аутентификации ||
Поле «Следующий заголовок» соотносится с инкапсулированным протоколом, а поле «Длина» используется для определения емкости данных аутентификации в 4-байтовом тексте. Затем идет SPI или Индекс параметров безопасности, за которым следует порядковый номер. В конце идут непосредственно данные аутентификации.
На этом закончится наше рассмотрение AH и его функций на продвинутом уровне. Мы увидели, что AH имеет серьезные недостатки, и в реальности вы будете гораздо лучше защищены с помощью ESP в качестве протокола безопасности IP. Если вы хотите почитать больше о AH, то можете проверить официальный RFC на него.
GRE или протокол инкапсуляции видовой маршрутизации
Это довольно четко спроектированный протокол, название которого довольно ясно отражает суть его применения. Это общий протокол, который может инкапсулировать другие протоколы и затем осуществлять маршрутизацию всего набора до места назначения. Однако, это лишь общая информация. Давайте окунемся немного глубже в сущность GRE.
GRE является протоколом, способным инкапсулировать другие сетевые протоколы, которые, в свою очередь, будут отосланы через третий протокол. Мы используем для наглядности следующий пример: Ваша сеть располагает пакетом, который должен быть инкапсулирован и передан на другой компьютер; этот пакет будет инкапсулирован при помощи GRE; затем новый инкапсулированный пакет будет повторно инкапсулирован в третий протокол и отослан по указанному адресу IP.
Вы правы, если скажете, что тут целая череда инкапсуляций! Сначала инкапсулируется первый оригинальный пакет (при помощи GRE), затем инкапсулируется само GRE, а затем оно отсылается. Большинство компьютеров, на самом деле, используют различные формы инкапсуляции, просто мы даже и не слышали об этом (до тех пор, пока не заговорили о GRE). Важно понять назначение GRE: оно используется для инкапсуляции другого протокола. Легко все перепутать, но, все же, постарайтесь запомнить, что GRE «заглатывает» все, а затем инкапсулируется само для передачи. Как же выглядит пакет GRE? Давайте взглянем на один.
Пакет GRE
00:03:11.297652 192.168.1.100 > 192.168.1.200: gre [KSv1] ID:0600 S:0 ppp: Conf-Req(0), Auth-Prot CHAP/MSCHAPv2, Magic-Num=110e07b6, PFC, ACFC, Call-Back CBCP, MRRU=1614, End-Disc Local, Link-Disc=000f (ttl 125, id 18980, len 89)
0x0000 4500 0059 4a24 0000 7d2f e4da c0a8 0164 E..YJ$..}/……
0x0010 c0a8 01c8 3001 880b 0039 0600 0000 0000 H..X0….9……
0x0020 ff03 c021 0100 0035 0305 c223 8105 0611 …!…5…#….
0x0030 0e07 b607 0208 020d 0306 1104 064e 1317 ………….N..
0x0040 019b 4793 3c42 ae4b ca88 ce57 771b 8ddb ..G.<B.K…Ww…
0x0050 6600 0000 0017 0400 0f f……..
Указанный выше пакет GRE охватывает PPP (PPP-через-GRE). Мы также можем видеть, что представленный выше пакет довольно сложный. В него вовлечено большое количество параметров. Описание всех параметров не является целью написания настоящей статьи. Однако я советую Вам загрузить некоторые из пакетов GRE в двоичном формате и затем, используя Ethereal, рассмотреть их различные части.
Кстати говоря, один из самых легких способов изучить приемы безопасности IP — загрузить и установить одну из свободных или испытательных программ. Таким образом, вы обретете более глубокое понимание программ, отвечающих за обеспечение безопасности IP. Это, вместе с регистрацией всех процессов во время сессии IP, очень полезно! Важно также не просто регистрировать соответствующую сессию, но и делать это с самого начала. В идеале, Ваша домашняя компьютерная лаборатории должна располагать двумя раздельными выходами в Internet.
Такая лаборатория значительно расширит простор для экспериментирования и поможет установить более реалистичные сценарии при углубленном ознакомлении с VPN и соответствующей конфигурацией. Конечно, не каждому по плечу подобная установка, однако, если Вы работаете в большой компании, то можете обратиться за помощью в отдел информационных технологий. Это будет очень полезно, так как большинство корпораций используют оболочку Cisco и выбрали VPN, основанный на применении Cisco.
Вывод
На протяжении трех статей мы рассмотрели безопасность IP и выяснили, что это довольно сложная система, в которой еще много запутанного и неясного. В любом случае, это только усиливает необходимость в тщательном изучении данной области. Существует множество прекрасных решений, касательно безопасности IP (программное обеспечение и аппаратные средства). Знание того, что происходит под оболочкой этих устройств просто необходимо! Всегда нужно быть в курсе того, что происходит с твоей сетью, иначе не оберешься неприятностей! Мне очень понравилось написание данной серии статей, поскольку Безопасность IP—это та тема, в которой я сам раньше не был особо силен. Возвращение к различным RFC для протоколов стало хорошей тренировкой памяти для меня. Я советую вам почитать больше об ESP, AH, IKE и GRE. Которые и являются основными RFC. Я искренне надеюсь, что Вам понравилась данная серия статей о Безопасности IP. Как всегда готов ответить на любые Ваши вопросы. До следующего раза!
www.windowsnetworking.com
Tags: mac, ppp, quote, redirect, vpn
Не хватает картинок, в которых бы наглядно было показано как GRE инкапсулирует полученный пакет и сам «заворачивается» в IP.