Thursday, November 23rd, 2017

Безопасность IP: Часть 3 — GRE

Published on Февраль 18, 2009 by   ·   Один комментарий

Во второй части серии статей, посвященных безопасности IP, было рассмотрено, что собою представляют IKE и как использовать различные его составляющих. Также была слегка затронута сущность термина AH. В третьей части статьи будет законченно рассмотрение AH, и перейдем к изучению GRE. Читайте!

Заголовок аутентификации AH, продолжение…

Вторую часть статьи мы закончили рассмотрением того, каким образом AH выполняет аутентификацию частей заголовка IP. Это меньшее, что можно пожелать, учитывая, что части заголовка IP будут изменяться вместе с переходом. Вот почему вы, в основном, видите не использование AH, а применение трафика ESP. На этом давайте продолжим рассмотрение AH!

AH не замкнуто на собственном применении. Оно может быть использовано в сочетании с ESP, что называют “гнездованием” в туннельном режиме. Одно из четких различий между ESP и AH заключается в следующем: ESP не производит аутентификацию частей заголовка IP, пока оно используется в туннельном режиме. Если оно находится в туннельном режиме, то заголовок IP будет инкапсулирован в ESP, которое, в свою очередь, сгенерирует другой заголовок IP для маршрутизации. В этом и заключается основное различие между AH и ESP.

Как выглядит AH?

Как же выглядит заголовок AH? В принципе, он поход на ESP. Так как я не нашел подходящих пакетов AH, то опишу его схему следующим образом:

|| Заголовок Mac || Заголовок IP || Заголовок AH || данные ||

Это—схема пакета AH при его горизонтальном рассмотрении. Заголовок MAC—обычный MAC адрес компьютера, за которым следует заголовок IP. Затем—заголовок AH. Заголовок AH разбивается на различные сегменты, что показано на схеме ниже:

|| Следующий заголовок || Длина || SPI || порядковый номер || Данные аутентификации ||

Поле «Следующий заголовок» соотносится с инкапсулированным протоколом, а поле «Длина» используется для определения емкости данных аутентификации в 4-байтовом тексте. Затем идет SPI или Индекс параметров безопасности, за которым следует порядковый номер. В конце идут непосредственно данные аутентификации.

На этом закончится наше рассмотрение AH и его функций на продвинутом уровне. Мы увидели, что AH имеет серьезные недостатки, и в реальности вы будете гораздо лучше защищены с помощью ESP в качестве протокола безопасности IP. Если вы хотите почитать больше о AH, то можете проверить официальный RFC на него.

GRE или протокол инкапсуляции видовой маршрутизации

Это довольно четко спроектированный протокол, название которого довольно ясно отражает суть его применения. Это общий протокол, который может инкапсулировать другие протоколы и затем осуществлять маршрутизацию всего набора до места назначения. Однако, это лишь общая информация. Давайте окунемся немного глубже в сущность GRE.

GRE является протоколом, способным инкапсулировать другие сетевые протоколы, которые, в свою очередь, будут отосланы через третий протокол. Мы используем для наглядности следующий пример: Ваша сеть располагает пакетом, который должен быть инкапсулирован и передан на другой компьютер; этот пакет будет инкапсулирован при помощи GRE; затем новый инкапсулированный пакет будет повторно инкапсулирован в третий протокол и отослан по указанному адресу IP.

Вы правы, если скажете, что тут целая череда инкапсуляций! Сначала инкапсулируется первый оригинальный пакет (при помощи GRE), затем инкапсулируется само GRE, а затем оно отсылается. Большинство компьютеров, на самом деле, используют различные формы инкапсуляции, просто мы даже и не слышали об этом (до тех пор, пока не заговорили о GRE). Важно понять назначение GRE: оно используется для инкапсуляции другого протокола. Легко все перепутать, но, все же, постарайтесь запомнить, что GRE «заглатывает» все, а затем инкапсулируется само для передачи. Как же выглядит пакет GRE? Давайте взглянем на один.

Пакет GRE

00:03:11.297652 192.168.1.100 > 192.168.1.200: gre [KSv1] ID:0600 S:0 ppp: Conf-Req(0), Auth-Prot CHAP/MSCHAPv2, Magic-Num=110e07b6, PFC, ACFC, Call-Back CBCP, MRRU=1614, End-Disc Local, Link-Disc=000f (ttl 125, id 18980, len 89)
0x0000   4500 0059 4a24 0000 7d2f e4da c0a8 0164        E..YJ$..}/……
0x0010   c0a8 01c8 3001 880b 0039 0600 0000 0000        H..X0….9……
0x0020   ff03 c021 0100 0035 0305 c223 8105 0611        …!…5…#….
0x0030   0e07 b607 0208 020d 0306 1104 064e 1317        ………….N..
0x0040   019b 4793 3c42 ae4b ca88 ce57 771b 8ddb        ..G.<B.K…Ww…
0x0050   6600 0000 0017 0400 0f                                       f……..

Указанный выше пакет GRE охватывает PPP (PPP-через-GRE). Мы также можем видеть, что представленный выше пакет довольно сложный. В него вовлечено большое количество параметров. Описание всех параметров не является целью написания настоящей статьи. Однако я советую Вам загрузить некоторые из пакетов GRE в двоичном формате и затем, используя Ethereal, рассмотреть их различные части.

Кстати говоря, один из самых легких способов изучить приемы безопасности IP — загрузить и установить одну из свободных или испытательных программ. Таким образом, вы обретете более глубокое понимание программ, отвечающих за обеспечение безопасности IP. Это, вместе с регистрацией всех процессов во время сессии IP, очень полезно! Важно также не просто регистрировать соответствующую сессию, но и делать это с самого начала. В идеале, Ваша домашняя компьютерная лаборатории должна располагать двумя раздельными выходами в Internet.

Такая лаборатория значительно расширит простор для экспериментирования и поможет установить более реалистичные сценарии при углубленном ознакомлении с VPN и соответствующей конфигурацией. Конечно, не каждому по плечу подобная установка, однако, если Вы работаете в большой компании, то можете обратиться за помощью в отдел информационных технологий. Это будет очень полезно, так как большинство корпораций используют оболочку Cisco и выбрали VPN, основанный на применении Cisco.

Вывод

На протяжении трех статей мы рассмотрели безопасность IP и выяснили, что это довольно сложная система, в которой еще много запутанного и неясного. В любом случае, это только усиливает необходимость в тщательном изучении данной области. Существует множество прекрасных решений, касательно безопасности IP (программное обеспечение и аппаратные средства). Знание того, что происходит под оболочкой этих устройств просто необходимо! Всегда нужно быть в курсе того, что происходит с твоей сетью, иначе не оберешься неприятностей! Мне очень понравилось написание данной серии статей, поскольку Безопасность IP—это та тема, в которой я сам раньше не был особо силен. Возвращение к различным RFC для протоколов стало хорошей тренировкой памяти для меня. Я советую вам почитать больше об ESP, AH, IKE и GRE. Которые и являются основными RFC. Я искренне надеюсь, что Вам понравилась данная серия статей о Безопасности IP. Как всегда готов ответить на любые Ваши вопросы. До следующего раза!

www.windowsnetworking.com








Смотрите также:

Tags: , , , ,

Readers Comments (Один комментарий)

  1. Александр:

    Не хватает картинок, в которых бы наглядно было показано как GRE инкапсулирует полученный пакет и сам «заворачивается» в IP.




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]