ipsec
IPsec – повышаем безопасность
IPsec – повышаем безопасность
Дата: 08/09/2006
Автор: Дмитрий Батиевский
Статья участвовала в нашем конкурсе статей.
Перед тем как приступить к подробному ознакомлению с протоколом IPsec ipsec его настройкой, следует выявить его возможности ipsec преимущества перед другими доступными протоколами защиты данных.
IPsec существует в виде расширения протокола IPv4 ipsec является неотъемлемой частью IPv6. Рассматриваемый протокол обеспечивает безопасность IP-уровня сети (3 уровень в модели ISO/OSI, рис. 1), что позволяет обеспечить высокий уровень защиты, прозрачный для большинства приложений, служб ipsec протоколов верхнего уровня, использующих в качестве транспорта протокол IP. IPSec не требует внесения изменений в существующие приложения или операционные системы.
Рис. 1, Модель ISO/OSI.
Внедрение безопасности на данном уровне обеспечивает защиту для всех протоколов семейства TCP/IP, начиная с уровня IP, таких как TCP, UDP, ICMP, ipsec также множества других.
Другие службы безопасности, работающие выше третьего уровня, например протокол SSL (Secure Sockets Layer), защищают лишь конкретный прикладной сокет. Для защиты всех устанавливаемых соединений подобные протоколы требуют изменения всех служб ipsec приложений для обеспечения ими поддержки, протокола, в то время как службы, действующие ниже третьего уровня, такие как аппаратное шифрование уровня связи, в состоянии защитить лишь конкретную связь, но не все связи на пути следования данных, что делает их применение в условиях интернет нецелесообразным.
Использование протокола IPsec наиболее целесообразно для обеспечения безопасной связи между компьютерами либо сетями через другую масштабную сеть, безопасность которой невозможно контролировать. Одним из важных преимуществ протокола IPsec также является невысокая стоимость внедрения, так как в большинстве случаев не требуется установки нового оборудования или замены старого, ipsec также то, что протокол является стандартным ipsec открытым, ipsec поставляется практически со всеми современными операционными системами.
Одним из важных преимуществ протокола является дешевизна его использования. Он позволяет обезопасить данные ipsec обеспечить проверку подлинности пользователей ipsec данных в ранее незащищенной сети без дополнительных затрат на сетевое оборудование, так как сохраняется совместимость со всем ранее выпущенным оборудованием.
Протокол IPsec обеспечивает высокий настраиваемый уровень безопасности с помощью служб, основанных на криптографии (хеширование – для защиты от повторений, обеспечения целостности данных ipsec проверки их подлинности, ipsec непосредственно шифрование, обеспечивающее конфиденциальность данных).
Субпротоколы AH (Authentication Header) ipsec ESP (Encapsulating Security Payload) могут использоваться как совместно для обеспечения наибольшего уровня безопасности, так ipsec независимо друг от друга.
Работа протокола возможна в двух режимах - транспортном ipsec туннельном, обеспечивающих различный уровень безопасности ipsec применимые в различных условиях.
Транспортный режим имеет целью обезопасить соединения между конкретными компьютерами, как правило объединенных единой (локальной) сетью. При использовании транспортного режима обеспечивается защита полезных данных IP (например сегментов TCP), при этом IP-заголовок защищается от изменения, оставаясь доступным для чтения.
В транспортном режиме протоколы AH ipsec ESP имеют следующие функции ipsec возможности:
протокол AH обеспечивает проверку подлинности ipsec целостность данных, ipsec также отсутствие повторов (как заголовка IP, так ipsec полезных данных), то есть защищает данные от целенаправленных изменений. При этом данные не шифруются, ipsec остаются доступными для чтения. AH подписывает пакеты используя алгоритмы хеширования с ключами (MD5, ipsec в более современных реализациях SHA1), при этом заголовок AH помещается между заголовком IP ipsec полезными данными (как показано на рисунке 2). В заголовке AH подписывается весь IP-пакет, за исключением полей, подлежащих изменению в процессе передачи по сети (рисунок 3). Заголовок AH всегда расположен перед любыми другими заголовками, используемыми в Ipsec.
Рис. 2, Размещение заголовка АН
Рис. 3, Охват AH (транспортный режим)
протокол ESP в транспортном режиме обеспечивает конфиденциальность полезных данных IP, но не заголовка IP. Кроме шифрования полезных данных IP, ESP обеспечивает проверку подлинности ipsec целостности пакета, ipsec точнее заголовка ESP, полезных данных IP ipsec трейлера ESP (но не заголовка IP). Значение проверки целостности хранится в поле «трейлер проверки подлинности ESP». Заголовок ESP размещается перед полезными данными IP, ipsec трейлер ESP ipsec трейлер проверки подлинности ESP помещаются за полезными данными IP (рисунок 5).
Рис. 4, Размещение заголовка ipsec трейлеров ESP
Рис. 5, Охват ESP (транспортный режим)
Туннельный режим используется преимущественно совместно с VPN-туннелями, что позволяет защитить связь между двумя географически удаленными сетями, объединенными посредством сети интернет. Рассматриваемый режим обеспечивает защиту всего пакета IP, рассматривая его как полезные данные AH или ESP. При использовании этого режима весь пакет IP инкапсулируется в заголовок AH или ESP ipsec дополнительный заголовок IP. IP-адреса внешнего заголовка IP указывают конечные точки туннеля, ipsec IP-адреса инкапсулированного заголовка IP указывают исходную точку ipsec точку назначения пакета. Благодаря этому обеспечивается защита всего IP-пакета, включая заголовок IP.
AH в режиме туннеля подписывает пакет для сохранения целостности ipsec инкапсулирует его в заголовки IP ipsec AH (рисунок 6), при этом данные остаются доступными для чтения.
Рис. 6, Охват AH (туннельный режим)
ESP в туннельном режиме помещает исходный пакет целиком между заголовком ESP ipsec трейлером проверки подлинности ESP, включая заголовок IP, ipsec шифрует эти данные, создавая новый заголовок IP, как ipsec AH, в котором в качестве адресов отправителя ipsec получателя указываются IP адреса серверов туннеля (рисунок 7). Сервер туннеля на другой стороне расшифровывает пакет и, отбросив туннельный IP-заголовок ipsec заголовки ESP, передает пакет получателю в своей интрасети. Весь процесс происходит совершенно прозрачно для конечных рабочих станций.
Рис. 7, Охват ESP (туннельный режим)
Туннельный режим протокола IPsec используется в тех случаях, когда требуется защитить данные (в том числе заголовки IP), передаваемые через общедоступную сеть. Примерами могут служить связи между удаленными подразделениями компании.
Транспортный же режим служит для защиты данных преимущественно внутри одной сети, безопасность которой не может быть надежно обеспечена другими способами без значительных затрат, либо когда требуется высокий уровень безопасности, что достигается совместным использованием различных протоколов. В качестве примеров можно назвать беспроводные сети, ipsec также кабельные сети, покрывающие большие территории.
В зависимости от требуемого уровня безопасности, возможны различные конфигурации работы протокола IPsec. Например если требуется обеспечить лишь аутентификацию пользователей ipsec проверку целостности ipsec подлинности данных, то можно ограничится использованием AH, что существенно не повлияет на производительность сети ipsec отдельных рабочих станций, даже при применении наиболее стойких алгоритмов хеш-функций, как будет показано ниже. В случае если передаваемые данные требуют их шифрования, то используется протокол ESP, что, в зависимости от применяемых криптографических алгоритмов ipsec скорости передачи данных, может значительно сказаться на производительности рабочих станций, которые выполняют функции конечных точек туннеля или участвуют в сети, где применяется транспортный режим IPsec..
Настройка
Описание настройки VPN-туннелей, как ipsec рассмотрение их свойств ipsec возможностей, выходит за рамки данной статьи, поэтому ограничимся описанием процесса настройки транспортного режима IPsec.
В Windows XP настройка IPsec выполняется посредством оснастки «Локальные параметры безопасности», запуск которой возможен из меню «Администрирование», «Панели управления», либо через команду «Выполнить» «secpol.msc». Возможно использование созданных по умолчанию политик, либо создание новой.
Для создания политики безопасности IP необходимо выделить из списка пункт «Политики безопасности IP» ipsec в меню «Действие» выбрать «Создать политику безопасности IP».
Рис. 8, Создание политики безопасности IP
Откроется «Мастер политики IP-безопасности». Для продолжения следует нажать «Далее». В следующем окне нужно ввести имя новой политики, ipsec нажать «Далее».
Рис. 9, Имя политики IP
В следующем окне «Мастер» предложит принять решение использовать ли правило по умолчанию. Использование этого правила можно отменить ipsec после создания политики, если возникнет такая необходимость.
Рис. 10, Правило по умолчанию
После этого «Мастер» предлагает выбрать способ проверки подлинности пользователя. IPsec поддерживает следующие способы: посредством протокола Kerberos (стандартный протокол аутентификации в доменах Windows 2000 ipsec Windows 2003), с помощью сертификата пользователя, либо на основании строки защиты («пароля»). Если в вашей сети нет контроллеров домена ipsec пользователи сети не обладают действительными сертификатами, остается только выбрать строку посложнее ipsec держать ее в строгой тайне. Строка защиты на самом деле может состоять из нескольких строк.
Рис. 11, Выбор способа аутентификации
Создание политики практически закончено. Изменить свойства можно немедленно по завершении работы мастера (окно свойств откроется автоматически), либо позже, выделив нужную политику ipsec выбрав из контекстного меня пункт «Свойства».
Рис. 12, Завершение создания политики
Теперь пришло время изменить свойства политики так, чтобы они удовлетворяли потребностям, ipsec значит предстоит создать правила безопасности IP, фильтр ipsec правила фильтра.
Для создания правила безопасности необходимо открыть свойства созданной политики безопасности IP ipsec на вкладке «Правила» нажать кнопку «Добавить», предварительно сняв флажок «Использовать мастер», как показано на рисунке 13.
Рис.13, Создание правила безопасности IP
На закладке «Параметры туннеля» не следует что-либо изменять если Вы не настраиваете IPsec в туннельном режиме. На закладке «Тип подключения» есть возможность выбрать для каких сетевых подключений будет применяться создаваемое правило – для всех подключений, только для локальных подключений или только для удаленных. Таким образом предусмотрена возможность создания различных правил для сетевых подключений с различной скоростью передачи данных, что позволяет для более медленных и, как правило, менее защищенных удаленных подключений установить другие параметры как аутентификации, так ipsec проверки целостности ipsec шифрования.
Рис. 14, Тип подключения
На закладке «Методы проверки подлинности» есть возможность добавить несколько методов проверки ipsec изменить порядок их предпочтения, что позволяет более гибко настроить правило для связи с различными узлами, поддерживающими различные способы аутентификации.
Рис. 15, Методы проверки подлинности
После выбора типа подключений ipsec методов проверки подлинности следует выбрать список фильтров IP ipsec действие фильтра, либо создать новые. Для выбора либо создания фильтров IP следует перейти на закладку «Список фильтров IP»(рисунок 16).
По умолчанию созданы следующие фильтры:
Полный IP-трафик, который применяется ко всему IP-трафику, независимо от используемого протокола более высокого уровня;
Полный ICMP-трафик, который применяется соотвественно ко всему ICMP-трафику.
Рис. 16, Список фильтров IP.
Для создания нового фильтра следует нажать кнопку «Добавить», после чего откроется окно «Список фильтров IP», где, после ввода имени списка фильтров ipsec снятия галочки «Использовать мастер», следует нажать кнопку «Добавить»(рисунок 17).
Рис. 17, Создание списка фильтров IP.
Откроется окно «Свойства: Фильтр» (рисунок 18), где следует указать адреса источника ipsec получателя пакетов, к которым будет применяться фильтр, ipsec также, при необходимости, протокол ipsec порты источника ipsec получателя.
Рис. 18, Параметры нового списка фильтров IP
После выбора или создания списков фильтров, необходимо определить действие фильтра. Это можно сделать на закладке «Действие фильтра». Созданные по умолчанию действия:
Разрешить, которое разрешает прохождение небезопасных пакетов (без использования IPsec),
Требуется безопасность, что определяет разрыв связи с клиентами, не поддерживающими IPsec, ipsec с клиентами, поддерживающими IPsec будет производиться обмен данными с применение проверки целостности ESP, но без AH ipsec без шифрования данных.
Последнее предустановленное действие – Запрос безопасности – предусматривает требование от клиентов безопасной связи, но при невыполнении этих требований небезопасная связь прервана не будет.
Рис. 19, Действия фильтра
Создать новое действие можно нажав на кнопку «Добавить», предварительно сняв флажок «Использовать мастер» (рисунок 19). На вкладке «Методы безопасности» открывшегося окна «Свойства: создание действия фильтра», следует указать нужно ли разрешить прохождение данных, заблокировать их либо согласовать безопасность(рисунок 20).
Рис. 20, Пустой список возможных действий фильтра
Если выбран пункт согласовать безопасность, можно добавить методы безопасности ipsec изменить порядок их предпочтения. При добавлении методов безопасности следует выбрать, будет ли использоваться AH, ESP, либо настроить безопасность вручную, выбрав пункт «Настраиваемая безопасность». Только таким образом можно задействовать ipsec AH ipsec ESP. В параметрах настраиваемой безопасности устанавливаются требуемые протоколы (AH ipsec ESP)(рисунок 21).
Рис. 21, Создание действия фильтра
Здесь также предоставлена возможность вручную выбрать алгоритмы проверки целостности ipsec шифрования, ipsec таже параметры смены ключей сеанса. По умолчания ключи изменяются каждый час либо через каждые 100Mb переданной информации (рисунок 22).
Рис. 22, Параметры особого метода безопасности
После выбора действий фильтров настройку политики безопасности IP можно считать завершенной. Если настройка производилась в Windows XP, как в этом примере, для транспортного режима IPsec, то такую же операцию следует произвести на каждом компьютере. Средства автоматизации в Windows Server позволяют централизовано развернуть политику IP на всех рабочих станциях домена. Вне домена автоматизация возможна лишь отчасти посредством сценариев командной строки (с помощью программы ipseccmd).
Тестирование
Тестирование производительности протокола IPsec имеет целью выявить уровень нагрузки на центральный процессор при передаче данных по сети с использованием различных криптографических алгоритмов.
Тестирование производилось на компьютерах следующей конфигурации:
Компьютер 1
Компьютер 2
Процессор
AMD Athlon 64 3000+ Socket 754
AMD Athlon XP 1700+ Socket А
Материнская плата
ASUS K8N4-E
ASUS A7V333-X
Память
2*512 Mb Samsung PC 3200
256 Mb Samsung PC 2700
Жесткий диск
Seagate ST3160023A
Seagate ST380011A
Сетевой адаптер
Realtek RTL8139
Realtek RTL8139
Между двумя копьютерами передавался файл обьемом 701 Мб, с различными настройками IPsec, ipsec также без использования рассматриваемого протокола.
К сожалению, не было найдено более точных способов измерения загруженности процессора ipsec времени передачи файла, чем часы ipsec диспетчер задач Windows, поэтому, возможна некоторая погрешность в измерениях.
Без использования IPsec, файл был передан за 86 с. При этом загруженность процессоров на обоих компьютерах была не высока, как показано на рисунках 23 ipsec 24, ipsec средняя скорость передачи данных достигла 65,21 Мбит/с.
Рис. 23, Загрузка процессора на компьютере 1
Рис. 24, Загрузка процессора на компьютере 2
После этого IPsec был настроен описанным выше образом для обеспечения целостности передаваемых данных (субпротокол AH с использованием SHA-1).
Время передачи данных возросло незначительно, до 91 с, ipsec скорость незначительно упала, до 61,63 Мбит/с. При этом загрузка процессоров выросла не на много ipsec изображена на рисунках 25 ipsec 26.
Рис. 25, Загрузка процессора на компьютере 1
Рис. 26, Загрузка процессора на компьютере 2
Следующий тестовый вариант настройки IPsec был таким: ESP без использования AH, с шифрованием при помощи DES ipsec хешированием MD5. Значительных изменений в производительности в этой конфигурации по сравнению с предыдущими замечено не было.
Файл передан за 93 с, скорость передачи составила 60,3 Мбит/с. Загрузка процессоров показана соответственно на рисунках 27 ipsec 28. Следует заметить, что DES является устаревшим алгоритмом ipsec не рекомендуется к использованию там, где защищаемые данные действительно имею большую ценность. В то же время стойкость этого алгоритма может быть значительно улучшена благодаря более частой смене ключа.
Рис. 27, Загрузка процессора на компьютере 1
Рис. 28, Загрузка процессора на компьютере 2
При использовании более стойкого 3DES вместо DES в той же конфигурации (MD5), скорость передачи упала более чем в два раза, ipsec составила 29,99 Мбит/с, ipsec время соответственно 187 с. Графики загруженности процессоров практически не изменились (рисунки 29 ipsec 30).
Рис. 29, Загрузка процессора на компьютере 1
Рис. 30, Загрузка процессора на компьютере 2
При использовании ESP с 3DES ipsec SHA1 время передачи выросло на 1с (до 188), ipsec скорость упала до 29,83 Мбит/с. Приводить графики загруженности процессора нет смысла – они такие же как на рисунках 29 ipsec 30.
Используя совместно с ESP протокол AH в наиболее безопасной, ipsec значит ipsec наиболее ресурсоемкой конфигурации, доступной в Windows XP, получены следующие результаты: время передачи увеличилось до 212 с, скорость упала до 26,45 Мбит/с.
Рис. 31, Загрузка процессора на компьютере 1
Рис. 32, Загрузка процессора на компьютере 2
Диаграмма 1, Время передачи файла ipsec скорость в зависимости от используемых криптографических алгоритмов
Как видно из результатов тестирования (диаграмма 1), ресурсоемкость IPsec невысока при использовании только лишь AH ipsec при применении ESP с DES. В случае же использования 3DES производительность резко падает, но при низких скоростях передачи данных производительности даже устаревших процессоров будет достаточно. Там же, где требуется высокая скорость передачи данных, может оказаться достаточным использование DES с частой сменой ключа. Характерно, что загрузка двух процессоров различного класса не слишком отличалась.
В целом IPsec может быть рекомендован для использования во многих сетях, где требуется повысить безопасность.
версия для печати
print
Copyright (c) 1997-2008 3DNews | Daily Digital Digest
При цитировании документа ссылка на сайт с указанием автора обязательна. Полное заимствование документа является нарушением российского ipsec международного законодательства ipsec возможно только с согласия редакции 3DNews.
разделы
sky link
кофе колониальный товар
доставка дров
8800 gold
швейцария культура
слим лифт
motorola v3i купить
итальянский вина
снегоход буран
хосе карерас билет
гайковерт
штамповка
торговый витрина
бесплатный нард
флеш презентация
санфаянс
слимент лифт
рак простата
учет данный автошкола
kyiv apartaments service
факультет психология
бегущий строка
тонировка
автошкола
втулка переходный
здание лмк
купить fifa 2006
сервис холодильник
квн
прибор крыса
ipsec
антигололедные реагент
стелажи
автоматический оповещение
фейрверк праздник
кулер 939
5440.15 (крышка)
детский гинеколог
багетный мастерский
пп-пленка
герб вышивка
vps vds
юр.адрес
лечение щитовидный железа
лекарство рак
фирменный цвет
диагностический стенд
купить букмекерский линия
купить nokia 8910
врач-гинеколог
вытяжка крона
измеритель освещенность
спецобувь заказ
купить электроэнцефалограф
толщиномер
растворитель
этикетировочные машина
серверные корпус консольный переключатель
люминисцентная краска
купить пк
отбеливание
электросчетчик гамма
продать кайт
электросчетчик гамма
факсимиле
автоматический отправка писем outlook
пошив корпоративный костюм
полиолефиновая пленка
управление архангельск
многотарифные электросчетчик
электрический прочность
короткий нард скачать бесплатный
угловой тестомесители
кс-4361
циклон батарейный
доставка напиток
видеорегистраторы
тестоокруглитель ленточный
международный конкурс дебютант
пломбирование
изолента хб
сборный доставка
генерация кислорода
светодиодный экран
отпуск конец
клеить 88 люкс
кайт
бак накопитель
продать кайт
конвейер шнековый
thuraya sg 2510
скс
ичп пбоюл
факультет психология
инвертор
купить k800i
помыть потолок
авиатакси
кофе колониальный товар
контакт контактор
эфирный антенна funke
спб доставка
трубогиб
contiwinterviking купить
купить конвертер
центральный детский мир
газонокосилка black decker
shell omala
куллер
градирня вентиляторные грд
персонализация карта
госпиталь мэш
ваза 2113
холодильник neff
решетка ливнесборная
ipsec