тайная канцелярия

КОНСТАНТИН ГАВРИЛЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-056-2

- IKE (Internet Key Exchange) – механизм автоматического безопасного обмена ключами, предоставляющий средства согласования криптографического алгоритма и отвечающий за распределение ключей, используемых для шифрования данных.

Существуют два режима работы IPSec-соединения: туннельный и транспортный. Транспортный режим работы используется исключительно для защиты соединения между двумя хостами, шифруя только полезные данные в пакете. Tуннельный режим работы шифрует полностью весь передаваемый ИП-пакет, вместе с полезными данными, ИП-опциями, исходным и конечным адресом, добавляя новые ИП-заголовки, позволяя создавать защищенное соединение между несколькими сетями. Настоятельно рекомендую использовать туннельный режим работы ESP IPSec, так как он обеспечивает наибольший уровень конфиденциальности передаваемых данных, хотя и увеличивает пакет на несколько дополнительных байтов.

При использовании автоматического режима обмена ключами, создание туннеля происходит в два этапа. Во время первой фазы соединения происходит формирование ISAKMP SA (соглашения о защите протокола безопасности в интернете и управления ключами), включая установление аутентификации и защиты IPSес-узлов, согласования политики для защиты обмена информацией, выработки защитного ключа через протокол Диффи-Хельманa и установки туннеля для дальнейших переговоров второй фазы. Во время второй фазы согласования формируется IPSec SA, включая согласование параметров SA для протокола IPSec, выработку SA для протокола IPSec, периодическую ротацию ключей шифрования.

Наиболее распространенные методы взаимной аутентификации сторон включают использование предварительно разделенного ключа (PSK) или цифровые сертификаты типа X.509. Оба метода имеют свои преимущества. Хотя считается, что использование цифровых сертификатов — более безопасное решение, но стоит ли утруждать себя созданием CA, выпиской сертификатов и CRL, если нужно соединить только два хоста?

[выбор IPSec’а.]

На данный момент существует две имплементации IPSec-стэка для Линукса и три вида пользовательского интерфейса. Начиная с 2.6.x версии, ядро Линуксa приобрело встроенную поддержку IPSec'а (NETKEY), портированную с FreeBSD, и пользовательский интерфейс, предоставляемый ipsec-tools. Для предыдущих версий ядра (2.2.x и 2.4.x) поддержка протокола IPSec осуществлялась через программный пакет FreeSWAN (KLIPS кaк часть кернела и Pluto — кaк пользовательский интерфейс), который на данный момент перешел в новую реинкарнацию и называется OpenSWAN. Третьим пользовательским интерфейсом является Isakmpd, портированный на Линукс с OpenBSD — наименее распространенное решение.

Хотя NETKEY — значительно более молодой стэк, чем KLIPS, и имеет меньшую функциональность, он все равно был интегрирован в текущее древо ядра, в основном из-за различных «политических» проблем, окружающих KLIPS, а также из-за более «чистого» кода.

[подготовка к установке.]

Большинство современных дистрибутивов базируются на 2.6.x ядре и имеют как предустановленную поддержку IPSec'а в ядре, тaк и набор утилит в своих системах управления пакетами.