совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-1

3APA3A (WWW.SECURITY.NNOV.RU)

ПРАКТИЧЕСКОЕ ПРИМЕНЕНИЕ IPSEC

ПОПЫТАЕМСЯ НА ПРАКТИКЕ РАССМОТРЕТЬ ПРИМЕНЕНИЕ IPSEC ДЛЯ ОРГАНИЗАЦИИ ЗАЩИЩЕННОГО КАНАЛА МЕЖДУ НЕБОЛЬШИМИ ОФИСНЫМИ СЕТЯМИ ИЛИ ДОСТУПА В ОФИСНУЮ СЕТЬ (НА БАЗЕ ОПЕРАЦИОННЫХ СИСТЕМ WINDOWS И НЕСКОЛЬКИХ МОДЕЛЯХ БЮДЖЕТНЫХ МАРШРУТИЗАТОРОВ)

IPSEC

IPSEC (ОТ IP SECURITY) - ПРОМЫШЛЕННЫЙ СТАНДАРТ ЗАЩИТЫ ДАННЫХ, ПЕРЕДАВАЕМЫХ ПО СЕТЯМ IP. IPSEC НЕ ОПРЕДЕЛЯЕТСЯ КАКИМ-ЛИБО ЕДИНЫМ ДОКУМЕНТОМ. ФАКТИЧЕСКИ, ЭТО НАБОР НЕСКОЛЬКИХ ДЕСЯТКОВ РАЗЛИЧНЫХ СТАНДАРТОВ, ПОЭТОМУ РАЗЛИЧНЫЕ РЕАЛИЗАЦИИ IPSEC МОГУТ БЫТЬ НЕСОВМЕСТИМЫ МЕЖДУ СОБОЙ ИЛИ СОВМЕСТИМЫ ТОЛЬКО В ОТДЕЛЬНЫХ РЕЖИМАХ.

[немного теории.]

IPSec может применяться в транспортном или туннельном режиме. В первом режиме применяется для защиты соединения «точка – точка», например, между двумя компьютерами, принадлежащими одной локальной сети. В туннельном режиме IPSec применяется для объединения двух удаленных офисов и для предоставления доступа компьютера к удаленному офису.

При работе в транспортном режиме IPSec оставляет IP-заголовок неизменным (за исключением номера протокола) и инкапсулирует данные после него. При работе в туннельном режиме IPSec добавляет новый IP-заголовок к пакету и инкапсулирует прежний IP-заголовок и данные после него.

Структура пакета до применения IPSec:

| IP-заголовок | Данные транспортного уровня |

После применения IPSec в транспортном режиме:

| IP-заголовок | Данные IPSec | Данные транспортного уровня |

После применения IPSec в туннельном режиме:

| IP-заголовок новый | Данные IPSec | IP-заголовок исходный | Данные транспортного уровня |

Из возможностей, предоставляемых IPSec, AH (Authentication Header) — заголовок аутентификации - позволяет добавлять цифровую подпись к каждому пакету. При этом подписываются данные и на транспортном, и на сетевом уровнях.

Структура пакета до применения AH:

| IP-заголовок | Данные транспортного уровня |

Структура пакета после применения AH:

В ПРАКТИЧЕСКОЙ ДЕЯТЕЛЬНОСТИ ПРОТОКОЛ AH ИСПОЛЬЗУЕТСЯ РЕДКО, ХОТЯ ОЧЕНЬ ЧАСТО ЭТО ЯВЛЯЕТСЯ РЕЗУЛЬТАТОМ НЕДОСТАТОЧНОГО ПЛАНИРОВАНИЯ ИЛИ ЧРЕЗМЕРНОЙ ПАРАНОИДАЛЬНОСТИ

ESP – Encapsulating Security Payload (инкапсуляция данных безопасности) – метод, позволяющий и подписывать, и шифровать пакеты.

Структура пакета до применения ESP:

| IP-заголовок | Данные транспортного уровня |

Структура пакета после применения ESP:

В реализации Microsoft для цифровой подписи можно использовать алгоритмы SHA1 и MD5, а для шифрования – DES и Triple DES (3DES). Другие производители поддерживают и AES, но Microsoft обещает поддержку AES для IPSec только в Windows Vista. В Windows 2000/XP/2003 он поддерживаться не будет.

ЗЛОУПОТРЕБЛЕНИЕ ШИФРОВАНИЕМ

НЕ НУЖНО ЗЛОУПОТРЕБЛЯТЬ ШИФРОВАНИЕМ, ТАК КАК ОНО УМЕНЬШАЕТ ПРОИЗВОДИТЕЛЬНОСТЬ СИСТЕМЫ. ДЛЯ ТРАФИКА, ПЕРЕХВАТ КОТОРОГО НЕ ЯВЛЯЕТСЯ КРИТИЧНЫМ, ДОСТАТОЧНО ИСПОЛЬЗОВАНИЕ IPSEC AH. ЕСЛИ ПЕРЕДАВАЕМЫЕ ДАННЫЕ БЫСТРО УСТАРЕВАЮТ И НЕ ЗАИНТЕРЕСУЮТ ПРАВИТЕЛЬСТВЕННЫЕ АГЕНТСТВА ИЛИ ОЧЕНЬ КРУПНЫЕ КОРПОРАЦИИ (НАПРИМЕР, ВАШИ ТЕКУЩИЕ БИРЖЕВЫЕ ОПЕРАЦИИ), ДОСТАТОЧНО ШИФРОВАНИЯ DES. ЕСЛИ ТРЕБУЕТСЯ ПОДПИСЫВАТЬ ИЛИ ШИФРОВАТЬ ЗНАЧИТЕЛЬНЫЕ ОБЪЕМЫ ДАННЫХ, РАССМОТРИ ВОЗМОЖНОСТЬ ПРИОБРЕТЕНИЯ СПЕЦИАЛЬНОГО СЕТЕВОГО АДАПТЕРА С ОПТИМИЗАЦИЕЙ IPSEC (IPSEC OFFLOAD), ЧТО ПОЗВОЛИТ НЕ ЗАГРУЖАТЬ ПРОЦЕССОР. ПРИ ЭТОМ УБЕДИСЬ, ЧТО ОН ПОДДЕРЖИВАЕТ НЕОБХОДИМЫЕ ПРОТОКОЛЫ. ПРИ ИСПОЛЬЗОВАНИИ IPSEC НА МАРШРУТИЗАТОРАХ СЛЕДУЕТ ПОМНИТЬ, ЧТО УСТРОЙСТВО, ПОДДЕРЖИВАЮЩЕЕ ВЫСОКИЕ СКОРОСТИ ШИФРОВАНИЯ (10 MB/S И ВЫШЕ), НА СТОЙКИХ АЛГОРИТМАХ (3DES, AES) СТОИТ ЗНАЧИТЕЛЬНЫХ ДЕНЕГ. ПОЭТОМУ ШИФРОВАТЬ НУЖНО ТОЛЬКО САМЫЙ КРИТИЧНЫЙ ТРАФИК.