совершенно секретно

РОМАН ЛУКОВНИКОВ (LRB@SANDY.RU)

Спецвыпуск: Хакер, номер #072, стр. 072-010-2

IPSec работает, исходя из предположения, что у взаимодействующих сторон уже есть ключи для шифрования. Поэтому ключи либо вводятся вручную (и тогда они остаются неизменными на протяжении всего IPSec-соединения), либо получаются с использованием протокола IKE (Internet Key Exchange) – протокола обмена ключами в небезопасной среде (при этом ключи во время сеанса периодически меняются).

При использовании протокола IKE процедура установки IPSec-соединения происходит в несколько этапов:

1 этап

Взаимодействующие стороны договариваются о параметрах IKE-соединения. им нужно выбрать алгоритм шифрования (DES или 3DES) и метод проверки целостности (SHA1 или MD5), группу Диффи-Хелмана (алгоритм обмена ключами) и срок действия сеансового ключа. Если стороны договорились об этих параметрах, то начинается второй этап.

2 этап

Взаимодействующие стороны договариваются о параметрах IPSec-соединения. им нужно выбрать метод инкапсуляции (AH и/или ESP), алгоритм проверки подлинности (SHA1 или MD5), алгоритм шифрования (DES или 3DES) и срок действия сеансового ключа.

Перед созданием IPSec-соединения взаимодействующие стороны должны аутентифицировать друг друга. Microsoft поддерживает три вида аутентификации:

1 KERBEROS – САМЫЙ БЕЗОПАСНЫЙ МЕТОД, НО ВОЗМОЖЕН ОН ТОЛЬКО, ЕСЛИ КОМПЬЮТЕРЫ ПРИНАДЛЕЖАТ ОДНОМУ ДОМЕНУ (ИЛИ МЕЖДУ ДОМЕНАМИ СУЩЕСТВУЮТ ДОВЕРИТЕЛЬНЫЕ ОТНОШЕНИЯ).

2 С ПОМОЩЬЮ СЕРТИФИКАТОВ. ДЛЯ ЭТОГО НУЖНО, ЧТОБЫ НЕОБХОДИМЫЙ СЕРТИФИКАТ БЫЛ УСТАНОВЛЕН В ЛИЧНЫХ СЕРТИФИКАТАХ УЧЕТНОЙ ЗАПИСИ КОМПЬЮТЕРОВ.

3 ИСПОЛЬЗУЯ РАЗДЕЛЯЕМЫЙ КЛЮЧ (SHARED SECRET). НАИМЕНЕЕ БЕЗОПАСНЫЙ, НО ЛЕГКО РЕАЛИЗУЕМЫЙ СПОСОБ, КОГДА КЛЮЧОМ ЯВЛЯЕТСЯ ТЕКСТОВАЯ СТРОКА, ИЗВЕСТНАЯ ОБЕИМ СТОРОНАМ.

IPSec работает на транспортном уровне модели OSI, где более привычно видеть TCP-/UDP-протоколы, использующие для определения процесса получателя сокет (ip-адрес + протокол + номер порта). IPSec не использует сокеты, так как процесс, обрабатывающий IPSec-соединение, в системе один, а уникальность соединения определяется с помощью параметра SPI (Security Parameter Index), ссылка на который содержится в каждом пакете при использовании и AH-, и ESP-инкапсуляции. Если нужно настроить firewall для прохождения IPSec, используют номера протоколов. Протокол № 50 — это IPSec c ESP-инкапсуляцией, протокол № 51 – IPSec с AH-инкапсуляцией. Если используется IKE для начальной генерации ключей, необходимо разрешить входящие пакеты с UDP 500 и на UDP 500.

Если на пути взаимодействующих через IPSec узлов используется технология NAT, возникают проблемы, степень сложности и разрешимости которых зависит от: