IPsec (IP güvenliği)- bir IP ağı üzerinden trafiğin güvenli iletimi için bir dizi protokol. VPNKI sistemi tarafından desteklenen belki de en karmaşık ve kapsamlı protokol yığını.

Üç ana protokol içerir:

• AH (Authentication Header) - iletilen verilerin ve kimlik doğrulamanın bütünlük yönetimi

• ESP (Güvenlik Yükü Kapsülleme) - veri şifreleme

• ISAKMP (İnternet Güvenlik Birliği ve Anahtar Yönetim Protokolü) - bağlantı kurulmasının yönetimi, birbirlerinin uç düğümlerinin karşılıklı olarak doğrulanması ve gizli anahtarların değişimi

Kullanılan ana portlar ve protokol numaraları

• UDP, bağlantı noktası 500 (IKE, anahtar yönetimi)
• UDP protokolü, bağlantı noktası 4500 (IPSEC NAT-Geçiş modu)
• ESP protokol değeri 50 (IPSEC için)
• AH protokol değeri 51 (IPSEC için)

Genel olarak, IPsec protokol paketi, çok yönlü kullanım durumları açısından kolay değildir. Bununla birlikte, bu protokoldeki tüm etkileşimlerin temel özelliği SA (Güvenlik Birliği) kavramıdır - bu, tarafların protokollerin belirli özelliklerini IPsec bileşiminden nasıl daha fazla kullanacaklarıyla ilgili bir dizi parametredir.

Ayrıca IPsec'in iki ana çalışma modundan bahsetmeye değer - tünel ve ulaşım. Kabaca söylemek gerekirse, taşıma modunda yalnızca bir IP paketinin yükü şifrelenirken tünel modunda IP başlıkları dahil tüm veriler şifrelenir.

kimlik doğrulama

İki düğüm arasındaki iletişim, bir SA'nın kurulmasıyla başlar. Daha doğrusu, iki ilişkiden - AH ve ESP protokolü için hem bir yönde hem de diğerinde. SA, kimlik doğrulama ile başlar ve ardından taraflar gelecekteki oturum parametrelerini müzakere eder:

• AH protokolü için - kullanılan kimlik doğrulama algoritması, anahtarlar, anahtar ömrü ve diğer parametreler,
• ESP protokolü için - şifreleme ve kimlik doğrulama algoritmaları, anahtarlar, başlatma parametreleri, anahtar ömürleri ve diğer parametreler.

Burada taraflar, IPsec'in tünel veya taşıma modu üzerinde anlaşırlar.

Sürecin sonunda, birkaç SA'nın kurulu olması gerekir, ancak ... gerçekte nasıl olduğuna dair biraz daha ayrıntı.

Aşama 1 ve Aşama 2

IPsec'te her şey Aşamalar halinde gerçekleşir.

1. aşamada, ilk aşamanın SA'sının kurulması gerçekleşir. İlk aşamada taraflar tanımlama yöntemi, şifreleme algoritması, hash algoritması ve Diffie Hellman grubu üzerinde anlaşırlar. Bu aşama, üç şifrelenmemiş paket (agresif mod) veya altı şifrelenmemiş paket - standart mod değiş tokuş edilerek geçilebilir. Her şey yolunda giderse, IKE SA olarak adlandırılan 1. Aşama SA oluşturulur ve ikinci aşamaya geçiş yapılır.

2. aşamada taraflar politika üzerinde anlaşırlar ve anahtarlar kendileri oluşturulur. Bu aşama, birinciden farklı olarak tamamen şifrelenir ve ancak ilk aşama başarıyla tamamlanırsa başlar. Bu aşamadaki trafik tamamen şifreli olduğundan, sorun gidermesi zorlaşır, ancak her şey yolunda giderse, IPSec SA olarak adlandırılan bir aşama 2 SA oluşturulur. Bu noktada tünelin kurulduğu söylenebilir.

Veri sıkıştırma

IPsec kendi veri sıkıştırma mekanizmasını içermez, ancak bir IP paketinin içeriğini IPsec işlemine gönderilmeden önce sıkıştıran IPcomp mekanizmasını kullanabilirsiniz. Bazı IPsec arka plan programları, bu mekanizmanın ipsec.conf yapılandırma dosyalarından etkinleştirilmesini destekler (örneğin, Strongswan paketi)

Otomatik VPN bağlantısı sağlık kontrolü

IPsec içinde, bağlantı sağlığını (ping gibi) kontrol etmek için standart bir araç yoktur, bu nedenle tünelin çalışması harici yollarla kontrol edilebilir.

VPN bağlantısının kesilmesi ve anahtarların değiştirilmesi

İki aşamada kararlaştırılan anahtarlar, poliçede belirtilen süre boyunca çalışmalıdır. Bu, tarafların yeniden anahtarlama prosedüründen geçmeleri gerekebileceği anlamına gelir, aksi takdirde müzakere edilen SA'lar dağılacaktır. Yukarıda belirtildiği gibi, taraflar Aşama 1 (IKE) ve Aşama 2 (IPsec) süreci boyunca anahtarları elinde tutar. Bunları değiştirme prosedürleri, bundan sorumlu olan zamanlayıcılar gibi farklıdır. Anahtar değiştirme işlemi sırasında iletişimi kesintiye uğratmamak için taraflar önce yeni SA'nın parametreleri üzerinde anlaşırlar ve ancak bu başarılı prosedürden sonra eski SA'yı imha ederler.

IPsec'te, aşamaların her birinde, anahtarları değiştirmenin birkaç yolu vardır - kimlik doğrulamalı veya kimlik doğrulamasız, ancak buna fazla odaklanmayacağız. Bu prosedür için, IKE ve IPsec için yazılım sürümlerine ve zamanlayıcıların oranına bağlı olarak çok fazla nüans vardır.

0 Bu makale, Cisco ürünlerinde bulunan ve sanal özel ağlar (VPN'ler) oluşturmak için kullanılan IP Güvenliği (IP Güvenliği) ve ilgili IPSec protokollerine genel bir bakış sağlar. Bu yazıda IPSEC'in ne olduğunu ve IPSEC'in kalbinde hangi güvenlik protokolleri ve algoritmalarının olduğunu tanımlayacağız.

Tanıtım

IP Güvenliği, IP paketlerinin taşınması sırasında şifreleme, kimlik doğrulama ve güvenlikle ilgilenen bir protokoller paketidir; şu anda yaklaşık 20 standart önerisi ve 18 RFC'ye sahip.

Cisco VPN ürünleri, zengin VPN özellikleri sağlamak için endüstri standardı olan IPSec'i kullanır. IPSec, İnternet gibi güvenli olmayan ağlar üzerinden iletilen verilerin gizliliğini, bütünlüğünü ve güvenilirliğini sağlayarak, verilerin IP ağları üzerinden güvenli bir şekilde iletilmesi için bir mekanizma sunar. IPSec, Cisco ağlarında aşağıdaki VPN özelliklerini sağlar:

• Veri gizliliği... IPSec verilerinin göndericisi, paketleri ağ üzerinden gönderilmeden önce şifreleme yeteneğine sahiptir.
• Veri bütünlüğü... IPSec verilerinin alıcısı, verilerin aktarım sırasında değiştirilmediğinden emin olmak için kendisiyle iletişim kuran tarafların (IPSec tünellerinin başladığı ve bittiği aygıtlar veya yazılımlar) ve bu taraflarca gönderilen IPSec paketlerinin kimliğini doğrulama yeteneğine sahiptir.
• Veri kaynağı kimlik doğrulaması... IPSec verilerinin alıcısı, alınan IPSec paketlerinin kaynağını doğrulama yeteneğine sahiptir. Bu hizmet, veri bütünlüğü hizmetine bağlıdır.
• Oynatma koruması... IPSec verilerinin alıcısı, oynatılan paketleri algılayabilir ve reddedebilir, bu sayede kurcalanmalarını ve aracılık saldırıları gerçekleştirmelerini önleyebilir.

IPSec, standartlara dayalı bir dizi güvenlik protokolü ve algoritmasıdır. IPSec teknolojisi ve ilgili güvenlik protokolleri, İnternet Mühendisliği Görev Gücü (IETF) tarafından desteklenen ve RFC spesifikasyonlarında ve IETF taslaklarında açıklanan açık standartlara uygundur. IPSec, Cisco yönlendiricileri, PIX Güvenlik Duvarları, Cisco VPN istemcileri ve yoğunlaştırıcıları ve IPSec'i destekleyen diğer birçok ürün gibi IPSec cihazları (taraflar) arasında gönderilen IP paketleri için güvenlik ve kimlik doğrulama sağlamak üzere ağ katmanında çalışır. IPSec desteği, en küçükten çok büyük ağlara kadar ölçeklenir.

Güvenlik Birliği (SA)

IPSec, iletişim kuran taraflar arasındaki iletişimleri doğrulamak ve şifrelemek için standart bir yol sunar. IPSec, iletişimi güvence altına almak için dönüşüm adı verilen endüstri standardı şifreleme ve kimlik doğrulama algoritmalarını (yani matematiksel formüller) kullanır. IPSec, taraflar arasında birlikte çalışabilirliği sağlamak için şifreleme anahtarı anlaşması ve bağlantı yönetimi için açık standartlar kullanır. IPSec teknolojisi, IPSec taraflarının hizmetlerin tutarlı kullanımı için "pazarlık yapmasına" izin veren yöntemler sağlar. IPSec'te, üzerinde anlaşılacak parametreleri belirtmek için güvenlik ilişkileri kullanılır.

Savunma Derneği(Güvenlik Derneği - SA), iletişim kuran tarafların iki cihazı arasında değiş tokuş edilmesi gereken verilerin işlenmesine ilişkin kararlaştırılan bir politika veya yöntemdir. Böyle bir politikanın bileşenlerinden biri, verileri şifrelemek için kullanılan algoritma olabilir. Her iki taraf da hem şifreleme hem de şifre çözme için aynı algoritmayı kullanabilir. Geçerli SA parametreleri, her iki tarafın Güvenlik İlişkisi Veritabanına (SAD) kaydedilir.

SA'nın her iki tarafında bulunan iki bilgisayar, SA'da kullanılan modu, protokolü, algoritmaları ve anahtarları depolar. Her SA yalnızca bir yönde kullanılır. Çift yönlü iletişim için iki SA gereklidir. Her SA, bir mod ve protokol uygular; bu nedenle, bir paket için iki protokol kullanılacaksa (AH ve ESP gibi), o zaman iki SA gereklidir.

Internet Anahtar Değişimi (IKE), IPSec için ayrılmış bir hizmet, yani IPSec taraflarının kimlik doğrulaması, IKE ve IPSec güvenlik ilişkilendirme parametrelerinin görüşülmesi ve IPSec içinde kullanılan şifreleme algoritmaları için anahtar seçimi sağlayan karma bir protokoldür. IKE, IPSec dönüşümlerinde kullanılan şifreleme anahtarlarının oluşturulmasını ve işlenmesini denetlemek için kullanılan Internet Security Association ve Key Management Protocol (ISAKMP) ve Oakley'e güvenir. IKE, potansiyel IPSec tarafları arasında güvenlik ilişkileri oluşturmak için de kullanılır.
Hem IKE hem de IPSec, iletişim parametrelerini belirtmek için güvenlik ilişkilerini kullanır.
IKE, protokollerde kullanım için bir dizi çeşitli ilkel işlevi destekler. Bunlar arasında karma işlevi ve sözde rastgele işlev (PRF) vardır.

Özet fonksiyonuÇarpışmaya dayanıklı bir özelliktir. Çarpışma direnci, m1 ve m2 şeklinde iki farklı mesaj bulmanın imkansız olduğu gerçeği olarak anlaşılmaktadır.

H (m1) = H (m2), burada H bir özet fonksiyonudur.

Sözde rastgele işlevlere gelince, artık özel PRF'ler yerine, HMAC yapısında bir karma işlevi kullanılmaktadır (HMAC, karma işlevlerini kullanan bir mesaj doğrulama mekanizmasıdır). HMAC'ı tanımlamak için, bir kriptografik özet işlevine (H olarak belirtin) ve bir gizli anahtar K'ye ihtiyacımız var. H'nin, verilerin bir dizi veri bloğuna sırayla uygulanan bir sıkıştırma prosedürü kullanılarak özetlendiği bir özet işlevi olduğunu varsayıyoruz. B ile bu tür blokların bayt cinsinden uzunluğunu ve karma sonucu elde edilen blokların uzunluğunu L (L) olarak göstereceğiz.
ipad = bayt 0x36, tekrarlanan B kez;
opad = bayt 0x5C tekrarlanan B kez.

HMAC'yi "metin" verilerinden hesaplamak için aşağıdaki işlemi yapmanız gerekir:

H (K XOR opad, H (K XOR ipad, metin))

Açıklamadan, IKE'nin tarafların kimliğini doğrulamak için HASH değerlerini kullandığı anlaşılmaktadır. Bu durumda HASH'ın yalnızca ISAKMP'deki Yük adı anlamına geldiğini ve bu adın içeriğiyle hiçbir ilgisi olmadığını unutmayın.

IPSec altyapısı

IPSec VPN'ler, Cisco yönlendiriciler, CiscoSecure PIX Güvenlik Duvarları, CiscoSecure VPN istemci yazılımı ve Cisco 3000 ve 5000 Serisi VPN Yoğunlaştırıcılar gibi çok çeşitli Cisco cihazlarıyla oluşturulabilir. ağ çözümlerinin karmaşıklığını azaltır ve sağlanan hizmetlerin çok katmanlı korumasını oluştururken VPN'nin genel maliyetini düşürür. PIX Güvenlik Duvarı, yüksek bant genişliği ve mükemmel güvenlik duvarı işlevselliği ile tünel uç noktalarına hizmet edebilen yüksek performanslı bir ağ cihazıdır. CiscoSecure VPN istemci yazılımı, eksiksiz IPSec standartları ve Cisco yönlendiriciler ile PIX Güvenlik Duvarları arasında güvenilir birlikte çalışabilirlik sunarak e-ticaret ve mobil erişim uygulamaları için en katı uzaktan erişim VPN gereksinimlerini destekler.

IPSec nasıl çalışır?

IPSec, bir dizi teknoloji çözümüne ve şifreleme tekniğine dayanır, ancak IPSec'in genel eylemi aşağıdaki ana adımlar olarak özetlenebilir:

• Adım 1. IPSec işlemini başlatın. IPSec tarafları tarafından anlaşılan IPSec güvenlik ilkesine göre şifreleme gerektiren trafik, IKE sürecini başlatır.
• Adım 2. IKE'nin I. Aşaması... IKE süreci, IPSec taraflarının kimliğini doğrular ve IKE'nin ikinci aşaması sırasında IPSec güvenlik ilişkilerinin parametrelerinin anlaşılması için güvenli bir kanal oluşturan IKE güvenlik ilişkilerinin parametreleriyle görüşür.
• Adım 3. IKE'nin ikinci aşaması... IKE süreci, IPSec güvenlik ilişkilendirmesi parametrelerini müzakere eder ve iletişim kuran taraf cihazları için uygun IPSec güvenlik ilişkilerini kurar.
• Adım 4. Veri aktarımı... IPSec iletişim kuran taraflar arasındaki veri alışverişi, güvenlik ilişkilendirme veritabanında depolanan IPSec parametrelerine ve anahtarlarına dayanır.
• Adım 5. IPSec Tünelinin Kapatılması... IPSec güvenlik ilişkileri, kaldırılarak veya kullanım ömürleri aşılarak sonlandırılır.

Aşağıdaki bölümlerde bu adımlar daha ayrıntılı olarak açıklanacaktır.

(İnternet Anahtar Değişimi (IKE)) - Anahtar değişimi.

RFC 2410 (BOŞ Şifreleme Algoritması ve IPsec ile Kullanımı) - Boş şifreleme algoritması ve kullanımı.

RFC 2411 (IP Güvenlik Belgesi Yol Haritası) - Standardın daha da geliştirilmesi.

RFC 2412 (OAKLEY Anahtar Belirleme Protokolü) - Anahtar uyumluluk kontrolü.

IPsec mimarisi

IPsec, diğer iyi bilinen SSL ve TLS protokollerinin aksine, ağ katmanında (OSI modelinin 3. katmanı) çalışır. Bu, IPsec'i daha esnek hale getirir, böylece herhangi bir TCP ve UDP tabanlı protokolü korumak için kullanılabilir. IPsec, iki IP ana bilgisayarı arasında, iki Güvenlik Ağ Geçidi arasında veya bir IP ana bilgisayarı ile Güvenlik Ağ Geçidi arasında güvenlik sağlamak için kullanılabilir. Protokol, IP protokolüne bir "eklenti"dir ve oluşturulan IP paketlerini aşağıda açıklanan şekilde işler. IPsec, ağ üzerinden iletilen verilerin bütünlüğünü ve/veya gizliliğini sağlayabilir.

IPsec, çeşitli işlevleri gerçekleştirmek için aşağıdaki protokolleri kullanır:

• Kimlik Doğrulama Başlığı (AH), sanal bağlantının bütünlüğünü (iletilen veri), bilgi kaynağının kimlik doğrulamasını ve paketin yeniden iletimini önlemek için ek bir işlev sağlar.
• Kapsüllenen Güvenlik Yükü (ESP), gizli trafik akışını sınırlayarak iletilen bilgilerin gizliliğini (şifrelenmesini) sağlayabilir. Ek olarak, sanal bağlantının bütünlüğünü (iletilen veri), bilgi kaynağının kimlik doğrulamasını ve paketlerin yeniden iletilmesini önleme ek işlevini sağlayabilir (ESP kullanıldığında, bir veya daha fazla güvenlik hizmeti kullanmak zorunludur)
• Güvenlik Birliği (SA), AH ve/veya ESP'nin çalışması için gerekli parametreleri sağlayan bir dizi algoritma ve veri sağlar. Internet Security Association and Key Management Protocol (ISAKMP), kimlik doğrulama ve anahtar değişimi, anahtar kimlik doğrulaması için bir çerçeve sağlar.

Güvenlik Derneği

"Güvenli Sanal Bağlantı" (SA, "Güvenlik İlişkisi") kavramı, IPsec mimarisinin temelidir. SA, ilgili trafiği üzerinde taşımak için oluşturulmuş tek yönlü bir bağlantıdır. Güvenlik hizmetlerini uygularken, AH veya ESP protokollerinin (veya her ikisinin aynı anda) kullanımına dayalı olarak bir SA oluşturulur. SA, noktadan noktaya konseptine göre tanımlanır ve iki modda çalışabilir: taşıma modu (PTP) ve tünelleme modu (RTU). Taşıma modu, iki IP düğümü arasında bir SA ile uygulanır. Tünel oluşturma modunda SA, bir IP tüneli oluşturur.

Tüm SA'lar, IPsec modülünün SADB'sinde (Güvenlik İlişkilendirmeleri Veritabanı) depolanır. Her SA'nın üç unsurdan oluşan benzersiz bir işareti vardır:

• Güvenlik Parametre İndeksi (SPI)
• Hedef IP adresleri
• güvenlik protokolü tanımlayıcısı (ESP veya AH)

Bu üç parametre verilen IPsec modülü, belirli bir SA için SADB girişini arayabilir. SA bileşenlerinin listesi şunları içerir:

Seri numarası Alanı oluşturmak için kullanılan 32 bitlik değer Sıra numarası AH ve ESP başlıklarında. Sıra Numarası Sayaç Taşması Seri numarası sayacının taştığını bildiren bir bayrak. Saldırı Bastırma Penceresini Tekrar Oynat Paketlerin yeniden iletimini tanımlamak için kullanılır. Alandaki değer ise Sıra numarası belirtilen aralığa düşmezse paket imha edilir. Bilgi AH kullanılan kimlik doğrulama algoritması, gerekli anahtarlar, anahtar ömrü ve diğer parametreler. ESP bilgisişifreleme ve kimlik doğrulama algoritmaları, gerekli anahtarlar, başlatma parametreleri (örneğin IV), anahtar ömürleri ve diğer parametreler IPsec çalışma modu tünel veya ulaşım MTU Bir VC üzerinden parçalanma olmadan iletilebilecek maksimum paket boyutu.

Güvenli sanal bağlantılar (SA'lar) tek yönlü olduğundan, bir çift yönlü bağlantı kurmak için en az iki SA gerekir. Ayrıca her protokolün (ESP/AH) her yön için kendi SA'sı olması gerekir, yani AH + ESP paketi dört SA gerektirir. Tüm bu veriler SADB'de bulunur.

• AH: Kimlik Doğrulama Algoritması.
• AH: kimlik doğrulama için gizli anahtar
• ESP: şifreleme algoritması.
• ESP: gizli şifreleme anahtarı.
• ESP: kimlik doğrulamayı kullanın (evet / hayır).
• Anahtar değişimi için seçenekler
• Yönlendirme kısıtlamaları
• IP filtreleme politikası

SADB veritabanına ek olarak, IPsec uygulamaları Güvenlik İlkesi Veritabanını (SPD) destekler. Bir SPD girişi, bir dizi IP başlık alanı değeri ve Üst Katman Protokolü başlık alanlarından oluşur. Bu alanlara seçiciler denir. Seçiciler, her paketi belirli bir SA ile eşleştirmek için giden paketleri filtrelemek için kullanılır. Bir paket oluşturulduğunda, paketteki karşılık gelen alanların (seçici alanları) değerleri SPD'de bulunanlarla karşılaştırılır. İlgili SA'lar bulunur. SA, varsa, paket ve ilgili Güvenlik Parametreleri Dizini (SPI) için belirlenir. Ardından IPsec işlemleri (AH veya ESP protokol işlemleri) gerçekleştirilir.

SPD'de bulunan seçicilere örnekler:

• Hedef IP adresi
• gönderen IP adresi
• IPsec protokolü (AH, ESP veya AH + ESP)
• Gönderici ve Alıcı portları

Kimlik Doğrulama Başlığı

Kimlik Doğrulama Başlığı biçim

Ofsetler	Sekizli 16	0								1								2								3
Sekizli 16	10. bit	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	0	Sonraki Başlık								Yük Uzunluğu								Rezerve
4	32
8	64	Sıra numarası
C	96	Bütünlük Kontrol Değeri (ICV) …
…	…

Sonraki Başlık(8 bit) AH başlığını takip eden protokol başlığının türü. Bu alanı kullanarak, alıcı IP saniye modülü, korunan üst düzey protokolü öğrenir. Farklı protokoller için bu alanın değerleri RFC 1700'de bulunabilir. Yük Uzunluğu(8 bit) Bu alan, AH başlığının toplam boyutunu 32-bit word olarak, eksi 2 olarak belirtir. Ancak, IPv6 kullanılırken başlık uzunluğu 8 baytın katı olmalıdır. Rezerve(16 bit) Ayrılmış. Sıfırlarla dolu. Güvenlik Parametreleri Dizini(32 bit) Güvenlik parametrelerinin dizini. Bu alanın değeri, hedef IP adresi ve güvenlik protokolü (AH protokolü) ile birlikte bu paket için güvenli sanal bağlantıyı (SA) benzersiz şekilde tanımlar. SPI değer aralığı 1 ... 255, IANA tarafından ayrılmıştır. Sıra numarası(32 bit) Sıra numarası. Yeniden iletime karşı korumaya hizmet eder. Alan, monoton olarak artan bir parametre değeri içeriyor. Alıcı, paket yeniden iletim koruma hizmetini devre dışı bırakabilse de, zorunludur ve her zaman AH başlığında bulunur. Gönderen IPsec modülü her zaman bu alanı kullanır, ancak alıcı bunu işlemeyebilir. Bütünlük Kontrol Değeri

AH protokolü, kimlik doğrulama için, yani tam olarak kim olduğumuzu düşündüğümüzle iletişim kurduğumuzu ve aldığımız verilerin aktarım sırasında bozulmadığını doğrulamak için kullanılır.

Giden IP Paket İşleme

Gönderen IPsec modülü, paketin AH işlemeyi varsayan bir SA ile ilişkili olduğunu belirlerse işlemeye başlar. Moda bağlı olarak (taşıma veya tünelleme modu), AH başlığını IP paketine farklı şekilde ekler. Aktarım modunda, AH başlığı, IP protokol başlığından sonra ve üst katman protokol başlıklarından (Tipik olarak TCP veya UDP) önce yerleştirilir. Tünel modunda, orijinal IP paketinin tamamı önce AH başlığı, ardından IP başlığı tarafından çerçevelenir. Bu başlık harici olarak adlandırılır ve orijinal IP paketinin başlığı dahili olarak adlandırılır. Bundan sonra, ileten IPsec modülü sıralı bir sayı üretmeli ve bunu alana yazmalıdır. Sıra numarası... SA kurulduğunda, sıra numarası 0'a ayarlanır ve her IPsec paketi gönderilmeden önce bir artırılır. Ayrıca sayacın döngüye girip girmediği kontrol edilir. Eğer maksimum değerine ulaşırsa 0'a resetlenir. Eğer anti-retransmission servisi kullanılıyorsa, sayaç maksimum değerine ulaştığında gönderen IPsec modülü SA'yı resetler. Böylece tekrarlanan paket iletimine karşı koruma sağlanır - alıcı IPsec modülü alanı kontrol eder Sıra numarası ve yeniden deneme paketlerini yoksay. Ardından, ICV sağlama toplamı hesaplanır. Burada sağlama toplamının gizli bir anahtar kullanılarak hesaplandığı ve bu anahtar olmadan saldırganın hash'i yeniden hesaplayabileceği, ancak anahtarı bilmeden doğru sağlama toplamını oluşturamayacağı belirtilmelidir. ICV'yi hesaplamak için kullanılan özel algoritmalar RFC 4305'te bulunabilir. Şu anda, örneğin HMAC-SHA1-96 veya AES-XCBC-MAC-96 algoritmaları kullanılabilir. AN protokolü, IPsec paketindeki aşağıdaki alanlar için sağlama toplamını (ICV) hesaplar:

• Yayın sırasında değiştirilmeyen veya en önemli olarak tanımlanan IP başlık alanları
• AH-başlığı (Alanlar: "Sonraki Başlık", "Yük Len," Ayrılmış "," SPI "," Sıra Numarası "," Bütünlük Kontrol Değeri ". ICV hesaplanırken "Bütünlük Kontrol Değeri" alanı 0 olarak ayarlanır
• üst katman protokol verileri

Alan taşıma sırasında değişebilirse, ICV'yi hesaplamadan önce değeri 0'a ayarlanır. İstisnalar, değişebilen ancak alındıktan sonra değeri tahmin edilebilen alanlardır. ICV hesaplanırken sıfırlarla doldurulmazlar. Değiştirilebilir bir alan örneği, sağlama toplamı alanı olabilir, değiştirilebilir ancak önceden tanımlanmış bir alan örneği, alıcının IP adresi olabilir. ICV hesaplanırken hangi alanların dikkate alındığına dair daha ayrıntılı bir açıklama RFC 2402 standardında bulunabilir.

Gelen IP paketlerinin işlenmesi

AH mesajı içeren bir paket aldıktan sonra, alıcı IPsec modülü hedef IP adresi, Güvenlik Protokolü (AH) ve SPI'yi kullanarak karşılık gelen bir Güvenlik İlişkilendirmeleri Veritabanı (SADB) güvenli sanal bağlantısını (SA) arar. Eşleşen SA bulunamazsa paket atılır. Bulunan bir güvenli sanal bağlantı (SA), paket yeniden iletim önleme hizmetinin kullanılıp kullanılmadığını gösterir, yani E. alanı kontrol etme ihtiyacı üzerine Sıra numarası... Hizmet kullanılıyorsa, alan kontrol edilir. Bunun için sürgülü pencere yöntemi kullanılır. IPsec alıcı modülü W genişliğinde bir pencere oluşturur. Pencerenin sol kenarı minimum sıra numarasına karşılık gelir ( Sıra numarası) N doğru şekilde alınan paket. Alan içeren paket Sıra numarası N + 1 ile başlayan ve N + W ile biten bir değer içeren , doğru kabul edilir. Alınan paket pencerenin sol sınırındaysa yok edilir. IPsec alıcı modül daha sonra SA kaydından öğrendiği bir doğrulama algoritmasını kullanarak alınan paketin ilgili alanlarından ICV'yi hesaplar ve sonucu "Bütünlük Kontrol Değeri" alanında bulunan ICV değeri ile karşılaştırır. Hesaplanan ICV değeri, alınan paketle çakışırsa, gelen paket geçerli kabul edilir ve daha sonraki IP işlemleri için kabul edilir. Kontrol negatifse, alınan paket atılır.

Kapsüllenen Güvenlik Yükü biçim

Ofsetler	Sekizli 16	0								1								2								3
Sekizli 16	10. bit	0	1	2	3	4	5	6	7	8	9	10	11	12	13	14	15	16	17	18	19	20	21	22	23	24	25	26	27	28	29	30	31
0	0	Güvenlik Parametreleri Endeksi (SPI)
4	32	Sıra numarası
8	64	Yük verileri
…	…
…	…
…	…									Dolgu (0-255 sekizli)
…	…																	Ped Uzunluğu								Sonraki Başlık
…	…	Bütünlük Kontrol Değeri (ICV) …
…	…

Güvenlik Parametreleri Dizini(32 bit) Güvenlik parametrelerinin dizini. Bu alanın değeri, hedef IP adresi ve güvenlik protokolü (AH protokolü) ile birlikte bu paket için güvenli sanal bağlantıyı (SA) benzersiz şekilde tanımlar. SPI değer aralığı 1 ... 255, gelecekte kullanılmak üzere IANA tarafından ayrılmıştır. Sıra numarası(32 bit) Sıra numarası. Yeniden iletime karşı korumaya hizmet eder. Alan, monoton olarak artan bir parametre değeri içeriyor. Alıcı, paket yeniden iletim koruma hizmetini reddedebilse de, her zaman AH başlığında bulunur. Gönderici (gönderen IPsec modülü) her zaman bu alanı KULLANMALIDIR, ancak alıcının bunu işlemesi gerekmeyebilir. Yük verileri(değişken) Bu alan, "Sonraki Başlık" alanına göre verileri içerir. Bu alan zorunludur ve tam sayıda bayttan oluşur. Bu alanı şifrelemek için kullanılan algoritma, şifreleme işlemlerini senkronize etmek için veri gerektiriyorsa (örneğin, "Başlatma Vektörü"), bu alan bu verileri açık bir biçimde içerebilir. Dolgu malzemesi(0-255 sekizli) Toplama. Örneğin, düz metnin belirli bir bayt sayısının katı olmasını gerektiren algoritmalar için, örneğin bir blok şifresi için blok boyutu gereklidir. Ped Uzunluğu(8 bit) Doldurma boyutu (bayt olarak). Sonraki Başlık(8 bit) Bu alan, "Yük verisi" alanında bulunan verilerin türünü tanımlar. Bütünlük Kontrol Değeri Toplamı kontrol edin. IPv6 için 8 baytın ve IPv4 için 4 baytın katı olmalıdır.

Çıktı IPsec Paket İşleme

Gönderen IPsec modülü, paketin ESP işlenmesini bekleyen bir SA ile ilişkili olduğunu belirlerse işlemeye başlar. Moda (taşıma veya tünelleme) bağlı olarak orijinal IP paketi farklı şekilde işlenir. Aktarım modunda, gönderen IPsec modülü, orijinal IP paketinin başlığını etkilemeden, ESP başlığını ve ESP fragmanını kullanarak üst katman protokol çerçeveleme (kapsülleme) prosedürünü (örneğin, TCP veya UDP) gerçekleştirir. Tünel modunda, IP paketi bir ESP başlığı ve bir ESP fragmanı tarafından çerçevelenir ve ardından harici bir IP başlığı tarafından çerçevelenir. Ardından, şifreleme gerçekleştirilir - aktarım modunda, yalnızca alttaki katmanın üzerindeki protokol mesajı şifrelenir (yani, orijinal pakette IP başlığından sonraki her şey), tünel modunda, tüm orijinal IP paketi şifrelenir. Gönderen IPsec modülü, SA kaydından şifreleme algoritmasını ve gizli anahtarı belirler. IPsec standartları, üçlü DES, AES ve Blowfish şifreleme algoritmalarının kullanımına izin verir. Düz metnin boyutu, örneğin blok algoritmaları için blok boyutu gibi belirli bir bayt sayısının katı olması gerektiğinden, şifrelemeden önce şifreli mesajın gerekli eklenmesi de gerçekleştirilir. Şifreli mesaj alana yerleştirilir Yük Verileri... alanında Ped Uzunluğu dolgunun uzunluğuna uyar. Sonra, AH'de olduğu gibi, hesaplar Sıra numarası... Ardından sağlama toplamı (ICV) hesaplanır. IP başlığının bazı alanlarının da hesaplanırken dikkate alındığı AH protokolünün aksine, ESP'de sağlama toplamı, yalnızca ESP paketinin alanları eksi ICV alanı tarafından hesaplanır. Sağlama toplamı hesaplanmadan önce sıfırlarla doldurulur. AH protokolünde olduğu gibi ICV hesaplama algoritması, gönderen IPsec modülü, işlenmekte olan paketin ilişkili olduğu SA hakkında kayıttan öğrenir.

Gelen IPsec paketlerinin işlenmesi

Bir ESP protokolü mesajı içeren bir paket aldıktan sonra, alıcı IPsec modülü, hedef IP adresini, güvenlik protokolünü (ESP) ve SPI indeksini kullanarak Güvenlik İlişkilendirmeleri Veritabanında (SADB) karşılık gelen güvenli sanal bağlantıyı (SA) arar. Eşleşen SA bulunamazsa paket atılır. Bulunan bir güvenli sanal bağlantı (SA), paket yeniden iletim önleme hizmetinin kullanılıp kullanılmadığını gösterir, yani E. Sıra Numarası alanını kontrol etme ihtiyacı. Hizmet kullanılıyorsa, alan kontrol edilir. Bunun için AH'de olduğu gibi sürgülü pencere yöntemi kullanılır. Alıcı IPsec modülü, W genişliğinde bir pencere oluşturur. Pencerenin sol kenarı, doğru şekilde alınan bir paketin minimum Sıra Numarasına (N) karşılık gelir. N + 1 ile N + W arasında bir değer içeren Sıra Numarası alanına sahip bir paket doğru kabul edilir. Alınan paket pencerenin sol sınırındaysa yok edilir. Daha sonra, eğer kimlik doğrulama hizmeti kullanılıyorsa, IPsec alıcı modül, SA kaydından öğrendiği kimlik doğrulama algoritmasını kullanarak, alınan paketin ilgili alanlarından ICV'yi hesaplar ve sonucu "Bütünlük Kontrol Değeri"nde bulunan ICV değeri ile karşılaştırır. alan. Hesaplanan ICV değeri, alınan paket ile örtüşüyorsa, gelen paket geçerli kabul edilir. Kontrol negatifse, alınan paket atılır. Ardından, paketin şifresi çözülür. IPsec alıcısı, SA kaydından hangi şifreleme algoritmasının ve gizli anahtarın kullanıldığını öğrenir. Sağlama toplamı kontrolü ve şifre çözme prosedürünün sadece sıralı olarak değil, paralel olarak da gerçekleştirilebileceğine dikkat edilmelidir. İkinci durumda, sağlama toplamı doğrulama prosedürü, şifre çözme prosedüründen önce sona ermelidir ve ICV doğrulaması başarısız olursa, şifre çözme prosedürü de durmalıdır. Bu, kötü paketlerin daha hızlı algılanmasını sağlar ve bu da hizmet reddi (DOS) saldırılarına karşı koruma düzeyini artırır. Ayrıca, alana uygun olarak şifresi çözülen mesaj Sonraki Başlık daha fazla işlem için iletilir.

kullanım

IPsec, öncelikle VPN tünelleri için kullanılır. Bu durumda, ESP ve AH protokolleri tünel modunda çalışır. Ayrıca, güvenlik ilkelerini belirli bir şekilde yapılandırarak, bir güvenlik duvarı oluşturmak için protokol kullanılabilir. Güvenlik duvarının amacı, içinden geçen paketleri belirtilen kurallara göre kontrol etmesi ve filtrelemesidir. Bir dizi kural belirlenir ve ekran, içinden geçen tüm paketlere bakar. İletilen paketler bu kurallara tabi ise güvenlik duvarı bunları buna göre işler. Örneğin, belirli paketleri reddederek güvenli olmayan bağlantıları sonlandırabilir. Güvenlik politikasını buna göre ayarlayarak, örneğin İnternet trafiğini reddedebilirsiniz. Bunu yapmak için, HTTP ve HTTPS protokollerinin mesajlarının gömülü olduğu paketlerin gönderilmesini yasaklamak yeterlidir. IPsec, sunucu işlevlerini düzgün bir şekilde gerçekleştirmek için gerekli olanlar dışındaki tüm paketleri bırakarak sunucuları korumak için de kullanılabilir. Örneğin, bir Web sunucusu için, HTTPS'nin kullanıldığı durumlarda TCP bağlantı noktası 80 veya TCP 443 üzerinden bağlantılar dışında tüm trafiği engelleyebilirsiniz.

Ayrıca bakınız

Bağlantılar

• IPSec Yapılandırma Açıklaması (cisco.com)

Sanal Özel Ağlar (VPN)
Yazılım	Chaply Check Point VPN-1 Cisco Systems VPN İstemcisi CloudVPN CryptoLink Gbridge Hamachi Jabpunch Microsoft Forefront Birleşik Erişim Ağ Geçidi n2n Ağ yöneticisi OpenVPN Openswan pLan OpenVPN Sürümü (ZeroGC Oyun İstemcisi) rp-pppoe Sosyal VPN güçlüSwan Tinc tcpcrypt Vyatta Wippien
mekanizmalar
Tedarikçi tarafından yönetilen

Güvenlik mekanizmaları

IPsec tek bir protokol değil, IP ağlarının ağ katmanındaki verileri korumak için tasarlanmış bir protokoller sistemidir. Bu makale, bir VPN tüneli oluşturmak için IPsec kullanma teorisini açıklayacaktır.

Tanıtım

IPsec teknolojisine dayalı VPN iki bölüme ayrılabilir:

• İnternet Anahtar Değişim Protokolü (IKE)
• IPsec protokolleri (AH / ESP / her ikisi)

İlk bölüm (IKE), iki VPN eşinin aralarında gönderilen IP trafiğini korumak için hangi yöntemlerin kullanılacağına karar verdiği müzakere aşamasıdır. Buna ek olarak, IKE, her bağlantı için Güvenlik İlişkilendirmeleri (SA) kavramını tanıtarak bağlantı yönetimi için de kullanılır. SA'lar yalnızca bir yöne yönlendirilir, bu nedenle tipik bir IPsec bağlantısı iki SA kullanır.

İkinci kısım, birinci kısımda (IKE) kararlaştırılan yöntemlerle iletilmeden önce şifrelenmesi ve kimliğinin doğrulanması gereken IP verileridir. Kullanılabilecek farklı IPsec protokolleri vardır: AH, ESP veya her ikisi.

IPsec üzerinden VPN kurma sırası şu şekilde özetlenebilir:

• IKE, IKE Katman Güvenliğini Anlıyor
• IKE, IPsec Katman Güvenliğini Anlıyor
• korumalı veriler VPN IPsec aracılığıyla iletilir

IKE, İnternet Anahtar Değişimi

Verileri şifrelemek ve doğrulamak için şifreleme / doğrulama yöntemini (algoritma) ve bunlarda kullanılan anahtarları seçmeniz gerekir. Bu durumda İnternet Anahtar Değişimi protokolünün (IKE) görevi, bu "oturum anahtarlarını" dağıtmak ve VPN noktaları arasında verileri koruyacak algoritmalar üzerinde anlaşmaya varmaktır.

IKE'nin ana görevleri:

• Birbirlerinin VPN noktalarının kimliğini doğrulama
• Yeni IPsec bağlantılarının organizasyonu (SA çiftlerinin oluşturulması yoluyla)
• Mevcut bağlantıların yönetimi

IKE, her birine bir Güvenlik İlişkilendirmeleri, SA atayarak bağlantıları izler. SA, IPsec protokolü (AH / ESP veya her ikisi), verileri şifrelemek / şifresini çözmek ve / veya kimlik doğrulamak için kullanılan oturum anahtarları dahil olmak üzere belirli bir bağlantının parametrelerini açıklar. SA tek yönlüdür, bu nedenle bağlantı başına birden çok SA kullanılır. Çoğu durumda, yalnızca ESP veya AH kullanıldığında, her bağlantı için biri gelen trafik için diğeri giden trafik için olmak üzere yalnızca iki SA oluşturulur. ESP ve AH birlikte kullanıldığında dört SA gerekir.

IKE müzakere süreci birkaç aşamadan (aşamalardan) geçer. Bu aşamalar şunları içerir:

1. IKE Aşama-1:
   - IKE'nin kendisinin korunmasının müzakere edilmesi (ISAKMP tüneli)
2. IKE Aşama 2 (IKE Aşama-2):
   - IPsec koruması anlaşmalı
   - Oturum anahtarlarını oluşturmak için ilk aşamadan veri alma

IKE ve IPsec bağlantıları, süre (saniye olarak) ve aktarılan veri miktarı (kilobayt olarak) bakımından sınırlıdır. Bu, güvenliği artırmak için yapılır.
IPsec bağlantısının süresi genellikle IKE'den daha kısadır. Bu nedenle, IPsec bağlantısı sona erdiğinde, anlaşmanın ikinci aşaması aracılığıyla yeni bir IPsec bağlantısı yeniden oluşturulur. Anlaşmanın ilk aşaması, yalnızca bir IKE bağlantısı yeniden kurulurken kullanılır.

IKE anlaşması için, verilerin nasıl güvence altına alınacağına ilişkin bir teklif olan IKE Önerisi sunulur. Bir IPsec bağlantısını başlatan bir VPN noktası, bağlantının güvenliğini sağlamak için farklı yöntemler belirten bir liste (teklif) gönderir.
Hem yeni bir IPsec bağlantısı kurulması hem de yeni bir IKE bağlantısı kurulması konusunda görüşmeler yapılabilir. IPsec durumunda, korunan veriler, VPN tüneli üzerinden gönderilen trafiktir ve IKE durumunda, korunan veriler, IKE görüşmelerinin verileridir.
Listeyi (teklif) alan VPN noktası, içinden en uygun olanı seçer ve yanıtta belirtir. Tekliflerden hiçbiri seçilemezse, VPN ağ geçidi reddedecektir.
Teklif, bir şifreleme ve kimlik doğrulama algoritması vb. seçmek için gerekli tüm bilgileri içerir.

Aşama I IKE - IKE Güvenlik Müzakereleri (ISAKMP Tüneli)
Anlaşmanın ilk aşamasında, VPN noktaları bir Önceden Paylaşılan Anahtara dayalı olarak birbirlerinin kimliğini doğrular. Kimlik doğrulama için hash algoritması kullanılır: MD5, SHA-1, SHA-2.
Ancak, bilgileri açık metin olarak iletmemek için birbirlerinin kimliğini doğrulamadan önce, VPN eşleri daha önce açıklanan Teklif alışverişini gerçekleştirir. Ancak her iki VPN noktasına da uygun bir teklif seçildikten sonra birbirinin VPN noktasının kimliği doğrulanır.
Kimlik doğrulama farklı şekillerde yapılabilir: Önceden Paylaşılan Anahtarlar, sertifikalar veya. Paylaşılan anahtarlar en yaygın kimlik doğrulama yöntemidir.
Aşama I IKE anlaşması iki moddan birinde gerçekleşebilir: ana ve agresif. Ana mod daha uzun ama aynı zamanda daha güvenli. Bu süreçte altı mesaj alışverişi yapılır. Agresif mod daha hızlıdır ve üç mesajla sınırlıdır.
IKE'nin ilk aşamasının ana işi Diffie-Hellman anahtar değişiminde yatmaktadır. Ortak anahtar şifrelemesine dayanır, her iki taraf da kimlik doğrulama parametresini (Ön Paylaşımlı Anahtar) komşunun ortak anahtarıyla şifreler, bu mesajı aldıktan sonra kendi özel anahtarıyla şifresini çözer. Birbirinizin taraflarını doğrulamanın başka bir yolu da sertifika kullanmaktır.

Aşama II IKE - IPsec Güvenlik Anlaşması
İkinci aşamada IPsec bağlantısının nasıl korunacağının seçimi yapılır.
İkinci aşama, ilk aşamada gerçekleşen Diffie-Hellman anahtar değişiminden çıkarılan anahtarlama materyalini kullanır. Bu materyale dayanarak, VPN tünelindeki verileri korumak için kullanılan oturum anahtarları oluşturulur.

Mekanizma kullanılıyorsa Mükemmel İletim Gizliliği (PFS) daha sonra her ikinci aşama anlaşması için yeni bir Diffie-Hellman anahtar değişimi kullanılacaktır. Çalışma hızını biraz azaltan bu yordam, oturum anahtarlarının birbirinden bağımsız olmasını sağlar, bu da korumayı artırır, çünkü anahtarlardan biri ele geçirilse bile geri kalanını kaba zorlamak için kullanılamaz.

IKE anlaşmasının ikinci aşamasının yalnızca bir çalışma modu vardır, buna hızlı mod denir. İkinci aşamanın müzakeresi sırasında üç mesaj alışverişi yapılır.

İkinci aşamanın sonunda VPN bağlantısı kurulur.

IKE parametreleri.
Bağlantı kurulurken, üzerinde anlaşmaya varılmaksızın bir VPN bağlantısı kurmak imkansız olan birkaç parametre kullanılır.

• uç nokta tanımlama
  Düğümler birbirini nasıl doğrular. En yaygın kullanılanı paylaşılan bir anahtardır. Paylaşılan anahtar tabanlı kimlik doğrulama, Diffie-Hellman algoritmasını kullanır.
• Yerel ve uzak ağ / ana bilgisayar
  VPN tüneli üzerinden gönderilecek trafiği belirtir.
• Tünel veya taşıma modu.
  IPsec iki modda çalışabilir: tünel ve taşıma. Modun seçimi korunan nesnelere bağlıdır.
  tünel modu uzak nesneler arasında koruma için kullanılır, yani. IP paketi tamamen yeni bir pakette kapsüllenir ve yalnızca iki VPN noktası arasındaki bağlantı dışarıdan bir gözlemci tarafından görülebilir. Gerçek kaynak ve hedef IP adresleri, yalnızca paket VPN alma noktasında alındığında paket kapsülü açıldıktan sonra görünür olacaktır. Bu nedenle, VPN bağlantıları için en yaygın olarak tünel modu kullanılır.
  Taşıma modu IP paket verilerini (TCP, UDP ve üst katman protokolleri) korur ve orijinal IP paketi başlığının kendisi korunur. Böylece, gözlemci orijinal kaynağı ve hedefi görecek, ancak iletilen verileri göremeyecektir. Bu mod, çoğunlukla ana bilgisayarlar arasında bir yerel ağ bağlantısının güvenliğini sağlarken kullanılır.
• Uzak ağ geçidi
  VPN noktası, diğer taraftaki verilerin şifresini çözecek / kimliklerini doğrulayacak ve nihai hedefine gönderecek olan güvenli bağlantının alıcısıdır.
• IKE çalışma modu
  IKE anlaşması iki modda çalışabilir: temel ve agresif.
  İkisi arasındaki fark, agresif modda, daha hızlı bağlantı kurulmasına izin veren daha az paket kullanılmasıdır. Öte yandan, agresif mod, bağlantı katılımcılarının noktalarında aynı şekilde yapılandırılmalarını gerektiren Diffie-Hellman grupları ve PFS gibi bazı anlaşma parametrelerini iletmez.
• IPsec protokolleri
  Şifreleme ve kimlik doğrulama işlevlerini gerçekleştiren iki IPsec protokolü, Kimlik Doğrulama Başlığı (AH) ve Kapsüllenen Güvenlik Yükü (ESP) vardır.
  ESP, tek tek veya aynı anda şifrelemenize, kimlik doğrulamanıza olanak tanır.
  AH yalnızca kimlik doğrulamaya izin verir. ESP kimlik doğrulamasının farkı, AH'nin harici IP başlığının da kimliğini doğrulaması ve paketin gerçekten belirtilen kaynaktan geldiğini doğrulamanıza izin vermesidir.
• IKE şifrelemesi
  Kullanılacak IKE şifreleme algoritmasını ve anahtarlarını belirtir. Çeşitli simetrik şifreleme algoritmaları desteklenir, örneğin: DES, 3DES, AES.
• IKE kimlik doğrulaması
  IKE anlaşmasında kullanılan kimlik doğrulama algoritması. Şunlar olabilir: SHA, MD5.
• IKE Diffie-Hellman (DH) grupları
  IKE anahtar değişimi için kullanılan DF grubu. Grup ne kadar büyük olursa, değişim anahtarlarının boyutu da o kadar büyük olur.
• IKE bağlantı ömrü
  Hem zaman (saniye) hem de aktarılan verinin boyutu (kilobayt) ile gösterilir. Sayaçlardan biri eşik değerine ulaşır ulaşmaz yeni bir ilk aşama başlatılır. IKE bağlantısı oluşturulduktan sonra veri aktarımı yapılmadıysa, taraflardan biri VPN bağlantısı oluşturmak istemedikçe yeni bağlantı oluşturulmaz.
• PFS
  PFS devre dışı bırakıldığında, anahtar oluşturma materyali, anahtar değişimi sırasında IKE anlaşmasının ilk aşamasında alınır. IKE anlaşmasının ikinci aşamasında, alınan materyale dayalı olarak oturum anahtarları oluşturulacaktır. PFS etkinleştirildiğinde, yeni oturum anahtarları oluşturulurken, her seferinde yeni bir oturum anahtarları için malzeme kullanılacaktır. Bu nedenle, bir anahtarın güvenliği ihlal edilirse, buna dayalı olarak yeni anahtarlar oluşturmak mümkün değildir.
  PFS iki modda kullanılabilir: Anahtarlardaki ilk PFS, her görüşme başlatıldığında IKE'nin ilk aşamasında yeni bir anahtar değişimini tetikler
  İkinci aşama. İkinci mod, kimlikler üzerinde PFS, ikinci aşama anlaşmasından sonra her seferinde ilk aşama SA'larını kaldıracak ve böylece hiçbir ikinci aşama anlaşmasının öncekiyle aynı anahtarla şifrelenmemesini sağlayacaktır.
• IPsec DH grupları
  DF grubu verileri IKE'de kullanılanlara benzerdir, yalnızca PFS için kullanılırlar.
• IPsec şifrelemesi
  Verileri şifrelemek için kullanılan algoritma. ESP'yi şifreleme modunda kullanırken kullanılır. Algoritma örneği: DES, 3DES, AES.
• IPsec kimlik doğrulaması
  İletilen verilerin kimliğini doğrulamak için kullanılan algoritma. Kimlik doğrulama modunda AH veya ESP olması durumunda kullanılır. Algoritma örneği: SHA, MD5.
• IPsec Ömrü
  VPN bağlantı ömrü hem zamana (saniye) hem de aktarılan verinin boyutuna (kilobayt) göre belirtilir. Sınıra ilk ulaşan sayaç, oturum anahtarlarını yeniden oluşturmaya başlayacaktır. IKE bağlantısı oluşturulduktan sonra veri aktarımı yapılmadıysa, taraflardan biri VPN bağlantısı oluşturmak istemedikçe yeni bağlantı oluşturulmaz.

IKE Kimlik Doğrulama Yöntemleri

• manuel mod
  IKE'nin kullanılmadığı yöntemlerin en basiti, kimlik doğrulama ve şifreleme anahtarlarının yanı sıra diğer bazı parametreler her iki VPN bağlantı noktasında manuel olarak ayarlanır.
• Önceden Paylaşılan Anahtarlar (PSK)
  VPN bağlantısının her iki noktasında önceden girilmiş bir paylaşılan anahtar. Önceki yöntemden farkı, uç noktaların kimliğinin doğrulanmasına izin veren ve sabit şifreleme anahtarları yerine değişen oturum anahtarlarını kullanan IKE'yi kullanmasıdır.
• sertifikalar
  Her VPN noktası şunları kullanır: kendi özel anahtarı, kendi genel anahtarı, kendi genel anahtarı da dahil olmak üzere kendi sertifikası ve güvenilir bir sertifika yetkilisi tarafından imzalanmış. Önceki yöntemin aksine, VPN bağlantısının tüm noktalarında tek bir paylaşılan anahtar girmekten kaçınır ve bunun yerine güvenilir bir yetkili tarafından imzalanmış kişisel sertifikalar gelir.

IPsec protokolleri

IPsec protokolleri, iletilen verilerin güvenliğini sağlamak için kullanılır. Protokol ve anahtarlarının seçimi, IKE anlaşması sırasında gerçekleşir.

AH (Kimlik Doğrulama Başlığı)

AH, iletilen verilerin kimliğini doğrulama yeteneği sağlar. Bunun için, IP paketinin içerdiği verilerle ilgili olarak bir kriptografik karma işlevi kullanılır. Bu işlevin (karma) çıktısı paketle birlikte gönderilir ve uzak VPN noktasının orijinal IP paketinin bütünlüğünü doğrulamasını sağlayarak, yol boyunca değiştirilmediğini doğrular. AH, IP paket verilerine ek olarak, başlığının bir kısmını da doğrular.

Aktarım modunda AH, başlığını orijinal IP paketinden sonra gömer.
Tünel modunda AH, başlığını dış (yeni) IP başlığından sonra ve iç (orijinal) IP başlığından önce satır içine alır.

ESP (Güvenlik Yükü Kapsülleme)

ESP, bir IP paketine göre şifreleme, kimlik doğrulama veya her ikisi için kullanılır.

ESP aktarım modunda, protokol başlığını orijinal IP başlığından sonra ekler.
ESP tünel modunda, başlık dış (yeni) IP başlığından sonra ve iç (orijinal) IP başlığından önce gelir.

ESP ve AH arasındaki iki temel fark şunlardır:

• ESP, kimlik doğrulamaya ek olarak şifreleme de sağlar (AH bunu sağlamaz)
• Tünel modundaki ESP, yalnızca orijinal IP başlığının kimliğini doğrular (AH ayrıca harici olanın kimliğini de doğrular).

NAT (NAT Geçişi) arkasında çalışma
NAT'ın arkasındaki çalışmayı desteklemek için ayrı bir spesifikasyon uygulandı. VPN uç noktası bu belirtimi destekliyorsa, IPsec NAT'ı destekler, ancak belirli gereksinimler vardır.
NAT desteğinin iki bölümü vardır:

• IKE düzeyinde, uç cihazlar birbirleriyle destek, NAT Geçişi ve desteklenen belirtimin sürümü hakkında iletişim kurar.
• ESP katmanında, oluşturulan paket UDP'de kapsüllenir.

NAT Geçişi yalnızca her iki uç nokta da destekliyorsa kullanılır.
NAT'un tanımı: Her iki VPN eşi de IKE anlaşması kaynağının UDP bağlantı noktasıyla birlikte IP adreslerinin karmalarını gönderir. Bu bilgiler alıcı tarafından kaynak IP adresinin ve/veya bağlantı noktasının değişip değişmediğini belirlemek için kullanılır. Bu parametreler değiştirilmediyse, trafik NAT'tan geçmez ve NAT Geçiş mekanizmasına gerek yoktur. Adres veya bağlantı noktası değiştirilmişse, cihazlar arasında NAT vardır.

Uç noktalar NAT Geçişinin gerekli olduğunu belirlediğinde, IKE anlaşması UDP bağlantı noktası 500'den bağlantı noktası 4500'e taşınır. Bu, bazı aygıtların NAT kullanırken bağlantı noktası 500'de bir IKE oturumunu hatalı işlemesinden kaynaklanır.
Başka bir sorun, ESP protokolünün bir taşıma katmanı protokolü olması ve doğrudan IP'nin üzerine oturması nedeniyle ortaya çıkar. Bu nedenle, TCP / UDP bağlantı noktası kavramları buna uygulanamaz, bu da birden fazla istemcinin NAT üzerinden aynı ağ geçidine bağlanmasını imkansız hale getirir. Bu sorunu çözmek için, ESP bir UDP datagramına paketlenir ve NAT Geçişi etkinleştirildiğinde IKE'nin kullandığı bağlantı noktası olan 4500 numaralı bağlantı noktasına gönderilir.
NAT Geçişi, onu destekleyen protokollerde yerleşik olarak bulunur ve kutudan çıktığı gibi çalışır.

IPSec kavramını zaten tartışmıştık, bu yazıda IPSec'e daha yakından bakacağız.

Dolayısıyla IPSec adı IP Security'den gelir.
IPSec, IP paketlerini Layer3 düzeyinde korumak için kullanılan bir protokoller ve algoritmalar topluluğudur.

IPSec şunları garanti etmenizi sağlar:
- Gizlilik - şifreleme kullanma
- Veri bütünlüğü - Hashing ve HMAC aracılığıyla
- Kimlik doğrulama - Dijital İmzalar veya Önceden paylaşılan anahtar (PSK) kullanımı yoluyla.

Ana IPsec protokollerini listeleyelim:
■ ESP ve AH: IPsec'te kullanılan iki ana protokol.
Kapsüllenen Güvenlik Yükü (ESP), IPsec için ne gerekiyorsa yapabilir ve
Kimlik Doğrulama Başlığı (AH), şifreleme, verilerin şifrelenmesi dışında her şeyi yapabilir - bu yüzden ESP en sık kullanılır.
■ Gizlilik için şifreleme algoritmaları: DES, 3DES, AES.
■Bütünlük için karma algoritmalar: MD5, SHA.
■ Kimlik doğrulama algoritmaları: Önceden paylaşılan anahtarlar (PSK), RSA dijital imzaları.
■ Anahtar yönetimi: Bir örnek olarak kullanılabilecek Diffie-Hellman (DH) olabilir.
simetrik algoritmalar tarafından kullanılmak üzere dinamik olarak simetrik anahtarlar üretir; PKI,
güvenilir CA'lar tarafından verilen dijital sertifikaların işlevini destekleyen; ve İnternet
Bizim için müzakere ve yönetimin çoğunu yapan Anahtar Değişimi (IKE),
Çalıştırmak için IPsec.

IPSec neden gereklidir?

İki ofisi birbirine bağlamak için aşağıdaki basit topolojiyi düşünün.

İki ofisi birbirine bağlamamız ve aşağıdaki hedefleri gerçekleştirmemiz gerekiyor:

• Gizlilik- veri şifreleme yoluyla sağlanır.
• Veri bütünlüğü- hash yoluyla veya aracılığıyla sağlanır Karma Mesaj Kimlik Doğrulama Kodu (HMAC), - verilerin değiştirilmediğinden emin olmak için yöntemler.
• kimlik doğrulama- kullanılarak sağlanan önceden paylaşılan anahtarlar (PSK) veya dijital imzalar... Ve HMAC kullanırken, kimlik doğrulama her zaman gerçekleşir.
• tekrar oynatma koruması- tüm VPN paketleri, tekrarlanmalarını önlemek için numaralandırılmıştır.

IPSec protokolleri ve bağlantı noktaları

IKEv1 Aşama 1	UDP bağlantı noktası 500	IKEv1 Aşama 1, müzakere için UDP: 500 kullanır.
NAT-T (NAT geçiş)	UDP bağlantı noktası 4500	NAT Geçişi, cihazlar tarafından NAT geçişi için kullanılır. Her iki cihaz da NAT üzerinden birbirine bağlanırsa: sahte bir UDP bağlantı noktası 4500 koymak istiyorlar her IPsec paketindeki (ESP başlığından önce) başlık aksi halde bir sorunu olabilecek bir NAT cihazında hayatta kalın bir ESP oturumunu izleme (Katman 4 protokolü 50)
ESP	Katman 4 Protokolü 50	Tüm IPSec paketleri, tüm verileri kapsayan ESP'nin (IP Protokolü # 50) Katman 4 protokolüdür. ESP genellikle kullanılır (AH değil). NAT-T kullanılması durumunda, ESP başlığı ikinci UDP başlığı tarafından kapsanır.
AH	Katman 4 protokolü 51	AH paketleri, AH'nin Katman 4 protokolüdür (IP Protokolü # 51). AH, yük şifrelemesini desteklemez ve bu nedenle nadiren kullanılır.

IPSec işlemi

IPSec, güvenli bir VPN bağlantısı kurmak için protokolü kullanır. İnternet Anahtar Değişimi (IKE).
IKE tarafından sağlanan bir çerçevedir. İnternet Güvenliği Derneği, ve Anahtar Yönetim Protokolü (ISAKMP)

Bu nedenle, yapılandırmamızda her iki yönlendirici de VPN ağ geçidi veya IPsec eşleri.

10.0.0.0 ağındaki bir kullanıcının 172.16.0.0 ağına bir paket gönderdiğini varsayalım.
Tünel henüz oluşturulmadığı için R1, ikinci yönlendirici R2 ile görüşmeleri başlatacaktır.

1. Adım: IKEv1 Aşama 1 Tüneli için Müzakere Edin

Yönlendiriciler arasındaki ilk adım yükselir İnternet Anahtar Değişimi (IKE) Aşama 1 tüneli.
Böyle bir tünel, kullanıcı verilerinin iletilmesi için tasarlanmamıştır, ancak yönetim trafiğini korumak için hizmet amacıyla kullanılır.

IKE Aşama 1 tünelinin yükseltilmesi iki modda gerçekleştirilebilir:
- ana mod
- agresif mod
Ana mod, çok sayıda paketin değiş tokuşunu gerektirir, ancak aynı zamanda daha güvenli olarak kabul edilir.

IKE Aşama 1 tünelini yükseltmek için aşağıdaki unsurlar üzerinde anlaşmaya varılmalıdır:

• Hash algoritması: Olabilir mesaj özeti 5 algoritması (MD5) veya Güvenli Hash
  Algoritma (SHA).
• Şifreleme algoritması: Dijital Şifreleme Standardı (DES)(zayıf, önerilmez) Üçlü DES (3DES)(biraz daha iyi) veya Gelişmiş Şifreleme Standardı (AES)(önerilir) AES farklı uzunluklarda anahtarlar kullanabilir: ne kadar uzunsa o kadar güvenlidir.
• Diffie-Hellman (DH) grubu kullanılacak: DH “grubu”, modül boyutunu (uzunluğu) ifade eder.
  anahtar) DH anahtar değişimi için kullanılacak. Grup 1 768 bit kullanır, grup 2 1024 kullanır ve
  grup 5, 1536'yı kullanır. Daha güvenli DH grupları, yeni nesil şifrelemenin bir parçasıdır
  (NGE):
  - Grup 14 veya 24: 2048 bit DH sağlar
  - Grup 15 ve 16: 3072 bit ve 4096 bit DH'yi destekler
  - Grup 19 veya 20: Sırasıyla 256-bit ve 384-bit ECDH gruplarını destekler

  DH'nin işi, anahtarlama malzemesi (simetrik anahtarlar) oluşturmaktır. Bu anahtarlar veri aktarımı için kullanılacaktır.
  DH'nin kendisi asimetriktir, ancak simetrik anahtarlar üretir.

• Kimlik doğrulama yöntemi: şeklinde olabilir önceden paylaşılan anahtar (PSK) veya RSA imzaları
• Ömür: IKE Faz 1 tünel ömrü. Eşleşmeyebilecek tek parametre. Kullanım Ömrü ne kadar kısa olursa, anahtarlar o kadar sık ​​değiştirilir ve daha güvenli olur.

2. Adım: DH Anahtar Değişimini Çalıştırın

Yönlendiriciler IKE Aşama 1 politikası üzerinde anlaştıktan sonra, DH anahtar değişim sürecini başlatabilirler. DH, henüz güvenli bir bağlantısı olmayan iki cihazın, AES gibi simetrik algoritmalar tarafından kullanılacak olan simetrik anahtarları güvenli bir şekilde değiş tokuş etmesine izin verir.

3. Adım: Eşin Kimliğini Doğrulayın

IKE Aşama 1'de yapılacak son şey, iki yöntemle (PSK veya RSA dijital imzaları) yapılabilen ana bilgisayarların karşılıklı kimlik doğrulamasıdır.
Kimlik doğrulama başarılı olursa, IKE Aşama 1 tüneli çalışır durumda sayılır. Tünel çift yönlüdür.

4. Adım: IKE 2. Aşama

IKE Aşama 1 tüneli yükseldikten sonra yönlendiriciler IKE Aşama 1 tünelini kaldırmaya başlar.
Daha önce de belirtildiği gibi, IKE Aşama 1 tüneli tamamen hizmet, yönetim tünelidir ve tüm görüşme trafiği, IKE Aşama 2 tünelini yükseltmek için bu tünelden geçer.
IKE Aşama 2 tüneli ayrıca karma ve şifreleme algoritmaları kullanır.
IKE Faz 2 tünelinin yükseltilmesi tek modda yapılabilir:
- hızlı mod

IKE Aşama 2 tüneli aslında iki tek yönlü tüneldir, yani. yaratıldığını söyleyebiliriz:
Temizlik için kullanılan çift yönlü bir IKE Faz 1 tüneli.
Ve tek yönlü olan ve yük trafiğini şifrelemek için kullanılan iki IKE Aşama 2 tüneli.
Tüm bu tüneller olarak da anılır. iki VPN eşi arasındaki güvenlik anlaşmaları veya güvenlik birlikleri (SA).
Her SA'nın kendine özgü bir numarası vardır.

Şimdi, IKE Aşama 2 tüneli oluşturulduktan sonra, harici arabirimlerden ayrılan tüm paketler şifrelenecektir.

Yapılandırma örneği

Bu diyagramı örnek olarak kullanarak bir IPsec yapılandırması örneğini ele alalım.

1. İlginç Trafiği Yapılandırın
   Öncelikle şifreleyeceğimiz trafiği tanımlamamız gerekiyor.
   Yönlendirici R1

   ip erişim listesi genişletilmiş VPN-ACL izni ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

   Yönlendirici R2

   ip erişim listesi genişletilmiş VPN-ACL izni ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255

2. Aşama 1'i Yapılandırın (ISAKMP)
   Aşama 1, hizmet amaçları için kullanılan bir tünel kurar: gizli anahtarların paylaşılması, kimlik doğrulaması, IKE güvenlik politikalarının görüşülmesi, vb.
   Farklı önceliklere sahip birkaç isakmp politikası oluşturulabilir.

   Yönlendirici R1

   kripto isakmp anahtarı secretkey adresi 200.200.200.1

   Yönlendirici R2

   kripto isakmp ilke 1 şifreleme 3des karma md5 kimlik doğrulama ön paylaşım grubu 2

   kripto isakmp anahtarı secretkey adresi 100.100.100.1

   Buradaki anahtar, yönlendiriciler tarafından IKE Aşama 1 kimlik doğrulaması için kullanılan PSK'dır (Ön Paylaşımlı Anahtar).

3. Aşama 2'yi (IPSec) yapılandırın
   IKE Aşama 2 Tünelinin amacı, iki ofisin ana bilgisayarları arasında yük trafiğini aktarmaktır.
   Faz 2 Tünel parametreleri, dönüşüm kümeleri adı verilen kümeler halinde gruplandırılır.
   Yönlendirici R1

   kripto ipsec transform-set TRSET esp-3des esp-md5-hmac! kripto haritası VPNMAP 10 ipsec-isakmp eş 200.200.200.1 set transform-set TRSET eşleşme adresi VPN-ACL! arayüz FastEthernet0 / 0 kripto haritası VPNMAP

   Yönlendirici R2

   kripto ipsec transform-set TRSET esp-3des esp-md5-hmac! kripto haritası VPNMAP 10 ipsec-isakmp eş 100.100.100.1 set transform-set TRSET eşleşme adresi VPN-ACL! arayüz FastEthernet0 / 0 kripto haritası VPNMAP

   Her iki ana bilgisayar da kripto ipsec dönüşüm seti TRSET esp-3des esp-md5-hmac kullandı.
   Bu, şifreleme için 3des'in ve kimlik doğrulama için md5-hmac'ın kullanılacağı anlamına gelir.

   Kripto haritası arayüze gönderilir. CryptoMap, belirtilen koşulları karşılayan trafiği izler. Kripto haritamız, dahili trafik için ACL tarafından belirlenen 100.100.100.1 adresli bir yönlendirici ile çalışacak ve bu trafiğe transform-set TRSET uygulayacaktır.

IPSec Doğrulaması

Genel olarak, faydalı komutların listesi aşağıdaki gibidir:
kripto isakmp politikasını göster
kripto haritasını göster
crypto isakmp sa ayrıntısını göster
kripto ipsec sa'yı göster
etkin kripto motoru bağlantılarını göster

Pratikte, aşağıdakiler en faydalıdır: