Projekt zespołowy
Zasady działania sieci VPN na
bazie protokołów IPSec/IKE
mgr inż. Wiesław PYZIK
w_pyzik@poczta.wwsi.edu.pl
Projekt zespołowy
Zasady działania sieci VPN na
bazie protokołów IPSec/IKE
mgr inż. Wiesław PYZIK
w_pyzik@poczta.wwsi.edu.pl
Techniczne zasady funkcjonowania sieci IPSec
Zestaw protokołów IPSec (IP Security) jest powszechnie stosowany do zabezpieczenia
danych przesyłanych w sieciach. Ochrona danych w IPSec realizowana jest na
poziomie warstwy 3 modelu OSI, czyli na poziomie datagramów IP.
IPSec zawiera dwa stosowane w zależności od potrzeb protokoły ochrony danych:
–
ESP (Encapsulating Security Payload) - stosowany do szyfrowania oraz
częściowego uwierzytelniania danych,
–
AH (Authentication Header) - służy do uwierzytelniania danych bez ich
szyfrowania.
Technicznie, funkcjonowanie IPSec polega na zabezpieczeniu datagramu IP
dodaniu do niego nagłówków ESP lub AH tak, aby odbiorca datagramu mógł go
odczytać i zweryfikować jego integralność i autentyczność.
Zasady działania sieci VPN na bazie protokołów
IPSec/IKE
Występują dwa tryby IPSec:
Transport Mode - tryb IPSec bez tunelowania pakietów (tzn. pozostają oryginalne
nagłówki datagramów IP),
Tunnel Mode - tryb IPSec z tunelowaniem pakietów.
Zasady działania sieci VPN na bazie protokołów
IPSec/IKE
Security Association (SA) - zestaw informacji, które należy ustalić tprzed
rozpoczęciem transmisji m.in. protokół ESP czy AH, algorytmy i klucze
kryptograficzne.
Każdy tunel VPN powinien posiadać unikalne SA do ochrony wysyłanych i odbieranych
informacji (tzn. dla jednego tunelu VPN wymagane są dwa SA).
Urządzenie VPN posiada do tego celu bazę SA ponumerowaną za pomocą unikalnych
identyfikatorów o nazwie Security Parameters Index (SPI). Numery SPI
przekazywane są w nagłówkach ESP i AH tak, aby urządzenie odbierające pakiety
IPSec widziało, w jaki sposób zostały zabezpieczone.
Elementy konfiguracji IPSec ESP
Elementy konfiguracji IPSec ESP
Proces ustalania SA pomiędzy urządzeniami VPN za pomocą protokołu IKE przebiega w
następujący sposób:
faza 1 (negocjacja IKE SA) . zestawienie bezpiecznego kanału komunikacji do
prowadzenia dalszych negocjacji (tzn. dla fazy 2),
faza 2 (negocjacja IPSec SA) . uzgodnienie SA do zabezpieczania transmisji
danych.
Faza 1 może przebiegać w normalnym trybie Main Mode lub trybie przyspieszonym
Aggressive Mode. W trybie Aggressive Mode w czasie negocjowania IKE SA
przesyłana jest mniejsza liczba pakietów.
Faza 2 nosi nazwę Quick Mode.
Tryb Main Mode stosowany jest zwykle w konfiguracjach VPN Site-Site ze stałymi
adresami IP urządzeń VPN, zaś tryb Aggressive Mode w konfiguracjach VPN
Client-Site z adresami IP przydzielanymi dynamicznie (np. Dial-up).
Baza 1 protokołu IKE wykonywana w trybie Main Mode polega na
wymianie sześciu wiadomości.
Faza 1 IKE (Main Mode)
Faza 1 IKE (Aggressive Mode)
Faza 1 wykonywana w trybie Aggressive Mode umożliwia zestawienie bezpiecznego
kanału komunikacji IKE jednak odbywa się to tylko za pomocą trzech wiadomości.
Negocjacja IKE w trybie Aggressive Mode przebiega w następującej kolejności:
Wiadomość 1 - urządzenie inicjujące tunel VPN wysyła propozycję SA, swój klucz
publiczny Diffiego-Hellmana, Nonce (liczbę losową) oraz identyfikator IKE. Jako
identyfikator IKE może zostać użyty np. adres e-mail, nazwa urządzenia Fully
Qualified Domain Name (FQDN), a także adres IP, ale tylko wtedy gdy nie jest
dynamiczny (tzn. urządzenie VPN posiada na stałe przypisany adres IP).
Wiadomość 2 - urządzenie odpowiadające na próbę zestawienia tunelu VPN
akceptuje otrzymaną propozycję SA, uwierzytelnia wymianę informacji (tzn.
przesyła kod Hash obliczony za pomocą Pre-Shared Secret), wysyła swój klucz
publiczny Diffiego- Hellmana, Nonce (liczbę losową) oraz swój identyfikator IKE.
Wiadomość 3 - urządzenie inicjujące tunel VPN uwierzytelnia wymianę informacji
(tzn. przesyła kod Hash obliczony za pomocą Pre-Shared Secret) i potwierdza
otrzymane dane.
Faza 2 IKE (Quick Mode)
Faza 2 IKE ma za zadanie wyznaczyć SA do szyfrowania i uwierzytelniania danych
przesyłanych w tunelu IPSec. Odbywa się to poprzez wymianę trzech wiadomości.
Komunikacja jest zabezpieczona za pomocą SA wyznaczonego w fazie 1 IKE.
W wiadomościach 1 i 2 urządzenia VPN ustalają odpowiednie dla siebie SA. Podobnie
jak w fazie 1 urządzenie inicjujące IKE może podać wiele propozycji SA. W fazie 2
IKE może zostać wykonana druga wymiana kluczy Diffiego-Hellmana (pierwsza
odbywa się w fazie 1) i obliczenie za ich pomocą nowego klucza sesji. Wiadomość
3 służy do potwierdzenia informacji otrzymanych w wiadomości 2.
Dziękuję za uwagę.
mgr inż. Wiesław PYZIK
w_pyzik@poczta.wwsi.edu.pl