Projekt zespołowy

Zasady działania sieci VPN na

bazie protokołów IPSec/IKE

mgr inż. Wiesław PYZIK

w_pyzik@poczta.wwsi.edu.pl

Techniczne zasady funkcjonowania sieci IPSec

Zestaw protokołów IPSec (IP Security) jest powszechnie stosowany do zabezpieczenia
danych przesyłanych w sieciach. Ochrona danych w IPSec realizowana jest na
poziomie warstwy 3 modelu OSI, czyli na poziomie datagramów IP.

IPSec zawiera dwa stosowane w zależności od potrzeb protokoły ochrony danych:

–

ESP (Encapsulating Security Payload) - stosowany do szyfrowania oraz

częściowego uwierzytelniania danych,

–

AH (Authentication Header) - służy do uwierzytelniania danych bez ich

szyfrowania.

Technicznie, funkcjonowanie IPSec polega na zabezpieczeniu datagramu IP

dodaniu do niego nagłówków ESP lub AH tak, aby odbiorca datagramu mógł go
odczytać i zweryfikować jego integralność i autentyczność.

Zasady działania sieci VPN na bazie protokołów
IPSec/IKE

Występują dwa tryby IPSec:

Transport Mode - tryb IPSec bez tunelowania pakietów (tzn. pozostają oryginalne

nagłówki datagramów IP),

Tunnel Mode - tryb IPSec z tunelowaniem pakietów.

Zasady działania sieci VPN na bazie protokołów
IPSec/IKE

Security Association (SA) - zestaw informacji, które należy ustalić tprzed

rozpoczęciem transmisji m.in. protokół ESP czy AH, algorytmy i klucze
kryptograficzne.

Każdy tunel VPN powinien posiadać unikalne SA do ochrony wysyłanych i odbieranych

informacji (tzn. dla jednego tunelu VPN wymagane są dwa SA).

Urządzenie VPN posiada do tego celu bazę SA ponumerowaną za pomocą unikalnych

identyfikatorów o nazwie Security Parameters Index (SPI). Numery SPI
przekazywane są w nagłówkach ESP i AH tak, aby urządzenie odbierające pakiety
IPSec widziało, w jaki sposób zostały zabezpieczone.

Elementy konfiguracji IPSec ESP

Elementy konfiguracji IPSec ESP

Proces ustalania SA pomiędzy urządzeniami VPN za pomocą protokołu IKE przebiega w

następujący sposób:

faza 1 (negocjacja IKE SA) . zestawienie bezpiecznego kanału komunikacji do

prowadzenia dalszych negocjacji (tzn. dla fazy 2),

faza 2 (negocjacja IPSec SA) . uzgodnienie SA do zabezpieczania transmisji

danych.

Faza 1 może przebiegać w normalnym trybie Main Mode lub trybie przyspieszonym

Aggressive Mode. W trybie Aggressive Mode w czasie negocjowania IKE SA
przesyłana jest mniejsza liczba pakietów.

Faza 2 nosi nazwę Quick Mode.
Tryb Main Mode stosowany jest zwykle w konfiguracjach VPN Site-Site ze stałymi

adresami IP urządzeń VPN, zaś tryb Aggressive Mode w konfiguracjach VPN
Client-Site z adresami IP przydzielanymi dynamicznie (np. Dial-up).

Baza 1 protokołu IKE wykonywana w trybie Main Mode polega na
wymianie sześciu wiadomości.

Faza 1 IKE (Main Mode)

Faza 1 IKE (Aggressive Mode)

Faza 1 wykonywana w trybie Aggressive Mode umożliwia zestawienie bezpiecznego

kanału komunikacji IKE jednak odbywa się to tylko za pomocą trzech wiadomości.
Negocjacja IKE w trybie Aggressive Mode przebiega w następującej kolejności:

Wiadomość 1 - urządzenie inicjujące tunel VPN wysyła propozycję SA, swój klucz

publiczny Diffiego-Hellmana, Nonce (liczbę losową) oraz identyfikator IKE. Jako
identyfikator IKE może zostać użyty np. adres e-mail, nazwa urządzenia Fully
Qualified Domain Name (FQDN), a także adres IP, ale tylko wtedy gdy nie jest
dynamiczny (tzn. urządzenie VPN posiada na stałe przypisany adres IP).

Wiadomość 2 - urządzenie odpowiadające na próbę zestawienia tunelu VPN

akceptuje otrzymaną propozycję SA, uwierzytelnia wymianę informacji (tzn.
przesyła kod Hash obliczony za pomocą Pre-Shared Secret), wysyła swój klucz
publiczny Diffiego- Hellmana, Nonce (liczbę losową) oraz swój identyfikator IKE.

Wiadomość 3 - urządzenie inicjujące tunel VPN uwierzytelnia wymianę informacji

(tzn. przesyła kod Hash obliczony za pomocą Pre-Shared Secret) i potwierdza
otrzymane dane.

Faza 2 IKE (Quick Mode)

Faza 2 IKE ma za zadanie wyznaczyć SA do szyfrowania i uwierzytelniania danych

przesyłanych w tunelu IPSec. Odbywa się to poprzez wymianę trzech wiadomości.
Komunikacja jest zabezpieczona za pomocą SA wyznaczonego w fazie 1 IKE.

W wiadomościach 1 i 2 urządzenia VPN ustalają odpowiednie dla siebie SA. Podobnie

jak w fazie 1 urządzenie inicjujące IKE może podać wiele propozycji SA. W fazie 2
IKE może zostać wykonana druga wymiana kluczy Diffiego-Hellmana (pierwsza
odbywa się w fazie 1) i obliczenie za ich pomocą nowego klucza sesji. Wiadomość
3 służy do potwierdzenia informacji otrzymanych w wiadomości 2.

Dziękuję za uwagę.

mgr inż. Wiesław PYZIK

w_pyzik@poczta.wwsi.edu.pl