2 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Данные шифруются ipsec филиалы обмениваются. Технологии используемые в IPSEC. Режимы работы ipSec

Главная цель объединения локальных сетей офисов — обеспечить прозрачный доступ к территориально-распределенным информационным ресурсам организации. Объединение сетей офисов позволяет решить следующие, наиболее распространенные задачи:

  • использовать единую номерную емкость офисной АТС;
  • обеспечить авторизацию пользовтателей для доступа к ресурсам (общие папки, интранет-сайт, электронная почта и др.) независимо от их текущего месторасположения;
  • обеспечивать защищенный доступ сотрудников организации к ресурсам, расположенным в разных офисах (например, обеспечить работу сотрудников с сервером 1С-предприятия, установленным в одном из офисов);
  • работать на удаленном компьютере с помощью терминального доступа (удаленное управление рабочим столом);
  • повысить эффективность и опреративность службы технической поддержки за счет возможности удаленного управления компьютерами, серверами и другим оборудованием, а также эффективного использования встроенных средств Windows для оказания помощи — Удаленный помошник.

Как работает IPsec?

IPsec использует два протокола для обеспечения безопасности трафика — Authentication Header (АН) и Encapsulating Security Payload (ESP)

IP Authentication Header (AH) обеспечивает целостность без установления соединения, аутентификацию источника данных и дополнительную службу защиты от повтора.

AH использует хэш-алгоритм для вычисления значения хэша как для полезной нагрузки, так и для заголовка пакета, обеспечивая целостность пакета. Однако это вызывает очень специфическую проблему. AH не будет работать через NAT-устройство. NAT изменяет IP-заголовок пакета во время перевода, но значение хэша не изменяется. Таким образом, принимающее устройство будет полагать, что пакет был изменен при передаче и отклонил пакет.

Протокол Encapsulating Security Payload (ESP) может обеспечивать конфиденциальность (шифрование) и ограниченную конфиденциальность трафика. Он также может обеспечивать подключение. Он также может обеспечить целостность без установления соединения, аутентификацию источника данных и службу защиты от повтора. (Один или другой набор этих служб безопасности должен применяться всякий раз, когда вызывается ESP.)

ESP выполняет функции конфиденциальности, аутентификации и целостности. Таким образом, ESP выполняет шифрование и по своей сути более безопасен, чем AH. ESP вводит в пакет как дополнительный заголовок, так и трейлер. ESP также использует алгоритм хеширования для целостности данных. Однако хэш не включает IP-заголовок пакета, и, таким образом, ESP будет (обычно) работать через NAT-устройство.

Оба AH и ESP являются транспортными средствами для контроля доступа на основе распределения криптографических ключей и управления потоками трафика по отношению к этим протоколам безопасности.

Эти протоколы могут применяться отдельно или в сочетании друг с другом для обеспечения требуемого набора служб безопасности в IPv4 и IPv6. Каждый протокол поддерживает два режима: транспортный и режим туннеля. В транспортном режиме протоколы обеспечивают защиту в основном для протоколов верхнего уровня; в туннельном режиме протоколы применяются к туннелированным IP-пакетам.

IPsec позволяет пользователю (или системному администратору) контролировать степень детализации, в которой предлагается служба безопасности. Например, можно создать один зашифрованный туннель для переноса всего трафика между двумя шлюзами безопасности или отдельный зашифрованный туннель, который может быть создан для каждого TCP-соединения между каждой парой хостов, взаимодействующих через эти шлюзы. Руководство IPsec должно включать средства для указания:

Читать еще:  Изменения в реестре без перезагрузки

● какие службы безопасности использовать и в каких комбинациях

● гранулярность, при которой должна применяться данная защита

● алгоритмы, используемые для обеспечения криптографической безопасности

Поскольку эти службы безопасности используют общие секретные значения (криптографические ключи), IPsec опирается на отдельный набор механизмов для размещения этих ключей. (Эти ключи используются для служб аутентификации / целостности и шифрования.) Этот документ требует поддержки как ручного, так и автоматического распределения ключей. Он определяет конкретный подход на основе открытого ключа для автоматического управления ключами, но могут использоваться другие автоматизированные методы распространения ключей. Например, можно использовать системы на основе KDC, такие как Kerberos и другие системы с открытым ключом, такие как SKIP.

Каждый протокол IPSEC (AH или ESP) может работать в одном из двух режимов:

• Режим транспорта. Исходные IP-заголовки остаются нетронутыми. Используется при обеспечении связи с одного устройства на другое одно устройство.

• Режим туннеля — весь исходный пакет хэшируется и / или шифруется, включая как полезную нагрузку, так и любые исходные заголовки. Во время транзита к пакету применяется временный IP-заголовок.

Ниже показано, как AH изменяет IP-пакет:

Ниже показано, как ESP изменяет IP-пакет:

ESP в режиме туннеля испытывает трудности NAT, подобные AH. Это может быть облегчено путем реализации NAT Traversal (NAT-T).

VPN и услуги предоставляет интернет-провайдер

Данное решение применимо, если головной офис и филиалы подключены к Интернет через одного интернет-провайдера. Если отделения компании разбросаны по городам, да еще в разных странах, вряд ли найдется провайдер, который сможет предоставить вам необходимый уровень сервиса, да еще за приемлемые деньги.

Если ваши офисы находяться в пределах одного города, узнайте у вашего интернет-провайдера, может ли он обеспечить объединение локальных сетей ваших офисов в единую сеть. Возможно это решение будет оптимальным для вас по стоимости.

Конфиденциальность и шифрование

Данные, отправленные в текстовом виде через Интернет, могут быть легко перехвачены и украдены. Из-за этого конфиденциальные данные должны быть зашифрованы при отправке через ненадежную сеть или домен.

Клавиши генерируют значения, используемые для шифрования и дешифрования данных. Чем дольше ключ, тем он безопаснее. Длина ключа измеряется в битах. Существуют два типа ключей:

Симметричные ключи могут использоваться как для шифрования, так и для дешифрования данных. Более конкретно, тот же ключ используется как для шифрования пакета (на отправляющем устройстве), так и для дешифрования этого пакета (на принимающем устройстве). Симметричное шифрование ключей является эффективным, но не очень хорошо масштабируется в больших средах.

Для асимметричных ключей требуется отдельный ключ для шифрования (открытый ключ) и дешифрование (закрытый ключ). Открытые ключи открыто обмениваются между устройствами для шифрования данных во время передачи. Частные ключи никогда не обмениваются.

Рассмотрим приведенную выше диаграмму. Предположим, что мы используем инфраструктуру открытого / закрытого ключа:

• Оба маршрутизатора A и Router B имеют свой собственный закрытый ключ.

Читать еще:  Как узнать IMEI телефона Андроид и iPhone

• Оба маршрутизатора A и Router B обмениваются уникальными открытыми ключами.

• Когда Router B шифрует данные, предназначенные для маршрутизатора A, он использует открытый ключ Router A. (и наоборот)

• Маршрутизатор A расшифровывает данные, используя свой закрытый ключ.

Только частные ключи могут расшифровать данные. Таким образом, даже если данные и открытый ключ были перехвачены, обеспечивается конфиденциальность.

На что необходимо обратить внимание при выборе оборудования

Выбирая оборудование для организации виртуальной частной сети (VPN) необходимо обратить внимание на следующие свойства:

  1. количество одновременно-поддерживаемых vpn-туннелей;
  2. производительность;
  3. возможность фильтрации сетевого трафика внутри vpn-туннеля (эта функция реализована далеко не во всех интернет-шлюзах);
  4. поддержка управления качеством QoS (очень полезна при передаче голосового трафика между сетями);
  5. совместимость с имеющимся оборудованием и применяемыми технологиями.

Пять шагов IPSEC

Функцию IPSEC можно описать в пять этапов:

1. Любой трафик, который должен быть защищен и отправлен через туннель, идентифицируется как интересный трафик, обычно используя список доступа.

2.IKE (обмен ключами через Интернет) Этап 1 инициирован. Аутентификация между пэрами проверяется, ключи обмениваются, и наборы политик IKE разрешены. В случае успеха создается IKE SA.

3.IKE (обмен ключами через Интернет) Этап 2 инициирован. IPSEC TransformSets согласовываются, и в случае успеха создается IPSEC SA.

4. Фактически данные передаются с использованием согласованной политики небезопасности.

5. Сеанс срывается после истечения срока жизни SA.

Прежде чем присупить к выбору оборудования и программного обеспечения (далее — ПО) для реализации проекта по объединению локальных сетей офисов в единую сеть через VPN, необходимо располагать следующими сведениями:

  1. Определить топологию:
    • Meshed (полносвязные) — каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
    • Star (звезда) — филиалы могут организовать защищенные соединения с центральным сайтом;
    • Hub and Spoke (связь через концентратор) — филиалы могут соединяться между собой через концентратор центрального сайта;
    • Remote Access (удаленный доступ) — пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами;
    • Комбинации перечисленных выше методов (например, топология Star with Meshed Center — звезда с полносвязным центром, — в которой удаленные филиалы могут обмениваться информацией со всеми членами центральной VPN, имеющей полносвязную топологию).
  2. Количество филиалов (какое количество одновременных VPN-соединений должно поддерживать оборудование головного офиса);
  3. Количество пользователей в центральном офисе и в каждом филиале;
  4. Какое оборудование и/или ПО используется в каждом филиале (данные необходимы для учета возможностей по использованию существующего оборудования и/или ПО);
  5. Данные по подключению филиалов к Интернет: назначение IP адреса – динамическое или статическое, скорость канала связи;
  6. Какой подход к управлению информационной безопасностью (защита периметра сети, антивирусная безопасность) будет применен: централизованное управление головным офисом и филиалами одним администратором безопасности (системным администратором), или в каждом филиале свой системный администратор.

Чтобы минимизировать угрозы проникновения в сеть центрального офиса, необходимо уделить должное внимание защите сетей филиалов организации. Использование VPN не гарантирует надежную защиту от проникновения, если сети филиалов также не будут надежно защищены. Если злоумышленник сможет получить несанкционированный доступ к сети филиала, то он также сможет получить доступ и к информационной системе головного офиса, поскольку сети головного офиса и филиала объединены в единую сеть через VPN.

Читать еще:  Где стоит gps на iphone 5s. Геолокация на iPhone. Включение, отключение и настройка отслеживания. Настройка параметров в пункте управления

Где IPsec может быть реализован

Существует несколько способов реализации IPsec на хосте или в сочетании с маршрутизатором или брандмауэром (для создания шлюза безопасности). Ниже приведены несколько общих примеров:

а. Интеграция IPsec в собственную реализацию IP. Для этого требуется доступ к исходному коду IP и применим как к хостам, так и к шлюзам безопасности.

b. Реализации «Bump-in-the-stack» (BITS), где IPsec реализуется «под» существующей реализацией стека протоколов IP, между собственным IP-адресом и драйверами локальной сети. Доступ к исходному коду для IP-стека не требуется в этом контексте, делая этот подход внедрения подходящим для использования с устаревшими системами. Такой подход, когда он принят, обычно используется на хостах.

с. Использование внешнего криптопроцессора является общей конструктивной особенностью систем сетевой безопасности, используемых военными, и некоторых коммерческих систем. Его иногда называют реализацией «Bump-in-the-wire» (BITW). Такие реализации могут быть предназначены для обслуживания хоста или шлюза (или обоих). Обычно устройство BITW является IP-адресом. При поддержке одного хоста он может быть аналогичен реализации BITS, но при поддержке маршрутизатора или брандмауэра он должен работать как шлюз безопасности.

Прежде чем присупить к выбору оборудования и программного обеспечения (далее — ПО) для реализации проекта по объединению локальных сетей офисов в единую сеть через VPN, необходимо располагать следующими сведениями:

  1. Определить топологию:
    • Meshed (полносвязные) — каждый сайт может автоматически организовать шифрованное соединение с любым другим сайтом;
    • Star (звезда) — филиалы могут организовать защищенные соединения с центральным сайтом;
    • Hub and Spoke (связь через концентратор) — филиалы могут соединяться между собой через концентратор центрального сайта;
    • Remote Access (удаленный доступ) — пользователи и группы могут организовать безопасные соединения с одним или несколькими сайтами;
    • Комбинации перечисленных выше методов (например, топология Star with Meshed Center — звезда с полносвязным центром, — в которой удаленные филиалы могут обмениваться информацией со всеми членами центральной VPN, имеющей полносвязную топологию).
  2. Количество филиалов (какое количество одновременных VPN-соединений должно поддерживать оборудование головного офиса);
  3. Количество пользователей в центральном офисе и в каждом филиале;
  4. Какое оборудование и/или ПО используется в каждом филиале (данные необходимы для учета возможностей по использованию существующего оборудования и/или ПО);
  5. Данные по подключению филиалов к Интернет: назначение IP адреса – динамическое или статическое, скорость канала связи;
  6. Какой подход к управлению информационной безопасностью (защита периметра сети, антивирусная безопасность) будет применен: централизованное управление головным офисом и филиалами одним администратором безопасности (системным администратором), или в каждом филиале свой системный администратор.

Чтобы минимизировать угрозы проникновения в сеть центрального офиса, необходимо уделить должное внимание защите сетей филиалов организации. Использование VPN не гарантирует надежную защиту от проникновения, если сети филиалов также не будут надежно защищены. Если злоумышленник сможет получить несанкционированный доступ к сети филиала, то он также сможет получить доступ и к информационной системе головного офиса, поскольку сети головного офиса и филиала объединены в единую сеть через VPN.

Ссылка на основную публикацию
Статьи c упоминанием слов:
Adblock
detector