Сурков Л.В. - Защита сетевого трафика с использованием IPsec и сертификатов
Описание файла
PDF-файл из архива "Сурков Л.В. - Защита сетевого трафика с использованием IPsec и сертификатов", который расположен в категории "". Всё это находится в предмете "языки интернет-программирования" из 5 семестр, которые можно найти в файловом архиве МГТУ им. Н.Э.Баумана. Не смотря на прямую связь этого архива с МГТУ им. Н.Э.Баумана, его также можно найти и в других разделах. Архив можно найти в разделе "книги и методические указания", в предмете "языки интернет-программирования" в общих файлах.
Просмотр PDF-файла онлайн
Текст из PDF
Министерство образования и науки Российской ФедерацииФедеральное агентство по образованиюМосковский Государственный Технический Университет им. Н.Э. БауманаФакультет «Информатика и системы управления»Кафедра «Компьютерные системы и сети»Сурков Л.В.Методические указания к лабораторной работепо курсуКорпоративные сетиЗащита сетевого трафика с использованием IPsecи сертификатов2010Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11СодержаниеСодержание ....................................................................................................................................2Основы протокола IPsec ...............................................................................................................3Описание службы IPSEC ..........................................................................................................4Протоколы IPsec ......................................................................................................................10Протокол обмена ключами IKE .....................................................................................10Протокол AH ....................................................................................................................15Протокол ESP...................................................................................................................17Два режима работы IPsec........................................................................................................18Туннельный режим AH ...................................................................................................21Туннельный режим ESP .................................................................................................21Транспортный режим AH и ESP ....................................................................................23Фильтры IPsec и их действия .................................................................................................25Шифрование и проверка целостности в IPsec ......................................................................31Аутентификация IPsec.............................................................................................................33Внедрение политики IPsec в средах рабочей группы и домена..........................................34Практическая часть .....................................................................................................................36Добавление оснастки...............................................................................................................36Задание 1...................................................................................................................................47Задание 2...................................................................................................................................54Практическая часть (детальные операции)...............................................................................60МГТУ им.
БауманаКафедра ИУ-62Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11Основы протокола IPsecНазначение IPsecПротокол IPsec– это открытый промышленный стандарт IP-сетей для защитыпередаваемых по сетям IP-пакетов. IPsec является неотъемлемой частью протокола IPv6 ирасширением существующей версии протокола IPv4. Протокол IPsec работает на сетевомуровне (уровень 3 модели OSI). Это делает IPsec гибким, поскольку он можетиспользоваться для защиты любых протоколов, базирующихся на транспорте TCP/UDP.IPSecобеспечиваетаутентификациюисточникаданных,шифрованиепередаваемых IP пакетов, проверку их целостности и подлинности, защиту отнавязывания повторных сообщений, а также частичную защиту от анализа трафика.Реализация IPsec на сетевом уровне обеспечивает защиту для всех протоколовсемейства TCP/IP, начиная с уровня IP и выше, передающих данные на уровне IP.Основным преимуществом защиты на этом уровне является то, что все приложения ислужбы, использующие IP для транспортировки данных, могут быть защищены спомощью IPsec без внесения каких-либо изменений в эти приложения или службы.Заметим, что для защиты других протоколов, отличных от IP, пакеты должны бытьинкапсулированы в IP пакеты.IPsec защищает данные так, что расшифровать их при несанкционированномдоступе крайне трудно или просто невозможно.
Высокий уровень безопасностидостигается посредством использования криптографических алгоритмов и ключейФактически протокол IPsec представляет собой комбинацию нескольких групппротоколов: аутентификации, целостности данных (цифровых подписей), шифрования данных, обмена криптографическими ключами.Служба IPsec использует протоколы безопасности AH и ESP, обеспечивающиепроверку подлинности и защиту данных для каждого пакета IP.Протокол обмена криптографическими ключами IKE (Internet Key Exchange)состоит из трех протоколов: ISAKMP, Oakley и SKEME.Протокол согласования параметров виртуального канала и управления ключами(Internet Security Association Key Management Protocol — ISAKMP) обеспечивает общееМГТУ им. БауманаКафедра ИУ-63Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11управлениезащищеннымвиртуальнымсоединением,включаясогласованиеиспользуемых алгоритмов криптозащиты, а также генерацию и распределение ключевойинформации.Протокол Oakley, основанный на алгоритме Диффи-Хеллмана, создает секретныеключи, используемые для защиты данных.Описание службы IPSECIPsec добавляет возможности шифрования и аутентификации в стек протоколаTCP/IP на более низком уровне, чем протоколы прикладного уровня (такие как SSL и TLS:Secure Socket Layer и Transport Layer Security).
Поскольку процесс защиты осуществляетсяна нижнем уровне стека TCP/IP, защита IPsec прозрачна для приложений. Для защитыприложений средствами IPsec необходимо, чтобы они передавали информацию черезопределенный порт. Если для всех соединений приложения применяют произвольныепорты, определить фильтр IPsec, идентифицирующий потоки сетевых данных этихпрограмм, практически невозможно.Приложения не обязательно должны быть IPsec-совместимы, так как данные от клиента ксерверу передаются открытым текстом. Процесс IPsec шифрует полезные данные пакетапосле их отправки приложением-клиентом и расшифровывает до того, как они достигнутприложения на сервере.Согласование безопасности IPSECПеред началом безопасного обмена данными между двумя хостами должно бытьустановлено соглашение о способе обмена и защиты данных, которое принимается впроцессе переговоров.
Это соглашение называется сопоставлением безопасности SA(Security Associations)—безопасное соединение, представляющее собой виртуальныйоднонаправленный канал для передачи данных. Для двунаправленной связи требуется дваSA. Как показано на рисунке 1, путем сопоставления безопасности два хоста принимаютсоглашение о способе обмена и защиты данных.Для создания соглашения между двумя компьютерами рабочая группа IETF ввеластандартный метод сопоставления безопасности и разрешения обмена ключами,сочетающий использование протокола ISAKMP (Internet Security Association and KeyManagement Protocol) и протокола создания ключей Oakley. ISAKMP централизуетуправление сопоставлением безопасности, сокращая время подключения. Oakley создаетсекретные ключи, используемые для защиты данных, и управляет ими. Для обеспеченияуспешной безопасной связи ISAKMP/Oakley выполняет две фазы согласования.МГТУ им.
БауманаКафедра ИУ-64Сурков Л.В.Корпоративные сетиПрактикум «Защита сетевого трафика с использованием IPsec и сертификатов» Rev.11В первой фазе, или главном режиме (main mode), хосты аутентифицируют другдруга. На этом этапе два компьютера устанавливают первое сопоставление безопасности,называемое согласованием безопасности ISAKMP.
Создается общий секретный ключ(основной ключ) для сопоставления безопасности ISAKMP. Обмен ключами как таковыминикогда не выполняется; передаются только общие сведения, необходимые группеДиффи-Хелмана для создания общего секретного ключа. Служба Oakley на каждом изхостов создает основной ключ, используемый для защиты проверки подлинности. Хостывыполняют попытку проверить подлинность предоставленных сведений.Инициирующая сторона посылает отвечающей стороне предлагаемый списоквозможных уровней безопасности. Отвечающая сторона не может изменить предложение.В случае изменения предложения инициирующая сторона отклоняет сообщениеотвечающей стороны. Отвечающая сторона либо отправляет ответ о принятиипредложения, либо просто отбрасывает предложение и отправляет сообщение о том, чтони один из предложенных вариантов не был выбран.
Затем процесс начинается сначала.Сообщения согласования автоматически повторяются пять раз. Если допускаетсянебезопасная связь с компьютерами, не поддерживающими IPSec, через три секундыустанавливается мягкое сопоставление безопасности. Если отклик ISAKMP будет получендо окончания цикла, мягкое сопоставление безопасности будет удалено и начнетсясогласование стандартного сопоставления безопасности.Возможное число формируемых сопоставлений безопасности ограничено лишьресурсами системы.
