Ipsec qanday port. Ipsec protokollar. Chiqish ip paketlarini qayta ishlash 0


Ma'lumotlarni qanday qayta ishlash kerak


Download 300.58 Kb.
bet17/37
Sana05.01.2022
Hajmi300.58 Kb.
#233640
1   ...   13   14   15   16   17   18   19   20   ...   37
Bog'liq
d

Ma'lumotlarni qanday qayta ishlash kerak

Endi transform-set haqida bir necha so'z. Siz qandaydir tarzda tunnel orqali o'tadigan ma'lumotlarni shifrlashingiz kerak. Shuning uchun odatiy konfiguratsiyada transform-set bu paketni qanday ishlashni aniq ko'rsatadigan parametrlar to'plami. Shunga ko'ra, bunday ma'lumotlarni qayta ishlashning ikkita varianti mavjud - ESP va AH protokollari. ESP (Encapsulating Security Payload) ma'lumotlarni shifrlash bilan bevosita shug'ullanadi, shuningdek ma'lumotlar yaxlitligini tekshirishni ham ta'minlaydi. AH (Autentifikatsiya sarlavhasi), o'z navbatida, faqat manbani aniqlash va ma'lumotlar yaxlitligini tekshirish uchun javobgardir.

Masalan, kriptovalyutali o'zgartirilgan SET10 esp-aes buyrug'i yo'riqchiga SET10 nomli transformator faqat ESP protokoli va AES kodlash bilan ishlashi kerakligini aytadi. Oldinga qarab, shuni aytamanki, bundan keyin biz Cisco marshrutizatorlari va xavfsizlik devorlarini nishon sifatida ishlatamiz. Aslida, ESP bilan hamma narsa aniqroq yoki kamroq aniq, uning ishi shifrlash va shu bilan maxfiylikni ta'minlashdir, lekin nima uchun bizga AH kerak? AH ma'lumotlarning autentifikatsiyasini ta'minlaydi, ya'ni bu ma'lumotlar biz ulanishni o'rnatgan kishidan kelganligini va yo'l davomida o'zgartirilmaganligini tasdiqlaydi. U ba'zida takrorlanishga qarshi himoya deb ataladigan narsani ta'minlaydi. Zamonaviy tarmoqlarda AH deyarli ishlatilmaydi, hamma joyda faqat ESP mavjud.

IPsec tunnelida ma'lumotlarni shifrlash uchun tanlangan parametrlar (aka SA) umr ko'rish muddatiga ega, shundan so'ng ularni almashtirish kerak. Odatiy IPsec SA muddati - 86 400 s yoki 24 soat.


Natijada, ishtirokchilar parametrlariga mos keladigan shifrlangan tunnelni olishdi va ma'lumotlar oqimini shifrlash uchun u erga yuborishdi. Vaqti-vaqti bilan, asosiy tunnel uchun shifrlash kalitlari yangilanadi: ishtirokchilar yana ISAKMP tunneli orqali ulanadilar, ikkinchi bosqichdan o'tadilar va SAni qayta o'rnatadilar.

IKEv1 rejimlari

IPsec-ning asosiy mexanikasini birinchi yaqinlashuv sifatida ko'rib chiqdik, ammo yana bir nechta narsaga e'tibor qaratish kerak. Birinchi bosqich, boshqa narsalar qatori, ikkita rejimda ishlashi mumkin: asosiy rejim yoki tajovuzkor rejim. Yuqorida biz birinchi variantni ko'rib chiqdik, ammo bizni shunchaki tajovuzkor rejim qiziqtiradi. Ushbu rejimda uchta xabar ishlatiladi (asosiy rejimda oltita o'rniga). Shu bilan birga, ulanishni boshlagan kishi birdaniga barcha ma'lumotlarni beradi - u nimani xohlashi va nimaga qodirligi, shuningdek DH almashinuvining bir qismi. Shunda kontragent darhol DH hosil bo'lishini tugatadi. Natijada, ushbu rejimda, aslida, faqat ikki bosqich mavjud. Ya'ni, asosiy rejimdan (xashni moslashtirish va DH almashinuvi) dastlabki ikki bosqich, xuddi bo'lgani kabi, bitta bosqichga siqilgan. Natijada, ushbu rejim juda xavflidir, chunki oddiy matndagi ko'plab texnik ma'lumotlar javoban keladi. Eng muhimi shundaki, VPN shlyuzi birinchi bosqichda autentifikatsiya qilish uchun ishlatiladigan parolning xeshini yuborishi mumkin (bu parol ko'pincha oldindan ulashilgan kalit yoki PSK deb ham ataladi).



Xo'sh, keyingi barcha shifrlash odatdagidek o'zgarishsiz amalga oshiriladi. Unda nega bu usul hanuzgacha ishlatilmoqda Gap shundaki, u ancha tezroq, taxminan ikki baravar tezroq. Pentesterni qiziqtiradigan narsa, tajovuzkor rejim IPsec VPN RAda tez-tez ishlatilishi. Agressiv rejimdan foydalanganda IPsec VPN RA ning yana bir kichik xususiyati: mijoz serverga murojaat qilganda, u identifikatorni (guruh nomi) yuboradi. Tunnel guruhining nomi (2-rasmga qarang) - bu IPsec ulanishi uchun siyosatlar to'plamini o'z ichiga olgan kirish nomi. Bu allaqachon Cisco uskunalariga xos xususiyatlardan biridir.





Download 300.58 Kb.

Do'stlaringiz bilan baham:
1   ...   13   14   15   16   17   18   19   20   ...   37




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling