Ipsec qanday port. Ipsec protokollar. Chiqish ip paketlarini qayta ishlash 0
Download 300.58 Kb.
|
d
- Bu sahifa navigatsiya:
- IKEv2 va IKEv1
Ikki bosqich etarli emas edi
Ko'rinishidan, bu juda oddiy ish sxemasi emas, lekin aslida u biroz murakkabroq. Vaqt o'tishi bilan, faqatgina PSK xavfsizlikni ta'minlash uchun etarli emasligi aniq bo'ldi. Masalan, murosaga kelganda ish stantsiyasi tajovuzkor darhol korxonaning butun ichki tarmog'iga kirish huquqiga ega bo'ldi. Shuning uchun birinchi va ikkinchi klassik fazalar o'rtasida 1.5-bosqich to'g'ri ishlab chiqilgan. Aytgancha, bu bosqich odatda sayt-saytga VPN ulanishida ishlatilmaydi, ammo uzoq VPN ulanishlarini tashkil qilishda ishlatiladi (bizning holatlarimiz). Ushbu bosqich ikkita yangi kengaytmani o'z ichiga oladi - kengaytirilgan autentifikatsiya (XAUTH) va rejim-konfiguratsiya (MODECFG). XAUTH - bu IKE protokoli ichidagi qo'shimcha autentifikatsiya. Ushbu autentifikatsiya ba'zan IPsec-ning ikkinchi omili deb ham ataladi. Xo'sh, MODECFG mijozga qo'shimcha ma'lumotlarni uzatish uchun xizmat qiladi, bu IP-manzil, niqob, DNS-server va boshqalar bo'lishi mumkin. Ko'rish mumkinki, ushbu bosqich ilgari ko'rib chiqilganlarni to'ldiradi, ammo uning foydasi shubhasiz.
Ikkala protokollar UDP 500 portida ishlaydi, lekin ular bir-biriga mos kelmaydi, tunnelning bir uchida IKEv1 va boshqa tomonda IKEv2 borligiga yo'l qo'yilmaydi. Ikkinchi versiya va birinchisining asosiy farqlari: IKEv2-da, tajovuzkor yoki asosiy rejimlar kabi boshqa tushunchalar yo'q. IKEv2-da, birinchi bosqich IKE_SA_INIT (shifrlash / xesh protokollar va DH tugmachalarini yaratish bo'yicha muzokaralar olib boruvchi ikki xabar almashinuvi) bilan almashtirildi, ikkinchi bosqich esa IKE_AUTH bilan almashtirildi (shuningdek haqiqiy autentifikatsiyani amalga oshiruvchi ikkita xabar). Mode Config (nima IKEv1 1.5-faza deb nomlangan) endi to'g'ridan-to'g'ri protokol spetsifikatsiyasida tasvirlangan va uning ajralmas qismi hisoblanadi. IKEv2 qo'shimcha anti-DoS himoya mexanizmini qo'shadi. Uning mohiyati shundaki, xavfsiz ulanishni o'rnatish bo'yicha har bir so'rovga (IKE_SA_INIT) javob berishdan oldin, VPN shlyuzi cookie-faylni bunday so'rov manbaiga yuboradi va javobni kutadi. Agar manba javob bergan bo'lsa - hamma narsa tartibda, siz u bilan DH hosil qilishni boshlashingiz mumkin. Agar manba javob bermasa (DoS hujumi bo'lsa, bu shunday bo'ladi, bu usul TCP SYN toshqiniga o'xshaydi), keyin VPN shlyuzi bu haqda shunchaki unutadi. Ushbu mexanizmsiz, har qanday odamning har qanday iltimosiga binoan VPN shlyuzi DH kalitini yaratishga harakat qiladi (bu juda ko'p resurs talab qiladigan jarayon) va tezda muammolarga duch keladi. Natijada, hozirda barcha operatsiyalar ulanishni boshqa tomondan tasdiqlashni talab qilishi sababli, hujum qilingan qurilmada ko'p sonli ochiq seanslarni yaratish mumkin emas. Download 300.58 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling