Ipsec qanday port. Ipsec protokollar. Chiqish ip paketlarini qayta ishlash 0
Download 300.58 Kb.
|
d
IPsecning ikkita asosiy bosqichi
Shunday qilib, avval ishtirokchilar xavfsiz ulanishni yaratish uchun qanday mexanizmlardan foydalanish to'g'risida kelishib olishlari kerakligini aniqladik, shuning uchun endi IKE protokoli kuchga kiradi. IKE (Internet Key Exchange) IPsec SA (xavfsizlik assotsiatsiyasi, xuddi shu xavfsizlik siyosati) ni shakllantirishda, boshqacha aytganda, xavfsiz ulanishda ishtirokchilarning ishini muvofiqlashtirish uchun ishlatiladi. Ushbu protokol orqali ishtirokchilar qaysi shifrlash algoritmi qo'llanilishini, qaysi algoritm yordamida yaxlitlikni tekshirish va bir-birini qanday tasdiqlashni kelishib olishadi. Shuni ta'kidlash kerakki, bugungi kunda protokolning ikkita versiyasi mavjud: IKEv1 va IKEv2. Bizni faqat IKEv1 qiziqtiradi: IETF (Internet Engineering Task Force) uni birinchi marta 1998 yilda taqdim etgan bo'lsa-da, u juda keng tarqalgan bo'lib foydalanilmoqda, ayniqsa RA VPN-lar uchun (1-rasmga qarang). IKEv2-ga kelsak, u birinchi bo'lib 2005 yilda tayyorlangan, RFC 5996 (2010) da to'liq tavsiflangan va faqat o'tgan yilning oxirida u Internet standarti (RFC 7296) deb e'lon qilingan. Yon panelda IKEv1 va IKEv2 o'rtasidagi farqlar haqida ko'proq ma'lumot olishingiz mumkin. IKE tozalanishi bilan biz IPsec fazalariga qaytamiz. Birinchi bosqichda ishtirokchilar bir-birini tasdiqlaydilar va faqat kerakli shifrlash algoritmlari va kelajakdagi IPsec tunnelining boshqa tafsilotlari to'g'risida ma'lumot almashish uchun mo'ljallangan maxsus ulanishni o'rnatish parametrlari to'g'risida kelishib olishadi. Ushbu birinchi tunnelning parametrlari (shuningdek, ISAKMP tunnel deb ataladi) ISAKMP siyosati bilan belgilanadi. Birinchidan, xeshlar va shifrlash algoritmlari kelishib olinadi, keyin Diffie-Hellman (DH) kalitlari almashtiriladi va shundan keyingina kim aniqlanadi. Ya'ni, oxirgi qadam - PSK yoki RSA tugmachasi orqali autentifikatsiya jarayoni. Va agar tomonlar kelishsa, ISKMP tuneli quriladi, u orqali IKE ning ikkinchi bosqichi o'tmoqda. Ikkinchi bosqichda, bir-biriga allaqachon ishongan ishtirokchilar ma'lumotlarni to'g'ridan-to'g'ri uzatish uchun asosiy tunnelni qanday qurish haqida kelishib olishdi. Ular bir-biriga transformator parametrlarida ko'rsatilgan variantlarni taklif qilishadi va agar ular rozi bo'lsa, asosiy tunnelni ko'taradilar. Shuni ta'kidlash kerakki, u o'rnatilgandan so'ng ISAKMP yordamchi tuneli yo'qolib ketmaydi - vaqti-vaqti bilan asosiy tunnel SA-ni yangilash uchun ishlatiladi. Natijada, IPsec turi bitta emas, balki ikkita tunelni o'rnatadi. Download 300.58 Kb. Do'stlaringiz bilan baham: |
ma'muriyatiga murojaat qiling