Фазы установления туннеля

Установка и поддержка VPN происходит в два этапа.

На первом этапе два узла договариваются о методе идентификации, алгоритме шифрования, хэш-алгоритме и группе Diffie Hellman. Они также идентифицируют друг друга. Этот процесс может происходить в результате обмена тремя нешифрованными пакетами (агрессивный режим) или шестью нешифрованными пакетами (стандартный режим). В случае успешного завершения первой фазы, создается SA первой фазы, называемый Phase 1 SA или IKE SA.

На втором этапе генерируются данные ключей. Узлы договариваются насчет используемой политики. Этот режим также называется быстрым режимом (quick mode). Отличается от первой фазы тем, что может устанавливаться только после первого этапа, когда все пакеты второй фазы шифруются. При успешном завершении второй фазы появляется Phase 2 SA или IPSec SA.

Допустим, туннель между узлами успешно создан и ожидает пакетов. Однако, узлам необходимо переидентифицировать друг друга и сравнить политику через определенное время. Это время называется – время жизни Phase 1 или IKE SA Lifetime. Узлы также должны сменить ключ для шифрования данных через другой отрезок времени, который называется – время жизни Phase 2 или IPSec SA Lifetime. Типичное время жизни Phase 2 – 60 минут, Phase 1 – 24 часа.

Задача заключается в том, чтобы сконфигурировать оба узла с одинаковыми параметрами времени жизни. Если этого не произойдет, то возможен вариант, когда изначально туннель установлен успешно, но по истечении первого несогласованного времени связь прервется. Проблемы также могут возникнуть в том случае, когда время жизни Phase 1 меньше времени жизни Phase 2, т.к. при смене политики на одном из узлов изменения вступят в силу только при следующем изменении Phase 1. Если необходимо, чтобы изменения вступили в силу немедленно, достаточно убрать SA для этого туннеля из SAD.

Архитектура ipSec

Различают два режима применения ESP и AH: транспортный и туннельный.

Транспортный режим используется для шифрования поля данных IP-пакеты, содержащего протоколы транспортного уровня (TCP, UDP), которые в свою очередь содержат информацию прикладных служб. Примером может служить электронная почта. Недостатком транспортного режима является отсутствие механизмов скрытия конкретных отправителей и получателя, а также возможность проведения анализа трафика.

Туннельный режим предполагает шифрование всего пакета, включая заголовок сетевого уровня. Применяется в случае необходимости скрытия информационного обмена организации с внешним миром, например VPN.

Виды атак на ah, esp и ike

Можно разделить на следующие группы:

1. Атаки, эксплуатирующие конечность ресурсов системы, например DOS-атаки,

2. Атаки, использующие особенности и ошибки конкретных реализаций IPSec,

3. Атаки, основанные на слабости самих протоколов.

Лекция 4 Новые возможности служб терминала Windows Server 2008

Windows Server 2008 вместе с поддержкой нового протокола RDP содержит значительные усовершенствования служб терминалов. Эти службы предлагают администратору и пользователям новые возможности, делающие работу в терминальном режиме еще более простой, удобной и безопасной.

Рассмотрим 3 основные нововведения (службы):

1. Удалённое приложение RemoteApp, позволяющее работать удаленно с отдельно выбранным приложением.

2. Веб-доступ к службам терминала.

3. Шлюз служб терминала, позволяющий получить доступ к терминальному серверу, расположенному во внутренней сети предприятия из любого места.

Установка некоторых служб потребует установки дополнительных компонент, например, веб-доступ потребует обязательной установки IIS, а для корректной работы шлюза сервера необходим действующий SSL сертификат.

IIS (Internet Information Services / Server до 5.1ver) – набор серверов для нескольких служб интернета, основным компонентом IIS