- •1.1Общие типы сетевых атак Прослушивание
- •Изменение данных
- •Подмена идентификации (подмена ip-адреса)
- •Атаки на пароли
- •Атаки на службу
- •Атаки «третьего»
- •Атаки с подбором ключа
- •Атаки с использованием средств прослушивания
- •Атаки на уровне приложений
- •3. Использование протокола ipSec (Internet Protocol Security)
- •3.1 Основные сведения о политике безопасности ipSec
- •3.2 Типы протокола ipSec и компоненты ipSec
- •3.3 Работы ipSec
- •4. Виртуальные частные сети и ipSec
- •L2tp и ipSec
- •Туннелирование ipSec
- •4.1 Описание политики ipSec
- •4.2 Общие параметры политики ipSec
- •4.3 Параметры обмена ключами
- •Время жизни ключа
- •4.4 Методы обмена ключами
- •Группы Диффи-Хелмана
- •4.5 Правила
- •Правило отклика по умолчанию
- •5. Советы и рекомендации
- •6. Наблюдение за действиями политики ipSec
4.4 Методы обмена ключами
Помимо параметров ключа, можно настроить методы безопасности для согласования IKE основного режима. Обычно, во избежание излишней загрузки администраторов, рекомендуется оставлять стандартные настройки IKE (такие как PFS и время жизни ключа) и методы безопасности без изменений. Это обеспечивает стандартный (средний) уровень безопасности. Если принятый план безопасности предусматривает высокий уровень безопасности, стандартные методы безопасности можно изменить.
Можно выбрать алгоритмы проверки целостности и шифрования. Здесь доступны те же алгоритмы, которые доступны для методов безопасности быстрого режима: MD5 и SHA1 для проверки целостности; DES и 3DES для шифрования.
Группы Диффи-Хелмана
Группы Диффи-Хелмана используются для определения длины основных простых чисел, используемых при обмене ключами. Надежность любого полученного ключа частично зависит от надежности группы Диффи-Хелмана, на которой основаны простые числа.
Группа 2 (средняя) надежнее, чем группа 1 (низкая). Группа 1 предоставляет 768 бит материала для создания ключа, в то время как группа 2 — 1024 бита. Если на сторонах подключения указаны разные группы, происходит сбой согласования безопасности. Во время согласования изменение группы невозможно.
Чем выше группа, тем больше материала используется для создания ключа. Поэтому ключ, полученный при обмене Диффи-Хелмана более высокой группы, будет более надежным.
Группа Диффи-Хелмана настраивается как часть параметров обмена ключами основного режима. Новые ключи сеанса, создаваемые во время быстрого режима, создаются из материала основного ключа основного режима Диффи-Хелмана, если не включены сеансовые циклы безопасной пересылки (PFS). Если включен режим PFS для основного ключа или ключей сеанса, перед созданием нового ключа сеанса выполняется новый обмен ключами Диффи-Хелмана для получения нового материала для основного ключа. Отличие между режимами PFS основного ключа и ключей сеансов состоит в том, что PFS основного ключа помимо обмена Диффи-Хелмана требует перепроверки подлинности сопоставления безопасности основного режима.
Сведения о способах настройки параметров и методов обмена ключами см. в разделах Настройка обмена ключами и Создание методов безопасности для обмена ключами.
4.5 Правила
Политика IPSec состоит из одного или нескольких правил, определяющих характеристики IPSec. Конфигурация правил IPSec задается на вкладке Правила в окне свойств политики IPSec. Каждое правило IPSec содержит следующие элементы конфигурации.
Список фильтров
Выбирается единственный список фильтров, содержащий один или несколько предопределенных фильтров пакетов, описывающих типы трафика, к которым применяется действие фильтра из этого правила. Конфигурация списка фильтров задается на вкладке Список фильтров IP в окне свойств правила IPSec в политике IPSec.
Действие фильтра
Выбирается единственное действие фильтра, включающее тип требуемого действия (разрешить, блокировать или согласовать безопасность) для пакетов, отвечающих списку фильтров. Для действия фильтра безопасности данные согласования включают один или несколько методов безопасности, которые используются (в порядке приоритетов) при согласованиях IKE и других параметрах настройки IPSec. Каждый метод безопасности определяет протокол безопасности (такой как AH или ESP), конкретные алгоритмы шифрования и используемые параметры регенерации ключа шифрования. Конфигурация данных согласования задается на вкладке Действие фильтра в окне свойств правила IPSec в политике IPSec.
Методы проверки подлинности
Задаются один или несколько методов проверки подлинности (в порядке приоритетов), которые используются для проверки подлинности на обеих сторонах подключения IPSec во время согласований основного режима. Доступными методами проверки подлинности являются протокол Kerberos V5, использование сертификата, выданного конкретным центром сертификации, или использование общего ключа. Конфигурация данных согласования задается на вкладке Методы проверки подлинности в окне свойств правила IPSec в политике IPSec.
Конечная точка туннеля
Указывает, выполняется ли туннелирование трафика и, если выполняется, IP-адрес конечной точки туннеля. Для входящего трафика конечной точкой туннеля является IP-адрес другой стороны подключения IPSec. Для исходящего трафика конечной точкой туннеля является локальный IP-адрес. Конфигурация конечной точки туннеля задается на вкладке Параметры туннеля в окне свойств правила IPSec в политике IPSec. Для получения дополнительных сведений см. раздел Туннельный режим.
Тип подключения
Указывает применение правила к подключениям по локальной сети, подключениям удаленного доступа или к подключениям обоих типов. Конфигурация типа подключения задается на вкладке Тип подключения в окне свойств правила IPSec в политике IPSec.
Правила для политики в оснастке «Политики безопасности IP» отображаются в обратном алфавитном порядке по имени списка фильтров, выбранного для каждого из правил. Это не отражает порядок применения правил в политике. Драйвер IPSec автоматически упорядочивает правила от наиболее конкретных списков фильтров к наименее конкретным. Например, правило, содержащее список фильтров, указывающий отдельные IP-адреса и порты TCP, драйвер IPSec применит раньше правила, содержащего список фильтров, указывающий все адреса в подсети.