Шаг 1. Начало процесса IPSec
Тип трафика, который должен защищаться средствами IPSec, определяется в рамках политики защиты для VPN. Затем эта политика реализуется в виде команд конфигурации интерфейсов устройств каждой стороны IPSec. Например, в маршрутизаторах Cisco и брандмауэрах PIX Firewall для определения трафика, подлежащего шифрованию, используют списки доступа. Списки доступа реализуют политику шифрования, например, с помощью операторов permit, указывающих, что соответствующий трафик должен шифроваться, и операторов deny, запрещающих шифрование соответствующего трафика. В случае клиента Cisco VPN используются окна меню, где указываются соединения, которым должна обеспечиваться защита IPSec. Когда подлежащий шифрованию трафик генерируется клиентом IPSec или проходит через него, клиент инициирует следующий шаг процесса, начиная первую фазу IKE.
Шаг 2. Первая фаза IKE
Главной целью обмена данными, происходящего в первой фазе IKE, является аутентификация сторон IPSec и создание защищенного канала между сторонами, позволяющего начать обмен IKE. В ходе первой фазы IKE выполняются следующие действия:
Ведутся переговоры о согласовании политики ассоциаций защиты IKE между сторонами, чтобы обеспечить защиту обмена IKE. Ассоциация защиты IKE получает согласованные параметры IKE и является двусторонней.
Выполняется аутентифицированный обмен Диффи-Хеллмана, в результате которого выбирается общий секретный ключ для использования в алгоритмах шифрования IPSec.
Выполняется аутентификация и обеспечивается защита сторон IPSec.
Устанавливается защищенный туннель для ведения переговоров о параметрах второй фазы IKE.
Для первой фазы IKE допустимы два режима: основной и энергичный.
Основной режим первой фазы IKE (Main Mode)
В этом режиме выполняются три двухсторонних обмена между инициатором и респондентом.
В ходе первого обмена алгоритмы, используемые для защиты связи IKE, согласуются до тех пор, пока не будет достигнуто соответствие для всех ассоциаций защиты IKE сообщающихся сторон.
В процессе второго обмена выполняется алгоритм Диффи-Хеллмана, чтобы согласовать общий секретный материал, на основе которого создаются общие секретные ключи, передать так называемые "оказии" (случайные значения, посылаемые другой стороне), подписать их и возвратить обратно, чтобы доказать "свою личность".
В ходе третьего обмена выполняется аутентификация стороны-партнера. Идентификационным значением в данном случае выступает IP-адрес стороны IPSec в шифрованном виде.
Основным результатом этого режима является согласование параметров ассоциаций защиты IKE между сторонами с целью создания защищенного канала для последующих обменов IKE. Ассоциация защиты IKE определяет параметры обмена IKE: используемый метод аутентификации, алгоритмы шифрования и хэширования, используемая группа Диффи-Хеллмана (одна из двух доступных), максимальное время существования ассоциации защиты IKE в секундах или килобайтах и совместно используемые секретные значения ключей для алгоритмов шифрования. Ассоциации защиты IKE в устройствах каждой из сторон являются двусторонними.
Do'stlaringiz bilan baham: |