Энергичный режим первой фазы IKE (Aggressive mode)
В данном режиме меньше и число обменов, и число пересылаемых при этом пакетов, в результате чего требуется меньше времени для установки сеанса IPSec. В этом случае выполняются следующие действия.
В ходе первого обмена почти все необходимое включается в предлагаемые значения для ассоциаций защиты IKE, открытый ключ Диффи-Хеллмана, оказию, подписываемую второй стороной, и пакет идентификации, который можно использовать для того, чтобы аутентифицировать вторую сторону с помощью третьей стороны.
Получатель отправляет назад все, что требуется, чтобы завершить обмен. Инициатору остается только подтвердить обмен.
Недостатком использования энергичного режима является то, что обе стороны обмениваются информацией до того, как создан защищенный канал. Таким образом, можно подключиться к линии и выяснить, кто формирует новую ассоциацию защиты. С другой стороны, обмен происходит быстрее, чем в основном режиме. Энергичный режим для обмена IKE обычно не инициируется продуктами Cisco, но маршрутизаторы Cisco и брандмауэры PIX Firewall могут соответствующим образом ответить стороне IPSec, инициировавшей обмен в энергичном режиме.
Шаг 3. Вторая фаза IKE (Quick Mode)
Задачей второй фазы IKE является согласование параметров ассоциации защиты IPSec с целью создания туннеля IPSec. В этой фазе выполняются следующие действия.
Ведутся переговоры о параметрах ассоциации защиты IPSec, защищаемые существующей ассоциацией защиты IKE.
Устанавливаются ассоциации защиты IPSec.
Периодически возобновляются переговоры об ассоциациях защиты IPSec, чтобы гарантировать защиту.
В необязательном порядке может выполняться дополнительный обмен Диффи-Хеллмана.
Вторая фаза IKE выполняется только в быстром режиме, после того как в результате первой фазы IKE создается защищенный туннель. Затем ведутся переговоры о согласованной политике IPSec, извлекается общий секретный материал для работы алгоритмами защиты IPSec и создаются ассоциации защиты IPSec. В быстром режиме выполняется обмен оказиями, которые обеспечивают защиту от воспроизведения сообщений. Оказии используются для того, чтобы гарантировать создание новых секретных ключей и не допустить проведения атак воспроизведения, в результате которых противник мог бы создать "фальшивые" ассоциации защиты.
Быстрый режим используется также для того, чтобы договориться о новых ассоциациях защиты IPSec, когда оказывается превышен предел времени существования старой ассоциации защиты IPSec. Базовый вариант быстрого режима используется для того, чтобы обновить секретный материал, предназначенный для создания общего секретного ключа на основе значений, полученных при обмене Диффи-Хеллмана в ходе первой фазы. В IPSec имеется опция PFS (Perfect Forward Secrecy -- совершенная прямая секретность), усиливающая защиту ключей. Если политикой IPSec предписано использование опции PFS, то для каждого обмена в быстром режиме требуется новый обмен Диффи-Хеллмана, обеспечивающий новые данные для ключей, в результате чего данные для ключей будут обладать большей энтропией ("нерегулярностью") и потому большей устойчивостью в отношении криптографических атак. Каждый обмен Диффи-Хеллмана требует большого числа возведений в степень, что увеличивает загрузку процессора и снижает общую производительность системы.
Ассоциации защиты, согласуемые в быстром режиме, идентифицируются IP-адресами IКЕ-сторон.
Do'stlaringiz bilan baham: |