„Проектиране на корпоративна vpn мрежа
Изтегляне 2.17 Mb.
|
| Дефиниция на атрибут
Аttribute payload се състои от следните полета: AF, Attribute Type – тип на атрибута, Attribute Length – дължина на атрибута, и Attribute Value – стойност на атрибута. Ако стойността на бита AF е 0, полето за дължина е включено и стойността на атрибута е предадена в свое собствено поле. Ако обаче стойността на бита AF е 1, полето за дължина не е необходимо и е заменено от стойността на атрибута, като дължината на payload-а е редуцирана с 4 байта. Атрибути на Фаза 1 При IKE операции във Фазa 1 съществуват няколко специфични атрибута за осигуряване на защитата на IKE, за разлика от атрибутите от Фаза 2, които се използват за създаване на IPSec SA. За защита на IKE съобщенията IKE изисква различна информация – от криптиращи алгоритми до тип удостоверяване. Атрибутите са дефинирани в IKE RFC, а не в IPSec DOI или ISAKMP RFC. IKE атрибутите и техните типове са следните: Encryption Algorithm 1 Hash Algorithm 2 Authentication Method 3 Group Description 4 Group Type 5 Group Prime/Irreducible Polynomial 6 Group Generator One 7 Group Generator Two 8 Group Curve A 9 Group Curve B 10 Life Type 11 Life Duration 12 PRF 13 Key Length 14 Field Size 15 Group Order 16 Атрибут тип 1, криптиране, притежава осем стойности за използване в IKE съобщения. Дефинираният криптиращ алгоритъм ще бъде използван за защита на съобщенията във Фаза 1 и Фаза 2 или други съобщения в IKE, изискващи защита. Възможните алгоритми са следните: DES-CBC 1 IDEA-CBC 2 Blowfish-CBC 3 RC5-R16-B64-CBC 4 3DES-CBC 5 CAST-CBC 6 AES-CBC 7 Camelia-CBC 8 Атрибут тип 2, хеш алгоритъм, определя удостоверяващия алгоритъм, който да бъде използван за всички IKE размени. Възможните алгоритми от този тип са следните: MD5 1 SHA 2 Tiger 3 SHA2-256 4 SHA2-384 5 SHA2-512 6 Атрибут тип 3, удостоверяване, се използва за предаване на удостоверяващия тип, който ще бъде използван в IKE. Това е изключително важно, тъй като съобщава на отсрещната страна какъв формат и структура на съобщението ще последва: Pre-shared key 1 DSS signatures 2 RSA signatures 3 Encryption with RSA 4 Revised encryption with RSA 5 Типове от 4 до 10 се използват за задаване на параметри на алгоритъм Diffie- Hellman. Тип 11, life тип, осигурява две прости стойности, а тип 12, продължителност на връзката в секунди или килобайтове в зависимост от стойността на тип 11. Тип 13, псевдо-случайна функция, обикновено не се използва. IPSec и ISAKMP не притежават псевдо-случайна функция и за операции при тях се използва HMAC частта на процеса на удостоверяване на съобщението. Key length се използва за определяне на дължината на ключа на криптиращ алгоритъм, който поддържа променливи ключове. Тази възможност не се използва за криптиращи алгоритми, които имат предварително определена дължина на ключа. Размерът на полето се отнася за алгоритъма Diffie-Hellman. Атрибути на Фаза 2 Съобщенията във Фаза 2 на IKE, като Quick Mode например, се използват за определяне на IPSec SA и по тази причина притежават специфични атрибути за създаването им в IKE. При операции във Фаза 2 се наблюдават SA payload-и, които съдържат proposals and transform payload-и за създаване на IPSec SA. Това изисква атрибути, различни от използваните във Фаза 1 на IKE, и създаването на IKE SA. Proposal (предложение) ще съществува за всеки конфигуриран протокол за сигурност и със съответни transform payloads. В proposal payload-а се дефинира типът на IPSec протокола, а в transform payload-а се дефинира transform типът. Например при IPSec VPN с ESP протокол с DES криптиране и MD5 удостоверяване предложението ще има ID на протокола, зададено на IPSEC-ESP, а transform ID на ESP-DES и атрибут payload, дефиниращ останалите детайли от SA, като HMAC MD5 за удостоверяване на съобщение. При съобщения във Фаза 2 за създаване на IPSec SA съществуват девет възможни стойности: SA Life Type 1 SA Life Duration 2 Group Description 3 Encapsulation Mode 4 Authentication Algorithm 5 Key Length 6 Key Rounds 7 Compress Dictionary Size 8 Compress Private Algorithm 9 Типовете Life Type и Продължителност на връзката са идентични с тези във Фаза 1. Тези атрибути дефинират времето за съществуване на създадената SA. Group description има за цел да осигури възможност на Фаза 2 за създаване на нова Diffie-Hellman връзка. Encapsulation mode определя дали протоколът за сигурност да работи в транспортен или тунелен режим. Tunnel 1 Transport 2 Authentification Algorithm определя използвания протокол за удостоверяване: HMAC-MD5 1 HMAC-SHA 2 DES-MAC 3 KPDK 4 Следващите три типа – 6, 7 и 8, обикновено нямат асоциирани стойности и в IPSec имплементациите винаги са със стойност 0. 37 Compress private algorithm е алгоритъм, който може да бъде договорен между страните. Фаза 1 SA, които защитават съобщенията в ISAKMP, се договарят и създават по време на обмените във Фаза 1. Процесът във Фаза 1 чрез три стъпки създава SA за по- нататъшни ISAKMP съобщения, необходими за установяването на IPSec SA. Фаза 1 трябва да договори защитната обвивка, която да бъде използвана по време на комуникацията между двете системи. По време на Фаза 1 трябва да бъдат разменени параметрите на Diffie-Hellman, за да се създадат ключове за криптиране и удостоверяване на данните в защитените комуникации в последната част на операциите на Фаза 1 и Фаза 2. Фаза 1 също така трябва да осигури удостоверяване на отдалечената система или потребител. Трите стъпки във Фаза 1 са Main Mode, Aggressive Mode или Base Mode. Най-широко използваните режими са Main Mode и Aggressive Mode. Причината за това е, че те са дефинирани в IKE и ISAKMP RFC, докато Base Mode понастоящем е в процес на планиране. Основната разлика между режимите е в броя на разменените съобщения за установяване на SA. В Main Mode те са шест, в Aggressive Mode – три, а в Base Mode – четири. Main Mode За създаване на SA Main Mode използва шест съобщения в три обмена. Стъпките обикновено започват с договаряне на SA, следвано от Diffie-Hellman и “nonce” (случайна генерирана стойност) обмени и завършват с удостоверяване на страната. Ще бъдат разгледани подробно двата случая на удостоверяване с предварително споделен ключ и удостоверяване със сертификати . Изтегляне 2.17 Mb. Сподели с приятели:
|