The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Фазы (этапы) IPSec (ipsec cisco)


<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>
Ключевые слова: ipsec, cisco,  (найти похожие документы)
From: Misha Volodko <pablo@honey.org.ua.> Date: Mon, 28 Nov 2007 14:31:37 +0000 (UTC) Subject: Фазы (этапы) IPSec Оригинал: http://techoover.blogspot.com/2007/09/ipsec.html Итак, поговорим о ipsec. Знать это полезно при траблшутинге проблем связаных с установлением VPN туннеллями. 1. Определение трафика подлежащего шифрованию. Чаще всего используеются так называемые crypto acl. 2. Первая фаза IKE. 2.1. Аутентификация обоих концов туннеля. 2.2. Создается IKE SA которая используется для защиты процесса IKE. 2.3. Выполняется алгоритм Диффи-Хелмана, который гарантирует, что на каждом конце туннеля будет использоватся одинаковый shared secret, без пересылания этого shared secret. 2.4. Создается туннель для работы второй фазы IKE. Первая фаза IKE может проходить в двух режимах: - Main mode проходит в три этапа: - согласование используемых алгоритмов - обе стороны используеют алгоритм Диффи-Хелмана для определения ключей - используя ключи стороны аутентифицируют друг-друга. - Aggressive mode Все что посылается в Main mode в три этапа, посылается в одном пакете. Основная проблема, что стороны обмениваются информацией до того как безопасное соединение будет установлено. 3. Вторая фаза IKE. Основаня задача этого этапа подготовить IPSec SA которые будут использоватся непосредственно для шифрования трафика. Сюда входит согласование параметров и собственно установка. IPSec может переходить из фазы 4 к фазе 4 и назад в нескольких случаях: - каждая SA имеет определенное время жизни (например 1 час в Checkpoint), соостветственно по истечении этого часа необходимо пересоздать SA. При этом для создания новой SA используется тот же shared secret, что и раньше. - использование perfect forward secrecy (PFS). Алгоритм PFS гарантирует, что при создании новой SA предыдущий shared secret использоватся не будет, более того не будет никакой корреляции между старым и новым shared secret. Для реализации PFS используется алгоритм Диффи-Хелмана в quick mode. Quick mode: для ренерации новой SA используется текущая SA (нет отброса на первую фазу IKE). 4. Нормальная работа. На этой фазе туннель работает в нормальном режиме шифруя и расшифровывая трафик. 5. Закрытие туннеля. Может быть принудительным (clear SA) либо по истечении тайм-аута.

<< Предыдущая ИНДЕКС Исправить src / Печать Следующая >>

Обсуждение [ RSS ]
  • 1, Lamer (??), 19:23, 05/02/2008 [ответить]  
  • +/
    Фуфло, полный КОПИ-ПАСТ куска документации из по настройке VPN на циске. Лучше удалите и не позорьтесь!!!

    P.S. shared secret - пароль, хранимый в зашифрованном виде.

     
     
  • 2, KiM (?), 12:24, 29/08/2008 [^] [^^] [^^^] [ответить]  
  • +/
    ник соответствует:)
    shared secret - пароль, хранимый в зашифрованном виде. - не правильное определение в ipsec он никогда не хранится в зашифрованом виде
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру