Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж
In the article the main features of the implementation of the protocol ІPSec in different operating systems to create secure virtual networks (Vіrtual Prіvate Network), analyzed their advantages and disadvantages.
Saved in:
| Published in: | Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України |
|---|---|
| Date: | 2009 |
| Main Authors: | , |
| Format: | Article |
| Language: | Ukrainian |
| Published: |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України
2009
|
| Online Access: | https://nasplib.isofts.kiev.ua/handle/123456789/26535 |
| Tags: |
Add Tag
No Tags, Be the first to tag this record!
|
| Journal Title: | Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| Cite this: | Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж / Б.Я. Корнієнко, О.Ю. Худяков // Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України. — К.: ІПМЕ ім. Г.Є.Пухова НАН України, 2009. — Вип. 53. — Бібліогр.: 6 назв. — укр. |
Institution
Digital Library of Periodicals of National Academy of Sciences of Ukraine| id |
nasplib_isofts_kiev_ua-123456789-26535 |
|---|---|
| record_format |
dspace |
| spelling |
Корнієнко, Б.Я. Худяков, О.Ю. 2011-09-04T21:19:50Z 2011-09-04T21:19:50Z 2009 Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж / Б.Я. Корнієнко, О.Ю. Худяков // Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України. — К.: ІПМЕ ім. Г.Є.Пухова НАН України, 2009. — Вип. 53. — Бібліогр.: 6 назв. — укр. XXXX-0067 https://nasplib.isofts.kiev.ua/handle/123456789/26535 004.056.5 (076.5) In the article the main features of the implementation of the protocol ІPSec in different operating systems to create secure virtual networks (Vіrtual Prіvate Network), analyzed their advantages and disadvantages. uk Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж Article published earlier |
| institution |
Digital Library of Periodicals of National Academy of Sciences of Ukraine |
| collection |
DSpace DC |
| title |
Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж |
| spellingShingle |
Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж Корнієнко, Б.Я. Худяков, О.Ю. |
| title_short |
Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж |
| title_full |
Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж |
| title_fullStr |
Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж |
| title_full_unstemmed |
Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж |
| title_sort |
реалізація протоколу ipsec у різних операційних системах для побудови захищених віртуальних мереж |
| author |
Корнієнко, Б.Я. Худяков, О.Ю. |
| author_facet |
Корнієнко, Б.Я. Худяков, О.Ю. |
| publishDate |
2009 |
| language |
Ukrainian |
| container_title |
Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України |
| publisher |
Інститут проблем моделювання в енергетиці ім. Г.Є. Пухова НАН України |
| format |
Article |
| description |
In the article the main features of the implementation of the protocol ІPSec in
different operating systems to create secure virtual networks (Vіrtual Prіvate
Network), analyzed their advantages and disadvantages.
|
| issn |
XXXX-0067 |
| url |
https://nasplib.isofts.kiev.ua/handle/123456789/26535 |
| citation_txt |
Реалізація протоколу IPSec у різних операційних системах для побудови захищених віртуальних мереж / Б.Я. Корнієнко, О.Ю. Худяков // Збірник наукових праць Інституту проблем моделювання в енергетиці ім.Г.Є.Пухова НАН України. — К.: ІПМЕ ім. Г.Є.Пухова НАН України, 2009. — Вип. 53. — Бібліогр.: 6 назв. — укр. |
| work_keys_str_mv |
AT korníênkobâ realízacíâprotokoluipsecuríznihoperacíinihsistemahdlâpobudovizahiŝenihvírtualʹnihmerež AT hudâkovoû realízacíâprotokoluipsecuríznihoperacíinihsistemahdlâpobudovizahiŝenihvírtualʹnihmerež |
| first_indexed |
2025-11-25T23:23:15Z |
| last_indexed |
2025-11-25T23:23:15Z |
| _version_ |
1850579696931045376 |
| fulltext |
УДК 004.056.5 (076.5)
Б. Я. Корнієнко, к.т.н., НАУ, м. Київ
О.Ю. Худяков, НАУ, м. Київ
РЕАЛІЗАЦІЯ ПРОТОКОЛУ IPSec У РІЗНИХ ОПЕРАЦІЙНИХ
СИСТЕМАХ ДЛЯ ПОБУДОВИ ЗАХИЩЕНИХ ВІРТУАЛЬНИХ МЕРЕЖ
In the article the main features of the implementation of the protocol ІPSec in
different operating systems to create secure virtual networks (Vіrtual Prіvate
Network), analyzed their advantages and disadvantages.
Вступ
За своєю значимістю та актуальністю проблема інформатизації є однією
з найважливіших для сучасного суспільства. Однією з супутніх проблем є
надійний захист інформації, що циркулює в системах обробки інформації та
об’єднаних мережах, який забезпечував би попередження перекручення або
знищення інформації, а також унеможливлював би її зловмисне отримання,
використання або несанкціоновану модифікацію.
Постановка задачі
Мета даної статті є розкрити основні особливості реалізації протоколу
IPSec у різних операційних системах для створення захищених віртуальних
мереж (Virtual Private Network), проаналізувати їх переваги та недоліки.
Протоколи VPN
На даний момент існує декілька протоколів, що стандартизують процес
організації VPN, і велика кількість їх програмних реалізацій. Найбільш
відомими серед них є: IPSec (FreeS/WANOpenswan, strongSwan,
KAME/racoon, Isakmpd), SSL/TLS/OpenVPN (OPENVPN), PPTP/L2TP (poptop,
OpenL2TP) та інші [1].
IPSec – набір протоколів для забезпечення захисту даних, що
передаються за допомогою міжмережного протоколу IP, дозволяє
здійснювати підтвердження достовірності і шифрування IP-пакетів. Також
включає протоколи для захищеного обміну ключами в мережі Інтернет.
Існує два режими роботи IPSec: транспортний режим і тунельний режим.
У транспортному режимі шифрується (або підписується) лише інформаційна
частина IP-пакета. Маршрутизація не зачіпається, оскільки заголовок IP
пакету не змінюється. Транспортний режим як правило використовується для
встановлення з'єднання між хостами. Він може також використовуватися між
шлюзами, для захисту тунелів. У тунельному режимі IP-пакет шифрується
цілком. Тунельний режим може використовуватися для підключення
віддалених комп’ютерів до віртуальної приватної мережі або для організації
безпечної передачі даних через відкриті канали зв’язку між шлюзами для
об’єднання різних частин віртуальної приватної мережі [2].
Реалізація IPSec у Unix-подібних операційних системах
Розглянемо налаштування IPSec під OPENBSD. OPENBSD - вільна
багатоплатформна операційна система, заснована на 4.4BSD, сімейство
операційних систем – BSD Unix, код – відкритий, тип ядра – монолітний,
інтерфейс – pdksh, FVWM і CWM для X11. Основною відмінністю OPENBSD
від інших вільних операційних систем, що базуються на 4.4BSD (таких, як
NETBSD, FREEBSD), є початкова орієнтованість проекту на створення
найбільш безпечною, вільною і ліцензійно чистою з існуючих операційних
систем та є другою за популярністю BSD-системою [3].
Рис.1. Рейтинг популярності BSD-операційних систем
Найбільш популярним використанням OPENBSD є системи захисту
мереж – міжмережні екрани. Неабиякою мірою цьому сприяють дочірні
проекти, що розробляються паралельно:
- Packet Filter (PF) – міжмережний екран, що замінив в OPENBSD
популярний IP Filter;
- OPENSSH – найпоширеніша відкрита реалізація SSH;
- OPENNTPD – демон для синхронізації часу по протоколу NTP; може
працювати і як сервер;
- OPENOSPFD – реалізація протоколу динамічної маршрутизації OSPF
(локальна маршрутизація);
- OPENBGPD – реалізація протоколу динамічної маршрутизації BGP
(глобальна маршрутизація);
- OPENCVS – безпечна реалізація CVS.
В ОС OPENBSD з 3.8 версії з’явилася нова команда: IPsecctl. Якщо
необхідно організувати Virtual Private Network (VPN) між двома сайтами
(мережами, офісами і т.д) за допомогою IPsecctl, VPN може бути
встановлений просто редагуючи один файл конфігурації OPENBSD:
/etc/IPsec.conf. Розглянемо isakmpd (ISAKMP/Oakley a.k.a IKE key
management daemon) і IPsecctl, програмній реалізації набору протоколів IPSec,
що входить до набору програмного забезпечення (userland) операційної
системи OPENBSD. Схема побудови VPN наведена на рис.2.
Рис.2. Схема побудови VPN на базі OPENBSD
На схемі – типовий сегмент VPN. Мережі А і Б є територіально
відокремленими підмережами, що входять до складу мережної
інфраструктури багатофіліальної організації. Мережа А використовує
діапазон IP-адрес 10.10.10.0/24, а мережа Б - 10.10.99.0/24. Шлюзами для
даних підмереж є маршрутизатор мережі А (IP-адреса: ххх.ххх.ххх.1) і
маршрутизатор мережі Б (IP-адреса: ххх.ххх.ххх.2) відповідно. Шлюзи також
є граничними маршрутизаторами або кінцевими точками (end-point) VPN.
Захист даних здійснюється лише між граничними маршрутизаторами [3].
Аналогічно можна створити тунел IPSec між маршрутизатором Cisco і
сервером на базі ОС Linux (Рис.3) [4].
Рис.3. Схема розгортання VPN між Сisco та Linux
Реалізація IPSec у операційних системах Microsoft Windows
Протокол IPSec у VPN дозволяє використовувати 5 видів шифрування:
DES, 3DES, AES128, AES192, AES256. Оскільки операційна система Windows
XP не підтримує AES-шифрування, тому будемо використовувати VPN-
сервер OvisLink WMU-9000VPN. Встановлення VPN-з’єднання в операційній
системі Windows XP здійснюється в мережі з наступною топологією (Рис.4).
Рис.4. Топологія мережі на Windows XP
Даний сервер має типовий для подібних пристроїв набір налаштувань
для IPSec-VPN. Для установки і налаштування VPN-з’єднань у веб-інтерфейсі
сервера присутня вкладка "VPN", натиснувши на яку потрапляємо до меню
встановлення VPN- з’єднання. Для створення IPSec з'єднання тиснемо кнопку
"Add IPsec VPN Tunnel"(Рис.5).
Рис.5. Веб-інтерфейс сервера на Windows XP
Далі потрібно ввести назву тунеля і задати його параметри:
- Local Secure Group – група комп’ютерів локального сегменту, які
матимуть доступ до тунелю. У нашому випадку дозволяємо доступ
до тунелю всім комп’ютерам локального сегменту: 192.168.1.0/24;
- Remoute Secure Group – група комп’ютерів на іншому кінці тунелю,
яка матиме доступ до тунелю;
- Remote Secure Gateway – IP-адреса іншого кінця VPN тунелю, з яким
зв’язуватиметься сервер, якщо комп’ютер з Local Secure Group почне
звертатися до комп’ютера з Remote Secure Group. Якщо цей
комп’ютер отримує динамічну адресу – сервер не може з ним
зв’язатися і чекає, поки цей комп’ютер сам спробує встановити
IPSEC-з’єднання з сервером. В цьому випадку тут повинна стояти
адреса 0.0.0.0;
- Encryption – вибір алгоритму шифрування. Операційна система
Windows XP із наведених методів підтримує лише 3DES;
- Authentication – вибір методу перевірки цілісності MD5 або SHA1,
обидва методи підтримуються в Windows XP;
- Кеу Lifetime – час життя ключа. Під час встановлення IPSec VPN-
з'єднання генеруються ключі, за допомогою яких здійснюється
шифрування, для більшої безпеки ключі періодично міняються. У
цьому полі вказується час (у секундах), після якого ключ має бути
змінений;
- Pre-Shared Кеу – попередній ключ. Для даного прикладу попереднім
ключем буде фраза "sekret".
На завершення налаштування IPSec-тунеля тиснемо "Add"(Рис.6), після
чого тунель доданий в список і має статус Enable (Рис.7).
Рис.6. Завершення налаштування IPSec-тунелю
Рис.7. Статус тунелю
На цьому установка IPSec-тунелю завершена. За встановлення IPSec-
з’єднань у Windows відповідає так звана "Консоль управління Microsoft"
(Microsoft Management Console), яку можна викликати набравши команду
mmc (Рис.8). Для управління IPSec - з’єднаннями у Windows XP ми повинні
додати оснащення "Управління політикою безпеки IP". Установки методів
безпеки складаються з методів шифрування і перевірки цілісності пакетів. У
Windows XP підтримуються два алгоритми шифрування (DES і 3DES) і два
методи перевірки цілісності (MD5 і SHA1).
VPN - з’єднання встановлюється у декілька етапів. На першому етапі
відбувається узгодження політик і вироблення ключів для шифрування. У
простому випадку, для захисту на цьому етапі використовується механізм
попереднього ключа PSK (Pre Shared Кеу), який повинен збігатися на обох
кінцях IPSec - тунелю.
Рис.8. Стан консолі Windows XP
Підсумовуючи можна виділити декілька стадій налаштування IPSec VPN-
з’єднань [5,6]:
- налаштування параметрів тунелю на сервері;
- створення політики безпеки IP на комп’ютері з Windows XP;
- створення правила для трафіку, що йде від сервера до комп'ютера з
Windows XP;
- створення правила для трафіку, що йде від комп'ютера з Windows XP
до сервера;
- завдання статичного маршруту до мережі за сервером на машині з
Windows XP.
Висновки
При передачі даних все частіше використовується шифрування, яке
забезпечує захист інформації при передачі. Вся робота по захисту зводиться
до мінімізації ризику витоку інформації і не гарантує повної її
недоторканості. Стандарт IPSec призначений для мінімізації ризику
розшифровки трафіку при його перехопленні, тому при передачі інформації
трафік шифрується. Також ключовою особливістю цього стандарту є
handshake (рукопотискання) обох хостів, що виявляє рівень довіри між ними.
Використання саме такого підходу IPSec є гнучким і відмінним інструментом
для побудови захищених тунелів.
Перелік заходів IPSec, що зводять будь-яку атаку нанівець:
- не використовувати Agressive Mode;
- якщо немає необхідності, не використовуйте road-warrior mode
(anonymous конфігурація в IPsec-tools, IP_RW в Racoon2);
- у механізмі аутентифікації (Auth algorithm) ні в якому разі не
використовуйте MD5 хеш-кодування, мала крипостійкість цього
алгоритму давно доведена. В разі використання IPsec-tools
використовуйте SHA1, у випадку Racoon2 - SHA1, посилений
алгоритмом HMAC;
- використовувати виділені канали, видані вашим провайдером, лише
для вашої мережі;
- за замовчанням, ID хостів є їх зовнішні адреси, змінюйте їх на FQDN
або e-mail;
- не використовуйте Xauth;
- використовуйте Racoon2, IKEv2.
Набір протоколів IPSec присутній майже у всіх операційна система. В
Unix-подібних системах IPSec дуже гнучкий у налаштуванні, але недостатня
його інтеграція у зручний графічний інтерфейс призводить до значних
складнощів при роботі з ним – майже усі налаштування виконуються у
консолі за допомогою команд. В свою чергу операційні системи типу
Windows менш гнучкі до налаштування, бо містять велику кількість вже
вмонтованих параметрів у зручний графічний інтерфейс. Закритий код також
не дає можливості швидкому розвитку та інтеграції нових можливостей
захисту мереж. Також Unix-подібні системи підтримують майже усі сучасні
системи криптографічного захисту, на відміну від Windows. Тобто:
використовувати IPSec на Windows будуть малі мережі, в яких циркулюють
дані, що не потребують особливого захисту. Реалізація IPSec на Unix-
подібних системах дає можливість максимально захистити дані, тому буде
використовуватися переважно великими організаціями та корпораціями.
Створення та розвиток нових протоколів безпеки та їх інтеграція буде
відбуватися на системах з відкритим кодом, що дасть можливість все більшій
кількості користувачів використовувати різні протоколи для побудови VPN.
1. http://ru.wikipedia.org/wiki/IPSec
2. http://www.linuxcenter.ru/lib/articles/networking/
3. http://ru.wikipedia.org/wiki/OpenBSD
4. http://www.opennet.ru/base/sec/IPsec_freebsd62.txt.html
5. http://www.opennet.ru/base/sec/IPsec_attack.txt.html
6. http://www.ixbt.com/news/all/index.shtml?11/27/50
|