IPSEC இல் பயன்படுத்தப்படும் தொழில்நுட்பங்கள். IPsec VPN. ESP குறியாக்கத்தின் அடிப்படைகள்

IPSec இன் கருத்தை நாங்கள் ஏற்கனவே விவாதித்துள்ளோம், இந்த உள்ளடக்கத்தில் IPSec ஐ இன்னும் விரிவாகப் பார்ப்போம்.

எனவே, IPSec என்ற பெயர் ஐபி பாதுகாப்பிலிருந்து வந்தது.
IPSec என்பது லேயர்3 மட்டத்தில் ஐபி பாக்கெட்டுகளைப் பாதுகாக்கப் பயன்படுத்தப்படும் நெறிமுறைகள் மற்றும் வழிமுறைகளின் தொகுப்பாகும்.

IPSec உங்களை உத்தரவாதம் செய்ய அனுமதிக்கிறது:
- ரகசியத்தன்மை - குறியாக்கத்தைப் பயன்படுத்துதல்
- தரவு ஒருமைப்பாடு - ஹாஷிங் மற்றும் HMAC வழியாக\
- அங்கீகாரம் - டிஜிட்டல் கையொப்பங்கள் அல்லது முன் பகிர்ந்த விசை (PSK) மூலம்.

முக்கிய IPsec நெறிமுறைகளை பட்டியலிடலாம்:
ESP மற்றும் AH: IPsec இல் பயன்படுத்தப்படும் இரண்டு முக்கிய நெறிமுறைகள்.
என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட் (ESP), IPsec க்கு தேவையான அனைத்தையும் செய்ய முடியும், மற்றும்
அங்கீகார தலைப்பு (AH), குறியாக்கம், தரவு குறியாக்கம் தவிர அனைத்தையும் செய்ய முடியும், அதனால்தான் ESP பெரும்பாலும் பயன்படுத்தப்படுகிறது.
ரகசியத்தன்மைக்கான என்க்ரிப்ஷன் அல்காரிதம்கள்: DES, 3DES, AES.
ஒருமைப்பாட்டிற்கான ஹாஷிங் அல்காரிதம்கள்: MD5, SHA.
அங்கீகார அல்காரிதம்கள்: முன் பகிரப்பட்ட விசைகள் (PSK), RSA டிஜிட்டல் கையொப்பங்கள்.
முக்கிய மேலாண்மை: ஒரு உதாரணம் Diffie-Hellman (DH), இதைப் பயன்படுத்தலாம்
சமச்சீர் வழிமுறைகளால் பயன்படுத்தப்படும் சமச்சீர் விசைகளை மாறும் வகையில் உருவாக்குதல்; பி.கே.ஐ
நம்பகமான CAக்களால் வழங்கப்பட்ட டிஜிட்டல் சான்றிதழ்களின் செயல்பாட்டை ஆதரிக்கிறது; மற்றும் இணையம்
விசை பரிமாற்றம் (IKE), இது எங்களுக்கு நிறைய பேச்சுவார்த்தைகள் மற்றும் நிர்வாகத்தை செய்கிறது
செயல்பட IPsec.

IPSec ஏன் தேவைப்படுகிறது

இரண்டு அலுவலகங்களை இணைக்க பின்வரும் எளிய இடவியலைக் கவனியுங்கள்.

நாம் இரண்டு அலுவலகங்களையும் இணைத்து பின்வரும் இலக்குகளை அடைய வேண்டும்:

  • இரகசியத்தன்மை- தரவு குறியாக்கம் மூலம் வழங்கப்படுகிறது.
  • தரவு ஒருமைப்பாடு- ஹாஷிங் மூலம் அல்லது மூலம் வழங்கப்படுகிறது ஹாஷ் செய்யப்பட்ட செய்தி அங்கீகாரக் குறியீடு (HMAC), - தரவு மாற்றப்படவில்லை என்பதை உறுதிப்படுத்தும் முறைகள்.
  • அங்கீகார- பயன்படுத்தி வழங்கப்படுகிறது முன் பகிரப்பட்ட விசைகள் (PSK), அல்லது டிஜிட்டல் கையொப்பங்கள். HMAC ஐப் பயன்படுத்தும் போது, ​​அங்கீகாரம் தொடர்ந்து நிகழும்.
  • எதிர்ப்பு விளையாட்டு பாதுகாப்பு- அனைத்து VPN பாக்கெட்டுகளும் எண்ணப்பட்டுள்ளன, இது மீண்டும் மீண்டும் வராமல் பாதுகாக்கிறது.

IPSec நெறிமுறைகள் மற்றும் துறைமுகங்கள்

IKEv1 கட்டம் 1 UDP போர்ட் 500 IKEv1 கட்டம் 1 அதன் பேச்சுவார்த்தைக்கு UDP:500 ஐப் பயன்படுத்துகிறது.
NAT-T
பயணம்) 		UDP போர்ட் 4500 NAT டிராவர்சல் என்பது NAT ஐ கடக்க சாதனங்களால் பயன்படுத்தப்படுகிறது. இரண்டு சாதனங்களும் NAT வழியாக ஒன்றோடொன்று இணைக்கப்பட்டால்: அவர்கள் போலி UDP போர்ட் 4500 ஐ வைக்க வேண்டும்
ஒவ்வொரு IPsec பாக்கெட்டிலும் (ESP தலைப்புக்கு முன்) தலைப்பு
ஒரு NAT சாதனத்தைத் தக்கவைத்துக்கொள்ளுங்கள், இல்லையெனில் சிக்கல் இருக்கலாம்
ESP அமர்வைக் கண்காணிப்பது (அடுக்கு 4 நெறிமுறை 50)
ESP அடுக்கு 4 நெறிமுறை
50 		அனைத்து IPSec பாக்கெட்டுகளும் ESP இன் லேயர் 4 புரோட்டோகால் (IP Protocol #50), எல்லா தரவும் அதில் இணைக்கப்பட்டுள்ளது. பொதுவாக இது ESP (AH அல்ல) பயன்படுத்தப்படுகிறது. NAT-T பயன்படுத்தினால், ESP தலைப்பு இரண்டாவது UDP தலைப்புடன் மூடப்படும்.
ஏ.எச். அடுக்கு 4 நெறிமுறை
51 		AH பாக்கெட்டுகள் AH இன் அடுக்கு 4 நெறிமுறையைக் குறிக்கின்றன (IP Protocol #51). AH பேலோட் குறியாக்கத்தை ஆதரிக்காது, எனவே அரிதாகவே பயன்படுத்தப்படுகிறது.

IPSec செயல்பாடு

பாதுகாப்பான VPN இணைப்பை நிறுவ, IPSec ஐப் பயன்படுத்துகிறது இணைய விசை பரிமாற்றம் (IKE).
IKE என்பது ஒரு கட்டமைப்பாகும் இணைய பாதுகாப்பு சங்கம், மற்றும் முக்கிய மேலாண்மை நெறிமுறை (ISAKMP)

எனவே, எங்கள் கட்டமைப்பில், இரண்டு திசைவிகளும் செயல்படும் VPN நுழைவாயில்அல்லது IPsec சகாக்கள்.

நெட்வொர்க் 10.0.0.0 இல் உள்ள பயனர் ஒரு பாக்கெட்டை நெட்வொர்க் 172.16.0.0 க்கு அனுப்புகிறார் என்று வைத்துக்கொள்வோம்.
சுரங்கப்பாதை இன்னும் உருவாக்கப்படவில்லை என்பதால், R1 இரண்டாவது திசைவி R2 உடன் பேச்சுவார்த்தைகளைத் தொடங்கும்.

படி 1: IKEv1 கட்டம் 1 சுரங்கப்பாதை பற்றி பேச்சுவார்த்தை நடத்தவும்

திசைவிகளுக்கு இடையிலான முதல் படி உயரும் இணைய விசை பரிமாற்றம் (IKE) கட்டம் 1 சுரங்கப்பாதை.
அத்தகைய சுரங்கப்பாதை பயனர் தரவை கடத்துவதற்காக அல்ல, ஆனால் உத்தியோகபூர்வ நோக்கங்களுக்காக, மேலாண்மை போக்குவரத்தைப் பாதுகாக்க பயன்படுத்தப்படுகிறது.

IKE கட்டம் 1 சுரங்கப்பாதையை உயர்த்துவது இரண்டு முறைகளில் செய்யப்படலாம்:
- முக்கிய முறை
- ஆக்கிரமிப்பு முறை
பிரதான பயன்முறைக்கு பரிமாற்றம் தேவை பெரிய தொகைதொகுப்புகள் ஆனால் மிகவும் பாதுகாப்பானதாக கருதப்படுகிறது.

IKE கட்டம் 1 சுரங்கப்பாதையை உயர்த்த, பின்வரும் கூறுகள் பேச்சுவார்த்தை நடத்தப்பட வேண்டும்:

  • ஹாஷ் அல்காரிதம்: அவ்வாறு இருந்திருக்கலாம் செய்தி டைஜஸ்ட் 5 அல்காரிதம் (MD5)அல்லது பாதுகாப்பான ஹாஷ்
    அல்காரிதம் (SHA)    .
  • குறியாக்க அல்காரிதம்: டிஜிட்டல் குறியாக்க தரநிலை (DES)(பலவீனமான, பரிந்துரைக்கப்படவில்லை) டிரிபிள் DES (3DES)(கொஞ்சம் சிறந்தது) அல்லது மேம்பட்ட குறியாக்க தரநிலை (AES)(பரிந்துரைக்கப்படுகிறது) AES வெவ்வேறு நீளங்களின் விசைகளைப் பயன்படுத்தலாம்: நீண்டது பாதுகாப்பானது.
  • Diffie-Hellman (DH) குழு பயன்படுத்த: DH “குழு” என்பது மாடுலஸ் அளவைக் குறிக்கிறது (நீளம்
    திறவுகோல்) DH விசைப் பரிமாற்றத்திற்குப் பயன்படுத்த வேண்டும். குழு 1 768 பிட்களைப் பயன்படுத்துகிறது, குழு 2 1024 ஐப் பயன்படுத்துகிறது மற்றும்
    குழு 5 1536 ஐப் பயன்படுத்துகிறது. மிகவும் பாதுகாப்பான DH குழுக்கள் அடுத்த தலைமுறை குறியாக்கத்தின் ஒரு பகுதியாகும்
    (NGE):
    - குழு 14 அல்லது 24: 2048-பிட் DH ஐ வழங்குகிறது
    - குழுக்கள் 15 மற்றும் 16: 3072-பிட் மற்றும் 4096-பிட் DH ஆதரவு
    - குழு 19 அல்லது 20: முறையே 256-பிட் மற்றும் 384-பிட் ECDH குழுக்களை ஆதரிக்கிறது

    DH இன் பணியானது கீயிங் மெட்டீரியலை (சமச்சீர் விசைகள்) உருவாக்குவதாகும். இந்த விசைகள் தரவு பரிமாற்றத்திற்கு பயன்படுத்தப்படும்.
    டிஹெச் சமச்சீரற்றது, ஆனால் அது விசைகளை சமச்சீராக உருவாக்குகிறது.

  • அங்கீகார முறை: வடிவத்தில் இருக்கலாம் முன் பகிர்ந்த விசை (PSK)அல்லது RSA கையொப்பங்கள்
  • வாழ்நாள்: IKE கட்டம் 1 சுரங்கப்பாதை வாழ்நாள். பொருந்தாத ஒரே அளவுரு. குறுகிய வாழ்நாள், அடிக்கடி விசைகள் மாற்றப்படும், மேலும் அது பாதுகாப்பானது.

படி 2: DH விசை பரிமாற்றத்தை இயக்கவும்

IKE கட்டம் 1 கொள்கையில் திசைவிகள் ஒப்புக்கொண்டவுடன், அவர்கள் DH விசை பரிமாற்ற செயல்முறையைத் தொடங்கலாம். AES போன்ற சமச்சீர் அல்காரிதம்களால் பயன்படுத்தப்படும் சமச்சீர் விசைகளைப் பாதுகாப்பாகப் பரிமாற்றம் செய்வதற்கு, அவற்றுக்கிடையே இன்னும் பாதுகாப்பான இணைப்பு இல்லாத இரண்டு சாதனங்களை DH அனுமதிக்கிறது.

படி 3: சகாவை அங்கீகரிக்கவும்

IKE கட்டம் 1 இல் செய்யப்படும் கடைசி விஷயம், ஹோஸ்ட்களின் பரஸ்பர அங்கீகாரம் ஆகும், இது இரண்டு முறைகளைப் பயன்படுத்தி செய்யப்படலாம் (PSK அல்லது RSA டிஜிட்டல் கையொப்பங்கள்)
அங்கீகாரம் வெற்றிகரமாக இருந்தால், IKE கட்டம் 1 சுரங்கப்பாதை வரை கருதப்படுகிறது. சுரங்கப்பாதை இருதரப்பு.

படி 4: IKE கட்டம் 2

IKE கட்டம் 1 சுரங்கப்பாதை உயர்த்தப்பட்ட பிறகு, திசைவிகள் IKE கட்டம் 1 சுரங்கப்பாதையை உயர்த்தத் தொடங்குகின்றன.
ஏற்கனவே குறிப்பிட்டுள்ளபடி, IKE கட்டம் 1 சுரங்கப்பாதை முற்றிலும் சேவை, மேலாண்மை பேச்சுவார்த்தை சுரங்கப்பாதை மற்றும் IKE கட்டம் 2 சுரங்கப்பாதையை உயர்த்த அனைத்து போக்குவரத்தும் அதன் வழியாக செல்கிறது.
IKE கட்டம் 2 சுரங்கப்பாதை ஹாஷிங் மற்றும் என்க்ரிப்ஷன் அல்காரிதங்களையும் பயன்படுத்துகிறது.
IKE கட்டம் 2 சுரங்கப்பாதையை உயர்த்துவது ஒரு பயன்முறையில் செய்யப்படலாம்:
- விரைவான பயன்முறை

IKE கட்டம் 2 சுரங்கப்பாதை உண்மையில் இரண்டு ஒரே திசை சுரங்கங்களைக் கொண்டுள்ளது, அதாவது. அவை உருவாக்கப்பட்டன என்று நாம் கூறலாம்:
ஒரு IKE கட்டம் 1 சுரங்கப்பாதை, இது இருதரப்பு, பயன்பாட்டு செயல்பாடுகளுக்குப் பயன்படுத்தப்படுகிறது.
மற்றும் இரண்டு IKE கட்டம் 2 சுரங்கங்கள், அவை ஒரே திசையில் உள்ளன, மேலும் அவை பேலோட் போக்குவரத்தை குறியாக்கப் பயன்படுகின்றன.
இந்த சுரங்கங்கள் அனைத்தும் என்றும் அழைக்கப்படுகின்றன இரண்டு VPN சகாக்களுக்கு இடையிலான பாதுகாப்பு ஒப்பந்தங்கள்அல்லது பாதுகாப்பு சங்கங்கள் (SA).
ஒவ்வொரு SA க்கும் அதன் தனித்துவமான எண் உள்ளது.

இப்போது, ​​IKE கட்டம் 2 சுரங்கப்பாதை உயர்த்தப்பட்ட பிறகு, வெளிப்புற இடைமுகங்களை விட்டு வெளியேறும் அனைத்து பாக்கெட்டுகளும் குறியாக்கம் செய்யப்படும்.

உதாரணம் அமைத்தல்


இந்த திட்டத்தை ஒரு உதாரணமாகப் பயன்படுத்தி IPsec ஐ அமைப்பதற்கான உதாரணத்தைப் பார்ப்போம்.

  1. சுவாரஸ்யமான போக்குவரத்தை உள்ளமைக்கவும்
    முதலில், நாம் குறியாக்கம் செய்யும் போக்குவரத்தை வரையறுக்க வேண்டும்.
    திசைவி R1
    ip அணுகல் பட்டியல் நீட்டிக்கப்பட்ட VPN-ACL அனுமதி ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255

    திசைவி R2

    ip அணுகல் பட்டியல் நீட்டிக்கப்பட்ட VPN-ACL அனுமதி ip 192.168.2.0 0.0.0.255 192.168.1.0 0.0.0.255
  2. கட்டம் 1 (ISAKMP)
    கட்டம் 1 சேவை நோக்கங்களுக்காகப் பயன்படுத்தப்படும் ஒரு சுரங்கப்பாதையை எழுப்புகிறது: பகிரப்பட்ட ரகசிய விசைகளின் பரிமாற்றம், அங்கீகாரம், IKE பாதுகாப்புக் கொள்கைகளை பேச்சுவார்த்தை நடத்துதல் போன்றவை.
    பல்வேறு முன்னுரிமைகளுடன் பல isakmp கொள்கைகளை உருவாக்க முடியும்.

    திசைவி R1

    crypto isakmp முக்கிய ரகசிய விசை முகவரி 200.200.200.1

    திசைவி R2

    crypto isakmp policy 1 encryption 3des hash md5 அங்கீகரிப்பு முன்-பகிர்வு குழு 2
    crypto isakmp முக்கிய ரகசிய விசை முகவரி 100.100.100.1

    IKE கட்டம் 1 அங்கீகாரத்திற்காக ரவுட்டர்களால் பயன்படுத்தப்படும் PSK (Preshared Key) என்பது இங்கே முக்கியமானது.

  3. கட்டம் 2 (IPSEc) கட்டமைக்கவும்
    IKE கட்டம் 2 சுரங்கப்பாதையின் நோக்கம் இரண்டு அலுவலகங்களின் ஹோஸ்ட்களுக்கு இடையே பயனுள்ள போக்குவரத்தை மாற்றுவதாகும்.
    கட்டம் 2 சுரங்கப்பாதை அளவுருக்கள் மாற்றும் தொகுப்புகள் எனப்படும் தொகுப்புகளாக தொகுக்கப்பட்டுள்ளன.
    திசைவி R1
    crypto ipsec உருமாற்றம்-தொகுப்பு TRSET esp-3des esp-md5-hmac ! கிரிப்டோ வரைபடம் VPNMAP 10 ipsec-isakmp செட் பியர் 200.200.200.1 செட் டிரான்ஸ்ஃபார்ம்-செட் டிஆர்எஸ்இடி மேட்ச் முகவரி VPN-ACL ! இடைமுகம் FastEthernet0/0 கிரிப்டோ வரைபடம் VPNMAP

    திசைவி R2

    crypto ipsec உருமாற்றம்-தொகுப்பு TRSET esp-3des esp-md5-hmac ! கிரிப்டோ வரைபடம் VPNMAP 10 ipsec-isakmp செட் பியர் 100.100.100.1 செட் டிரான்ஸ்ஃபார்ம்-செட் டிஆர்எஸ்இடி மேட்ச் முகவரி VPN-ACL ! இடைமுகம் FastEthernet0/0 கிரிப்டோ வரைபடம் VPNMAP

    இரண்டு ஹோஸ்ட்களும் கிரிப்டோ ஐப்செக் டிரான்ஸ்ஃபார்ம்-செட் டிஆர்எஸ்இடி esp-3des esp-md5-hmac ஐப் பயன்படுத்தின.
    அதாவது 3des என்க்ரிப்ஷனுக்காகவும், md5-hmac அங்கீகாரத்திற்காகவும் பயன்படுத்தப்படும்.

    கிரிப்டோ வரைபடம் இடைமுகத்தில் பயன்படுத்தப்படுகிறது. கிரிப்டோமாப் குறிப்பிட்ட நிபந்தனைகளை சந்திக்கும் போக்குவரத்தை கண்காணிக்கிறது. எங்கள் கிரிப்டோ கார்டு 100.100.100.1 என்ற முகவரியுடன் செயல்படும், இது உள் போக்குவரத்து ACL ஆல் குறிப்பிடப்பட்டுள்ளது, மேலும் இந்த டிராஃபிக்கிற்கு டிஆர்எஸ்இடியை மாற்றும்.

IPSec சோதனை

பொதுவாக, பயனுள்ள கட்டளைகளின் பட்டியல் பின்வருமாறு:
crypto isakmp கொள்கையைக் காட்டு
கிரிப்டோ வரைபடத்தைக் காட்டு
Crypto isakmp sa விவரத்தைக் காட்டு
கிரிப்டோ ipsec sa காட்டு
செயலில் உள்ள கிரிப்டோ என்ஜின் இணைப்புகளைக் காட்டு

நடைமுறையில், பின்வருபவை மிகவும் பயனுள்ளதாக இருக்கும்:


IPSec பல தொழில்நுட்பங்கள் மற்றும் குறியாக்க முறைகளை நம்பியுள்ளது, ஆனால் IPSec பொதுவாக பின்வரும் முக்கிய படிகளாக கருதப்படலாம்:

    படி 1. IPSec செயல்முறையைத் தொடங்குதல். IPSec கட்சிகளால் ஒப்புக்கொள்ளப்பட்ட IPSec பாதுகாப்புக் கொள்கையின்படி குறியாக்கம் தேவைப்படும் போக்குவரத்து IKE செயல்முறையைத் தொடங்குகிறது.

    படி 2. IKE முதல் கட்டம். IKE செயல்முறை IPSec கட்சிகளை அங்கீகரிக்கிறது மற்றும் IKE பாதுகாப்பு சங்க அளவுருக்களை பேச்சுவார்த்தை நடத்துகிறது, இதன் விளைவாக IKE இன் இரண்டாம் கட்டத்தின் போது IPSec பாதுகாப்பு சங்க அளவுருக்களை பேச்சுவார்த்தை நடத்த பாதுகாப்பான சேனல் உள்ளது.

    படி 3. IKE இரண்டாம் கட்டம். IKE செயல்முறை IPSec பாதுகாப்பு சங்க அளவுருக்களுடன் பேச்சுவார்த்தை நடத்துகிறது மற்றும் கட்சி சாதனங்களைத் தொடர்புகொள்வதற்கு பொருத்தமான IPSec பாதுகாப்பு சங்கங்களை நிறுவுகிறது.

    படி 4. தரவு பரிமாற்ற. IPSec அளவுருக்கள் மற்றும் பாதுகாப்பு அசோசியேஷன் தரவுத்தளத்தில் சேமிக்கப்பட்ட விசைகள் ஆகியவற்றின் அடிப்படையில் IPSec கட்சிகளைத் தொடர்புகொள்வதற்கு இடையே தொடர்பு ஏற்படுகிறது.

    படி 5. IPSec சுரங்கப்பாதையை நிறுத்துதல். IPSec பாதுகாப்பு சங்கங்கள் நீக்கப்பட்டதாலோ அல்லது அவற்றின் வாழ்நாள் வரம்பு மீறப்பட்டதாலோ நிறுத்தப்படும்.

IPSec இயக்க முறைகள்

IPSec செயல்பாட்டில் இரண்டு முறைகள் உள்ளன: போக்குவரத்து மற்றும் சுரங்கப்பாதை.

போக்குவரத்து முறையில், IP பாக்கெட்டின் தகவல் பகுதி மட்டுமே குறியாக்கம் செய்யப்பட்டுள்ளது. ஐபி பாக்கெட் தலைப்பு மாற்றப்படாததால் ரூட்டிங் பாதிக்கப்படாது. ஹோஸ்ட்களுக்கு இடையே இணைப்புகளை ஏற்படுத்த போக்குவரத்து முறை பொதுவாக பயன்படுத்தப்படுகிறது.

டன்னல் பயன்முறையில், முழு ஐபி பாக்கெட்டும் குறியாக்கம் செய்யப்பட்டுள்ளது. இது நெட்வொர்க்கில் அனுப்பப்படுவதற்கு, அது மற்றொரு ஐபி பாக்கெட்டில் வைக்கப்படுகிறது. இது பாதுகாப்பான ஐபி சுரங்கப்பாதையை உருவாக்குகிறது. தொலைநிலை கணினிகளை மெய்நிகர் தனியார் நெட்வொர்க்குடன் இணைக்க அல்லது பாதுகாப்பான தரவு பரிமாற்றத்தை ஒழுங்கமைக்க டன்னல் பயன்முறை பயன்படுத்தப்படலாம். திறந்த சேனல்கள்மெய்நிகர் தனியார் நெட்வொர்க்கின் வெவ்வேறு பகுதிகளை இணைக்க நுழைவாயில்களுக்கு இடையேயான தகவல்தொடர்புகள் (இன்டர்நெட்).

IPSec மாற்றம் பேச்சுவார்த்தை

IKE நெறிமுறை IPSec மாற்றங்களை (IPSec பாதுகாப்பு வழிமுறைகள்) பேச்சுவார்த்தை நடத்துகிறது. IPSec மாற்றங்கள் மற்றும் அவற்றுடன் தொடர்புடைய குறியாக்க வழிமுறைகள் பின்வருமாறு:

    AH நெறிமுறை (அங்கீகார தலைப்பு - அங்கீகார தலைப்பு).அங்கீகாரம் மற்றும் (விரும்பினால்) ரீப்ளே கண்டறிதல் சேவையை வழங்கும் பாதுகாப்பான நெறிமுறை. AH நெறிமுறை டிஜிட்டல் கையொப்பமாக செயல்படுகிறது மற்றும் ஐபி பாக்கெட்டில் உள்ள தரவு சேதமடையாமல் இருப்பதை உறுதி செய்கிறது. AH நெறிமுறை தரவு குறியாக்கம் மற்றும் மறைகுறியாக்க சேவையை வழங்காது. இந்த நெறிமுறை சுயாதீனமாக அல்லது ESP நெறிமுறையுடன் இணைந்து பயன்படுத்தப்படலாம்.

    ESP (என்காப்சுலேட்டிங் செக்யூரிட்டி பேலோட்) நெறிமுறை.ரகசியத்தன்மை மற்றும் தரவுப் பாதுகாப்பை வழங்கும் ஒரு பாதுகாப்பு நெறிமுறை, அத்துடன் (விருப்ப) அங்கீகாரம் மற்றும் ரீப்ளே கண்டறிதல் சேவைகள். Cisco IPSec-இயக்கப்பட்ட தயாரிப்புகள் IP பாக்கெட்டுகளின் பேலோடை குறியாக்க ESP ஐப் பயன்படுத்துகின்றன. ESP நெறிமுறை சுயாதீனமாக அல்லது AH உடன் இணைந்து பயன்படுத்தப்படலாம்.

    DES தரநிலை (தரவு குறியாக்க தரநிலை - தரவு குறியாக்க தரநிலை).பாக்கெட் தரவை குறியாக்கம் மற்றும் மறைகுறியாக்க அல்காரிதம். DES அல்காரிதம் IPSec மற்றும் IKE இரண்டிலும் பயன்படுத்தப்படுகிறது. DES அல்காரிதம் 56-பிட் விசையைப் பயன்படுத்துகிறது, அதாவது கணினி வளங்களின் அதிக நுகர்வு மட்டுமல்ல, வலுவான குறியாக்கமும் கூட. DES அல்காரிதம் என்பது ஒரு சமச்சீர் குறியாக்க அல்காரிதம் ஆகும், இது ஒவ்வொரு தகவல்தொடர்பு IPSec தரப்பினரின் சாதனங்களிலும் ஒரே மாதிரியான ரகசிய குறியாக்க விசைகள் தேவைப்படும். Diffie-Hellman அல்காரிதம் சமச்சீர் விசைகளை உருவாக்க பயன்படுகிறது. IKE மற்றும் IPSec ஆகியவை செய்திகளை குறியாக்க DES அல்காரிதத்தைப் பயன்படுத்துகின்றன.

    "டிரிபிள்" DES (3DES).மூன்று வெவ்வேறு விசைகளுடன் நிலையான DES இன் மூன்று மறு செய்கைகளைப் பயன்படுத்தும் DES இன் மாறுபாடு, அடிப்படையில் DES இன் வலிமையை மூன்று மடங்கு அதிகரிக்கிறது. தரவு ஸ்ட்ரீமை குறியாக்க மற்றும் மறைகுறியாக்க IPSec க்குள் 3DES அல்காரிதம் பயன்படுத்தப்படுகிறது. இந்த அல்காரிதம் 168-பிட் விசையைப் பயன்படுத்துகிறது, இது உயர் குறியாக்க நம்பகத்தன்மைக்கு உத்தரவாதம் அளிக்கிறது. IKE மற்றும் IPSec ஆகியவை செய்திகளை குறியாக்க 3DES அல்காரிதத்தைப் பயன்படுத்துகின்றன.

    AES(மேம்பட்ட குறியாக்க தரநிலை) AES நெறிமுறை Rine Dale4 குறியாக்க வழிமுறையைப் பயன்படுத்துகிறது, இது குறிப்பிடத்தக்க வலுவான குறியாக்கத்தை வழங்குகிறது. பல குறியாக்கவியலாளர்கள் AES பொதுவாக உடைக்க முடியாதது என்று நம்புகிறார்கள். AES இப்போது ஒரு கூட்டாட்சி தகவல் செயலாக்க தரநிலை. இது அமெரிக்க அரசாங்க நிறுவனங்களால் உணர்திறன் வாய்ந்த ஆனால் வகைப்படுத்தப்படாத தகவல்களைப் பாதுகாப்பதற்கான குறியாக்க அல்காரிதம் என வரையறுக்கப்படுகிறது. AES இன் சிக்கல் என்னவென்றால், ஒத்த நெறிமுறைகளை விட அதை செயல்படுத்த அதிக கணினி சக்தி தேவைப்படுகிறது.

IPSec மாற்றமானது தரவு அங்கீகாரத்தை வழங்க இரண்டு நிலையான ஹாஷிங் அல்காரிதங்களையும் பயன்படுத்துகிறது.

    MD5 அல்காரிதம் (மெசேஜ் டைஜஸ்ட் 5).தரவு பாக்கெட்டுகளை அங்கீகரிக்கப் பயன்படும் ஹாஷிங் அல்காரிதம். சிஸ்கோ தயாரிப்புகள் MD5-கணக்கிடப்பட்ட HMAC குறியீட்டைப் பயன்படுத்துகின்றன (Hashed Message Authentication Code), இது வழங்கும் செய்தி அங்கீகாரக் குறியீட்டின் மாறுபாடு கூடுதல் பாதுகாப்புஹாஷிங் பயன்படுத்தி. ஹாஷிங் என்பது ஒரு வழி (அதாவது, மீளமுடியாத) குறியாக்க செயல்முறை ஆகும், இது தன்னிச்சையான நீளம் கொண்ட உள்ளீட்டு செய்திக்கு நிலையான நீள வெளியீட்டை உருவாக்குகிறது. IKE, AH மற்றும் ESP ஆகியவை தரவு அங்கீகாரத்திற்காக MD5 ஐப் பயன்படுத்துகின்றன.

    அல்காரிதம் SHA-1 (பாதுகாப்பான ஹாஷ் அல்காரிதம்-1 - பாதுகாப்பான ஹாஷிங் அல்காரிதம் 1).தரவு பாக்கெட்டுகளை அங்கீகரிக்கப் பயன்படும் ஹாஷிங் அல்காரிதம். சிஸ்கோ தயாரிப்புகள் SHA-1 ஐப் பயன்படுத்தி கணக்கிடப்படும் HMAC குறியீட்டின் மாறுபாட்டைப் பயன்படுத்துகின்றன. தரவு அங்கீகாரத்திற்காக IKE, AH மற்றும் ESP SHA-1 ஐப் பயன்படுத்துகின்றன.

IKE நெறிமுறையின் கீழ், DES, 3DES, MD5 மற்றும் SHA ஐப் பயன்படுத்தி Diffie-Hellman அல்காரிதத்தைப் பயன்படுத்தி சமச்சீர் விசைகள் உருவாக்கப்படுகின்றன. டிஃபி-ஹெல்மேன் நெறிமுறை என்பது பொது விசைகளைப் பயன்படுத்துவதன் அடிப்படையிலான கிரிப்டோகிராஃபிக் நெறிமுறை ஆகும். போதுமான பாதுகாப்பான தகவல் தொடர்பு சேனல் இல்லாமல் பகிரப்பட்ட ரகசிய விசையை இரு தரப்பினரும் ஒப்புக்கொள்ள இது அனுமதிக்கிறது. DES மற்றும் NMAC அல்காரிதம்களுக்கு பகிரப்பட்ட ரகசிய விசைகள் தேவை. அமர்வு விசைகளை உருவாக்க IKE இல் Diffie-Hellman அல்காரிதம் பயன்படுத்தப்படுகிறது. Diffie-Hellman (DH) குழுக்கள் - முக்கிய பரிமாற்ற நடைமுறையில் பயன்படுத்தப்படும் குறியாக்க விசையின் "வலிமையை" வரையறுக்கிறது. அதிக குழு எண், "வலுவான" மற்றும் பாதுகாப்பான விசை. இருப்பினும், டிஹெச் குழு எண் அதிகரிக்கும் போது, ​​​​விசையின் "வலிமை" மற்றும் பாதுகாப்பு நிலை அதிகரிக்கிறது, ஆனால் அதே நேரத்தில் மத்திய செயலியின் சுமை அதிகரிக்கிறது, ஏனெனில் "வலுவான" விசையை உருவாக்குவது அவசியம். அதிக நேரம் மற்றும் வளங்கள்.

WatchGuard சாதனங்கள் DH குழுக்கள் 1, 2 மற்றும் 5ஐ ஆதரிக்கின்றன:

    DH குழு 1: 768-பிட் விசை

    DH குழு 2: 1024-பிட் விசை

    DH குழு 5: 1536-பிட் விசை

VPN மூலம் தொடர்பு கொள்ளும் இரண்டு சாதனங்களும் ஒரே DH குழுவைப் பயன்படுத்த வேண்டும். IPSec கட்டம் 1 செயல்முறையின் போது சாதனங்களால் பயன்படுத்தப்படும் DH குழு தேர்ந்தெடுக்கப்பட்டது.

IPSec நெறிமுறைகள் பாதுகாப்பான சேனலின் அமைப்பு https://www.site/lan/protokoly-ipsec https://www.site/@@site-logo/logo.png

IPSec நெறிமுறைகள்

பாதுகாப்பான சேனலின் அமைப்பு

IPSec நெறிமுறைகள்

AH, ESP மற்றும் IKE ஐப் பயன்படுத்தி பாதுகாப்பான சேனலை நிறுவுதல்.

இன்டர்நெட் புரோட்டோகால் செக்யூரிட்டி (IPSec) என்பது இணைய தரத்தில் ஒரு அமைப்பு என்று அழைக்கப்படுகிறது. உண்மையில், IPSec என்பது திறந்த தரநிலைகளின் ஒரு நிலையான தொகுப்பாகும், இது இன்று நன்கு வரையறுக்கப்பட்ட மையத்தைக் கொண்டுள்ளது, அதே நேரத்தில் புதிய நெறிமுறைகள், வழிமுறைகள் மற்றும் செயல்பாடுகளுடன் மிக எளிதாக விரிவாக்கப்படலாம்.

IPSec நெறிமுறைகளின் முக்கிய நோக்கம் IP நெட்வொர்க்குகள் வழியாக பாதுகாப்பான தரவு பரிமாற்றத்தை உறுதி செய்வதாகும். IPSec இன் பயன்பாடு உத்தரவாதங்கள்:

  • ஒருமைப்பாடு, அதாவது பரிமாற்றத்தின் போது தரவு சிதைக்கப்படவில்லை, இழக்கப்படவில்லை அல்லது நகலெடுக்கப்படவில்லை;
  • நம்பகத்தன்மை, அதாவது அனுப்புநரால் அனுப்பப்பட்ட தரவு, அவர் தான் என்று கூறிக்கொண்டார் என்பதை நிரூபித்தவர்;
  • ரகசியத்தன்மை, அதாவது தரவு அங்கீகரிக்கப்படாத பார்வையைத் தடுக்கும் வடிவத்தில் அனுப்பப்படுகிறது.

(கிளாசிக்கல் வரையறைக்கு இணங்க, தரவு பாதுகாப்பு என்ற கருத்து மேலும் ஒரு தேவையை உள்ளடக்கியது என்பதை நினைவில் கொள்க - தரவு கிடைப்பது, கருத்தில் கொள்ளப்பட்ட சூழலில் அவற்றின் விநியோகத்திற்கான உத்தரவாதமாக விளக்கப்படலாம். IPSec நெறிமுறைகள் இந்த சிக்கலை தீர்க்காது, விட்டுவிடுகின்றன. இது TCP போக்குவரத்து அடுக்கு நெறிமுறைக்கு.)

வெவ்வேறு நிலைகளில் பாதுகாக்கப்பட்ட சேனல்கள்

IPSec பலவற்றில் ஒன்றாகும், இருப்பினும் இன்று மிகவும் பிரபலமானது, பொது (பாதுகாப்பற்ற) நெட்வொர்க்கில் பாதுகாப்பான தரவு பரிமாற்றத்திற்கான தொழில்நுட்பம். இந்த நோக்கத்திற்கான தொழில்நுட்பங்களுக்கு, ஒரு பொதுவான பெயர் பயன்படுத்தப்படுகிறது - பாதுகாப்பான சேனல். "சேனல்" என்ற சொல், இரண்டு பிணைய முனைகளுக்கு (புரவலன்கள் அல்லது நுழைவாயில்கள்) இடையே ஒரு பாக்கெட்-சுவிட்ச் நெட்வொர்க்கில் அமைக்கப்பட்ட மெய்நிகர் பாதையில் தரவு பாதுகாப்பு வழங்கப்படுகிறது என்ற உண்மையை வலியுறுத்துகிறது.

OSI மாதிரியின் வெவ்வேறு அடுக்குகளில் செயல்படுத்தப்பட்ட கணினி கருவிகளைப் பயன்படுத்தி பாதுகாப்பான சேனலை உருவாக்க முடியும் (படம் 1 ஐப் பார்க்கவும்). தரவைப் பாதுகாக்க மேல் நிலைகளில் ஒன்றின் (பயன்பாடு, விளக்கக்காட்சி அல்லது அமர்வு) நெறிமுறை பயன்படுத்தப்பட்டால், இந்த பாதுகாப்பு முறை எந்த நெட்வொர்க்குகள் (ஐபி அல்லது ஐபிஎக்ஸ், ஈதர்நெட் அல்லது ஏடிஎம்) தரவைக் கொண்டு செல்லப் பயன்படுத்தப்படுகின்றன என்பதைப் பொறுத்தது அல்ல. சந்தேகத்திற்கு இடமில்லாத நன்மையாக கருதப்படுகிறது. மறுபுறம், பயன்பாடு ஒரு குறிப்பிட்ட பாதுகாப்பு நெறிமுறையைச் சார்ந்தது, அதாவது பயன்பாடுகளுக்கு அத்தகைய நெறிமுறை வெளிப்படையானது அல்ல.

மிக உயர்ந்த, பயன்பாட்டு மட்டத்தில் பாதுகாப்பான சேனலில் மேலும் ஒரு குறைபாடு உள்ளது - வரையறுக்கப்பட்ட நோக்கம். நெறிமுறை ஒரு குறிப்பிட்ட பிணைய சேவையை மட்டுமே பாதுகாக்கிறது - கோப்பு, ஹைபர்டெக்ஸ்ட் அல்லது மின்னஞ்சல். எடுத்துக்காட்டாக, S/MIME நெறிமுறை பிரத்தியேகமாக செய்திகளைப் பாதுகாக்கிறது மின்னஞ்சல். எனவே, நெறிமுறையின் தொடர்புடைய பாதுகாப்பான பதிப்பு ஒவ்வொரு சேவைக்கும் உருவாக்கப்பட வேண்டும்.

செக்யூர் சாக்கெட் லேயர் (எஸ்எஸ்எல்) நெறிமுறை மற்றும் அதன் புதிய திறந்த செயல்படுத்தல் டிரான்ஸ்போர்ட் லேயர் செக்யூரிட்டி (டிஎல்எஸ்) ஆகியவை அடுத்த விளக்கக்காட்சி மட்டத்தில் செயல்படும் மிகவும் நன்கு அறியப்பட்ட பாதுகாப்பான சேனல் நெறிமுறை ஆகும். நெறிமுறை அளவைக் குறைப்பது மிகவும் பல்துறை பாதுகாப்பு கருவியாக மாற்றுகிறது. இப்போது எந்தவொரு பயன்பாடும் மற்றும் எந்த பயன்பாட்டு நிலை நெறிமுறையும் ஒற்றை பாதுகாப்பு நெறிமுறையைப் பயன்படுத்தலாம். இருப்பினும், சேனல் நெறிமுறை செயல்பாடுகளைப் பாதுகாக்க வெளிப்படையான அழைப்புகளைச் சேர்க்க பயன்பாடுகள் இன்னும் மீண்டும் எழுதப்பட வேண்டும்.

ஸ்டேக் செக்யூரிட் சேனல் வசதிகளில் குறைந்த கீழே செயல்படுத்தப்படுகிறது, பயன்பாடுகள் மற்றும் பயன்பாட்டு நெறிமுறைகளுக்கு அவற்றை வெளிப்படையானதாக மாற்றுவது எளிது. நெட்வொர்க் மற்றும் தரவு இணைப்பு நிலைகளில், பாதுகாப்பு நெறிமுறைகளில் பயன்பாடுகளின் சார்பு முற்றிலும் மறைந்துவிடும். இருப்பினும், இங்கே நாம் மற்றொரு சிக்கலை எதிர்கொள்கிறோம் - ஒரு குறிப்பிட்ட நெட்வொர்க் தொழில்நுட்பத்தில் பாதுகாப்பு நெறிமுறையின் சார்பு. உண்மையில், ஒரு பெரிய கூட்டு நெட்வொர்க்கின் வெவ்வேறு பகுதிகள் பொதுவாக வெவ்வேறு இணைப்பு நெறிமுறைகளைப் பயன்படுத்துகின்றன, எனவே ஒற்றை இணைப்பு-அடுக்கு நெறிமுறையைப் பயன்படுத்தி இந்த பன்முக சூழலில் பாதுகாப்பான சேனலை அமைப்பது சாத்தியமில்லை.

எடுத்துக்காட்டாக, பாயிண்ட்-டு-பாயிண்ட் டன்னலிங் புரோட்டோகால் (பிபிடிபி) இயங்குகிறது. இணைப்பு நிலை. இது PPP நெறிமுறையை அடிப்படையாகக் கொண்டது, இது குத்தகை கோடுகள் போன்ற புள்ளி-க்கு-புள்ளி இணைப்புகளில் பரவலாகப் பயன்படுத்தப்படுகிறது. PPTP நெறிமுறையானது பயன்பாடுகள் மற்றும் பயன்பாட்டு-நிலை சேவைகளுக்கான பாதுகாப்பு வெளிப்படைத்தன்மையை வழங்குவதோடு மட்டுமல்லாமல், பயன்படுத்தப்படும் பிணைய அடுக்கு நெறிமுறையிலிருந்து சுயாதீனமாகவும் உள்ளது: குறிப்பாக, PPTP நெறிமுறையானது IP நெட்வொர்க்குகள் மற்றும் IPX, DECnet நெறிமுறைகளின் அடிப்படையில் பிணையங்களில் பாக்கெட்டுகளை கொண்டு செல்ல முடியும். அல்லது NetBEUI. இருப்பினும், அனைத்து நெட்வொர்க்குகளிலும் PPP நெறிமுறை பயன்படுத்தப்படாததால் (பெரும்பாலான உள்ளூர் நெட்வொர்க்குகளில் ஈத்தர்நெட் நெறிமுறை தரவு இணைப்பு மட்டத்தில் இயங்குகிறது, மேலும் உலகளாவிய நெட்வொர்க்குகளில் - ATM மற்றும் பிரேம் ரிலே நெறிமுறைகள்), PPTP ஐ உலகளாவிய கருவியாகக் கருத முடியாது.

பணிபுரிகிறது பிணைய நிலை IPSec நெறிமுறை ஒரு சமரச விருப்பமாகும். ஒருபுறம், இது பயன்பாடுகளுக்கு வெளிப்படையானது, மறுபுறம், இது கிட்டத்தட்ட எல்லா நெட்வொர்க்குகளிலும் வேலை செய்ய முடியும், ஏனெனில் இது பரவலாகப் பயன்படுத்தப்படும் ஐபி நெறிமுறையை அடிப்படையாகக் கொண்டது: தற்போது உலகில் 1% கணினிகள் மட்டுமே ஐபியை ஆதரிக்கவில்லை. மீதமுள்ள 99% இதை ஒரு நெறிமுறையாக அல்லது பல நெறிமுறைகளில் ஒன்றாகப் பயன்படுத்துகிறது.

IPSEC நெறிமுறைகளுக்கு இடையேயான செயல்பாடுகளின் விநியோகம்

IPSec இன் மையமானது மூன்று நெறிமுறைகளைக் கொண்டுள்ளது: அங்கீகார நெறிமுறை (Authenti-cation Header, AH), குறியாக்க நெறிமுறை (Encapsulation Security Payload, ESP) மற்றும் முக்கிய பரிமாற்ற நெறிமுறை (இன்டர்நெட் கீ எக்ஸ்சேஞ்ச், IKE). பாதுகாப்பான சேனலை பராமரிப்பதற்கான செயல்பாடுகள் இந்த நெறிமுறைகளில் பின்வருமாறு விநியோகிக்கப்படுகின்றன:

  • AH நெறிமுறை தரவு ஒருமைப்பாடு மற்றும் நம்பகத்தன்மைக்கு உத்தரவாதம் அளிக்கிறது;
  • ESP நெறிமுறையானது கடத்தப்பட்ட தரவை குறியாக்குகிறது, இரகசியத்தன்மைக்கு உத்தரவாதம் அளிக்கிறது, ஆனால் இது அங்கீகாரம் மற்றும் தரவு ஒருமைப்பாட்டையும் ஆதரிக்கும்;
  • IKE நெறிமுறையானது, அங்கீகாரம் மற்றும் தரவு குறியாக்க நெறிமுறைகளின் செயல்பாட்டிற்குத் தேவையான இரகசிய விசைகளுடன் சேனல் இறுதிப்புள்ளிகளை தானாகவே வழங்கும் துணைப் பணியைத் தீர்க்கிறது.

செயல்பாடுகளின் சுருக்கமான விளக்கத்திலிருந்து பார்க்க முடியும், AH மற்றும் ESP நெறிமுறைகளின் திறன்கள் ஓரளவு ஒன்றுடன் ஒன்று. தரவு ஒருமைப்பாடு மற்றும் அங்கீகாரத்தை உறுதிப்படுத்துவதற்கு மட்டுமே AH நெறிமுறை பொறுப்பாகும், அதே நேரத்தில் ESP நெறிமுறை மிகவும் சக்தி வாய்ந்தது, ஏனெனில் இது தரவை குறியாக்கம் செய்ய முடியும், மேலும் AH நெறிமுறையின் செயல்பாடுகளையும் செய்யலாம் (இருப்பினும், பின்னர் பார்ப்போம், இது அங்கீகாரத்தை வழங்குகிறது. மற்றும் ஒருமைப்பாடு சிறிது குறைக்கப்பட்ட வடிவத்தில் ). ESP நெறிமுறையானது எந்த ஒரு கலவையிலும் குறியாக்கம் மற்றும் அங்கீகாரம்/ஒருமைப்பாடு செயல்பாடுகளை ஆதரிக்க முடியும், அதாவது, இரு குழுக்களும் செயல்பாடுகள், அல்லது அங்கீகாரம்/ஒருமைப்பாடு அல்லது குறியாக்கம் மட்டுமே.

IPSec இல் தரவை குறியாக்க, இரகசிய விசைகளைப் பயன்படுத்தும் எந்த சமச்சீர் குறியாக்க வழிமுறையையும் பயன்படுத்தலாம். தரவு ஒருமைப்பாடு மற்றும் அங்கீகாரத்தை உறுதிப்படுத்துவது குறியாக்க நுட்பங்களில் ஒன்றின் அடிப்படையிலானது - ஒரு வழி செயல்பாட்டைப் பயன்படுத்தி குறியாக்கம், இது ஹாஷ் செயல்பாடு அல்லது டைஜெஸ்ட் செயல்பாடு என்றும் அழைக்கப்படுகிறது.

மறைகுறியாக்கப்பட்ட தரவுகளுக்குப் பயன்படுத்தப்படும் இந்தச் செயல்பாடு, நிலையான சிறிய எண்ணிக்கையிலான பைட்டுகளைக் கொண்ட ஒரு டைஜெஸ்ட் மதிப்பில் விளைகிறது. டைஜஸ்ட் அசல் செய்தியுடன் ஐபி பாக்கெட்டில் அனுப்பப்படுகிறது. பெறுநர், எந்த ஒரு வழி குறியாக்க செயல்பாடு செரிமானத்தை உருவாக்கப் பயன்படுத்தப்பட்டது என்பதை அறிந்து, அசல் செய்தியைப் பயன்படுத்தி அதை மீண்டும் கணக்கிடுகிறார். பெறப்பட்ட மற்றும் கணக்கிடப்பட்ட செரிமானங்களின் மதிப்புகள் ஒரே மாதிரியாக இருந்தால், பாக்கெட்டின் உள்ளடக்கங்கள் பரிமாற்றத்தின் போது எந்த மாற்றங்களுக்கும் உட்பட்டது அல்ல. செரிமானத்தை அறிந்துகொள்வது அசல் செய்தியை மறுகட்டமைப்பதை சாத்தியமாக்காது, எனவே பாதுகாப்பிற்காகப் பயன்படுத்த முடியாது, ஆனால் இது தரவின் ஒருமைப்பாட்டைச் சரிபார்க்க உங்களை அனுமதிக்கிறது.

டைஜஸ்ட் என்பது அசல் செய்திக்கான ஒரு வகையான செக்சம் ஆகும். இருப்பினும், குறிப்பிடத்தக்க வேறுபாடும் உள்ளது. செக்சம் பயன்படுத்துவது நம்பகத்தன்மையற்ற தகவல்தொடர்பு வழிகளில் அனுப்பப்படும் செய்திகளின் ஒருமைப்பாட்டை சரிபார்க்கும் ஒரு வழிமுறையாகும் மற்றும் தீங்கிழைக்கும் செயல்பாட்டை எதிர்த்துப் போராடும் நோக்கம் கொண்டதல்ல. உண்மையில், அனுப்பப்பட்ட பாக்கெட்டில் ஒரு செக்சம் இருப்பதால், ஒரு புதிய செக்சம் மதிப்பைச் சேர்ப்பதன் மூலம் தாக்குபவர் அசல் செய்தியை மாற்றுவதைத் தடுக்காது. செக்சம் போலல்லாமல், செரிமானத்தை கணக்கிடும் போது ஒரு ரகசிய விசை பயன்படுத்தப்படுகிறது. அனுப்புநருக்கும் பெறுநருக்கும் மட்டுமே தெரிந்த அளவுருவுடன் (ரகசிய விசை) ஒரு வழிச் செயல்பாட்டைப் பயன்படுத்தினால், அசல் செய்தியில் ஏதேனும் மாற்றம் இருந்தால் உடனடியாகக் கண்டறியப்படும்.

AH மற்றும் ESP ஆகிய இரண்டு நெறிமுறைகளுக்கு இடையேயான பாதுகாப்பு செயல்பாடுகளை பிரிப்பது, குறியாக்கத்தின் மூலம் தரவு ரகசியத்தன்மையை உறுதி செய்யும் கருவிகளின் ஏற்றுமதி மற்றும்/அல்லது இறக்குமதியை கட்டுப்படுத்த பல நாடுகளில் பயன்படுத்தப்படும் நடைமுறையால் ஏற்படுகிறது. இந்த இரண்டு நெறிமுறைகள் ஒவ்வொன்றும் தனித்தனியாக அல்லது மற்றொன்றுடன் ஒரே நேரத்தில் பயன்படுத்தப்படலாம், இதனால் குறியாக்கம் ஏற்படும் சந்தர்ப்பங்களில் தற்போதைய கட்டுப்பாடுகள்பயன்படுத்த முடியாது, கணினியை AH நெறிமுறையுடன் மட்டுமே வழங்க முடியும். இயற்கையாகவே, AH நெறிமுறையைப் பயன்படுத்தி மட்டுமே தரவைப் பாதுகாப்பது பல சந்தர்ப்பங்களில் போதுமானதாக இருக்காது, ஏனெனில் இந்த வழக்கில் பெறப்பட்ட பக்கமானது தரவு எதிர்பார்க்கப்பட்ட முனையின் மூலம் அனுப்பப்பட்டது மற்றும் அது இருந்த வடிவத்தில் வந்தது என்பதை மட்டுமே உறுதி செய்யும். பெறப்பட்டது. அனுப்பப்பட்டது. AH நெறிமுறை தரவு பாதையில் அங்கீகரிக்கப்படாத பார்வைக்கு எதிராக பாதுகாக்க முடியாது, ஏனெனில் அது குறியாக்கம் செய்யாது. தரவை குறியாக்க, ESP நெறிமுறையைப் பயன்படுத்துவது அவசியம், இது அதன் ஒருமைப்பாடு மற்றும் நம்பகத்தன்மையை சரிபார்க்க முடியும்.

பாதுகாப்பான சங்கம்

AH மற்றும் ESP நெறிமுறைகள் கடத்தப்பட்ட தரவைப் பாதுகாக்கும் வேலையைச் செய்ய, IKE நெறிமுறை இரண்டு இறுதிப்புள்ளிகளுக்கு இடையே ஒரு தர்க்கரீதியான தொடர்பை ஏற்படுத்துகிறது, இது IPSec தரநிலைகளில் "பாதுகாப்பு சங்கம்" (SA) என்று அழைக்கப்படுகிறது. SA ஐ நிறுவுவது கட்சிகளின் பரஸ்பர அங்கீகாரத்துடன் தொடங்குகிறது, ஏனெனில் தவறான நபர் அல்லது தவறான நபரிடமிருந்து தரவு அனுப்பப்பட்டால் அல்லது பெறப்பட்டால் அனைத்து பாதுகாப்பு நடவடிக்கைகளும் அர்த்தமற்றதாகிவிடும். நீங்கள் அடுத்து தேர்ந்தெடுக்கும் SA அளவுருக்கள், AH அல்லது ESP ஆகிய இரண்டு நெறிமுறைகளில் எது, தரவைப் பாதுகாக்கப் பயன்படுகிறது, பாதுகாப்பு நெறிமுறை என்ன செயல்பாடுகளைச் செய்கிறது என்பதைத் தீர்மானிக்கிறது: எடுத்துக்காட்டாக, அங்கீகாரம் மற்றும் ஒருமைப்பாடு சரிபார்ப்பு அல்லது கூடுதலாக, தவறான மறுபதிப்பிலிருந்து பாதுகாப்பு. மிகவும் முக்கியமான அளவுருபாதுகாப்பான சங்கம் என்பது கிரிப்டோகிராஃபிக் பொருள் என்று அழைக்கப்படுபவை, அதாவது AH மற்றும் ESP நெறிமுறைகளின் செயல்பாட்டில் பயன்படுத்தப்படும் இரகசிய விசைகள்.

IPSec அமைப்பு ஒரு பாதுகாப்பான சங்கத்தை நிறுவுவதற்கான கையேடு முறையை அனுமதிக்கிறது, இதில் நிர்வாகி ஒவ்வொரு முனை முனையையும் உள்ளமைக்கிறார், இதனால் அவர்கள் இரகசிய விசைகள் உட்பட சங்க அளவுருக்கள் மீது ஒப்புக் கொள்ளப்பட்டதை ஆதரிக்கிறார்கள்.

AH அல்லது ESP நெறிமுறை ஏற்கனவே நிறுவப்பட்ட தருக்க இணைப்பு SA க்குள் செயல்படுகிறது, அதன் உதவியுடன் அனுப்பப்பட்ட தரவின் தேவையான பாதுகாப்பு தேர்ந்தெடுக்கப்பட்ட அளவுருக்களைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது.

பாதுகாப்பான சேனலின் இரு முனைப்புள்ளிகளுக்கும் பாதுகாப்பான அசோசியேஷன் அமைப்புகள் ஏற்றுக்கொள்ளப்பட வேண்டும். எனவே, தானியங்கி SA ஸ்தாபன நடைமுறையைப் பயன்படுத்தும் போது, ​​இரண்டு மோடம்கள் இரு தரப்பினருக்கும் அதிகபட்ச ஏற்றுக்கொள்ளக்கூடிய மாற்று விகிதத்தை தீர்மானிப்பது போல, சேனலின் எதிர் பக்கங்களில் செயல்படும் IKE நெறிமுறைகள் பேச்சுவார்த்தை செயல்பாட்டின் போது அளவுருக்களைத் தேர்ந்தெடுக்கின்றன. AH மற்றும் ESP நெறிமுறைகளால் தீர்க்கப்படும் ஒவ்வொரு பணிக்கும், பல அங்கீகாரம் மற்றும் குறியாக்க திட்டங்கள் வழங்கப்படுகின்றன - இது IPSec ஐ மிகவும் நெகிழ்வான கருவியாக மாற்றுகிறது. (அங்கீகாரச் சிக்கலைத் தீர்க்க டைஜஸ்ட் செயல்பாட்டின் தேர்வு, தரவு குறியாக்கத்திற்கான வழிமுறையின் தேர்வை எந்த வகையிலும் பாதிக்காது என்பதை நினைவில் கொள்ளவும்.)

இணக்கத்தன்மையை உறுதிப்படுத்த, IPsec இன் நிலையான பதிப்பு ஒரு குறிப்பிட்ட கட்டாய "கருவி" தொகுப்பை வரையறுக்கிறது: குறிப்பாக, ஒரு வழி குறியாக்க செயல்பாடுகளில் ஒன்று MD5 அல்லது SHA-1 தரவு அங்கீகாரத்திற்காக எப்போதும் பயன்படுத்தப்படலாம், மேலும் குறியாக்க வழிமுறைகளில் நிச்சயமாக DES அடங்கும். அதே நேரத்தில், IPSec ஐ உள்ளடக்கிய தயாரிப்புகளின் உற்பத்தியாளர்கள் மற்ற அங்கீகாரம் மற்றும் குறியாக்க வழிமுறைகளுடன் நெறிமுறையை விரிவுபடுத்த இலவசம், அதை அவர்கள் வெற்றிகரமாக செய்கிறார்கள். எடுத்துக்காட்டாக, பல IPSec செயலாக்கங்கள் பிரபலமான டிரிபிள் டிஇஎஸ் என்க்ரிப்ஷன் அல்காரிதம் மற்றும் ஒப்பீட்டளவில் புதிய அல்காரிதம்களை ஆதரிக்கின்றன - ப்ளோஃபிஷ், காஸ்ட், சிடிஎம்எஃப், ஐடியா, ஆர்சி5.

IPSec தரநிலைகள் இணையத்தில் ஊடாடும் அனைத்து ஹோஸ்ட்களிடமிருந்தும் போக்குவரத்தை எடுத்துச் செல்ல ஒரு SA ஐப் பயன்படுத்த அல்லது இந்த நோக்கத்திற்காக தன்னிச்சையான எண்ணிக்கையிலான SAக்களை உருவாக்க, எடுத்துக்காட்டாக, ஒவ்வொரு TCP இணைப்புக்கும் ஒன்று நுழைவாயில்களை அனுமதிக்கின்றன. பாதுகாப்பான SA என்பது IPSec இல் ஒரு திசை (சிம்ப்ளக்ஸ்) தருக்க இணைப்பாகும், எனவே இருதரப்பு தகவல்தொடர்புகளுக்கு இரண்டு SAகள் நிறுவப்பட வேண்டும்.

போக்குவரத்து மற்றும் சுரங்கப்பாதை முறைகள்

AH மற்றும் ESP நெறிமுறைகள் தரவை இரண்டு முறைகளில் பாதுகாக்க முடியும்: போக்குவரத்து மற்றும் சுரங்கப்பாதை. போக்குவரத்து பயன்முறையில், பிணையத்தின் மூலம் ஒரு ஐபி பாக்கெட்டை அனுப்புவது இந்த பாக்கெட்டின் அசல் தலைப்பைப் பயன்படுத்தி மேற்கொள்ளப்படுகிறது, மேலும் சுரங்கப்பாதை பயன்முறையில், அசல் பாக்கெட் ஒரு புதிய ஐபி பாக்கெட்டில் வைக்கப்பட்டு நெட்வொர்க் முழுவதும் தரவு பரிமாற்றம் அதன் அடிப்படையில் மேற்கொள்ளப்படுகிறது. புதிய ஐபி பாக்கெட்டின் தலைப்பு. ஒரு பயன்முறை அல்லது மற்றொரு பயன்முறையின் பயன்பாடு தரவு பாதுகாப்பிற்கான தேவைகள் மற்றும் பாதுகாப்பான சேனலை நிறுத்தும் முனையால் பிணையத்தில் வகிக்கும் பங்கைப் பொறுத்தது. எனவே, ஒரு முனை ஒரு புரவலன் (இறுதி முனை) அல்லது நுழைவாயில் (இடைநிலை முனை) ஆக இருக்கலாம். அதன்படி, IPSec ஐப் பயன்படுத்துவதற்கு மூன்று திட்டங்கள் உள்ளன: ஹோஸ்ட்-டு-ஹோஸ்ட், கேட்வே-டு-கேட்வே மற்றும் ஹோஸ்ட்-டு-கேட்வே.

முதல் திட்டத்தில், ஒரு பாதுகாப்பான சேனல், அல்லது இந்த சூழலில் அதே விஷயம், பிணையத்தின் இரண்டு இறுதி முனைகளுக்கு இடையில் ஒரு பாதுகாப்பான இணைப்பு நிறுவப்பட்டுள்ளது (படம் 2 ஐப் பார்க்கவும்). இந்த வழக்கில் IPSec நெறிமுறை இறுதி முனையில் இயங்குகிறது மற்றும் அதில் வரும் தரவைப் பாதுகாக்கிறது. ஹோஸ்ட்-டு-ஹோஸ்ட் திட்டத்திற்கு, சுரங்கப்பாதை முறையும் அனுமதிக்கப்படும் என்றாலும், போக்குவரத்து பாதுகாப்பு முறை பெரும்பாலும் பயன்படுத்தப்படுகிறது.

இரண்டாவது திட்டத்திற்கு இணங்க, இரண்டு இடைநிலை முனைகளுக்கு இடையில் ஒரு பாதுகாப்பான சேனல் நிறுவப்பட்டுள்ளது, அவை பாதுகாப்பு நுழைவாயில்கள் (SG) என்று அழைக்கப்படுகின்றன, அவை ஒவ்வொன்றும் IPSec நெறிமுறையை இயக்குகின்றன. பாதுகாப்பு நுழைவாயில்களுக்குப் பின்னால் அமைந்துள்ள நெட்வொர்க்குகளுடன் இணைக்கப்பட்ட எந்த இரண்டு முனைப்புள்ளிகளுக்கும் இடையே பாதுகாப்பான தகவல்தொடர்புகள் ஏற்படலாம். IPSec ஐ ஆதரிக்க இறுதிப்புள்ளிகள் தேவையில்லை மற்றும் நம்பகமான நிறுவன இன்ட்ராநெட்டுகள் மூலம் பாதுகாப்பற்ற தங்கள் போக்குவரத்தை அனுப்ப வேண்டும். பொது நெட்வொர்க்கிற்கு விதிக்கப்பட்ட போக்குவரத்து பாதுகாப்பு நுழைவாயில் வழியாக செல்கிறது, இது அதன் சார்பாக IPSec பாதுகாப்பை வழங்குகிறது. நுழைவாயில்கள் சுரங்கப்பாதை பயன்முறையை மட்டுமே பயன்படுத்த முடியும்.

ஹோஸ்ட்-கேட்வே திட்டம் பெரும்பாலும் தொலைநிலை அணுகலுக்குப் பயன்படுத்தப்படுகிறது. இங்கே, IPSec இயங்கும் ரிமோட் ஹோஸ்ட் மற்றும் எண்டர்பிரைஸ் இன்ட்ராநெட் நெட்வொர்க்கில் உள்ள அனைத்து ஹோஸ்ட்களுக்கான ட்ராஃபிக்கைப் பாதுகாக்கும் கேட்வேக்கும் இடையே ஒரு பாதுகாப்பான சேனல் நிறுவப்பட்டுள்ளது. கேட்வேக்கு பாக்கெட்டுகளை அனுப்பும் போது ரிமோட் ஹோஸ்ட் போக்குவரத்து மற்றும் டன்னல் பயன்முறை இரண்டையும் பயன்படுத்தலாம், ஆனால் கேட்வே பாக்கெட்டை டன்னல் பயன்முறையில் மட்டுமே ஹோஸ்டுக்கு அனுப்புகிறது. ரிமோட் ஹோஸ்ட் மற்றும் கேட்வேயால் பாதுகாக்கப்பட்ட உள் நெட்வொர்க்கைச் சேர்ந்த எந்த ஹோஸ்டுக்கும் இடையே இணையாக மற்றொரு பாதுகாப்பான சேனலை உருவாக்குவதன் மூலம் இந்தத் திட்டத்தைச் சிக்கலாக்கலாம். இரண்டு SAகளின் இந்த ஒருங்கிணைந்த பயன்பாடு, உள் நெட்வொர்க்கில் ட்ராஃபிக்கை நம்பகத்தன்மையுடன் பாதுகாக்க உங்களை அனுமதிக்கிறது.

நடாலியா ஆலிஃபர்

ஒரு ஆவணத்துடன் செயல்பாடுகள்

பார்வைகள்: 8033

0 IPSec ஐ உருவாக்கும் தொழில்நுட்பங்களின் விவரங்களைப் பார்ப்போம். IPSec க்குள் பயன்படுத்தப்படும் தரநிலைகள் புரிந்து கொள்ள மிகவும் சிக்கலானவை, எனவே இந்த பிரிவில் IPSec இன் ஒவ்வொரு கூறுகளையும் விரிவாகப் பார்ப்போம். IPSEC என்றால் என்ன என்பதைப் புரிந்து கொள்ள, இந்தத் தளத்தில் முன்னர் வெளியிடப்பட்ட "IPSEC ஒரு நெட்வொர்க் ட்ராஃபிக் பாதுகாப்பு நெறிமுறை" என்ற ஆவணத்தைப் பயன்படுத்தவும். இந்த கட்டுரை மேலே உள்ள ஆவணத்தின் தொடர்ச்சியாகும்.

IPSec பின்வரும் தொழில்நுட்பங்களைப் பயன்படுத்துகிறது:

  • NA நெறிமுறை;
  • ESP நெறிமுறை;
  • DES குறியாக்க தரநிலை;
  • 3DES குறியாக்க தரநிலை;
  • IKE நெறிமுறை;
  • Diffie-Hellman முக்கிய ஒப்பந்த முறை;
  • ஹாஷ் செய்யப்பட்ட செய்தி நம்பகத்தன்மை குறியீடுகள் (HMAC);
  • RSA பாதுகாப்பு;
  • சான்றிதழ் மையங்கள்.

NA நெறிமுறை

இந்த நெறிமுறை இரண்டு அமைப்புகளுக்கு இடையே அனுப்பப்படும் ஐபி பாக்கெட்டுகளுக்கான அங்கீகாரம் மற்றும் தரவு ஒருமைப்பாடு ஆகியவற்றை வழங்குகிறது. NA நெறிமுறை இல்லை
பாக்கெட்டுகளின் ரகசியத்தன்மையை (அதாவது என்க்ரிப்ஷன்) வழங்குகிறது. பாக்கெட்டில் ஒரு வழி, விசை சார்ந்த ஹாஷிங் செயல்பாட்டைப் பயன்படுத்துவதன் மூலம் அங்கீகாரம் நிறைவேற்றப்படுகிறது, "சுயவிவரம்" என்ற செய்தியை உருவாக்குகிறது. டிரான்ஸ்மிஷன் பாதையில் உள்ள பாக்கெட்டின் எந்தப் பகுதியிலும் மாற்றம் ஏற்பட்டால், பெறப்பட்ட தரவுக்கு இதேபோன்ற ஒரு-வழி ஹாஷிங் செயல்பாட்டைப் பயன்படுத்துவதன் மூலம் பெறுநரால் கண்டறியப்படும். பெறப்பட்ட தகவலின் நம்பகத்தன்மை இரண்டு அமைப்புகளும் ஒரு வழி ஹாஷிங்கிற்கு ஒரே ரகசிய விசையைப் பயன்படுத்துவதால் உத்தரவாதம் அளிக்கப்படுகிறது. AN நெறிமுறையின் செயல்பாட்டு வரைபடம் கீழே காட்டப்பட்டுள்ளது. பின்வரும் செயல்கள் செய்யப்படுகின்றன.

  1. பாக்கெட்டின் ஐபி ஹெடர் மற்றும் பேலோட் ஆகியவை ஹாஷ் செய்யப்பட்டுள்ளன.
  2. இதன் விளைவாக வரும் ஹாஷ் குறியீடு புதிய AH ஹெடரை உருவாக்கப் பயன்படுகிறது, இது ஹெடருக்கும் பேலோட் பிளாக்கிற்கும் இடையில் அசல் பாக்கெட்டுடன் இணைக்கப்பட்டுள்ளது.
  3. புதிய பாக்கெட் இரண்டாவது IPSec கட்சிக்கு அனுப்பப்பட்டது.
  4. பெறும் பக்கமானது IP தலைப்பு மற்றும் பேலோடுக்கான ஹாஷ் குறியீட்டின் மதிப்பைக் கணக்கிடுகிறது, AH ஹெடரில் இருந்து கடத்தப்பட்ட ஹாஷ் குறியீட்டின் மதிப்பைப் பிரித்தெடுத்து, இரண்டு மதிப்புகளையும் ஒப்பிடுகிறது. தொடர்புடைய ஹாஷ் குறியீடு மதிப்புகள் சரியாக பொருந்த வேண்டும். பாக்கெட்டின் ஒரு பிட் கூட வழியில் மாறினால், பெறுநரால் கணக்கிடப்பட்ட பாக்கெட் ஹாஷ் குறியீடு AH தலைப்பில் குறிப்பிடப்பட்ட மதிப்புடன் பொருந்தாது.
AH நெறிமுறை முடிந்தவரை பல IP தலைப்பு புலங்களுக்கும், உயர் அடுக்கு நெறிமுறைகளின் தரவு புலங்களுக்கும் அங்கீகாரத்தை வழங்குகிறது. இருப்பினும், சில IP தலைப்பு புலங்கள் போக்குவரத்தில் மாறலாம். மாற்றக்கூடிய புலங்களின் மதிப்புகள் (உதாரணமாக, ஒரு பாக்கெட்டின் வாழ்நாளைக் குறிக்கும் TTL புலம்) இடைநிலை நெட்வொர்க் சாதனங்களால் மாற்றப்படுகிறது, இதன் மூலம் பாக்கெட் கடந்து செல்கிறது, மேலும் அத்தகைய மாற்றங்களை அனுப்புநரால் கணிக்க முடியாது. மாறக்கூடிய புலங்களின் மதிப்புகள் AH நெறிமுறையால் பாதுகாக்கப்படக்கூடாது. இதனால், ஐபி ஹெடருக்கு AH வழங்கும் பாதுகாப்பு ஓரளவு குறைவாகவே உள்ளது. IP தலைப்பில் ஒரு பாக்கெட் வரிசை எண்ணைக் குறிப்பிடுவதன் மூலம் AH நெறிமுறை கூடுதலாக பாக்கெட் ரீப்ளே பாதுகாப்பை வழங்க முடியும். AH நெறிமுறையின் முழுமையான விளக்கம் RFC 2402 இல் உள்ளது.

ESP நெறிமுறை

ESP என்பது ஒரு பாதுகாப்பு நெறிமுறையாகும், இது இரகசியத்தன்மை (அதாவது குறியாக்கம்), மூல அங்கீகாரம் மற்றும் தரவு ஒருமைப்பாடு, அத்துடன் (விரும்பினால்) மறுபதிப்பு எதிர்ப்பு சேவை மற்றும் தரவு ஸ்ட்ரீமை பகுப்பாய்வு செய்வதற்கான முயற்சிகளை எதிர்ப்பதன் மூலம் வரையறுக்கப்பட்ட போக்குவரத்து ரகசியத்தன்மை ஆகியவற்றை வழங்குகிறது.

ESP நெறிமுறை IP பாக்கெட் மட்டத்தில் குறியாக்கம் மூலம் தனியுரிமையை வழங்குகிறது. அதே நேரத்தில், பல சமச்சீர் குறியாக்க திட்ட அல்காரிதம்கள் ஆதரிக்கப்படுகின்றன. IPSec க்கான இயல்புநிலை அல்காரிதம் 56-பிட் விசையுடன் DES ஆகும். அனைத்து IPSec-திறனுள்ள தயாரிப்புகளுக்கும் இடையே பொருந்தக்கூடிய தன்மையை உறுதிப்படுத்த இந்த மறைக்குறியீடு இருக்க வேண்டும். சிஸ்கோ தயாரிப்புகள் 3DES அல்காரிதத்தையும் ஆதரிக்கின்றன, இது வலுவான குறியாக்கத்தை வழங்குகிறது. தனியுரிமை மற்ற சேவைகளிலிருந்து சுயாதீனமாக தேர்ந்தெடுக்கப்படலாம்.

தரவு மூல அங்கீகாரம் மற்றும் இணைப்பு இல்லாத ஒருமைப்பாடு ஆதரவு ஆகியவை ஒன்றாகப் பயன்படுத்தப்படுகின்றன, மேலும் அவை விருப்பமானவை (அதாவது, விருப்பமானது). இந்த அம்சங்களையும் தனியுரிமை சேவையுடன் இணைக்கலாம்.
தரவு மூல அங்கீகரிப்பு தேர்ந்தெடுக்கப்பட்டால் மட்டுமே ரீப்ளே பாதுகாப்புச் சேவையைத் தேர்ந்தெடுக்க முடியும், மேலும் இந்தச் சேவையின் தேர்வு பெறுநரின் முழு உரிமையாகும். முன்னிருப்பாக அனுப்புநர், ரீப்ளே பாதுகாப்பிற்காகப் பயன்படுத்தப்படும் வரிசை எண்ணை தானாகவே அதிகரிக்க வேண்டும் என்றாலும், பெறுநர் வரிசை எண்ணைச் சரிபார்த்தால் மட்டுமே இந்தச் சேவை பயனுள்ளதாக இருக்கும். போக்குவரத்து ரகசியத்தன்மைக்கு சுரங்கப்பாதை பயன்முறையைத் தேர்ந்தெடுக்க வேண்டும். இது ஒரு பாதுகாப்பு நுழைவாயிலில் மிகவும் பயனுள்ளதாக இருக்கும், அங்கு அனைத்து போக்குவரத்திலும் ஒரே நேரத்தில் மூல-இலக்கு மாஸ்க்வேரேடிங் செய்ய முடியும். தனியுரிமை மற்றும் அங்கீகாரம் ஆகிய இரண்டும் விருப்பங்கள் என்றாலும், இந்த சேவைகளில் ஏதேனும் ஒன்றையாவது தேர்ந்தெடுக்க வேண்டும் என்பதை இங்கே குறிப்பிட வேண்டும்.
ESP வழங்கும் சேவைகள் IPSec உள்ளமைவில் குறிப்பிடப்பட்ட அளவுருக்கள் மற்றும் IPSec பாதுகாப்பு சங்கத்தை உருவாக்கும் போது தேர்ந்தெடுக்கப்பட்டவை சார்ந்தது. இருப்பினும், ஒருமைப்பாடு/அங்கீகாரம் இல்லாமல் (ESP க்குள் அல்லது தனித்தனியாக NA ஐப் பயன்படுத்துதல்) ரகசியத்தன்மையைத் தேர்ந்தெடுப்பது, இந்த வழியில் பயன்படுத்தப்படும் இரகசிய சேவையின் பயனை மட்டுப்படுத்தக்கூடிய சில வகையான தாக்குதல்களுக்கு எதிரியைத் திறந்துவிடுகிறது.
IP தலைப்புக்குப் பிறகு, உயர்-அடுக்கு நெறிமுறை தலைப்புக்கு முன் (போக்குவரத்து முறையில்) அல்லது இணைக்கப்பட்ட IP தலைப்புக்கு முன் (சுரங்கப் பாதையில்) ESP தலைப்பு பாக்கெட்டில் செருகப்படுகிறது. ESP நெறிமுறையின் முழுமையான விளக்கம் RFC 2406 இல் உள்ளது.

NMAC ஐப் பயன்படுத்தி ESP குறியாக்கம்

விருப்பமான அங்கீகார புலத்தைப் பயன்படுத்தி ESP பாக்கெட் அங்கீகாரத்தையும் வழங்கலாம். Cisco IOS மென்பொருள் மற்றும் PIX Firewalls இல், இந்த சேவை ESP HMAC என அழைக்கப்படுகிறது. குறியாக்கம் செய்யப்பட்ட பிறகு அங்கீகார மதிப்புகள் கணக்கிடப்படுகின்றன. இன்று பயன்பாட்டில் உள்ள IPSec தரநிலை SHA1 மற்றும் MD5 அல்காரிதம்களை NMAC க்கு கட்டாயமாக விவரிக்கிறது.
ESP அங்கீகாரத்திற்கும் NA அங்கீகாரத்திற்கும் உள்ள முக்கிய வேறுபாடு அவற்றின் நோக்கம். ஈஎஸ்பி என்காப்சுலேஷன் (சுரங்கப்பாதை பயன்முறை) இல்லாவிடில், ஈஎஸ்பி எந்த ஐபி ஹெடர் புலங்களையும் பாதுகாக்காது. ESP NMAC ஐப் பயன்படுத்தும் போது எந்த புலங்கள் பாதுகாக்கப்படுகின்றன என்பதை படம் காட்டுகிறது.


குறியாக்கம் பேலோட் தரவை மட்டுமே உள்ளடக்கும் என்பதை நினைவில் கொள்ளவும், அதே சமயம் என்எம்ஏசி ஈஎஸ்பி ஹேஷிங்குடன் கூடிய ஈஎஸ்பி ஈஎஸ்பி ஹெடர் மற்றும் பேலோட் தரவை உள்ளடக்கியது. IP தலைப்பு பாதுகாக்கப்படவில்லை. ESP NMAC சேவையை சுயாதீனமாக பயன்படுத்த முடியாது, ஆனால் ESP குறியாக்க நெறிமுறையுடன் இணைக்கப்பட வேண்டும்.

IPSec சுரங்கப்பாதை மற்றும் போக்குவரத்து முறைகள்

IPSec சுரங்கப்பாதை அல்லது போக்குவரத்து முறையில் செயல்படுகிறது. சுரங்கப்பாதை பயன்முறையின் செயல்படுத்தல் வரைபடத்தை படம் காட்டுகிறது. இந்தப் பயன்முறையில், முழு அசல் IP டேட்டாகிராமும் என்க்ரிப்ட் செய்யப்பட்டு, புதிய IP தலைப்பு மற்றும் கூடுதல் IPSec ஹெடருடன் (படத்தில் சுருக்கமாக HDR) புதிய IP பாக்கெட்டில் பேலோடாக மாறும். டன்னல் பயன்முறையானது ஒரு பிணைய சாதனத்தை (PIX Firewall போன்றவை) IPSec நுழைவாயில் அல்லது ப்ராக்ஸி சேவையகமாக செயல்பட அனுமதிக்கிறது, இது ஃபயர்வாலுக்குப் பின்னால் உள்ள ஹோஸ்ட்களுக்கான குறியாக்கத்தைச் செய்கிறது. மூல திசைவி பாக்கெட்டை குறியாக்கம் செய்து ஐபிஎஸ்செக் சுரங்கப்பாதையில் அனுப்புகிறது. இலக்கு PIX Firewall ஆனது பெறப்பட்ட IPSec பாக்கெட்டை டிக்ரிப்ட் செய்து, அசல் IP டேட்டாகிராமை பிரித்தெடுத்து, இலக்கு அமைப்புக்கு அனுப்புகிறது. சுரங்கப்பாதை பயன்முறையின் முக்கிய நன்மை என்னவென்றால், IPSec ஐப் பயன்படுத்துவதற்கு இறுதி அமைப்புகளை மாற்ற வேண்டிய அவசியமில்லை. டன்னல் பயன்முறையானது, டேட்டா ஸ்ட்ரீமைப் பகுப்பாய்வு செய்வதிலிருந்து எதிரியைத் தடுக்கிறது. சுரங்கப்பாதை பயன்முறையில் பரிமாற்றம் செய்யும் போது, ​​ஒரு எதிரியால் சுரங்கப்பாதையின் இறுதிப்புள்ளிகளை மட்டுமே தீர்மானிக்க முடியும், ஆனால் சுரங்கப்பாதை வழியாக செல்லும் பாக்கெட்டுகளின் உண்மையான ஆதாரம் மற்றும் இலக்கை தீர்மானிக்க முடியாது, சுரங்கப்பாதையின் இறுதிப்புள்ளிகள் மூல மற்றும் இலக்கு அமைப்புகளில் அமைந்திருந்தாலும் கூட.


கீழே உள்ள படத்தில் உள்ள வரைபடம் போக்குவரத்து பயன்முறையை விளக்குகிறது. இங்கே, IP பேலோட் மட்டுமே குறியாக்கம் செய்யப்பட்டுள்ளது மற்றும் அசல் IP தலைப்பு அப்படியே உள்ளது.
IPSec தலைப்பு சேர்க்கப்பட்டது. இந்த பயன்முறையின் நன்மை என்னவென்றால், இது ஒவ்வொரு பாக்கெட்டிலும் சில பைட்டுகளை மட்டுமே சேர்க்கிறது. கூடுதலாக, சாதனங்கள் திறந்த நெட்வொர்க்பாக்கெட்டை அனுப்பியவர் மற்றும் பெறுபவரின் உண்மையான முகவரிகளைக் காணலாம்.


இது இடைநிலை நெட்வொர்க்குகளின் சிறப்புத் திறன்களை (உத்தரவாத சேவையின் தரம் போன்றவை) ஐபி தலைப்பில் உள்ள தகவலின் அடிப்படையில் பயன்படுத்த அனுமதிக்கிறது. இருப்பினும், அடுக்கு 4 தலைப்பு குறியாக்கம் செய்யப்பட்டுள்ளது, இது பாக்கெட்டை பகுப்பாய்வு செய்யும் திறனைக் கட்டுப்படுத்துகிறது. துரதிர்ஷ்டவசமாக, போக்குவரத்து பயன்முறையில் தெளிவான உரையில் ஐபி தலைப்பை அனுப்புவது, தாக்குபவர் ஓரளவு தரவு ஓட்ட பகுப்பாய்வைச் செய்ய அனுமதிக்கிறது. எடுத்துக்காட்டாக, போக்குவரத்து முறையில் செயல்படும் IPSec கட்சிகளால் எத்தனை பாக்கெட்டுகள் அனுப்பப்பட்டன என்பதை தாக்குபவர் கண்டுபிடிக்க முடியும். ஆனால் ஐபி பாக்கெட்டுகள் ஃபார்வர்டு செய்யப்பட்டன என்பதை மட்டுமே தாக்குபவர் அறிந்து கொள்ள முடியும். ESP நெறிமுறை பயன்படுத்தப்பட்டிருந்தால், அவை மின்னஞ்சல் செய்தியா அல்லது வேறு ஏதேனும் இணைப்பா என்பதை தீர்மானிக்க முடியாது.

சுரங்கப்பாதை மற்றும் போக்குவரத்து முறைகளைப் பயன்படுத்துதல்

சுரங்கப்பாதை அல்லது போக்குவரத்து முறையைத் தேர்ந்தெடுப்பதற்கான விதிகளை விளக்கும் சில எடுத்துக்காட்டுகளைப் பார்ப்போம். கீழே உள்ள படம், சுரங்கப்பாதை பயன்முறை பயன்படுத்தப்படும் சூழ்நிலைகளைக் காட்டுகிறது. IPSec பாதுகாப்பு நுழைவாயில்களுக்கு இடையே தரவு ஓட்டத்தை குறியாக்க இந்த பயன்முறை பெரும்பாலும் பயன்படுத்தப்படுகிறது - எடுத்துக்காட்டாக, சிஸ்கோ ரூட்டர் மற்றும் PIX ஃபயர்வால் இடையே. IPSec நுழைவாயில்கள் அத்தகைய நுழைவாயில்களுக்குப் பின்னால் அமைந்துள்ள சாதனங்களுக்கு IPSec செயல்பாடுகளைச் செய்கின்றன (மேலே உள்ள படத்தில் இது தனிப்பட்ட கணினிஆலிஸ் மற்றும் மனிதவள சேவையகங்கள்). இந்த எடுத்துக்காட்டில், நுழைவாயில்களுக்கு இடையில் நிறுவப்பட்ட IPSec சுரங்கப்பாதை மூலம் ஆலிஸ் HR சேவையகங்களுக்கான பாதுகாப்பான அணுகலைப் பெறுகிறார்.

இறுதி நிலையங்களுக்கிடையேயான தொடர்புக்கு சுரங்கப்பாதை முறையும் பயன்படுத்தப்படுகிறது மென்பொருள் IPSec, எடுத்துக்காட்டாக, CiscoSecure VPN கிளையன்ட் மற்றும் IPSec நுழைவாயில் ஆகியவற்றுக்கு இடையேயான தொடர்பு.
இந்த எடுத்துக்காட்டில், சிஸ்கோ திசைவி மற்றும் IPSec மென்பொருளில் இயங்கும் சேவையகத்திற்கு இடையே IPSec சுரங்கப்பாதையை உருவாக்க டன்னல் பயன்முறை பயன்படுத்தப்படுகிறது. Cisco IOS மென்பொருள் மற்றும் PIX Firewall இல், IPSec தகவல்தொடர்புகளுக்கான டன்னல் பயன்முறையே இயல்புநிலை பயன்முறையாகும்.
IPSec ஐ ஆதரிக்கும் இறுதிப்புள்ளிகளுக்கு இடையில் அல்லது கேட்வே ஹோஸ்டாக விளக்கப்பட்டால், ஒரு எண்ட்பாயிண்ட் மற்றும் கேட்வேக்கு இடையில் போக்குவரத்து முறை பயன்படுத்தப்படுகிறது. படத்தில். கிளையன்ட் மென்பொருளை இயக்கும் ஆலிஸின் கணினியிலிருந்து IPSec மறைகுறியாக்கப்பட்ட சுரங்கப்பாதையை உருவாக்குவதற்கு போக்குவரத்து பயன்முறையைப் பயன்படுத்துவதை விளக்கும் எடுத்துக்காட்டு D கீழே உள்ளது. மைக்ரோசாப்ட் விண்டோஸ் 2000, சிஸ்கோ விபிஎன் 3000 செறிவூட்டிக்கு, இது ஆலிஸ் ஐபிஎஸ்செக் மீது எல்2டிபி சுரங்கப்பாதையைப் பயன்படுத்த அனுமதிக்கிறது.

AH மற்றும் ESP ஐப் பயன்படுத்துதல்

சில சூழ்நிலைகளில், AN மற்றும் ESP க்கு இடையில் தேர்ந்தெடுப்பதில் உள்ள சிக்கல் தீர்க்க கடினமாகத் தோன்றலாம், ஆனால் சில விதிகளைப் பின்பற்றுவதன் மூலம் அதை எளிதாக்கலாம். அடையாளம் காணப்பட்ட மூலத்திலிருந்து தரவு அதன் ஒருமைப்பாட்டை மீறாமல் அனுப்பப்படுகிறது மற்றும் அதன் ரகசியத்தன்மையை உறுதிப்படுத்த வேண்டிய அவசியமில்லை என்பதை நீங்கள் தெரிந்து கொள்ள வேண்டும் என்றால், AH நெறிமுறையைப் பயன்படுத்தவும், இது உயர்-அடுக்கு நெறிமுறைகள் மற்றும் போக்குவரத்தில் மாறாத IP தலைப்பு புலங்களைப் பாதுகாக்கிறது. பாதுகாப்பு என்பது தொடர்புடைய மதிப்புகளை மாற்ற முடியாது, ஏனெனில் இது இரண்டாவது IPSec தரப்பினரால் கண்டறியப்படும் மற்றும் எந்த மாற்றப்பட்ட IP டேட்டாகிராமும் நிராகரிக்கப்படும். AH நெறிமுறையானது சேனலில் ஒட்டு கேட்பதற்கும், தலைப்பை மற்றும் தரவுகளை ஊடுருவும் நபர் பார்ப்பதற்கும் எதிராக பாதுகாப்பை வழங்காது. ஆனால் தலைப்பு மற்றும் தரவை கண்டறிய முடியாதபடி மாற்ற முடியாது என்பதால், மாற்றியமைக்கப்பட்ட பாக்கெட்டுகள் நிராகரிக்கப்படுகின்றன.

நீங்கள் தரவை ரகசியமாக வைத்திருக்க வேண்டும் என்றால் (ரகசியத்தை உறுதிப்படுத்தவும்), ESP ஐப் பயன்படுத்தவும். இந்த நெறிமுறை போக்குவரத்து பயன்முறையில் உயர்-அடுக்கு நெறிமுறைகளையும், முழு அசல் ஐபி டேட்டாகிராமையும் சுரங்கப்பாதை பயன்முறையில் குறியாக்கம் செய்கிறது, இதனால் டிரான்ஸ்மிஷன் சேனலை முகர்ந்து பாக்கெட்டுகள் பற்றிய தகவலைப் பிரித்தெடுக்க முடியாது. ESP நெறிமுறை பாக்கெட்டுகளுக்கான அங்கீகார சேவையையும் வழங்க முடியும். இருப்பினும், போக்குவரத்து முறையில் ESP ஐப் பயன்படுத்தும் போது, ​​வெளிப்புற அசல் IP தலைப்பு பாதுகாக்கப்படாது, மேலும் சுரங்கப்பாதை பயன்முறையில், புதிய IP தலைப்பு பாதுகாக்கப்படாது. IPSec ஐப் பயன்படுத்தும் போது, ​​பயனர்கள் போக்குவரத்து பயன்முறையை விட சுரங்கப்பாதை பயன்முறையைப் பயன்படுத்துவதற்கான வாய்ப்புகள் அதிகம்.

IPsec என்பது ஒரு நெறிமுறை அல்ல, ஆனால் IP நெட்வொர்க்குகளின் பிணைய மட்டத்தில் தரவைப் பாதுகாக்க வடிவமைக்கப்பட்ட நெறிமுறைகளின் அமைப்பு. VPN சுரங்கப்பாதையை உருவாக்க IPsec ஐப் பயன்படுத்துவதற்கான கோட்பாட்டை இந்தக் கட்டுரை விவரிக்கும்.

அறிமுகம்

IPsec தொழில்நுட்பத்தை அடிப்படையாகக் கொண்ட VPN ஐ இரண்டு பகுதிகளாகப் பிரிக்கலாம்:

  • இணைய விசை பரிமாற்றம் (IKE) நெறிமுறை
  • IPsec நெறிமுறைகள் (AH/ESP/இரண்டும்)

முதல் பகுதி (IKE) பேச்சுவார்த்தைக் கட்டமாகும், இதன் போது இரண்டு VPN புள்ளிகள் தங்களுக்கு இடையே அனுப்பப்படும் IP போக்குவரத்தைப் பாதுகாக்க எந்த முறைகளைப் பயன்படுத்த வேண்டும் என்பதைத் தேர்ந்தெடுக்கும். கூடுதலாக, ஒவ்வொரு இணைப்பிற்கும் பாதுகாப்பு சங்கங்கள் (SA) என்ற கருத்தை அறிமுகப்படுத்துவதன் மூலம் இணைப்புகளை நிர்வகிக்கவும் IKE பயன்படுத்தப்படுகிறது. SAக்கள் ஒரு திசையில் மட்டுமே சுட்டிக்காட்டுகின்றன, எனவே ஒரு பொதுவான IPsec இணைப்பு இரண்டு SAகளைப் பயன்படுத்துகிறது.

இரண்டாவது பகுதி, முதல் பகுதியில் (IKE) ஒப்புக் கொள்ளப்பட்ட முறைகளைப் பயன்படுத்தி அனுப்பப்படுவதற்கு முன், குறியாக்கம் செய்யப்பட்டு அங்கீகரிக்கப்பட வேண்டிய IP தரவு ஆகும். வெவ்வேறு IPsec நெறிமுறைகள் பயன்படுத்தப்படலாம்: AH, ESP அல்லது இரண்டும்.

IPsec வழியாக VPN ஐ நிறுவுவதற்கான வரிசையை சுருக்கமாக இவ்வாறு விவரிக்கலாம்:

  • IKE IKE அடுக்கு பாதுகாப்பு குறித்து பேச்சுவார்த்தை நடத்துகிறது
  • IKE IPsec அடுக்கு பாதுகாப்பு குறித்து பேச்சுவார்த்தை நடத்துகிறது
  • பாதுகாக்கப்பட்ட தரவு VPN IPsec வழியாக அனுப்பப்படுகிறது

IKE, இணைய விசை பரிமாற்றம்

தரவை குறியாக்க மற்றும் அங்கீகரிக்க, நீங்கள் குறியாக்க/அங்கீகார முறை (அல்காரிதம்) மற்றும் அவற்றில் பயன்படுத்தப்படும் விசைகளைத் தேர்ந்தெடுக்க வேண்டும். இன்டர்நெட் கீ எக்ஸ்சேஞ்ச் புரோட்டோகால், IKE இன் பணி, இந்த விஷயத்தில் “அமர்வு விசை” தரவை விநியோகிப்பது மற்றும் VPN புள்ளிகளுக்கு இடையில் தரவைப் பாதுகாக்கும் வழிமுறைகளை ஒப்புக்கொள்வது.

IKE இன் முக்கிய பணிகள்:

  • VPN இன் அங்கீகரிப்பு ஒருவருக்கொருவர் புள்ளிகள்
  • புதிய IPsec இணைப்புகளை நிறுவுதல் (SA ஜோடிகளை உருவாக்குவதன் மூலம்)
  • தற்போதைய இணைப்புகளை நிர்வகித்தல்

IKE இணைப்புகளைக் கண்காணிக்கிறது, ஒவ்வொன்றிற்கும் ஒரு குறிப்பிட்ட பாதுகாப்பு சங்கங்கள், SA. SA ஆனது IPsec நெறிமுறை (AH/ESP அல்லது இரண்டும்), குறியாக்கம்/மறைகுறியாக்கம் மற்றும்/அல்லது தரவின் அங்கீகாரத்திற்காகப் பயன்படுத்தப்படும் அமர்வு விசைகள் உட்பட ஒரு குறிப்பிட்ட இணைப்பின் அளவுருக்களை விவரிக்கிறது. SA ஒரு திசையில் உள்ளது, எனவே ஒரு இணைப்பிற்கு பல SAகள் பயன்படுத்தப்படுகின்றன. பெரும்பாலான சந்தர்ப்பங்களில், ESP அல்லது AH மட்டுமே பயன்படுத்தப்படும் போது, ​​ஒவ்வொரு இணைப்புக்கும் இரண்டு SAக்கள் மட்டுமே உருவாக்கப்படுகின்றன, ஒன்று உள்வரும் போக்குவரத்திற்கும் ஒன்று வெளிச்செல்லும் போக்குவரத்திற்கும். ESP மற்றும் AH ஆகியவற்றை ஒன்றாகப் பயன்படுத்தும்போது, ​​SAக்கு நான்கு தேவைப்படுகிறது.

IKE பேச்சுவார்த்தை செயல்முறை பல நிலைகளில் (கட்டங்கள்) செல்கிறது. இந்த கட்டங்கள் அடங்கும்:

  1. IKE கட்டம்-1:
    - IKE இன் பாதுகாப்பு (ISAKMP சுரங்கப்பாதை) பேச்சுவார்த்தை நடத்தப்படுகிறது
  2. IKE கட்டம் இரண்டு (IKE கட்டம்-2):
    - IPsec பாதுகாப்பு பேச்சுவார்த்தை நடத்தப்பட்டது
    - அமர்வு விசைகளை உருவாக்க முதல் கட்டத்திலிருந்து தரவைப் பெறுதல்

IKE மற்றும் IPsec இணைப்புகள் கால அளவு (வினாடிகளில்) மற்றும் பரிமாற்றப்பட்ட தரவு அளவு (கிலோபைட்களில்) வரையறுக்கப்பட்டுள்ளன. பாதுகாப்பை அதிகரிக்க இது செய்யப்படுகிறது.
IPsec இணைப்பின் கால அளவு பொதுவாக IKE ஐ விட குறைவாக இருக்கும். எனவே, ஒரு IPsec இணைப்பு காலாவதியாகும் போது, ​​ஒரு புதிய IPsec இணைப்பு இரண்டாவது பேச்சுவார்த்தை கட்டத்தின் மூலம் மீண்டும் உருவாக்கப்படும். IKE இணைப்பை மீண்டும் உருவாக்கும் போது மட்டுமே முதல் பேச்சுவார்த்தை கட்டம் பயன்படுத்தப்படுகிறது.

IKE உடன் பேச்சுவார்த்தை நடத்த, IKE முன்மொழிவு என்ற கருத்து அறிமுகப்படுத்தப்பட்டது - இது தரவை எவ்வாறு பாதுகாப்பது என்பது பற்றிய ஒரு முன்மொழிவு. IPsec இணைப்பைத் தொடங்கும் VPN புள்ளியானது இணைப்பைப் பாதுகாப்பதற்கான பல்வேறு முறைகளைக் குறிக்கும் பட்டியலை (வாக்கியம்) அனுப்புகிறது.
புதிய IPsec இணைப்பை நிறுவுவது மற்றும் புதிய IKE இணைப்பை நிறுவுவது பற்றி பேச்சுவார்த்தைகள் நடத்தப்படலாம். IPsec ஐப் பொறுத்தவரை, பாதுகாக்கப்பட்ட தரவு என்பது VPN சுரங்கப்பாதை வழியாக அனுப்பப்படும் ட்ராஃபிக் ஆகும், மேலும் IKE ஐப் பொறுத்தவரை, பாதுகாக்கப்பட்ட தரவு என்பது IKE பேச்சுவார்த்தைகளின் தரவாகும்.
பட்டியலை (பரிந்துரை) பெறும் VPN புள்ளி அதிலிருந்து மிகவும் பொருத்தமான ஒன்றைத் தேர்ந்தெடுத்து அதை பதிலில் குறிப்பிடுகிறது. சலுகைகள் எதையும் தேர்ந்தெடுக்க முடியாவிட்டால், VPN கேட்வே மறுக்கும்.
குறியாக்க அல்காரிதம் மற்றும் அங்கீகாரம் போன்றவற்றைத் தேர்ந்தெடுப்பதற்குத் தேவையான அனைத்து தகவல்களும் முன்மொழிவைக் கொண்டுள்ளது.

கட்டம் 1 IKE - IKE பாதுகாப்பு பேச்சுவார்த்தை (ISAKMP டன்னல்)
பேச்சுவார்த்தையின் முதல் கட்டத்தில், VPN புள்ளிகள் ஒரு பொதுவான விசையின் (முன்-பகிரப்பட்ட விசை) அடிப்படையில் ஒன்றையொன்று அங்கீகரிக்கின்றன. அங்கீகாரத்திற்காக, ஹாஷ் அல்காரிதம்கள் பயன்படுத்தப்படுகின்றன: MD5, SHA-1, SHA-2.
இருப்பினும், ஒருவரையொருவர் அங்கீகரிப்பதற்கு முன், தெளிவான உரையில் தகவல்களை அனுப்பாமல் இருக்க, VPN புள்ளிகள் முன்னர் விவரிக்கப்பட்ட முன்மொழிவுகளின் பட்டியல்களை (முன்மொழிவுகள்) பரிமாறிக்கொள்கின்றன. இரண்டு VPN புள்ளிகளுக்கும் பொருந்தக்கூடிய சலுகை தேர்ந்தெடுக்கப்பட்ட பின்னரே VPN புள்ளி ஒன்றையொன்று அங்கீகரிக்கும்.
அங்கீகாரம் செய்ய முடியும் வெவ்வேறு வழிகளில்: முன் பகிரப்பட்ட விசைகள், சான்றிதழ்கள் அல்லது . பகிரப்பட்ட விசைகள் மிகவும் பொதுவான அங்கீகார முறை.
கட்டம் 1 IKE பேச்சுவார்த்தை இரண்டு முறைகளில் ஒன்றில் நிகழலாம்: முக்கிய மற்றும் ஆக்கிரமிப்பு. முக்கிய பயன்முறை அதிக நேரம் எடுக்கும், ஆனால் மிகவும் பாதுகாப்பானது. அதன் செயல்பாட்டில், ஆறு செய்திகள் பரிமாறப்படுகின்றன. ஆக்கிரமிப்பு பயன்முறை வேகமானது, தன்னை மூன்று செய்திகளுக்கு மட்டுப்படுத்துகிறது.
IKE இன் முதல் கட்டத்தின் முக்கிய வேலை Diffie-Hellman விசைகளின் பரிமாற்றத்தில் உள்ளது. இது பொது விசை குறியாக்கத்தை அடிப்படையாகக் கொண்டது, ஒவ்வொரு தரப்பினரும் அங்கீகார அளவுருவை (முன்-பகிரப்பட்ட விசை) அதன் அண்டை வீட்டாரின் பொது விசையுடன் குறியாக்குகிறது. இந்த செய்திஅதன் தனிப்பட்ட விசையுடன் அதை மறைகுறியாக்குகிறது. ஒருவரையொருவர் அங்கீகரிக்க மற்றொரு வழி சான்றிதழ்களைப் பயன்படுத்துவதாகும்.

கட்டம் 2 IKE - IPsec பாதுகாப்பு பேச்சுவார்த்தை
இரண்டாவது கட்டத்தில், IPsec இணைப்பு பாதுகாப்பு முறை தேர்ந்தெடுக்கப்பட்டது.
முதல் கட்டத்தில் ஏற்பட்ட டிஃபி-ஹெல்மேன் கீ பரிமாற்றத்திலிருந்து பிரித்தெடுக்கப்பட்ட கீயிங் மெட்டீரியலை இரண்டாம் கட்டம் பயன்படுத்துகிறது. இந்த பொருளின் அடிப்படையில், அமர்வு விசைகள் உருவாக்கப்படுகின்றன, அவை VPN சுரங்கப்பாதையில் தரவைப் பாதுகாக்கப் பயன்படுகின்றன.

பொறிமுறையைப் பயன்படுத்தினால் சரியான பகிர்தல் ரகசியம் (PFS), பின்னர் ஒரு புதிய டிஃபி-ஹெல்மேன் விசை பரிமாற்றம் ஒவ்வொரு கட்ட இரண்டு பேச்சுவார்த்தைக்கும் பயன்படுத்தப்படும். செயல்பாட்டின் வேகத்தை சிறிது குறைக்கிறது, இந்த செயல்முறை அமர்வு விசைகள் ஒருவருக்கொருவர் சுயாதீனமாக இருப்பதை உறுதி செய்கிறது, இது பாதுகாப்பை அதிகரிக்கிறது, ஏனெனில் விசைகளில் ஒன்று சமரசம் செய்யப்பட்டாலும், மீதமுள்ளவற்றைத் தேர்ந்தெடுக்க அதைப் பயன்படுத்த முடியாது.

IKE பேச்சுவார்த்தையின் இரண்டாம் கட்டத்திற்கு ஒரே ஒரு இயக்க முறை மட்டுமே உள்ளது, இது விரைவான பயன்முறை என்று அழைக்கப்படுகிறது. இரண்டாம் கட்ட பேச்சுவார்த்தையின் போது, ​​மூன்று செய்திகள் பரிமாறிக் கொள்ளப்படுகின்றன.

இரண்டாவது கட்டத்தின் முடிவில், VPN இணைப்பு நிறுவப்பட்டது.

IKE விருப்பங்கள்.
இணைப்பு நிறுவலின் போது, ​​பல அளவுருக்கள் பயன்படுத்தப்படுகின்றன, பேச்சுவார்த்தை இல்லாமல் VPN இணைப்பை நிறுவுவது சாத்தியமில்லை.

  • முடிவு முனை அடையாளம்
    கணுக்கள் ஒருவருக்கொருவர் எவ்வாறு அங்கீகரிக்கின்றன. பொதுவாகப் பயன்படுத்தப்படும் விசை பகிரப்பட்ட விசையாகும். பகிரப்பட்ட முக்கிய அங்கீகாரம் Diffie-Hellman அல்காரிதத்தைப் பயன்படுத்துகிறது.
  • லோக்கல் மற்றும் ரிமோட் நெட்வொர்க்/ஹோஸ்ட்
    VPN சுரங்கப்பாதை வழியாக அனுமதிக்கப்படும் போக்குவரத்தை வரையறுக்கிறது.
  • சுரங்கப்பாதை அல்லது போக்குவரத்து முறை.
    IPsec இரண்டு முறைகளில் செயல்பட முடியும்: சுரங்கப்பாதை மற்றும் போக்குவரத்து. பயன்முறையின் தேர்வு பாதுகாக்கப்படும் பொருட்களைப் பொறுத்தது.
    சுரங்கப்பாதை முறைதொலைதூர பொருட்களுக்கு இடையே பாதுகாப்புக்காக பயன்படுத்தப்படுகிறது, அதாவது. IP பாக்கெட் முற்றிலும் புதிய ஒன்றில் இணைக்கப்பட்டுள்ளது மற்றும் இரண்டு VPN புள்ளிகளுக்கு இடையே உள்ள இணைப்பு மட்டுமே வெளிப்புற பார்வையாளருக்கு தெரியும். பேக்கெட் டீகேப்சுலேட் செய்யப்பட்டு VPN பெறும் இடத்தில் பெறப்பட்ட பிறகுதான் உண்மையான ஆதாரம் மற்றும் இலக்கு ஐபி முகவரிகள் தெரியும். எனவே, சுரங்கப்பாதை முறை பெரும்பாலும் VPN இணைப்புகளுக்குப் பயன்படுத்தப்படுகிறது.
    போக்குவரத்து முறை IP பாக்கெட்டின் (TCP, UDP மற்றும் மேல் அடுக்கு நெறிமுறைகள்) தரவைப் பாதுகாக்கிறது, மேலும் அசல் IP பாக்கெட்டின் தலைப்பு பாதுகாக்கப்படும். இந்த வழியில், பார்வையாளர் அசல் மூலத்தையும் இலக்கையும் பார்ப்பார், ஆனால் தரவு அனுப்பப்படுவதில்லை. இணைப்பைப் பாதுகாக்கும் போது இந்த முறை பெரும்பாலும் பயன்படுத்தப்படுகிறது உள்ளூர் நெட்வொர்க்ஹோஸ்ட்களுக்கு இடையே.
  • ரிமோட் கேட்வே
    பாதுகாப்பான இணைப்பைப் பெறுபவர் VPN ஆகும், இது மறுபக்கத்திலிருந்து தரவை மறைகுறியாக்கி/அங்கீகரித்து இறுதி இலக்குக்கு அனுப்பும்.
  • IKE இயக்க முறை
    IKE பேச்சுவார்த்தை இரண்டு முறைகளில் செயல்படலாம்: அடிப்படைமற்றும் முரட்டுத்தனமான.
    அவற்றுக்கிடையேயான வித்தியாசம் என்னவென்றால், ஆக்கிரமிப்பு பயன்முறையில், குறைவான பாக்கெட்டுகள் பயன்படுத்தப்படுகின்றன, இது விரைவான இணைப்பை நிறுவ அனுமதிக்கிறது. மறுபுறம், ஆக்கிரமிப்பு பயன்முறையானது டிஃபி-ஹெல்மேன் குழுக்கள் மற்றும் PFS போன்ற சில பேச்சுவார்த்தை அளவுருக்களை அனுப்பாது, இதில் பங்கேற்கும் இணைப்புப் புள்ளிகளில் அவற்றின் பூர்வாங்க ஒரே மாதிரியான உள்ளமைவு தேவைப்படுகிறது.
  • IPsec நெறிமுறைகள்
    இரண்டு IPsec நெறிமுறைகள் உள்ளன: அங்கீகரிப்பு தலைப்பு (AH) மற்றும் Encapsulating Security Payload (ESP), இவை குறியாக்கம் மற்றும் அங்கீகார செயல்பாடுகளைச் செய்கின்றன.
    ESP தனித்தனியாக அல்லது ஒரே நேரத்தில் குறியாக்கம், அங்கீகாரத்தை அனுமதிக்கிறது.
    AH அங்கீகாரத்தை மட்டுமே அனுமதிக்கிறது. ESP அங்கீகாரத்தில் உள்ள வித்தியாசம் என்னவென்றால், AH ஆனது வெளிப்புற IP தலைப்பையும் அங்கீகரிக்கிறது, இது பாக்கெட்டில் குறிப்பிடப்பட்ட மூலத்திலிருந்து உண்மையில் வந்ததா என்பதை உறுதிப்படுத்த உங்களை அனுமதிக்கிறது.
  • IKE குறியாக்கம்
    பயன்படுத்த வேண்டிய IKE என்க்ரிப்ஷன் அல்காரிதம் மற்றும் அதன் விசைகளைக் குறிப்பிடுகிறது. பல்வேறு சமச்சீர் குறியாக்க வழிமுறைகள் ஆதரிக்கப்படுகின்றன, எடுத்துக்காட்டாக: DES, 3DES, AES.
  • IKE அங்கீகாரம்
    IKE பேச்சுவார்த்தையில் பயன்படுத்தப்படும் அங்கீகார அல்காரிதம். இருக்கலாம்: SHA, MD5.
  • IKE Diffie-Hellman (DH) குழுக்கள்
    IKE இல் முக்கிய பரிமாற்றத்திற்கு DF குழு பயன்படுத்தப்படுகிறது. பெரிய குழு, பரிமாற்ற விசைகளின் அளவு பெரியது.
  • IKE இணைப்பு ஆயுட்காலம்
    இது நேரம் (வினாடிகள்) மற்றும் மாற்றப்பட்ட தரவின் அளவு (கிலோபைட்டுகள்) ஆகியவற்றால் குறிக்கப்படுகிறது. கவுண்டர்களில் ஒன்று வாசல் மதிப்பை அடைந்தவுடன், ஒரு புதிய முதல் கட்டம் தொடங்குகிறது. IKE இணைப்பு உருவாக்கப்பட்டதிலிருந்து தரவு எதுவும் மாற்றப்படவில்லை என்றால், ஒரு தரப்பினர் VPN இணைப்பை உருவாக்க விரும்பும் வரை புதிய இணைப்புகள் உருவாக்கப்படாது.
  • PFS
    PFS முடக்கப்பட்ட நிலையில், முக்கிய உருவாக்கப் பொருள் முக்கிய பரிமாற்றத்தின் போது IKE பேச்சுவார்த்தையின் முதல் கட்டத்தில் மீட்டெடுக்கப்படும். IKE பேச்சுவார்த்தையின் இரண்டாம் கட்டத்தில், பெறப்பட்ட பொருளின் அடிப்படையில் அமர்வு விசைகள் உருவாக்கப்படும். PFS இயக்கப்படும் போது, ​​புதிய அமர்வு விசைகளை உருவாக்கும் போது, ​​ஒவ்வொரு முறையும் ஒரு புதிய பொருள் பயன்படுத்தப்படும். இதனால், ஒரு விசை சமரசம் செய்யப்பட்டால், அதன் அடிப்படையில் புதிய விசைகளை உருவாக்க முடியாது.
    PFS இரண்டு முறைகளில் பயன்படுத்தப்படலாம்: விசைகளில் முதல் PFS ஒவ்வொரு முறையும் பேச்சுவார்த்தை தொடங்கும் போது முதல் IKE கட்டத்தில் புதிய விசை பரிமாற்றத்தைத் தொடங்கும்.
    இரண்டாவது கட்டம். அடையாள பயன்முறையில் உள்ள இரண்டாவது PFS ஆனது, ஒவ்வொரு முறையும் இரண்டாவது கட்ட பேச்சுவார்த்தையின் போது முதல் கட்ட SA ஐ அகற்றும், எந்த இரண்டாம் கட்ட பேச்சுவார்த்தையும் முந்தையதை ஒத்த விசையுடன் குறியாக்கம் செய்யப்படாது என்பதை உறுதி செய்யும்.
  • IPsec DH குழுக்கள்
    DF குழு தரவு IKE இல் பயன்படுத்தப்பட்டதைப் போன்றது, PFS க்கு மட்டுமே பயன்படுத்தப்படுகிறது.
  • IPsec குறியாக்கம்
    தரவை குறியாக்க அல்காரிதம் பயன்படுத்தப்படுகிறது. குறியாக்க பயன்முறையில் ESP ஐப் பயன்படுத்தும் போது பயன்படுத்தப்படுகிறது. எடுத்துக்காட்டு அல்காரிதம்கள்: DES, 3DES, AES.
  • IPsec அங்கீகாரம்
    அனுப்பப்பட்ட தரவை அங்கீகரிக்கப் பயன்படுத்தப்படும் அல்காரிதம். அங்கீகார பயன்முறையில் AH அல்லது ESP வழக்கில் பயன்படுத்தப்படுகிறது. எடுத்துக்காட்டு அல்காரிதம்கள்: SHA, MD5.
  • IPsec வாழ்நாள்
    VPN இணைப்பின் ஆயுட்காலம் நேரம் (வினாடிகள்) மற்றும் மாற்றப்பட்ட தரவின் அளவு (கிலோபைட்கள்) இரண்டிலும் குறிக்கப்படுகிறது. வரம்பை அடையும் முதல் கவுண்டர் அமர்வு விசைகளை மீண்டும் உருவாக்கத் தூண்டும். IKE இணைப்பு உருவாக்கப்பட்டதிலிருந்து தரவு எதுவும் மாற்றப்படவில்லை என்றால், ஒரு தரப்பினர் VPN இணைப்பை உருவாக்க விரும்பும் வரை புதிய இணைப்புகள் உருவாக்கப்படாது.

IKE அங்கீகார முறைகள்

  • கையேடு முறை
    IKE பயன்படுத்தப்படாத எளிய முறைகள் மற்றும் அங்கீகாரம் மற்றும் குறியாக்க விசைகள் மற்றும் வேறு சில அளவுருக்கள் VPN இணைப்பின் இரு புள்ளிகளிலும் கைமுறையாக அமைக்கப்பட்டுள்ளன.
  • பகிரப்பட்ட விசைகள் மூலம் (முன்-பகிர்ந்த விசைகள், PSK)
    VPN இணைப்பின் இரு புள்ளிகளிலும் முன்பே உள்ளிடப்பட்ட பகிரப்பட்ட விசை. முந்தைய முறையிலிருந்து வேறுபாடு என்னவென்றால், இது IKE ஐப் பயன்படுத்துகிறது, இது இறுதிப்புள்ளிகளை அங்கீகரிக்க அனுமதிக்கிறது மற்றும் நிலையான குறியாக்க விசைகளுக்கு பதிலாக சுழலும் அமர்வு விசைகளைப் பயன்படுத்துகிறது.
  • சான்றிதழ்கள்
    ஒவ்வொரு VPN புள்ளியும் பயன்படுத்துகிறது: அதன் சொந்த தனிப்பட்ட விசை, அதன் சொந்த பொது விசை, அதன் சொந்த பொது விசை உட்பட அதன் சொந்த சான்றிதழ் மற்றும் நம்பகமான சான்றிதழ் ஆணையத்தால் கையொப்பமிடப்பட்டது. முந்தைய முறையைப் போலன்றி, VPN இணைப்பின் அனைத்துப் புள்ளிகளிலும் ஒரு பொதுவான விசையை உள்ளிடுவதைத் தவிர்க்க இது உங்களை அனுமதிக்கிறது, நம்பகமான அதிகாரியால் கையொப்பமிடப்பட்ட தனிப்பட்ட சான்றிதழ்களுடன் அதை மாற்றுகிறது.

IPsec நெறிமுறைகள்

அனுப்பப்பட்ட தரவைப் பாதுகாக்க IPsec நெறிமுறைகள் பயன்படுத்தப்படுகின்றன. நெறிமுறை மற்றும் அதன் விசைகளின் தேர்வு IKE பேச்சுவார்த்தையின் போது நிகழ்கிறது.

AH (அங்கீகார தலைப்பு)

அனுப்பப்பட்ட தரவை அங்கீகரிக்கும் திறனை AH வழங்குகிறது. இதைச் செய்ய, ஐபி பாக்கெட்டில் உள்ள தரவு தொடர்பாக கிரிப்டோகிராஃபிக் ஹாஷ் செயல்பாடு பயன்படுத்தப்படுகிறது. இந்தச் செயல்பாட்டின் வெளியீடு (ஹாஷ்) பாக்கெட்டுடன் அனுப்பப்படுகிறது மற்றும் ரிமோட் VPN புள்ளியானது அசல் IP பாக்கெட்டின் ஒருமைப்பாட்டை உறுதிப்படுத்த அனுமதிக்கிறது, இது வழியில் மாற்றப்படவில்லை என்பதை உறுதிப்படுத்துகிறது. ஐபி பாக்கெட்டின் தரவுக்கு கூடுதலாக, AH அதன் தலைப்பின் ஒரு பகுதியையும் அங்கீகரிக்கிறது.

போக்குவரத்து பயன்முறையில், அசல் IP பாக்கெட்டுக்குப் பிறகு AH அதன் தலைப்பை உட்பொதிக்கிறது.
சுரங்கப்பாதை பயன்முறையில், AH அதன் தலைப்பை வெளிப்புற (புதிய) IP தலைப்புக்குப் பிறகும் உள் (அசல்) IP தலைப்புக்கு முன்பும் உட்பொதிக்கிறது.

ஈஎஸ்பி (என்கேப்சுலேட்டிங் செக்யூரிட்டி பேலோட்)

ESP நெறிமுறை குறியாக்கம், அங்கீகாரம் அல்லது ஐபி பாக்கெட்டைப் பொறுத்தவரை இரண்டிற்கும் பயன்படுத்தப்படுகிறது.

போக்குவரத்து பயன்முறையில், அசல் IP தலைப்புக்குப் பிறகு ESP நெறிமுறை அதன் தலைப்பைச் செருகுகிறது.
சுரங்கப்பாதை பயன்முறையில், ESP தலைப்பு வெளிப்புற (புதிய) IP தலைப்பிற்குப் பிறகு மற்றும் உள் (அசல்) முன் அமைந்துள்ளது.

ESP மற்றும் AH இடையே இரண்டு முக்கிய வேறுபாடுகள்:

  • அங்கீகாரத்துடன் கூடுதலாக, ESP குறியாக்க திறன்களையும் வழங்குகிறது (AH இதை வழங்காது)
  • சுரங்கப்பாதை பயன்முறையில் உள்ள ESP அசல் IP தலைப்பை மட்டுமே அங்கீகரிக்கிறது (AH வெளிப்புறத்தையும் அங்கீகரிக்கிறது).

NAT (NAT டிராவர்சல்) பின்னால் வேலை
NAT க்குப் பின்னால் உள்ள வேலையை ஆதரிக்க ஒரு தனி விவரக்குறிப்பு செயல்படுத்தப்பட்டது. VPN புள்ளி இந்த விவரக்குறிப்பை ஆதரித்தால், IPsec NATக்குப் பின்னால் செயல்படுவதை ஆதரிக்கிறது, ஆனால் சில தேவைகள் உள்ளன.
NAT ஆதரவு இரண்டு பகுதிகளைக் கொண்டுள்ளது:

  • IKE லேயரில், இறுதி சாதனங்கள் ஆதரவு, NAT டிராவர்சல் மற்றும் ஆதரிக்கப்படும் விவரக்குறிப்பின் பதிப்பு பற்றிய தகவல்களை ஒருவருக்கொருவர் பரிமாறிக்கொள்கின்றன.
  • ESP மட்டத்தில், உருவாக்கப்பட்ட பாக்கெட் UDP இல் இணைக்கப்பட்டுள்ளது.

இரு முனைப்புள்ளிகளும் அதை ஆதரித்தால் மட்டுமே NAT டிராவர்சல் பயன்படுத்தப்படும்.
NAT வரையறை: இரண்டு VPN எண்ட்பாயிண்ட்டுகளும் IKE பேச்சுவார்த்தையின் UDP மூல போர்ட்டுடன் தங்கள் IP முகவரிகளின் ஹாஷ்களை அனுப்புகின்றன. மூல ஐபி முகவரி மற்றும்/அல்லது போர்ட் மாறியுள்ளதா என்பதைத் தீர்மானிக்க பெறுநரால் இந்தத் தகவல் பயன்படுத்தப்படுகிறது. இந்த அளவுருக்கள் மாற்றப்படவில்லை என்றால், போக்குவரத்து NAT வழியாக செல்லாது மற்றும் NAT டிராவர்சல் பொறிமுறை தேவையில்லை. முகவரி அல்லது போர்ட் மாற்றப்பட்டிருந்தால், சாதனங்களுக்கு இடையில் NAT உள்ளது.

NAT டிராவர்சல் தேவை என்பதை இறுதிப் புள்ளிகள் தீர்மானித்தவுடன், IKE பேச்சுவார்த்தை UDP போர்ட் 500 இலிருந்து போர்ட் 4500 க்கு நகர்கிறது. NAT ஐப் பயன்படுத்தும் போது சில சாதனங்கள் போர்ட் 500 இல் IKE அமர்வைச் சரியாகக் கையாளாததால் இது செய்யப்படுகிறது.
ஈஎஸ்பி நெறிமுறை என்பது போக்குவரத்து அடுக்கு நெறிமுறை மற்றும் நேரடியாக ஐபியின் மேல் அமர்ந்திருப்பதால் மற்றொரு சிக்கல் எழுகிறது. இதன் காரணமாக, TCP/UDP போர்ட்டின் கருத்துகள் அதற்குப் பொருந்தாது, இது NAT வழியாக ஒன்றுக்கும் மேற்பட்ட கிளையண்ட்டை ஒரு கேட்வேயுடன் இணைக்க இயலாது. இந்தச் சிக்கலைத் தீர்க்க, ESP ஆனது UDP டேட்டாகிராமில் நிரம்பியுள்ளது மற்றும் போர்ட் 4500 க்கு அனுப்பப்படுகிறது, NAT டிராவர்சல் இயக்கப்பட்டிருக்கும் போது IKE பயன்படுத்தும் அதே ஒன்றாகும்.
NAT டிராவர்சல் அதை ஆதரிக்கும் நெறிமுறைகளில் கட்டமைக்கப்பட்டுள்ளது மற்றும் முன் உள்ளமைவு இல்லாமல் செயல்படுகிறது.



தொடர்புடைய கட்டுரைகள்