അറുപതുകളുടെ അവസാനത്തിൽ, അമേരിക്കൻ ഡിഫൻസ് അഡ്വാൻസ്ഡ് റിസർച്ച് പ്രോജക്ട്സ് ഏജൻസിയായ DARPA ARPANet എന്നൊരു പരീക്ഷണ ശൃംഖല സൃഷ്ടിക്കാൻ തീരുമാനിച്ചു. എഴുപതുകളിൽ, ARPANet ഒരു പ്രവർത്തിക്കുന്ന യുഎസ് നെറ്റ്‌വർക്കായി കണക്കാക്കാൻ തുടങ്ങി, ഈ നെറ്റ്‌വർക്കിലൂടെ യുഎസിലെ പ്രമുഖ സർവകലാശാലകളിലേക്കും ഗവേഷണ കേന്ദ്രങ്ങളിലേക്കും പ്രവേശനം നേടാനും കഴിഞ്ഞു. എൺപതുകളുടെ തുടക്കത്തിൽ, പ്രോഗ്രാമിംഗ് ഭാഷകളുടെ സ്റ്റാൻഡേർഡൈസേഷൻ ആരംഭിച്ചു, തുടർന്ന് നെറ്റ്‌വർക്ക് ഇൻ്ററാക്ഷൻ പ്രോട്ടോക്കോളുകൾ. ഈ പ്രവർത്തനത്തിൻ്റെ ഫലം ഏഴ്-പാളി ISO/OSI നെറ്റ്‌വർക്ക് ഇൻ്ററാക്ഷൻ മോഡലും TCP/IP പ്രോട്ടോക്കോൾ കുടുംബവും വികസിപ്പിച്ചെടുത്തു, ഇത് പ്രാദേശികവും ആഗോളവുമായ നെറ്റ്‌വർക്കുകളുടെ നിർമ്മാണത്തിന് അടിസ്ഥാനമായി.

ടിസിപി/ഐപി നെറ്റ്‌വർക്കുകളിലെ വിവര കൈമാറ്റത്തിൻ്റെ അടിസ്ഥാന സംവിധാനങ്ങൾ സാധാരണയായി എൺപതുകളുടെ തുടക്കത്തിൽ രൂപപ്പെട്ടതാണ്, കൂടാതെ വ്യത്യസ്തമായ ആശയവിനിമയ ചാനലുകൾ ഉപയോഗിച്ച് വിവിധ ഓപ്പറേറ്റിംഗ് സിസ്റ്റങ്ങൾക്കിടയിൽ ഡാറ്റ പാക്കറ്റുകൾ വിതരണം ചെയ്യുന്നത് ഉറപ്പാക്കുക എന്നതായിരുന്നു പ്രാഥമികമായി ലക്ഷ്യമിടുന്നത്. ARPANet (പിന്നീട് ആധുനിക ഇൻ്റർനെറ്റ് ആയി മാറിയത്) എന്ന ആശയം ഗവൺമെൻ്റ് ഡിഫൻസ് ഓർഗനൈസേഷനിൽ നിന്നാണ് വന്നതെങ്കിലും, ശൃംഖല യഥാർത്ഥത്തിൽ ഗവേഷണ ലോകത്താണ് ഉത്ഭവിച്ചത്, കൂടാതെ അക്കാദമിക് കമ്മ്യൂണിറ്റിയിൽ തുറന്ന മനസ്സിൻ്റെ പാരമ്പര്യം പാരമ്പര്യമായി ലഭിച്ചു. ഇൻറർനെറ്റിൻ്റെ വാണിജ്യവൽക്കരണത്തിന് മുമ്പുതന്നെ (തൊണ്ണൂറുകളുടെ മധ്യത്തിൽ സംഭവിച്ചത്), പ്രശസ്തരായ പല ഗവേഷകരും TCP/IP പ്രോട്ടോക്കോൾ സ്റ്റാക്കിൻ്റെ സുരക്ഷയുമായി ബന്ധപ്പെട്ട പ്രശ്നങ്ങൾ ശ്രദ്ധിച്ചു. TCP/IP പ്രോട്ടോക്കോളുകളുടെ അടിസ്ഥാന ആശയങ്ങൾ കമ്പ്യൂട്ടർ സുരക്ഷയെക്കുറിച്ചുള്ള ആധുനിക ആശയങ്ങളെ പൂർണ്ണമായും തൃപ്തിപ്പെടുത്തുന്നില്ല (ചില സന്ദർഭങ്ങളിൽ വിരുദ്ധമാണ്).

അടുത്ത കാലം വരെ, താരതമ്യേന ലളിതമായ പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് വിവരങ്ങൾ പ്രോസസ്സ് ചെയ്യുന്നതിന് ഇൻ്റർനെറ്റ് പ്രധാനമായും ഉപയോഗിച്ചിരുന്നു: ഇമെയിൽ, ഫയൽ കൈമാറ്റം, വിദൂര ആക്സസ്. ഇന്ന്, WWW സാങ്കേതികവിദ്യകളുടെ വ്യാപകമായ ഉപയോഗത്തിന് നന്ദി, വിതരണം ചെയ്ത മൾട്ടിമീഡിയ വിവര പ്രോസസ്സിംഗ് ടൂളുകൾ കൂടുതലായി ഉപയോഗിക്കുന്നു. അതേ സമയം, ക്ലയൻ്റ്/സെർവർ പരിതസ്ഥിതികളിൽ പ്രോസസ്സ് ചെയ്യപ്പെടുന്ന ഡാറ്റയുടെ അളവ് വർദ്ധിച്ചുകൊണ്ടിരിക്കുന്നു, കൂടാതെ ധാരാളം വരിക്കാരുടെ ഒരേസമയം കൂട്ടായ ആക്‌സസ്സ് ലക്ഷ്യമിടുന്നു. ഇമെയിൽ (PEM, PGP, മുതലായവ), WWW (Secure HTTP, SSL, മുതലായവ), നെറ്റ്‌വർക്ക് മാനേജ്‌മെൻ്റ് (SNMPv2, മുതലായവ) പോലുള്ള ആപ്ലിക്കേഷനുകളുടെ വിവര സുരക്ഷ ഉറപ്പാക്കാൻ നിരവധി ആപ്ലിക്കേഷൻ ലെവൽ പ്രോട്ടോക്കോളുകൾ വികസിപ്പിച്ചെടുത്തിട്ടുണ്ട്. എന്നിരുന്നാലും, ടിസിപി/ഐപി കുടുംബത്തിൻ്റെ അടിസ്ഥാന പ്രോട്ടോക്കോളുകളിൽ സുരക്ഷാ ഫീച്ചറുകളുടെ സാന്നിധ്യം വിവിധ ആപ്ലിക്കേഷനുകളും സേവനങ്ങളും തമ്മിൽ വിവര കൈമാറ്റം അനുവദിക്കും.

പ്രോട്ടോക്കോളിൻ്റെ രൂപത്തിൻ്റെ ഹ്രസ്വ ചരിത്ര പശ്ചാത്തലം

1994-ൽ ഇൻ്റർനെറ്റ് ആർക്കിടെക്ചർ ബോർഡ് (IAB) "ഇൻ്റർനെറ്റ് ആർക്കിടെക്ചറിൻ്റെ സുരക്ഷ" എന്ന റിപ്പോർട്ട് പുറത്തിറക്കി. ഈ ഡോക്യുമെൻ്റ് ഇൻ്റർനെറ്റിൽ അധിക സുരക്ഷാ ടൂളുകളുടെ പ്രയോഗത്തിൻ്റെ പ്രധാന മേഖലകൾ വിവരിച്ചു, അതായത് അനധികൃത നിരീക്ഷണം, പാക്കറ്റ് സ്പൂഫിംഗ്, ഡാറ്റാ ഫ്ലോ നിയന്ത്രണം എന്നിവയിൽ നിന്നുള്ള സംരക്ഷണം. ഡാറ്റാ ഫ്ലോകളുടെ സമഗ്രതയും രഹസ്യാത്മകതയും ഉറപ്പാക്കുന്നതിന് ഒരു ആശയവും അടിസ്ഥാന സംവിധാനങ്ങളും വികസിപ്പിക്കേണ്ടതിൻ്റെ ആവശ്യകതയാണ് ആദ്യത്തേതും ഏറ്റവും പ്രധാനപ്പെട്ടതുമായ സംരക്ഷണ നടപടികളിൽ ഒന്ന്. ടിസിപി/ഐപി കുടുംബത്തിൻ്റെ അടിസ്ഥാന പ്രോട്ടോക്കോളുകൾ മാറ്റുന്നത് ഇൻ്റർനെറ്റിൻ്റെ പൂർണ്ണമായ പുനർനിർമ്മാണത്തിന് കാരണമാകുമെന്നതിനാൽ, നിലവിലുള്ള പ്രോട്ടോക്കോളുകളെ അടിസ്ഥാനമാക്കി ഓപ്പൺ ടെലികമ്മ്യൂണിക്കേഷൻ നെറ്റ്‌വർക്കുകളിൽ വിവര കൈമാറ്റത്തിൻ്റെ സുരക്ഷ ഉറപ്പാക്കാൻ ചുമതല സജ്ജമാക്കി. അങ്ങനെ, IPv4, IPv6 പ്രോട്ടോക്കോളുകൾക്ക് പൂരകമായി, സുരക്ഷിത IP സ്പെസിഫിക്കേഷൻ സൃഷ്ടിക്കാൻ തുടങ്ങി.

IPSec ആർക്കിടെക്ചർ

IP സെക്യൂരിറ്റി എന്നത് IP പാക്കറ്റുകളുടെ ഗതാഗത സമയത്ത് എൻക്രിപ്ഷൻ, പ്രാമാണീകരണം, സുരക്ഷ എന്നിവയുമായി ബന്ധപ്പെട്ട പ്രശ്നങ്ങൾ കൈകാര്യം ചെയ്യുന്ന ഒരു കൂട്ടം പ്രോട്ടോക്കോളുകളാണ്; അതിൽ ഇപ്പോൾ ഏകദേശം 20 സ്റ്റാൻഡേർഡ് പ്രൊപ്പോസലുകളും 18 RFC-കളും ഉൾപ്പെടുന്നു.

ഐപി സെക്യൂരിറ്റി സ്പെസിഫിക്കേഷൻ (ഇന്ന് IPsec എന്നറിയപ്പെടുന്നു) വികസിപ്പിച്ചെടുത്തത് IETF IP സെക്യൂരിറ്റി പ്രോട്ടോക്കോൾ വർക്കിംഗ് ഗ്രൂപ്പാണ്. IPsec യഥാർത്ഥത്തിൽ 3 അൽഗോരിതം-ഇൻഡിപെൻഡൻ്റ് കോർ സ്പെസിഫിക്കേഷനുകൾ ഉൾപ്പെടുത്തി, RFC-കൾ ആയി പ്രസിദ്ധീകരിച്ചു: IP സെക്യൂരിറ്റി ആർക്കിടെക്ചർ, ഓതൻ്റിക്കേഷൻ ഹെഡർ (AH), എൻക്രിപ്റ്റ് ചെയ്ത ഡാറ്റയുടെ എൻക്യാപ്‌സുലേഷൻ (ഇഎസ്‌പി) (RFC1825, 1826, കൂടാതെ 1827). 1998 നവംബറിൽ, ഐപി സെക്യൂരിറ്റി പ്രോട്ടോക്കോൾ വർക്കിംഗ് ഗ്രൂപ്പ് ഈ സവിശേഷതകളുടെ പുതിയ പതിപ്പുകൾ നിർദ്ദേശിച്ചു, അവയ്ക്ക് നിലവിൽ പ്രാഥമിക മാനദണ്ഡങ്ങളുടെ നിലയുണ്ട്, ഇവയാണ് RFC2401 - RFC2412. നിരവധി വർഷങ്ങളായി RFC1825-27 കാലഹരണപ്പെട്ടതായി കണക്കാക്കപ്പെടുന്നു, അത് ശരിക്കും ഉപയോഗിക്കുന്നില്ല. കൂടാതെ, MD5, SHA, DES പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ച് അൽഗോരിതം-ആശ്രിത സവിശേഷതകൾ ഉണ്ട്.

അരി. 1 - IPSec ആർക്കിടെക്ചർ.

ഐപി സെക്യൂരിറ്റി പ്രോട്ടോക്കോൾ വർക്കിംഗ് ഗ്രൂപ്പും പ്രധാന വിവര മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോളുകൾ വികസിപ്പിക്കുന്നു. ഈ ഗ്രൂപ്പിൻ്റെ ദൗത്യം ഇൻ്റർനെറ്റ് കീ മാനേജ്‌മെൻ്റ് പ്രോട്ടോക്കോൾ (IKMP) വികസിപ്പിക്കുക എന്നതാണ്, അത് ഉപയോഗിക്കുന്ന സുരക്ഷാ പ്രോട്ടോക്കോളുകളിൽ നിന്ന് സ്വതന്ത്രമായ ഒരു ആപ്ലിക്കേഷൻ-ലെവൽ കീ മാനേജ്‌മെൻ്റ് പ്രോട്ടോക്കോൾ ആണ്. ഇൻറർനെറ്റ് സെക്യൂരിറ്റി അസോസിയേഷനും കീ മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോളും (ISAKMP) സ്പെസിഫിക്കേഷനും ഓക്ക്ലി കീ ഡിറ്റർമിനേഷൻ പ്രോട്ടോക്കോളും ഉപയോഗിച്ച് നിലവിൽ പ്രധാന മാനേജ്മെൻ്റ് ആശയങ്ങൾ പര്യവേക്ഷണം ചെയ്യപ്പെടുന്നു. ഉപയോഗിച്ച പ്രോട്ടോക്കോളുകളുടെ ആട്രിബ്യൂട്ടുകൾ ചർച്ച ചെയ്യുന്നതിനുള്ള സംവിധാനങ്ങളെ ISAKMP സ്പെസിഫിക്കേഷൻ വിവരിക്കുന്നു, അതേസമയം ഓക്ക്ലി പ്രോട്ടോക്കോൾ ഇൻ്റർനെറ്റിലെ കമ്പ്യൂട്ടറുകളിൽ സെഷൻ കീകൾ ഇൻസ്റ്റാൾ ചെയ്യാൻ നിങ്ങളെ അനുവദിക്കുന്നു. മുമ്പ്, SKIP പ്രോട്ടോക്കോളിൻ്റെ പ്രധാന മാനേജ്മെൻ്റ് മെക്കാനിസങ്ങൾ ഉപയോഗിക്കുന്നതിനുള്ള സാധ്യതകളും പരിഗണിച്ചിരുന്നു, എന്നാൽ ഇപ്പോൾ അത്തരം സാധ്യതകൾ പ്രായോഗികമായി എവിടെയും ഉപയോഗിക്കുന്നില്ല. ഉയർന്നുവരുന്ന പ്രധാന വിവര മാനേജ്‌മെൻ്റ് മാനദണ്ഡങ്ങൾ കെർബറോസിൽ ഉപയോഗിക്കുന്നതുപോലുള്ള കീ വിതരണ കേന്ദ്രങ്ങളെ പിന്തുണച്ചേക്കാം. IPSec-നുള്ള Kerberos അടിസ്ഥാനമാക്കിയുള്ള കീ മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോളുകൾ നിലവിൽ താരതമ്യേന പുതിയ KINK (Kerberized Internet Negotiation of Keys) വർക്കിംഗ് ഗ്രൂപ്പാണ് അഭിസംബോധന ചെയ്യുന്നത്.

IPsec സ്പെസിഫിക്കേഷനിലെ ഡാറ്റ സമഗ്രതയും രഹസ്യാത്മകത ഉറപ്പും യഥാക്രമം പ്രാമാണീകരണ, എൻക്രിപ്ഷൻ മെക്കാനിസങ്ങൾ ഉപയോഗിച്ചാണ് നൽകുന്നത്. രണ്ടാമത്തേത്, വിവര കൈമാറ്റം എന്ന് വിളിക്കപ്പെടുന്ന കക്ഷികളുടെ പ്രാഥമിക കരാറിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്. "സുരക്ഷാ സന്ദർഭം" - പ്രയോഗിച്ച ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ, പ്രധാന വിവര മാനേജ്മെൻ്റ് അൽഗോരിതങ്ങൾ, അവയുടെ പാരാമീറ്ററുകൾ. ഡാറ്റാ പാക്കറ്റുകളുടെ പ്രാമാണീകരണത്തിനും എൻക്രിപ്‌ഷനുമുള്ള വിവിധ പ്രോട്ടോക്കോളുകളും പാരാമീറ്ററുകളും അതുപോലെ വിവിധ പ്രധാന വിതരണ സ്കീമുകളും പിന്തുണയ്ക്കുന്നതിന് കക്ഷികൾക്ക് വിവരങ്ങൾ കൈമാറാനുള്ള കഴിവ് IPsec സ്പെസിഫിക്കേഷൻ നൽകുന്നു. ഈ സാഹചര്യത്തിൽ, സുരക്ഷാ സന്ദർഭം അംഗീകരിക്കുന്നതിൻ്റെ ഫലം ഒരു സുരക്ഷാ പാരാമീറ്റർ സൂചിക (എസ്പിഐ) സ്ഥാപിക്കുന്നതാണ്, ഇത് വിവര കൈമാറ്റ പാർട്ടിയുടെ ആന്തരിക ഘടനയുടെ ഒരു പ്രത്യേക ഘടകത്തിലേക്കുള്ള ഒരു പോയിൻ്ററാണ്, സാധ്യമായ സുരക്ഷാ പാരാമീറ്ററുകൾ വിവരിക്കുന്നു.

അടിസ്ഥാനപരമായി, IPv6 ൻ്റെ അവിഭാജ്യ ഘടകമായി മാറുന്ന IPSec, മൂന്നാം ലെയറിൽ, അതായത് നെറ്റ്‌വർക്ക് ലെയറിൽ പ്രവർത്തിക്കുന്നു. തൽഫലമായി, ട്രാൻസ്മിറ്റ് ചെയ്ത ഐപി പാക്കറ്റുകൾ നെറ്റ്‌വർക്ക് ആപ്ലിക്കേഷനുകൾക്കും അടിസ്ഥാന സൗകര്യങ്ങൾക്കും സുതാര്യമായ രീതിയിൽ പരിരക്ഷിക്കപ്പെടും. ലെയർ 4-ൽ (അതായത്, ഗതാഗതം) പ്രവർത്തിക്കുന്ന എസ്എസ്എൽ (സെക്യുർ സോക്കറ്റ് ലെയർ) പോലെയല്ല, ഒഎസ്ഐ മോഡലിൻ്റെ ഉയർന്ന പാളികളുമായി കൂടുതൽ അടുത്ത് ബന്ധപ്പെട്ടിരിക്കുന്നു, ഐപിഎസ്സെക് താഴ്ന്ന നിലയിലുള്ള സുരക്ഷ നൽകാൻ രൂപകൽപ്പന ചെയ്തിട്ടുള്ളതാണ്.

അരി. 2 - OSI/ISO മോഡൽ.

സംരക്ഷിത പാക്കറ്റുകൾ തിരിച്ചറിയുന്നതിനായി ഒരു വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്കിലൂടെ അയയ്‌ക്കാൻ തയ്യാറുള്ള IP ഡാറ്റയിലേക്ക് IPSec ഒരു ഹെഡർ ചേർക്കുന്നു. ഇൻറർനെറ്റിലൂടെ കൈമാറ്റം ചെയ്യപ്പെടുന്നതിന് മുമ്പ്, ഈ പാക്കറ്റുകൾ മറ്റ് ഐപി പാക്കറ്റുകളിൽ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. ഡാറ്റ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് (DES), മെസേജ് ഡൈജസ്റ്റ് 5 (MD5) എന്നിവയുൾപ്പെടെ നിരവധി എൻക്രിപ്ഷൻ തരങ്ങളെ IPSec പിന്തുണയ്ക്കുന്നു.

ഒരു സുരക്ഷിത കണക്ഷൻ സ്ഥാപിക്കുന്നതിന്, സെഷനിൽ പങ്കെടുക്കുന്ന രണ്ടുപേർക്കും പ്രാമാണീകരണ അൽഗോരിതങ്ങളും കീകളും പോലുള്ള സുരക്ഷാ പാരാമീറ്ററുകൾ വേഗത്തിൽ അംഗീകരിക്കാൻ കഴിയണം. പങ്കെടുക്കുന്നവർക്ക് സെഷൻ പാരാമീറ്ററുകൾ ചർച്ച ചെയ്യാൻ കഴിയുന്ന രണ്ട് തരം കീ മാനേജ്മെൻ്റ് സ്കീമുകളെ IPSec പിന്തുണയ്ക്കുന്നു. ഈ ഇരട്ട പിന്തുണ ഒരു സമയത്ത് IETF വർക്കിംഗ് ഗ്രൂപ്പിൽ ചില സംഘർഷങ്ങൾക്ക് കാരണമായി.

IP-യുടെ നിലവിലെ പതിപ്പായ IPv4 ഉപയോഗിച്ച്, ഇൻ്റർനെറ്റ് സെക്യൂർ അസോസിയേഷൻ കീ മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോൾ (ISAKMP) അല്ലെങ്കിൽ ഇൻ്റർനെറ്റ് പ്രോട്ടോക്കോളിനായുള്ള ലളിതമായ കീ മാനേജ്മെൻ്റ് ഉപയോഗിക്കാം. IP-യുടെ പുതിയ പതിപ്പായ IPv6 ഉപയോഗിച്ച്, നിങ്ങൾ ഇപ്പോൾ IKE എന്നറിയപ്പെടുന്ന ISAKMP ഉപയോഗിക്കേണ്ടിവരും, എന്നിരുന്നാലും SKIP ഉപയോഗിക്കുന്നതിനുള്ള സാധ്യത ഒഴിവാക്കിയിട്ടില്ല. എന്നിരുന്നാലും, വളരെക്കാലമായി ഒരു പ്രധാന മാനേജുമെൻ്റ് സ്ഥാനാർത്ഥിയായി SKIP പരിഗണിക്കപ്പെട്ടിട്ടില്ലെന്നും 1997-ൽ സാധ്യമായ സ്ഥാനാർത്ഥികളുടെ പട്ടികയിൽ നിന്ന് നീക്കം ചെയ്യപ്പെട്ടുവെന്നും ഓർമ്മിക്കേണ്ടതാണ്.

തലക്കെട്ട് AH

ഓതൻ്റിക്കേഷൻ ഹെഡർ (AH) ഒരു സാധാരണ ഓപ്ഷണൽ ഹെഡറാണ്, ഇത് സാധാരണയായി IP പാക്കറ്റിൻ്റെ പ്രധാന തലക്കെട്ടിനും ഡാറ്റാ ഫീൽഡിനും ഇടയിലാണ് സ്ഥിതി ചെയ്യുന്നത്. ഗതാഗതത്തിൽ നിന്നും ഉയർന്ന തലങ്ങളിൽ നിന്നും വിവരങ്ങൾ കൈമാറുന്ന പ്രക്രിയയെ AH ൻ്റെ സാന്നിധ്യം ഒരു തരത്തിലും ബാധിക്കില്ല. നെറ്റ്‌വർക്ക് ലെയറിൻ്റെ ഉറവിട വിലാസം കബളിപ്പിക്കുന്നതുൾപ്പെടെ ഒരു പാക്കറ്റിലെ ഉള്ളടക്കങ്ങളിലെ അനധികൃത മാറ്റങ്ങളുമായി ബന്ധപ്പെട്ട ആക്രമണങ്ങളിൽ നിന്ന് സംരക്ഷണം നൽകുക എന്നതാണ് AH-ൻ്റെ പ്രധാനവും ഏകവുമായ ലക്ഷ്യം. ലഭിച്ച ഡാറ്റയുടെ ആധികാരികത പരിശോധിക്കാൻ ഉയർന്ന തലത്തിലുള്ള പ്രോട്ടോക്കോളുകൾ പരിഷ്കരിക്കണം.

AH ഫോർമാറ്റ് വളരെ ലളിതവും 96-ബിറ്റ് ഹെഡറും 32-ബിറ്റ് വാക്കുകൾ അടങ്ങുന്ന വേരിയബിൾ ലെങ്ത് ഡാറ്റയും ഉൾക്കൊള്ളുന്നു. ഫീൽഡ് നാമങ്ങൾ അവയുടെ ഉള്ളടക്കങ്ങൾ വളരെ വ്യക്തമായി പ്രതിഫലിപ്പിക്കുന്നു: അടുത്ത തലക്കെട്ട് അടുത്ത തലക്കെട്ടിനെ സൂചിപ്പിക്കുന്നു, പേലോഡ് ലെൻ പാക്കറ്റ് ദൈർഘ്യത്തെ പ്രതിനിധീകരിക്കുന്നു, SPI സുരക്ഷാ സന്ദർഭത്തിലേക്കുള്ള ഒരു പോയിൻ്ററാണ്, സീക്വൻസ് നമ്പർ ഫീൽഡിൽ പാക്കറ്റിൻ്റെ സീക്വൻസ് നമ്പർ അടങ്ങിയിരിക്കുന്നു.

അരി. 3 - AH ഹെഡർ ഫോർമാറ്റ്.

IPsec സ്പെസിഫിക്കേഷൻ റിവിഷൻ പ്രക്രിയയുടെ ഭാഗമായി 1997-ൽ AH-ൽ പാക്കറ്റ് സീക്വൻസ് നമ്പർ അവതരിപ്പിച്ചു. ഈ ഫീൽഡിൻ്റെ മൂല്യം അയച്ചയാളാണ് ജനറേറ്റ് ചെയ്യുന്നത് കൂടാതെ പ്രാമാണീകരണ പ്രക്രിയ ഡാറ്റയുടെ പുനരുപയോഗവുമായി ബന്ധപ്പെട്ട ആക്രമണങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കാൻ ഇത് സഹായിക്കുന്നു. പാക്കറ്റുകൾ വിതരണം ചെയ്യുന്ന ക്രമത്തിന് ഇൻ്റർനെറ്റ് ഉറപ്പുനൽകാത്തതിനാൽ, സ്വീകർത്താവ് വിജയകരമായി ആധികാരികമാക്കിയ പാക്കറ്റിൻ്റെ പരമാവധി സീക്വൻസ് സംഖ്യയെക്കുറിച്ചും മുൻ സീക്വൻസ് നമ്പറുകൾ അടങ്ങിയ നിരവധി പാക്കറ്റുകൾ ലഭിച്ചിട്ടുണ്ടോയെന്നും (സാധാരണയായി 64) വിവരങ്ങൾ സംഭരിച്ചിരിക്കണം.

സ്വിച്ച്ഡ് കമ്മ്യൂണിക്കേഷൻ ലൈനുകളിലൂടെയോ ലോക്കൽ നെറ്റ്‌വർക്ക് ചാനലുകളിലൂടെയോ വിവരങ്ങൾ കൈമാറുന്നതിനും ട്രാൻസ്മിഷൻ മീഡിയത്തിലെ ക്രമരഹിതമായ പിശകുകൾ പരിഹരിക്കുന്നതിനും ലക്ഷ്യമിട്ടുള്ള പ്രോട്ടോക്കോളുകളിൽ ഉപയോഗിക്കുന്ന ചെക്ക്സം കണക്കുകൂട്ടൽ അൽഗോരിതങ്ങളിൽ നിന്ന് വ്യത്യസ്തമായി, ഓപ്പൺ ടെലികമ്മ്യൂണിക്കേഷൻ നെറ്റ്‌വർക്കുകളിലെ ഡാറ്റാ സമഗ്രത ഉറപ്പാക്കുന്നതിനുള്ള സംവിധാനങ്ങൾക്ക് ടാർഗെറ്റുചെയ്‌ത മാറ്റങ്ങളിൽ നിന്ന് സംരക്ഷണം ഉണ്ടായിരിക്കണം. MD5 അൽഗോരിതത്തിൻ്റെ പ്രത്യേക ഉപയോഗമാണ് അത്തരത്തിലുള്ള ഒരു സംവിധാനം: AH രൂപീകരണ സമയത്ത്, ഒരു ഹാഷ് ഫംഗ്ഷൻ പാക്കറ്റിൻ്റെ യൂണിയനിൽ നിന്നും മുൻകൂട്ടി സമ്മതിച്ച ചില കീകളിൽ നിന്നും തുടർച്ചയായി കണക്കാക്കുന്നു, തുടർന്ന് ഫലത്തിൻ്റെ യൂണിയനിൽ നിന്നും രൂപാന്തരപ്പെട്ട കീ. എല്ലാ IPv6 നടപ്പിലാക്കലുകൾക്കും കയറ്റുമതി നിയന്ത്രണങ്ങൾക്ക് വിധേയമല്ലാത്ത ഒരു പൊതു അൽഗോരിതം എങ്കിലും ഉണ്ടെന്ന് ഉറപ്പാക്കാനുള്ള ഡിഫോൾട്ട് മെക്കാനിസമാണിത്.

ESP തലക്കെട്ട്

എൻക്രിപ്റ്റ് ചെയ്ത ഡാറ്റ എൻക്യാപ്സുലേഷൻ ഉപയോഗിക്കുമ്പോൾ, പാക്കറ്റിലെ "കാണാവുന്ന" ഓപ്ഷണൽ ഹെഡറുകളിൽ അവസാനത്തേതാണ് ESP തലക്കെട്ട്. ESP-യുടെ പ്രാഥമിക ലക്ഷ്യം ഡാറ്റയുടെ രഹസ്യസ്വഭാവം ഉറപ്പാക്കുക എന്നതാണ്, വ്യത്യസ്ത തരത്തിലുള്ള വിവരങ്ങൾക്ക് കാര്യമായ വ്യത്യസ്തമായ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ ആവശ്യമായി വന്നേക്കാം. തൽഫലമായി, ഉപയോഗിക്കുന്ന ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതം അനുസരിച്ച് ESP ഫോർമാറ്റിന് കാര്യമായ മാറ്റങ്ങൾ സംഭവിക്കാം. എന്നിരുന്നാലും, ഇനിപ്പറയുന്ന നിർബന്ധിത ഫീൽഡുകൾ വേർതിരിച്ചറിയാൻ കഴിയും: സുരക്ഷാ സന്ദർഭത്തെ സൂചിപ്പിക്കുന്ന SPI, പാക്കറ്റിൻ്റെ സീക്വൻസ് നമ്പർ അടങ്ങുന്ന സീക്വൻസ് നമ്പർ ഫീൽഡ്. ESP തലക്കെട്ടിൽ "ESP പ്രാമാണീകരണ ഡാറ്റ" ഫീൽഡ് (ചെക്ക്സം) ഓപ്ഷണലാണ്. ESP പാക്കറ്റിൻ്റെ സ്വീകർത്താവ് ESP തലക്കെട്ട് ഡീക്രിപ്റ്റ് ചെയ്യുകയും ട്രാൻസ്പോർട്ട് ലെയർ വിവരങ്ങൾ ഡീകോഡ് ചെയ്യുന്നതിന് പ്രയോഗിച്ച എൻക്രിപ്ഷൻ അൽഗോരിതത്തിൻ്റെ പാരാമീറ്ററുകളും ഡാറ്റയും ഉപയോഗിക്കുകയും ചെയ്യുന്നു.

അരി. 4 - ESP തലക്കെട്ട് ഫോർമാറ്റ്.

ESP, AH എന്നിവ ഉപയോഗിക്കുന്നതിന് രണ്ട് രീതികളുണ്ട് (അതുപോലെ തന്നെ അവയുടെ കോമ്പിനേഷനുകളും) - ഗതാഗതവും തുരങ്കവും.

ഗതാഗത മോഡ്

ട്രാൻസ്പോർട്ട് ലെയർ പ്രോട്ടോക്കോളുകൾ (TCP, UDP, ICMP) അടങ്ങിയ ഒരു IP പാക്കറ്റിൻ്റെ ഡാറ്റാ ഫീൽഡ് എൻക്രിപ്റ്റ് ചെയ്യാൻ ട്രാൻസ്പോർട്ട് മോഡ് ഉപയോഗിക്കുന്നു, അതിൽ ആപ്ലിക്കേഷൻ സേവന വിവരങ്ങൾ അടങ്ങിയിരിക്കുന്നു. ട്രാൻസ്പോർട്ട് മോഡ് ഉപയോഗിക്കുന്നതിനുള്ള ഒരു ഉദാഹരണം ഇലക്ട്രോണിക് മെയിൽ ട്രാൻസ്മിഷൻ ആണ്. അയച്ചയാളിൽ നിന്ന് റിസീവറിലേക്കുള്ള ഒരു പാക്കറ്റിൻ്റെ റൂട്ടിലുള്ള എല്ലാ ഇൻ്റർമീഡിയറ്റ് നോഡുകളും പൊതു നെറ്റ്‌വർക്ക് ലെയർ വിവരങ്ങളും ചില ഓപ്ഷണൽ പാക്കറ്റ് ഹെഡറുകളും (IPv6-ൽ) മാത്രം ഉപയോഗിക്കുന്നു. ഒരു പാക്കറ്റ് അയച്ചയാളെയും സ്വീകർത്താവിനെയും മറയ്ക്കുന്നതിനുള്ള സംവിധാനങ്ങളുടെ അഭാവവും ട്രാഫിക് വിശകലനം ചെയ്യാനുള്ള കഴിവുമാണ് ട്രാൻസ്പോർട്ട് മോഡിൻ്റെ പോരായ്മ. അത്തരം ഒരു വിശകലനത്തിൻ്റെ ഫലം വിവര കൈമാറ്റത്തിൻ്റെ വോള്യങ്ങളും ദിശകളും, വരിക്കാരുടെ താൽപ്പര്യമുള്ള മേഖലകൾ, മാനേജർമാരുടെ സ്ഥാനം എന്നിവയെക്കുറിച്ചുള്ള വിവരങ്ങളായിരിക്കാം.

ടണൽ മോഡ്

ടണൽ മോഡ് നെറ്റ്‌വർക്ക് ലെയർ ഹെഡർ ഉൾപ്പെടെ മുഴുവൻ പാക്കറ്റും എൻക്രിപ്റ്റ് ചെയ്യുന്നു. പുറം ലോകവുമായി സംഘടനയുടെ വിവര കൈമാറ്റം മറയ്ക്കാൻ ആവശ്യമെങ്കിൽ ടണൽ മോഡ് ഉപയോഗിക്കുന്നു. ഈ സാഹചര്യത്തിൽ, ടണൽ മോഡ് ഉപയോഗിക്കുന്ന ഒരു പാക്കറ്റിൻ്റെ നെറ്റ്‌വർക്ക് ലെയർ ഹെഡറിൻ്റെ വിലാസ ഫീൽഡുകൾ ഓർഗനൈസേഷൻ്റെ ഫയർവാൾ ഉപയോഗിച്ച് പൂരിപ്പിക്കുന്നു, കൂടാതെ പാക്കറ്റ് അയച്ചയാളെക്കുറിച്ചുള്ള വിവരങ്ങൾ അടങ്ങിയിട്ടില്ല. പുറം ലോകത്തിൽ നിന്ന് ഓർഗനൈസേഷൻ്റെ പ്രാദേശിക നെറ്റ്‌വർക്കിലേക്ക് വിവരങ്ങൾ കൈമാറുമ്പോൾ, ലക്ഷ്യസ്ഥാന വിലാസമായി ഫയർവാളിൻ്റെ നെറ്റ്‌വർക്ക് വിലാസം ഉപയോഗിക്കുന്നു. ഫയർവാൾ പ്രാരംഭ നെറ്റ്‌വർക്ക് ലെയർ ഹെഡർ ഡീക്രിപ്റ്റ് ചെയ്ത ശേഷം, പാക്കറ്റ് സ്വീകർത്താവിന് കൈമാറും.

സുരക്ഷാ അസോസിയേഷനുകൾ

ഒരു സെക്യൂരിറ്റി അസോസിയേഷൻ (SA) അതിലൂടെ കടന്നുപോകുന്ന ട്രാഫിക്കിന് സുരക്ഷാ സേവനങ്ങൾ നൽകുന്ന ഒരു കണക്ഷനാണ്. SA-യുടെ ഇരുവശത്തുമുള്ള രണ്ട് കമ്പ്യൂട്ടറുകൾ SA-യിൽ ഉപയോഗിക്കുന്ന മോഡ്, പ്രോട്ടോക്കോൾ, അൽഗോരിതം, കീകൾ എന്നിവ സംഭരിക്കുന്നു. ഓരോ എസ്എയും ഒരു ദിശയിൽ മാത്രമാണ് ഉപയോഗിക്കുന്നത്. ദ്വിദിശ ആശയവിനിമയത്തിന് രണ്ട് എസ്എകൾ ആവശ്യമാണ്. ഓരോ എസ്എയും ഒരു മോഡും പ്രോട്ടോക്കോളും നടപ്പിലാക്കുന്നു; അതിനാൽ, ഒരു പാക്കറ്റിന് (AH, ESP പോലുള്ളവ) രണ്ട് പ്രോട്ടോക്കോളുകൾ ഉപയോഗിക്കണമെങ്കിൽ, രണ്ട് SA-കൾ ആവശ്യമാണ്.

സുരക്ഷാ നയം

സുരക്ഷാ നയം SPD (സെക്യൂരിറ്റി പോളിസി ഡാറ്റാബേസ്) ൽ സംഭരിച്ചിരിക്കുന്നു. ഒരു ഡാറ്റാ പാക്കറ്റിനായി SPD-ക്ക് മൂന്ന് പ്രവർത്തനങ്ങളിൽ ഒന്ന് വ്യക്തമാക്കാൻ കഴിയും: പാക്കറ്റ് ഉപേക്ഷിക്കുക, IPSec ഉപയോഗിച്ച് പാക്കറ്റ് പ്രോസസ്സ് ചെയ്യരുത്, അല്ലെങ്കിൽ IPSec ഉപയോഗിച്ച് പാക്കറ്റ് പ്രോസസ്സ് ചെയ്യുക. പിന്നീടുള്ള സന്ദർഭത്തിൽ, ഏത് SA ഉപയോഗിക്കണമെന്ന് SPD സൂചിപ്പിക്കുന്നു (തീർച്ചയായും, അനുയോജ്യമായ ഒരു SA ഇതിനകം സൃഷ്ടിച്ചിട്ടുണ്ടെങ്കിൽ) അല്ലെങ്കിൽ ഒരു പുതിയ SA സൃഷ്ടിക്കേണ്ട പാരാമീറ്ററുകൾ സൂചിപ്പിക്കുന്നു.

ഓരോ പാക്കറ്റിൻ്റെയും പ്രോസസ്സിംഗിൽ നല്ല നിയന്ത്രണം അനുവദിക്കുന്ന വളരെ വഴക്കമുള്ള നിയന്ത്രണ സംവിധാനമാണ് SPD. ധാരാളം ഫീൽഡുകൾ പ്രകാരം പാക്കറ്റുകളെ തരംതിരിച്ചിരിക്കുന്നു, ഉചിതമായ പ്രവർത്തനം നിർണ്ണയിക്കാൻ SPD ചില അല്ലെങ്കിൽ എല്ലാ ഫീൽഡുകളും പരിശോധിച്ചേക്കാം. ഇത് രണ്ട് മെഷീനുകൾക്കിടയിലുള്ള എല്ലാ ട്രാഫിക്കും ഒരൊറ്റ SA ഉപയോഗിച്ച് കൊണ്ടുപോകുന്നതിന് കാരണമാകും, അല്ലെങ്കിൽ ഓരോ ആപ്ലിക്കേഷനും അല്ലെങ്കിൽ ഓരോ TCP കണക്ഷനും പ്രത്യേക SA-കൾ ഉപയോഗിക്കുന്നു.

ISAKMP/Oakley

SA-കൾ സ്ഥാപിക്കുന്നതിനും മറ്റ് പ്രധാന മാനേജുമെൻ്റ് പ്രവർത്തനങ്ങൾ നിർവഹിക്കുന്നതിനും ഉപയോഗിക്കുന്ന പ്രോട്ടോക്കോളുകളുടെ പൊതുവായ ഘടന ISAKMP നിർവചിക്കുന്നു. ISAKMP നിരവധി ഡൊമെയ്‌നുകൾ ഓഫ് ഇൻ്റർപ്രെറ്റേഷൻ (DOI) പിന്തുണയ്ക്കുന്നു, അതിലൊന്ന് IPSec-DOI ആണ്. ISAKMP ഒരു സമ്പൂർണ്ണ പ്രോട്ടോക്കോൾ നിർവചിക്കുന്നില്ല, പകരം വിവിധ DOIകൾക്കും കീ എക്സ്ചേഞ്ച് പ്രോട്ടോക്കോളുകൾക്കുമായി "ബിൽഡിംഗ് ബ്ലോക്കുകൾ" നൽകുന്നു.

ഡിഫി-ഹെൽമാൻ കീ റീപ്ലേസ്‌മെൻ്റ് അൽഗോരിതം ഉപയോഗിക്കുന്ന ഒരു പ്രധാന കണ്ടെത്തൽ പ്രോട്ടോക്കോളാണ് ഓക്ക്ലി പ്രോട്ടോക്കോൾ. ഓക്ക്ലി പ്രോട്ടോക്കോൾ പെർഫെക്റ്റ് ഫോർവേഡ് സീക്രസി (പിഎഫ്എസ്) പിന്തുണയ്ക്കുന്നു. സിസ്റ്റത്തിലെ ഏതെങ്കിലും കീ അപഹരിക്കപ്പെട്ടാൽ എല്ലാ ട്രാഫിക്കും ഡീക്രിപ്റ്റ് ചെയ്യുന്നത് അസാധ്യമാണ് എന്നാണ് PFS-ൻ്റെ സാന്നിധ്യം അർത്ഥമാക്കുന്നത്.

ഐ.കെ

ISAKMP-യുടെ ഡിഫോൾട്ട് കീ എക്‌സ്‌ചേഞ്ച് പ്രോട്ടോക്കോൾ ആണ് IKE, നിലവിൽ ഇത് മാത്രമാണ്. IKE ISAKMP യുടെ മുകളിൽ ഇരിക്കുകയും ISAKMP SA, IPSec SA എന്നിവയുടെ യഥാർത്ഥ സ്ഥാപനം ചെയ്യുകയും ചെയ്യുന്നു. പ്രോട്ടോക്കോളുകളിൽ ഉപയോഗിക്കുന്നതിന് വിവിധ പ്രാകൃത ഫംഗ്‌ഷനുകളുടെ ഒരു കൂട്ടം IKE പിന്തുണയ്ക്കുന്നു. അവയിൽ ഹാഷ് ഫംഗ്ഷനും കപട-റാൻഡം ഫംഗ്ഷനും (പിആർഎഫ്) ഉൾപ്പെടുന്നു.

ഒരു ഹാഷ് ഫംഗ്‌ഷൻ ഒരു കൂട്ടിയിടി-പ്രതിരോധ പ്രവർത്തനമാണ്. കൂട്ടിയിടി പ്രതിരോധം രണ്ട് വ്യത്യസ്ത സന്ദേശങ്ങൾ കണ്ടെത്തുന്നത് അസാധ്യമാണ് എന്ന വസ്തുതയെ സൂചിപ്പിക്കുന്നു m 1ഒപ്പം m 2, അത്തരം H(m 1)=H(m2), എവിടെ എച്ച്— ഹാഷ് ഫംഗ്ഷൻ.

കപട-റാൻഡം ഫംഗ്‌ഷനുകളെ സംബന്ധിച്ചിടത്തോളം, HMAC രൂപകൽപ്പനയിൽ പ്രത്യേക PRF-കൾക്ക് പകരം ഒരു ഹാഷ് ഫംഗ്‌ഷൻ നിലവിൽ ഉപയോഗിക്കുന്നു (HMAC എന്നത് ഹാഷ് ഫംഗ്‌ഷനുകൾ ഉപയോഗിക്കുന്ന ഒരു സന്ദേശ പ്രാമാണീകരണ സംവിധാനമാണ്). HMAC നിർവ്വചിക്കുന്നതിന്, നമുക്ക് ഒരു ക്രിപ്‌റ്റോഗ്രാഫിക് ഹാഷ് ഫംഗ്‌ഷനും (നമുക്ക് ഇതിനെ H എന്ന് വിളിക്കാം) ഒരു രഹസ്യ കീയും ആവശ്യമാണ്. ഡാറ്റ ബ്ലോക്കുകളുടെ ഒരു ശ്രേണിയിലേക്ക് തുടർച്ചയായി പ്രയോഗിക്കുന്ന കംപ്രഷൻ നടപടിക്രമം ഉപയോഗിച്ച് ഡാറ്റ ഹാഷ് ചെയ്യുന്ന ഒരു ഹാഷ് ഫംഗ്‌ഷനാണ് H എന്ന് ഞങ്ങൾ അനുമാനിക്കുന്നു. ബൈറ്റുകളിലെ അത്തരം ബ്ലോക്കുകളുടെ നീളവും എൽ (L) ഹാഷിംഗിൻ്റെ ഫലമായി ലഭിച്ച ബ്ലോക്കുകളുടെ ദൈർഘ്യവും ഞങ്ങൾ B കൊണ്ട് സൂചിപ്പിക്കുന്നു.

ഐപാഡ് = ബൈറ്റ് 0x36, ആവർത്തിച്ചുള്ള ബി തവണ;
opad = ബൈറ്റ് 0x5C ആവർത്തിച്ചുള്ള B തവണ.

"ടെക്സ്റ്റ്" ഡാറ്റയിൽ നിന്ന് HMAC കണക്കാക്കാൻ, നിങ്ങൾ ഇനിപ്പറയുന്ന പ്രവർത്തനം നടത്തേണ്ടതുണ്ട്:

H(K XOR opad, H(K XOR ipad, text))

പാർട്ടികളെ ആധികാരികമാക്കാൻ IKE HASH മൂല്യങ്ങൾ ഉപയോഗിക്കുന്നതായി വിവരണത്തിൽ നിന്ന് ഇത് പിന്തുടരുന്നു. ഈ സാഹചര്യത്തിൽ HASH എന്നത് ISAKMP-യിലെ പേലോഡ് നാമത്തെ മാത്രമാണ് സൂചിപ്പിക്കുന്നത്, ഈ പേരിന് അതിൻ്റെ ഉള്ളടക്കവുമായി യാതൊരു ബന്ധവുമില്ല.

AH, ESP, IKE എന്നിവയ്‌ക്കെതിരായ ആക്രമണങ്ങൾ.

IPSec ഘടകങ്ങളുടെ മേലുള്ള എല്ലാ തരത്തിലുള്ള ആക്രമണങ്ങളെയും ഇനിപ്പറയുന്ന ഗ്രൂപ്പുകളായി തിരിക്കാം: സിസ്റ്റത്തിൻ്റെ പരിമിതമായ വിഭവങ്ങൾ ചൂഷണം ചെയ്യുന്ന ആക്രമണങ്ങൾ (ഒരു സാധാരണ ഉദാഹരണം സേവന നിഷേധം, സേവന നിഷേധം അല്ലെങ്കിൽ DOS ആക്രമണം), സവിശേഷതകൾ ചൂഷണം ചെയ്യുന്ന ആക്രമണങ്ങൾ ഒരു നിർദ്ദിഷ്ട IPSec നടപ്പിലാക്കുന്നതിലെ പിശകുകളും ഒടുവിൽ, പ്രോട്ടോക്കോളുകളുടെ ബലഹീനതകളെ അടിസ്ഥാനമാക്കിയുള്ള ആക്രമണങ്ങളും. എഎച്ച്, ഇഎസ്പി. പൂർണ്ണമായും ക്രിപ്റ്റോഗ്രാഫിക് ആക്രമണങ്ങൾ അവഗണിക്കാം - രണ്ട് പ്രോട്ടോക്കോളുകളും "പരിവർത്തനം" എന്ന ആശയത്തെ നിർവചിക്കുന്നു, അവിടെ എല്ലാ ക്രിപ്റ്റോഗ്രഫിയും മറഞ്ഞിരിക്കുന്നു. ഉപയോഗിച്ചിരിക്കുന്ന ക്രിപ്‌റ്റോ-അൽഗരിതം സ്ഥിരതയുള്ളതാണെങ്കിൽ, അത് നിർവചിച്ചിരിക്കുന്ന പരിവർത്തനം അധിക ബലഹീനതകൾ അവതരിപ്പിക്കുന്നില്ലെങ്കിൽ (ഇത് എല്ലായ്പ്പോഴും അങ്ങനെയല്ല, അതിനാൽ മുഴുവൻ സിസ്റ്റത്തിൻ്റെയും ശക്തി പരിഗണിക്കുന്നത് കൂടുതൽ ശരിയാണ് - പ്രോട്ടോക്കോൾ-ട്രാൻസ്ഫോം-അൽഗരിതം), പിന്നെ ഈ ഭാഗത്ത് നിന്ന് എല്ലാം ശരിയാണ്. എന്താണ് അവശേഷിക്കുന്നത്? റീപ്ലേ അറ്റാക്ക് - സീക്വൻസ് നമ്പർ ഉപയോഗിച്ച് ലെവൽ ഔട്ട് ചെയ്യുന്നു (ഒരൊറ്റ കേസിൽ ഇത് പ്രവർത്തിക്കില്ല - ആധികാരികത കൂടാതെ AH ഇല്ലാതെ ESP ഉപയോഗിക്കുമ്പോൾ). കൂടാതെ, പ്രവർത്തനങ്ങളുടെ ക്രമം (ആദ്യത്തെ എൻക്രിപ്ഷൻ, പിന്നീട് ആധികാരികത) "മോശം" പാക്കറ്റുകളുടെ പെട്ടെന്നുള്ള നിരസിക്കൽ ഉറപ്പ് നൽകുന്നു (കൂടാതെ, ക്രിപ്റ്റോഗ്രാഫിയുടെ ലോകത്തിലെ സമീപകാല ഗവേഷണമനുസരിച്ച്, ഈ പ്രവർത്തനങ്ങളുടെ ക്രമം ഏറ്റവും സുരക്ഷിതമാണ്; ചിലതിൽ വിപരീത ക്രമം, എന്നിരുന്നാലും വളരെ സവിശേഷമായ കേസുകൾ, സുരക്ഷാ ദ്വാരങ്ങളിലേക്ക് നയിച്ചേക്കാം; ഭാഗ്യവശാൽ, SSL, അല്ലെങ്കിൽ IKE, അല്ലെങ്കിൽ മറ്റ് പൊതുവായ "ആദ്യം പ്രാമാണീകരിക്കുക, പിന്നീട് എൻക്രിപ്റ്റ് ചെയ്യുക" പ്രോട്ടോക്കോളുകൾ ഈ പ്രത്യേക കേസുകൾക്ക് ബാധകമല്ല, അതിനാൽ ഈ ദ്വാരങ്ങൾ ഇല്ല). ഇനി അവശേഷിക്കുന്നത് സേവന നിരസിക്കൽ ആക്രമണമാണ്. നിങ്ങൾക്കറിയാവുന്നതുപോലെ, ഇത് പൂർണ്ണമായ പ്രതിരോധമില്ലാത്ത ആക്രമണമാണ്. എന്നിരുന്നാലും, മോശം പാക്കറ്റുകളുടെ പെട്ടെന്നുള്ള നിരസിക്കലും അവയോട് ബാഹ്യമായ പ്രതികരണത്തിൻ്റെ അഭാവവും (RFC അനുസരിച്ച്) ഈ ആക്രമണത്തെ കൂടുതലോ കുറവോ നന്നായി കൈകാര്യം ചെയ്യുന്നത് സാധ്യമാക്കുന്നു. തത്വത്തിൽ, (എല്ലാം ഇല്ലെങ്കിൽ) അറിയപ്പെടുന്ന നെറ്റ്‌വർക്ക് ആക്രമണങ്ങളെ (സ്നിഫിംഗ്, സ്പൂഫിംഗ്, ഹൈജാക്കിംഗ് മുതലായവ) ശരിയായി ഉപയോഗിക്കുമ്പോൾ AH, ESP എന്നിവ വിജയകരമായി പ്രതിരോധിക്കും. IKE ഉപയോഗിച്ച് ഇത് കുറച്ചുകൂടി സങ്കീർണ്ണമാണ്. പ്രോട്ടോക്കോൾ വളരെ സങ്കീർണ്ണവും വിശകലനം ചെയ്യാൻ പ്രയാസവുമാണ്. കൂടാതെ, എഴുതുമ്പോൾ (HASH_R കണക്കാക്കുന്നതിനുള്ള ഫോർമുലയിൽ) അക്ഷരത്തെറ്റുകൾ കാരണം, പൂർണ്ണമായും വിജയിക്കാത്ത പരിഹാരങ്ങൾ (അതേ HASH_R, HASH_I), അതിൽ നിരവധി സാധ്യതയുള്ള "ദ്വാരങ്ങൾ" അടങ്ങിയിരിക്കുന്നു (പ്രത്യേകിച്ച്, ആദ്യ ഘട്ടത്തിൽ, എല്ലാ പേലോഡുകളും അല്ല സന്ദേശം ആധികാരികമാണ്), എന്നിരുന്നാലും, അവ വളരെ ഗൗരവമുള്ളതല്ല, ഒരു കണക്ഷൻ സ്ഥാപിക്കാൻ വിസമ്മതിക്കുന്നതിലേക്ക് നയിക്കുന്നു. റീപ്ലേ, സ്പൂഫിംഗ്, സ്നിഫിങ്ങ്, ഹൈജാക്കിംഗ് തുടങ്ങിയ ആക്രമണങ്ങളിൽ നിന്ന് IKE കൂടുതലോ കുറവോ വിജയകരമായി സ്വയം പരിരക്ഷിക്കുന്നു. ക്രിപ്‌റ്റോഗ്രഫി കുറച്ചുകൂടി സങ്കീർണ്ണമാണ് - ഇത് AH, ESP എന്നിവയിലെന്നപോലെ വെവ്വേറെ നടപ്പിലാക്കുന്നില്ല, മറിച്ച് പ്രോട്ടോക്കോളിൽ തന്നെ നടപ്പിലാക്കുന്നു. എന്നിരുന്നാലും, നിങ്ങൾ സ്ഥിരമായ അൽഗോരിതങ്ങളും പ്രിമിറ്റീവുകളും (PRF) ഉപയോഗിക്കുകയാണെങ്കിൽ, പ്രശ്നങ്ങളൊന്നും ഉണ്ടാകരുത്. നിലവിലെ സ്പെസിഫിക്കേഷനുകളിൽ ഡിഇഎസ് നിർബന്ധിത ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതമായി സൂചിപ്പിച്ചിരിക്കുന്നത് ഒരു പരിധിവരെ ഐപിസെക്കിൻ്റെ ബലഹീനതയായി കണക്കാക്കാം (ഇഎസ്പിക്കും ഐകെഇക്കും ഇത് ശരിയാണ്), കീയുടെ 56 ബിറ്റുകൾ ഇനി പര്യാപ്തമല്ല. . എന്നിരുന്നാലും, ഇത് തികച്ചും ഔപചാരികമായ ബലഹീനതയാണ് - സ്പെസിഫിക്കേഷനുകൾ തന്നെ അൽഗോരിതം-സ്വതന്ത്രമാണ്, മിക്കവാറും എല്ലാ അറിയപ്പെടുന്ന വെണ്ടർമാരും 3DES നടപ്പിലാക്കിയിട്ടുണ്ട് (ചിലർ ഇതിനകം AES നടപ്പിലാക്കിയിട്ടുണ്ട്). അതിനാൽ, ശരിയായി നടപ്പിലാക്കുകയാണെങ്കിൽ, ഏറ്റവും "അപകടകരമായ" ആക്രമണം അവശേഷിക്കുന്നു. സേവനം നിഷേധിക്കൽ .

പ്രോട്ടോക്കോൾ വിലയിരുത്തൽ

IPSec പ്രോട്ടോക്കോളിന് വിദഗ്ധരിൽ നിന്ന് സമ്മിശ്ര അവലോകനങ്ങൾ ലഭിച്ചു. ഒരു വശത്ത്, നെറ്റ്‌വർക്കിലൂടെ (മൈക്രോസോഫ്റ്റ് വികസിപ്പിച്ച പിപിടിപി ഉൾപ്പെടെ) സംപ്രേഷണം ചെയ്യുന്ന ഡാറ്റ പരിരക്ഷിക്കുന്നതിന് മുമ്പ് വികസിപ്പിച്ച മറ്റെല്ലാ പ്രോട്ടോക്കോളുകളിലും ഏറ്റവും മികച്ചത് IPSec പ്രോട്ടോക്കോൾ ആണെന്ന് ശ്രദ്ധിക്കപ്പെടുന്നു. മറുവശം അനുസരിച്ച്, പ്രോട്ടോക്കോളിൻ്റെ അമിതമായ സങ്കീർണ്ണതയും ആവർത്തനവും ഉണ്ട്. അതിനാൽ, നീൽസ് ഫെർഗൂസണും ബ്രൂസ് ഷ്‌നിയറും അവരുടെ "എ ക്രിപ്‌റ്റോഗ്രാഫിക് ഇവാലുവേഷൻ ഓഫ് IPsec" എന്ന കൃതിയിൽ IPsec-ൻ്റെ മിക്കവാറും എല്ലാ പ്രധാന ഘടകങ്ങളിലും ഗുരുതരമായ സുരക്ഷാ പ്രശ്നങ്ങൾ കണ്ടെത്തിയതായി രേഖപ്പെടുത്തുന്നു. പ്രോട്ടോക്കോൾ സ്യൂട്ടിന് മികച്ച സുരക്ഷ നൽകുന്നതിന് കാര്യമായ മെച്ചപ്പെടുത്തലുകൾ ആവശ്യമാണെന്നും ഈ രചയിതാക്കൾ ശ്രദ്ധിക്കുന്നു. പൊതുവായ ഡാറ്റാ പ്രോസസ്സിംഗ് സ്കീമിൻ്റെ ബലഹീനതകളും ക്രിപ്റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങളുടെ ദൗർബല്യങ്ങളും ചൂഷണം ചെയ്യുന്ന നിരവധി ആക്രമണങ്ങളെ പേപ്പർ വിവരിക്കുന്നു.

ഉപസംഹാരം

ഈ ലേഖനത്തിൽ, IPsec നെറ്റ്‌വർക്ക് സുരക്ഷാ പ്രോട്ടോക്കോളിനെ സംബന്ധിച്ച ചില അടിസ്ഥാന പോയിൻ്റുകൾ ഞങ്ങൾ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. മിക്ക വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്ക് നടപ്പിലാക്കലുകളിലും IPsec പ്രോട്ടോക്കോൾ ആധിപത്യം പുലർത്തുന്നു എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്. നിലവിൽ, മാർക്കറ്റ് രണ്ട് സോഫ്‌റ്റ്‌വെയർ നിർവ്വഹണങ്ങളും (ഉദാഹരണത്തിന്, മൈക്രോസോഫ്റ്റ് വിൻഡോസ് 2000 ഓപ്പറേറ്റിംഗ് സിസ്റ്റത്തിലാണ് പ്രോട്ടോക്കോൾ നടപ്പിലാക്കുന്നത്) കൂടാതെ IPsec-ൻ്റെ ഹാർഡ്‌വെയറും സോഫ്റ്റ്‌വെയർ നിർവ്വഹണങ്ങളും - ഇവ സിസ്കോ, നോക്കിയയിൽ നിന്നുള്ള പരിഹാരങ്ങളാണ്. നിരവധി വ്യത്യസ്ത പരിഹാരങ്ങൾ ഉണ്ടായിരുന്നിട്ടും, അവയെല്ലാം പരസ്പരം തികച്ചും അനുയോജ്യമാണ്. IPSec ഉം ഇപ്പോൾ വ്യാപകമായി ഉപയോഗിക്കുന്ന SSL ഉം താരതമ്യം ചെയ്യുന്ന ഒരു പട്ടികയോടെയാണ് ലേഖനം അവസാനിക്കുന്നത്.

പ്രത്യേകതകൾ	IPSec	എസ്എസ്എൽ
ഹാർഡ്‌വെയർ സ്വാതന്ത്ര്യം	അതെ	അതെ
കോഡ്	ആപ്ലിക്കേഷൻ മാറ്റങ്ങളൊന്നും ആവശ്യമില്ല. TCP/IP സ്റ്റാക്ക് സോഴ്സ് കോഡിലേക്ക് ആക്സസ് ആവശ്യമായി വന്നേക്കാം.	ആപ്ലിക്കേഷൻ മാറ്റങ്ങൾ ആവശ്യമാണ്. പുതിയ DLL-കൾ അല്ലെങ്കിൽ ആപ്ലിക്കേഷൻ സോഴ്സ് കോഡിലേക്കുള്ള ആക്സസ് ആവശ്യമായി വന്നേക്കാം.
സംരക്ഷണം	മുഴുവൻ IP പാക്കറ്റും. ഉയർന്ന തലത്തിലുള്ള പ്രോട്ടോക്കോളുകൾക്കുള്ള സംരക്ഷണം പ്രവർത്തനക്ഷമമാക്കുന്നു.	ആപ്ലിക്കേഷൻ ലെവൽ മാത്രം.
പാക്കറ്റ് ഫിൽട്ടറിംഗ്	അംഗീകൃത തലക്കെട്ടുകൾ, അയച്ചയാളുടെയും സ്വീകർത്താവിൻ്റെയും വിലാസങ്ങൾ മുതലായവയെ അടിസ്ഥാനമാക്കി. ലളിതവും വിലകുറഞ്ഞതും. റൂട്ടറുകൾക്ക് അനുയോജ്യം.	ഉയർന്ന തലത്തിലുള്ള ഉള്ളടക്കത്തെയും അർത്ഥശാസ്ത്രത്തെയും അടിസ്ഥാനമാക്കി. കൂടുതൽ ബുദ്ധിമാനും സങ്കീർണ്ണവുമാണ്.
പ്രകടനം	കുറച്ച് സന്ദർഭ സ്വിച്ചുകളും ഡാറ്റ ചലനവും.	കൂടുതൽ സന്ദർഭ സ്വിച്ചുകളും ഡാറ്റ ചലനവും. ഡാറ്റയുടെ വലിയ ബ്ലോക്കുകൾക്ക് ക്രിപ്‌റ്റോഗ്രാഫിക് പ്രവർത്തനങ്ങൾ വേഗത്തിലാക്കാനും മികച്ച കംപ്രഷൻ നൽകാനും കഴിയും.
പ്ലാറ്റ്ഫോമുകൾ	റൂട്ടറുകൾ ഉൾപ്പെടെ ഏതെങ്കിലും സിസ്റ്റങ്ങൾ	പ്രധാനമായും എൻഡ് സിസ്റ്റങ്ങൾ (ക്ലയൻ്റുകൾ/സെർവറുകൾ), ഫയർവാളുകൾ.
ഫയർവാൾ/VPN	എല്ലാ ട്രാഫിക്കും പരിരക്ഷിച്ചിരിക്കുന്നു.	ആപ്ലിക്കേഷൻ ലെവൽ ട്രാഫിക് മാത്രമേ പരിരക്ഷിച്ചിട്ടുള്ളൂ. ICMP, RSVP, QoS മുതലായവ. സുരക്ഷിതമല്ലാത്തതാകാം.
സുതാര്യത	ഉപയോക്താക്കൾക്കും ആപ്ലിക്കേഷനുകൾക്കും.	ഉപയോക്താക്കൾക്ക് മാത്രം.
നിലവിലെ സ്ഥിതി	ഉയർന്നുവരുന്ന നിലവാരം.	WWW ബ്രൗസറുകൾ വ്യാപകമായി ഉപയോഗിക്കുന്നു, മറ്റ് നിരവധി ഉൽപ്പന്നങ്ങളും ഉപയോഗിക്കുന്നു.

ലിങ്കുകൾ

• www.ietf.org/html.charters/ipsec-charter.html - IETF വർക്കിംഗ് ഗ്രൂപ്പിൻ്റെ ഹോം പേജ്. RFC-കളിലേക്കുള്ള ലിങ്കുകളും മാനദണ്ഡങ്ങൾക്കായുള്ള നിർദ്ദേശങ്ങളും ഉണ്ട്.
• www.microsoft.com/rus/windows2000/library/security/w2k_IPSecurity.asp - Windows2000 സെർവറിൽ IPSec പ്രോട്ടോക്കോൾ നടപ്പിലാക്കുന്നതിനെക്കുറിച്ചുള്ള വിവരങ്ങൾ.

അംഗീകാരങ്ങൾ

എന്നിവരുമായി ബന്ധപ്പെട്ടു

സഹപാഠികൾ

IPSec പ്രോട്ടോക്കോളുകൾ ഒരു സുരക്ഷിത ചാനലിൻ്റെ ഓർഗനൈസേഷൻ https://www.site/lan/protokoly-ipsec https://www.site/@@site-logo/logo.png

IPSec പ്രോട്ടോക്കോളുകൾ

ഒരു സുരക്ഷിത ചാനലിൻ്റെ ഓർഗനൈസേഷൻ

IPSec പ്രോട്ടോക്കോളുകൾ

AH, ESP, IKE എന്നിവ ഉപയോഗിച്ച് ഒരു സുരക്ഷിത ചാനൽ സ്ഥാപിക്കുന്നു.

ഇൻ്റർനെറ്റ് പ്രോട്ടോക്കോൾ സെക്യൂരിറ്റി (IPSec) എന്നത് ഇൻ്റർനെറ്റ് സ്റ്റാൻഡേർഡുകളിൽ ഒരു സിസ്റ്റം എന്നാണ്. തീർച്ചയായും, IPSec എന്നത് ഒരു സ്ഥിരതയുള്ള ഓപ്പൺ സ്റ്റാൻഡേർഡുകളാണ്, അത് ഇന്ന് നന്നായി നിർവചിക്കപ്പെട്ടിട്ടുള്ള ഒരു കോർ ഉണ്ട്, അതേ സമയം അത് പുതിയ പ്രോട്ടോക്കോളുകൾ, അൽഗോരിതങ്ങൾ, ഫംഗ്ഷനുകൾ എന്നിവ ഉപയോഗിച്ച് വളരെ എളുപ്പത്തിൽ വികസിപ്പിക്കാവുന്നതാണ്.

IPSec പ്രോട്ടോക്കോളുകളുടെ പ്രധാന ലക്ഷ്യം IP നെറ്റ്‌വർക്കുകൾ വഴി സുരക്ഷിതമായ ഡാറ്റ ട്രാൻസ്മിഷൻ ഉറപ്പാക്കുക എന്നതാണ്. IPSec ൻ്റെ ഉപയോഗം ഗ്യാരൻ്റി നൽകുന്നു:

• സമഗ്രത, അതായത് ട്രാൻസ്മിഷൻ സമയത്ത് ഡാറ്റ വളച്ചൊടിക്കുകയോ നഷ്ടപ്പെടുകയോ തനിപ്പകർപ്പാക്കുകയോ ചെയ്തിട്ടില്ല;
• ആധികാരികത, അതായത്, താൻ അവകാശപ്പെടുന്ന ആളാണെന്ന് തെളിയിച്ച അയച്ചയാളാണ് ഡാറ്റ കൈമാറ്റം ചെയ്തത്;
• രഹസ്യാത്മകത, അതായത്, അനധികൃതമായി കാണുന്നത് തടയുന്ന ഒരു രൂപത്തിലാണ് ഡാറ്റ കൈമാറ്റം ചെയ്യപ്പെടുന്നത്.

(ശ്രദ്ധിക്കുക, ക്ലാസിക്കൽ നിർവചനത്തിന് അനുസൃതമായി, ഡാറ്റ സുരക്ഷ എന്ന ആശയത്തിൽ ഒരു ആവശ്യകത കൂടി ഉൾപ്പെടുന്നു - ഡാറ്റയുടെ ലഭ്യത, സന്ദർഭത്തിൽ അവരുടെ ഡെലിവറി ഗ്യാരണ്ടിയായി വ്യാഖ്യാനിക്കാം. IPSec പ്രോട്ടോക്കോളുകൾ ഈ പ്രശ്നം പരിഹരിക്കില്ല, അവശേഷിക്കുന്നു. ഇത് TCP ട്രാൻസ്പോർട്ട് ലെയർ പ്രോട്ടോക്കോളിലേക്ക്.)

വ്യത്യസ്‌ത തലങ്ങളിലുള്ള സുരക്ഷിത ചാനലുകൾ

IPSec എന്നത് പലതിലും ഒന്ന് മാത്രമാണ്, എന്നാൽ ഇന്ന് ഏറ്റവും പ്രചാരമുള്ളത്, ഒരു പൊതു (സുരക്ഷിതമല്ലാത്ത) നെറ്റ്‌വർക്കിലൂടെ സുരക്ഷിതമായ ഡാറ്റാ ട്രാൻസ്മിഷനുള്ള സാങ്കേതികവിദ്യയാണ്. ഈ ആവശ്യത്തിനുള്ള സാങ്കേതികവിദ്യകൾക്കായി, ഒരു പൊതുനാമം ഉപയോഗിക്കുന്നു - സുരക്ഷിത ചാനൽ. "ചാനൽ" എന്ന പദം രണ്ട് നെറ്റ്‌വർക്ക് നോഡുകൾക്കിടയിൽ (ഹോസ്റ്റുകൾ അല്ലെങ്കിൽ ഗേറ്റ്‌വേകൾ) ഒരു പാക്കറ്റ്-സ്വിച്ച് നെറ്റ്‌വർക്കിൽ സ്ഥാപിച്ചിരിക്കുന്ന ഒരു വെർച്വൽ പാതയിൽ ഡാറ്റ പരിരക്ഷ നൽകുന്നു എന്ന വസ്തുത ഊന്നിപ്പറയുന്നു.

OSI മോഡലിൻ്റെ വിവിധ ലെയറുകളിൽ നടപ്പിലാക്കിയ സിസ്റ്റം ടൂളുകൾ ഉപയോഗിച്ച് ഒരു സുരക്ഷിത ചാനൽ നിർമ്മിക്കാൻ കഴിയും (ചിത്രം 1 കാണുക). ഡാറ്റ പരിരക്ഷിക്കുന്നതിന് ഉയർന്ന തലങ്ങളിലൊന്നിൻ്റെ (അപ്ലിക്കേഷൻ, അവതരണം അല്ലെങ്കിൽ സെഷൻ) ഒരു പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്നുവെങ്കിൽ, ഈ പരിരക്ഷാ രീതി ഡാറ്റ ട്രാൻസ്പോർട്ട് ചെയ്യാൻ ഉപയോഗിക്കുന്ന നെറ്റ്‌വർക്കുകളെ (IP അല്ലെങ്കിൽ IPX, Ethernet അല്ലെങ്കിൽ ATM) ആശ്രയിക്കുന്നില്ല. നിസ്സംശയമായ നേട്ടമായി കണക്കാക്കാം. മറുവശത്ത്, ആപ്ലിക്കേഷൻ ഒരു നിർദ്ദിഷ്ട സുരക്ഷാ പ്രോട്ടോക്കോളിനെ ആശ്രയിച്ചിരിക്കുന്നു, അതായത് ആപ്ലിക്കേഷനുകൾക്ക് അത്തരം ഒരു പ്രോട്ടോക്കോൾ സുതാര്യമല്ല.

ഏറ്റവും ഉയർന്ന, ആപ്ലിക്കേഷൻ തലത്തിലുള്ള ഒരു സുരക്ഷിത ചാനലിന് ഒരു പോരായ്മ കൂടിയുണ്ട് - പരിമിതമായ വ്യാപ്തി. പ്രോട്ടോക്കോൾ ഒരു പ്രത്യേക നെറ്റ്‌വർക്ക് സേവനത്തെ മാത്രം സംരക്ഷിക്കുന്നു - ഫയൽ, ഹൈപ്പർടെക്സ്റ്റ് അല്ലെങ്കിൽ ഇമെയിൽ. ഉദാഹരണത്തിന്, S/MIME പ്രോട്ടോക്കോൾ ഇമെയിൽ സന്ദേശങ്ങളെ പ്രത്യേകമായി സംരക്ഷിക്കുന്നു. അതിനാൽ, ഓരോ സേവനത്തിനും പ്രോട്ടോക്കോളിൻ്റെ അനുബന്ധ സുരക്ഷിത പതിപ്പ് വികസിപ്പിച്ചിരിക്കണം.

അടുത്ത അവതരണ തലത്തിൽ പ്രവർത്തിക്കുന്ന ഏറ്റവും അറിയപ്പെടുന്ന സുരക്ഷിത ചാനൽ പ്രോട്ടോക്കോൾ സെക്യുർ സോക്കറ്റ് ലെയർ (എസ്എസ്എൽ) പ്രോട്ടോക്കോളും അതിൻ്റെ പുതിയ ഓപ്പൺ ഇംപ്ലിമെൻ്റേഷൻ ട്രാൻസ്പോർട്ട് ലെയർ സെക്യൂരിറ്റിയും (ടിഎൽഎസ്) ആണ്. പ്രോട്ടോക്കോൾ ലെവൽ കുറയ്ക്കുന്നത് അതിനെ കൂടുതൽ വൈവിധ്യമാർന്ന സുരക്ഷാ ഉപകരണമാക്കുന്നു. ഇപ്പോൾ ഏത് ആപ്ലിക്കേഷനും ഏത് ആപ്ലിക്കേഷൻ-ലെവൽ പ്രോട്ടോക്കോളിനും ഒരൊറ്റ സുരക്ഷാ പ്രോട്ടോക്കോൾ ഉപയോഗിക്കാം. എന്നിരുന്നാലും, ചാനൽ പ്രോട്ടോക്കോൾ ഫംഗ്‌ഷനുകൾ സുരക്ഷിതമാക്കുന്നതിന് വ്യക്തമായ കോളുകൾ ഉൾപ്പെടുത്തുന്നതിന് അപ്ലിക്കേഷനുകൾ ഇനിയും തിരുത്തിയെഴുതേണ്ടതുണ്ട്.

സ്റ്റാക്ക് സെക്യൂരിറ്റി ചാനൽ സൌകര്യങ്ങൾ നടപ്പിലാക്കുന്നത്, ആപ്ലിക്കേഷനുകളിലേക്കും ആപ്ലിക്കേഷൻ പ്രോട്ടോക്കോളുകളിലേക്കും സുതാര്യമാക്കുന്നത് എളുപ്പമാണ്. നെറ്റ്‌വർക്ക്, ഡാറ്റ ലിങ്ക് തലങ്ങളിൽ, സുരക്ഷാ പ്രോട്ടോക്കോളുകളെ ആശ്രയിക്കുന്ന ആപ്ലിക്കേഷനുകൾ പൂർണ്ണമായും അപ്രത്യക്ഷമാകുന്നു. എന്നിരുന്നാലും, ഇവിടെ ഞങ്ങൾ മറ്റൊരു പ്രശ്നം അഭിമുഖീകരിക്കുന്നു - ഒരു പ്രത്യേക നെറ്റ്‌വർക്ക് സാങ്കേതികവിദ്യയിൽ സുരക്ഷാ പ്രോട്ടോക്കോളിൻ്റെ ആശ്രിതത്വം. തീർച്ചയായും, ഒരു വലിയ കമ്പോസിറ്റ് നെറ്റ്‌വർക്കിൻ്റെ വിവിധ ഭാഗങ്ങൾ സാധാരണയായി വ്യത്യസ്ത ലിങ്ക് പ്രോട്ടോക്കോളുകൾ ഉപയോഗിക്കുന്നു, അതിനാൽ ഒരൊറ്റ ലിങ്ക്-ലേയർ പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് ഈ വൈവിധ്യമാർന്ന അന്തരീക്ഷത്തിലൂടെ ഒരു സുരക്ഷിത ചാനൽ സ്ഥാപിക്കുന്നത് അസാധ്യമാണ്.

ഉദാഹരണത്തിന്, ഡാറ്റ ലിങ്ക് ലെയറിൽ പ്രവർത്തിക്കുന്ന പോയിൻ്റ്-ടു-പോയിൻ്റ് ടണലിംഗ് പ്രോട്ടോക്കോൾ (PPTP) പരിഗണിക്കുക. ഇത് PPP പ്രോട്ടോക്കോൾ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, ഇത് വാടകയ്ക്ക് എടുത്ത ലൈനുകൾ പോലെയുള്ള പോയിൻ്റ്-ടു-പോയിൻ്റ് കണക്ഷനുകളിൽ വ്യാപകമായി ഉപയോഗിക്കുന്നു. PPTP പ്രോട്ടോക്കോൾ ആപ്ലിക്കേഷനുകൾക്കും ആപ്ലിക്കേഷൻ-ലെവൽ സേവനങ്ങൾക്കും സുരക്ഷാ സുതാര്യത നൽകുന്നു മാത്രമല്ല, ഉപയോഗിക്കുന്ന നെറ്റ്‌വർക്ക് ലെയർ പ്രോട്ടോക്കോളിൽ നിന്ന് സ്വതന്ത്രവുമാണ്: പ്രത്യേകിച്ചും, PPTP പ്രോട്ടോക്കോളിന് IP നെറ്റ്‌വർക്കുകളിലും IPX, DECnet പ്രോട്ടോക്കോളുകൾ അടിസ്ഥാനമാക്കിയുള്ള നെറ്റ്‌വർക്കുകളിലും പാക്കറ്റുകൾ കൊണ്ടുപോകാൻ കഴിയും. അല്ലെങ്കിൽ NetBEUI. എന്നിരുന്നാലും, എല്ലാ നെറ്റ്‌വർക്കുകളിലും PPP പ്രോട്ടോക്കോൾ ഉപയോഗിക്കാത്തതിനാൽ (മിക്ക പ്രാദേശിക നെറ്റ്‌വർക്കുകളിലും ഇഥർനെറ്റ് പ്രോട്ടോക്കോൾ ഡാറ്റ ലിങ്ക് തലത്തിലും ആഗോള നെറ്റ്‌വർക്കുകളിൽ - ATM, ഫ്രെയിം റിലേ പ്രോട്ടോക്കോളുകളിലും പ്രവർത്തിക്കുന്നു), PPTP ഒരു സാർവത്രിക ഉപകരണമായി കണക്കാക്കാനാവില്ല.

നെറ്റ്‌വർക്ക് ലെയറിൽ പ്രവർത്തിക്കുന്ന IPSec, ഒരു ഒത്തുതീർപ്പ് ഓപ്ഷനാണ്. ഒരു വശത്ത്, ഇത് ആപ്ലിക്കേഷനുകൾക്ക് സുതാര്യമാണ്, മറുവശത്ത്, ഇത് മിക്കവാറും എല്ലാ നെറ്റ്‌വർക്കുകളിലും പ്രവർത്തിക്കാൻ കഴിയും, കാരണം ഇത് വ്യാപകമായി ഉപയോഗിക്കുന്ന ഐപി പ്രോട്ടോക്കോൾ അടിസ്ഥാനമാക്കിയുള്ളതാണ്: നിലവിൽ ലോകത്ത് 1% കമ്പ്യൂട്ടറുകൾ മാത്രമേ ഐപിയെ പിന്തുണയ്ക്കുന്നില്ല. ബാക്കിയുള്ള 99% പേരും ഇത് ഒരു പ്രോട്ടോക്കോൾ ആയി അല്ലെങ്കിൽ പല പ്രോട്ടോക്കോളുകളിൽ ഒന്നായി ഉപയോഗിക്കുന്നു.

IPSEC പ്രോട്ടോക്കോളുകൾക്കിടയിലുള്ള പ്രവർത്തനങ്ങളുടെ വിതരണം

IPSec-ൻ്റെ കോർ മൂന്ന് പ്രോട്ടോക്കോളുകൾ ഉൾക്കൊള്ളുന്നു: പ്രാമാണീകരണ പ്രോട്ടോക്കോൾ (ഓതൻ്റിക്കേഷൻ ഹെഡർ, AH), എൻക്രിപ്ഷൻ പ്രോട്ടോക്കോൾ (എൻക്യാപ്സുലേഷൻ സെക്യൂരിറ്റി പേലോഡ്, ESP), കീ എക്സ്ചേഞ്ച് പ്രോട്ടോക്കോൾ (ഇൻ്റർനെറ്റ് കീ എക്സ്ചേഞ്ച്, IKE). ഒരു സുരക്ഷിത ചാനൽ പരിപാലിക്കുന്നതിനുള്ള പ്രവർത്തനങ്ങൾ ഈ പ്രോട്ടോക്കോളുകൾക്കിടയിൽ ഇനിപ്പറയുന്ന രീതിയിൽ വിതരണം ചെയ്യുന്നു:

• AH പ്രോട്ടോക്കോൾ ഡാറ്റയുടെ സമഗ്രതയും ആധികാരികതയും ഉറപ്പ് നൽകുന്നു;
• ESP പ്രോട്ടോക്കോൾ പ്രക്ഷേപണം ചെയ്ത ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുന്നു, രഹസ്യാത്മകത ഉറപ്പുനൽകുന്നു, എന്നാൽ ഇതിന് ആധികാരികതയെയും ഡാറ്റ സമഗ്രതയെയും പിന്തുണയ്ക്കാൻ കഴിയും;
• പ്രാമാണീകരണത്തിൻ്റെയും ഡാറ്റാ എൻക്രിപ്ഷൻ പ്രോട്ടോക്കോളുകളുടെയും പ്രവർത്തനത്തിന് ആവശ്യമായ രഹസ്യ കീകൾ ഉപയോഗിച്ച് ചാനൽ എൻഡ് പോയിൻ്റുകൾ സ്വയമേവ നൽകുന്നതിനുള്ള സഹായ ചുമതല IKE പ്രോട്ടോക്കോൾ പരിഹരിക്കുന്നു.

പ്രവർത്തനങ്ങളുടെ സംക്ഷിപ്ത വിവരണത്തിൽ നിന്ന് കാണാൻ കഴിയുന്നതുപോലെ, AH, ESP പ്രോട്ടോക്കോളുകളുടെ കഴിവുകൾ ഭാഗികമായി ഓവർലാപ്പ് ചെയ്യുന്നു. ഡാറ്റാ സമഗ്രതയും പ്രാമാണീകരണവും ഉറപ്പാക്കുന്നതിന് മാത്രമേ AH പ്രോട്ടോക്കോളിന് ഉത്തരവാദിത്തമുള്ളൂ, അതേസമയം ESP പ്രോട്ടോക്കോൾ കൂടുതൽ ശക്തമാണ്, കാരണം അതിന് ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാനും കൂടാതെ, AH പ്രോട്ടോക്കോളിൻ്റെ പ്രവർത്തനങ്ങൾ നിർവഹിക്കാനും കഴിയും (എന്നിരുന്നാലും, ഞങ്ങൾ പിന്നീട് കാണും, അത് പ്രാമാണീകരണം നൽകുന്നു. ഒപ്പം സമഗ്രതയും ചെറുതായി കുറച്ച രൂപത്തിൽ ). ESP പ്രോട്ടോക്കോളിന് ഏത് കോമ്പിനേഷനിലും എൻക്രിപ്ഷനും പ്രാമാണീകരണ/സമഗ്രത ഫംഗ്ഷനുകളും പിന്തുണയ്ക്കാൻ കഴിയും, അതായത്, രണ്ട് ഗ്രൂപ്പുകളുടെ ഫംഗ്ഷനുകൾ, അല്ലെങ്കിൽ ആധികാരികത/സമഗ്രത, അല്ലെങ്കിൽ എൻക്രിപ്ഷൻ മാത്രം.

IPSec-ൽ ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ, രഹസ്യ കീകൾ ഉപയോഗിക്കുന്ന ഏത് സമമിതി എൻക്രിപ്ഷൻ അൽഗോരിതം ഉപയോഗിക്കാം. ഡാറ്റ സമഗ്രതയും പ്രാമാണീകരണവും ഉറപ്പാക്കുന്നത് എൻക്രിപ്ഷൻ ടെക്നിക്കുകളിലൊന്നിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് - ഒരു വൺ-വേ ഫംഗ്ഷൻ ഉപയോഗിച്ചുള്ള എൻക്രിപ്ഷൻ, ഹാഷ് ഫംഗ്ഷൻ അല്ലെങ്കിൽ ഡൈജസ്റ്റ് ഫംഗ്ഷൻ എന്നും അറിയപ്പെടുന്നു.

എൻക്രിപ്റ്റ് ചെയ്ത ഡാറ്റയിൽ പ്രയോഗിച്ച ഈ ഫംഗ്ഷൻ, ഒരു നിശ്ചിത എണ്ണം ബൈറ്റുകൾ അടങ്ങുന്ന ഒരു ഡൈജസ്റ്റ് മൂല്യത്തിന് കാരണമാകുന്നു. യഥാർത്ഥ സന്ദേശത്തോടൊപ്പം ഒരു ഐപി പാക്കറ്റിലാണ് ഡൈജസ്റ്റ് അയച്ചിരിക്കുന്നത്. ഡൈജസ്റ്റ് രചിക്കാൻ ഏത് വൺ-വേ എൻക്രിപ്ഷൻ ഫംഗ്‌ഷനാണ് ഉപയോഗിച്ചതെന്ന് സ്വീകർത്താവ് അറിയുന്നു, യഥാർത്ഥ സന്ദേശം ഉപയോഗിച്ച് അത് വീണ്ടും കണക്കാക്കുന്നു. സ്വീകരിച്ചതും കണക്കാക്കിയതുമായ ഡൈജസ്റ്റുകളുടെ മൂല്യങ്ങൾ ഒന്നുതന്നെയാണെങ്കിൽ, പാക്കറ്റിലെ ഉള്ളടക്കങ്ങൾ ട്രാൻസ്മിഷൻ സമയത്ത് ഒരു മാറ്റത്തിനും വിധേയമായിരുന്നില്ല എന്നാണ് ഇതിനർത്ഥം. ഡൈജസ്റ്റ് അറിയുന്നത് യഥാർത്ഥ സന്ദേശം പുനർനിർമ്മിക്കുന്നത് സാധ്യമാക്കുന്നില്ല, അതിനാൽ സംരക്ഷണത്തിനായി ഉപയോഗിക്കാൻ കഴിയില്ല, പക്ഷേ ഡാറ്റയുടെ സമഗ്രത പരിശോധിക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു.

യഥാർത്ഥ സന്ദേശത്തിനായുള്ള ഒരു തരം ചെക്ക്സം ആണ് ഡൈജസ്റ്റ്. എന്നിരുന്നാലും, കാര്യമായ വ്യത്യാസവുമുണ്ട്. ഒരു ചെക്ക്‌സം ഉപയോഗിക്കുന്നത് വിശ്വസനീയമല്ലാത്ത ആശയവിനിമയ ലൈനുകളിലൂടെ കൈമാറ്റം ചെയ്യപ്പെടുന്ന സന്ദേശങ്ങളുടെ സമഗ്രത പരിശോധിക്കുന്നതിനുള്ള ഒരു ഉപാധിയാണ്, ക്ഷുദ്രകരമായ പ്രവർത്തനങ്ങളെ ചെറുക്കാൻ ഉദ്ദേശിച്ചുള്ളതല്ല. വാസ്തവത്തിൽ, ട്രാൻസ്മിറ്റ് ചെയ്ത പാക്കറ്റിലെ ഒരു ചെക്ക്സം സാന്നിദ്ധ്യം, ഒരു പുതിയ ചെക്ക്സം മൂല്യം ചേർത്ത് യഥാർത്ഥ സന്ദേശത്തിന് പകരം വയ്ക്കുന്നതിൽ നിന്ന് ഒരു ആക്രമണകാരിയെ തടയില്ല. ഒരു ചെക്ക്സം പോലെയല്ല, ഡൈജസ്റ്റ് കണക്കാക്കുമ്പോൾ ഒരു രഹസ്യ കീ ഉപയോഗിക്കുന്നു. അയയ്‌ക്കുന്നയാൾക്കും സ്വീകർത്താവിനും മാത്രം അറിയാവുന്ന ഒരു പാരാമീറ്റർ (രഹസ്യ കീ) ഉള്ള ഒരു വൺ-വേ ഫംഗ്‌ഷൻ ഡൈജസ്റ്റ് ലഭിക്കാൻ ഉപയോഗിച്ചിട്ടുണ്ടെങ്കിൽ, യഥാർത്ഥ സന്ദേശത്തിൽ എന്തെങ്കിലും മാറ്റം വരുത്തിയാൽ ഉടനടി കണ്ടെത്തും.

എഎച്ച്, ഇഎസ്പി എന്നീ രണ്ട് പ്രോട്ടോക്കോളുകൾ തമ്മിലുള്ള സുരക്ഷാ പ്രവർത്തനങ്ങൾ വേർതിരിക്കുന്നത് എൻക്രിപ്ഷനിലൂടെ ഡാറ്റയുടെ രഹസ്യാത്മകത ഉറപ്പാക്കുന്ന ടൂളുകളുടെ കയറ്റുമതിയും കൂടാതെ/അല്ലെങ്കിൽ ഇറക്കുമതിയും നിയന്ത്രിക്കുന്നതിന് പല രാജ്യങ്ങളിലും ഉപയോഗിക്കുന്ന രീതിയാണ്. ഈ രണ്ട് പ്രോട്ടോക്കോളുകളും മറ്റൊന്നുമായി സ്വതന്ത്രമായോ ഒരേസമയം ഉപയോഗിക്കാനാവും, അതിനാൽ നിലവിലെ നിയന്ത്രണങ്ങൾ കാരണം എൻക്രിപ്ഷൻ ഉപയോഗിക്കാൻ കഴിയാത്ത സന്ദർഭങ്ങളിൽ, AH പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് മാത്രമേ സിസ്റ്റം വിതരണം ചെയ്യാൻ കഴിയൂ. സ്വാഭാവികമായും, AH പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് മാത്രം ഡാറ്റ പരിരക്ഷിക്കുന്നത് പല കേസുകളിലും പര്യാപ്തമല്ല, കാരണം ഈ കേസിൽ സ്വീകരിക്കുന്ന വശം ഡാറ്റ പ്രതീക്ഷിച്ച നോഡിലൂടെയാണ് അയച്ചതെന്നും അത് ഏത് രൂപത്തിലാണ് എത്തിയതെന്നും മാത്രമേ ഉറപ്പാക്കൂ. ലഭിച്ചു. അയച്ചു. എഎച്ച് പ്രോട്ടോക്കോളിന് ഡാറ്റാ പാതയിലൂടെയുള്ള അനധികൃത കാഴ്‌ചയ്‌ക്കെതിരെ പരിരക്ഷിക്കാൻ കഴിയില്ല, കാരണം അത് എൻക്രിപ്റ്റ് ചെയ്യുന്നില്ല. ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിന്, ESP പ്രോട്ടോക്കോൾ ഉപയോഗിക്കേണ്ടത് ആവശ്യമാണ്, അത് അതിൻ്റെ സമഗ്രതയും ആധികാരികതയും പരിശോധിക്കാനും കഴിയും.

സേഫ് അസോസിയേഷൻ

എഎച്ച്, ഇഎസ്പി പ്രോട്ടോക്കോളുകൾ കൈമാറ്റം ചെയ്ത ഡാറ്റ സംരക്ഷിക്കുന്നതിനുള്ള അവരുടെ ജോലി നിർവഹിക്കുന്നതിന്, IKE പ്രോട്ടോക്കോൾ രണ്ട് എൻഡ് പോയിൻ്റുകൾക്കിടയിൽ ഒരു ലോജിക്കൽ കണക്ഷൻ സ്ഥാപിക്കുന്നു, IPSec മാനദണ്ഡങ്ങളിൽ ഇതിനെ "സെക്യൂരിറ്റി അസോസിയേഷൻ" (SA) എന്ന് വിളിക്കുന്നു. ഒരു SA സ്ഥാപിക്കുന്നത് കക്ഷികളുടെ പരസ്പര പ്രാമാണീകരണത്തോടെയാണ് ആരംഭിക്കുന്നത്, കാരണം തെറ്റായ വ്യക്തിയിൽ നിന്നോ തെറ്റായ വ്യക്തിയിൽ നിന്നോ ഡാറ്റ കൈമാറുകയോ സ്വീകരിക്കുകയോ ചെയ്താൽ എല്ലാ സുരക്ഷാ നടപടികളും അർത്ഥശൂന്യമാകും. നിങ്ങൾ അടുത്തതായി തിരഞ്ഞെടുക്കുന്ന SA പാരാമീറ്ററുകൾ, ഡാറ്റ പരിരക്ഷിക്കുന്നതിന് AH അല്ലെങ്കിൽ ESP എന്ന രണ്ട് പ്രോട്ടോക്കോളുകളിൽ ഏതാണ് ഉപയോഗിക്കുന്നതെന്നും സുരക്ഷാ പ്രോട്ടോക്കോൾ എന്ത് പ്രവർത്തനങ്ങൾ ചെയ്യുന്നുവെന്നും നിർണ്ണയിക്കുന്നു: ഉദാഹരണത്തിന്, പ്രാമാണീകരണവും സമഗ്രത പരിശോധിക്കലും അല്ലെങ്കിൽ, കൂടാതെ, തെറ്റായ റീപ്ലേയിൽ നിന്നുള്ള സംരക്ഷണവും മാത്രം. ഒരു സുരക്ഷിത അസോസിയേഷൻ്റെ വളരെ പ്രധാനപ്പെട്ട പാരാമീറ്റർ ക്രിപ്റ്റോഗ്രാഫിക് മെറ്റീരിയൽ എന്ന് വിളിക്കപ്പെടുന്നവയാണ്, അതായത് AH, ESP പ്രോട്ടോക്കോളുകളുടെ പ്രവർത്തനത്തിൽ ഉപയോഗിക്കുന്ന രഹസ്യ കീകൾ.

IPSec സിസ്റ്റം ഒരു സുരക്ഷിത അസോസിയേഷൻ സ്ഥാപിക്കുന്നതിനുള്ള ഒരു മാനുവൽ രീതിയും അനുവദിക്കുന്നു, അതിൽ അഡ്മിനിസ്ട്രേറ്റർ ഓരോ എൻഡ് നോഡും കോൺഫിഗർ ചെയ്യുന്നു, അങ്ങനെ അവർ രഹസ്യ കീകൾ ഉൾപ്പെടെയുള്ള അസോസിയേഷൻ പാരാമീറ്ററുകളെ പിന്തുണയ്ക്കുന്നു.

AH അല്ലെങ്കിൽ ESP പ്രോട്ടോക്കോൾ ഇതിനകം സ്ഥാപിതമായ ലോജിക്കൽ കണക്ഷൻ SA ഉള്ളിൽ പ്രവർത്തിക്കുന്നു, അതിൻ്റെ സഹായത്തോടെ ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുടെ ആവശ്യമായ സംരക്ഷണം തിരഞ്ഞെടുത്ത പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് നടപ്പിലാക്കുന്നു.

സുരക്ഷിതമായ സംയോജന ക്രമീകരണങ്ങൾ സുരക്ഷിത ചാനലിൻ്റെ രണ്ട് എൻഡ് പോയിൻ്റുകൾക്കും സ്വീകാര്യമായിരിക്കണം. അതിനാൽ, ഓട്ടോമാറ്റിക് SA എസ്റ്റാബ്ലിഷ്‌മെൻ്റ് നടപടിക്രമം ഉപയോഗിക്കുമ്പോൾ, ചാനലിൻ്റെ എതിർവശങ്ങളിൽ പ്രവർത്തിക്കുന്ന IKE പ്രോട്ടോക്കോളുകൾ ചർച്ചയ്‌ക്കിടെ പാരാമീറ്ററുകൾ തിരഞ്ഞെടുക്കുന്നു, രണ്ട് മോഡമുകൾ ഇരു കക്ഷികൾക്കും പരമാവധി സ്വീകാര്യമായ വിനിമയ നിരക്ക് നിർണ്ണയിക്കുന്നതുപോലെ. AH, ESP പ്രോട്ടോക്കോളുകൾ പരിഹരിക്കുന്ന ഓരോ ടാസ്ക്കിനും, നിരവധി പ്രാമാണീകരണ, എൻക്രിപ്ഷൻ സ്കീമുകൾ വാഗ്ദാനം ചെയ്യുന്നു - ഇത് IPSec വളരെ ഫ്ലെക്സിബിൾ ടൂൾ ആക്കുന്നു. (ആധികാരികത ഉറപ്പാക്കുന്നതിനുള്ള പ്രശ്നം പരിഹരിക്കുന്നതിനുള്ള ഡൈജസ്റ്റ് ഫംഗ്‌ഷൻ തിരഞ്ഞെടുക്കുന്നത് ഡാറ്റാ എൻക്രിപ്ഷനുള്ള അൽഗോരിതം തിരഞ്ഞെടുക്കുന്നതിനെ ഒരു തരത്തിലും ബാധിക്കില്ല എന്നത് ശ്രദ്ധിക്കുക.)

അനുയോജ്യത ഉറപ്പാക്കാൻ, IPsec-ൻ്റെ സ്റ്റാൻഡേർഡ് പതിപ്പ് ഒരു നിശ്ചിത നിർബന്ധിത "ടൂൾ" സെറ്റ് നിർവചിക്കുന്നു: പ്രത്യേകിച്ചും, വൺ-വേ എൻക്രിപ്ഷൻ ഫംഗ്ഷനുകളിലൊന്നായ MD5 അല്ലെങ്കിൽ SHA-1 എല്ലായ്പ്പോഴും ഡാറ്റ ആധികാരികതയ്ക്കായി ഉപയോഗിക്കാം, എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളിൽ തീർച്ചയായും DES ഉൾപ്പെടുന്നു. അതേ സമയം, IPSec ഉൾപ്പെടുന്ന ഉൽപ്പന്നങ്ങളുടെ നിർമ്മാതാക്കൾക്ക് മറ്റ് പ്രാമാണീകരണ, എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ ഉപയോഗിച്ച് പ്രോട്ടോക്കോൾ വികസിപ്പിക്കാൻ സ്വാതന്ത്ര്യമുണ്ട്, അത് അവർ വിജയകരമായി ചെയ്യുന്നു. ഉദാഹരണത്തിന്, പല IPSec നടപ്പിലാക്കലുകളും ജനപ്രിയമായ ട്രിപ്പിൾ DES എൻക്രിപ്ഷൻ അൽഗോരിതത്തെയും താരതമ്യേന പുതിയ അൽഗോരിതങ്ങളെയും പിന്തുണയ്ക്കുന്നു - Blowfish, Cast, CDMF, Idea, RC5.

IPSec സ്റ്റാൻഡേർഡുകൾ ഗേറ്റ്‌വേകളെ ഇൻ്റർനെറ്റിൽ സംവദിക്കുന്ന എല്ലാ ഹോസ്റ്റുകളിൽ നിന്നുമുള്ള ട്രാഫിക്ക് കൊണ്ടുപോകുന്നതിന് ഒന്നുകിൽ ഒരു SA ഉപയോഗിക്കാൻ അനുവദിക്കുന്നു, അല്ലെങ്കിൽ ഈ ആവശ്യത്തിനായി ഒരു അനിയന്ത്രിതമായ SA-കൾ സൃഷ്ടിക്കുന്നു, ഉദാഹരണത്തിന്, ഓരോ TCP കണക്ഷനും ഒന്ന്. IPSec-ലെ ഒരു ഏകദിശ (സിംപ്ലക്സ്) ലോജിക്കൽ കണക്ഷനാണ് സുരക്ഷിത SA, അതിനാൽ ദ്വിദിശ ആശയവിനിമയങ്ങൾക്കായി രണ്ട് SA-കൾ സ്ഥാപിക്കേണ്ടതുണ്ട്.

ഗതാഗത, ടണൽ മോഡുകൾ

AH, ESP പ്രോട്ടോക്കോളുകൾക്ക് രണ്ട് മോഡുകളിൽ ഡാറ്റ പരിരക്ഷിക്കാൻ കഴിയും: ഗതാഗതവും തുരങ്കവും. ഗതാഗത മോഡിൽ, നെറ്റ്‌വർക്കിലൂടെ ഒരു ഐപി പാക്കറ്റിൻ്റെ സംപ്രേക്ഷണം ഈ പാക്കറ്റിൻ്റെ യഥാർത്ഥ തലക്കെട്ട് ഉപയോഗിച്ചാണ് നടത്തുന്നത്, ടണൽ മോഡിൽ, യഥാർത്ഥ പാക്കറ്റ് ഒരു പുതിയ ഐപി പാക്കറ്റിൽ സ്ഥാപിക്കുകയും നെറ്റ്‌വർക്കിലുടനീളം ഡാറ്റാ ട്രാൻസ്മിഷൻ നടത്തുകയും ചെയ്യുന്നു പുതിയ IP പാക്കറ്റിൻ്റെ തലക്കെട്ട്. ഒരു മോഡ് അല്ലെങ്കിൽ മറ്റൊന്ന് ഉപയോഗിക്കുന്നത് ഡാറ്റ പരിരക്ഷയ്ക്കുള്ള ആവശ്യകതകളെയും അതുപോലെ തന്നെ സുരക്ഷിത ചാനൽ അവസാനിപ്പിക്കുന്ന നോഡ് നെറ്റ്‌വർക്കിൽ വഹിക്കുന്ന പങ്കിനെയും ആശ്രയിച്ചിരിക്കുന്നു. അങ്ങനെ, ഒരു നോഡ് ഒരു ഹോസ്റ്റ് (എൻഡ് നോഡ്) അല്ലെങ്കിൽ ഒരു ഗേറ്റ്വേ (ഇൻ്റർമീഡിയറ്റ് നോഡ്) ആകാം. അതനുസരിച്ച്, IPSec ഉപയോഗിക്കുന്നതിന് മൂന്ന് സ്കീമുകളുണ്ട്: ഹോസ്റ്റ്-ടു-ഹോസ്റ്റ്, ഗേറ്റ്‌വേ-ടു-ഗേറ്റ്‌വേ, ഹോസ്റ്റ്-ടു-ഗേറ്റ്‌വേ.

ആദ്യ സ്കീമിൽ, ഒരു സുരക്ഷിത ചാനൽ, അല്ലെങ്കിൽ ഈ സന്ദർഭത്തിൽ അതേ കാര്യം, നെറ്റ്‌വർക്കിൻ്റെ രണ്ട് എൻഡ് നോഡുകൾക്കിടയിൽ ഒരു സുരക്ഷിത ബന്ധം സ്ഥാപിക്കപ്പെടുന്നു (ചിത്രം 2 കാണുക). ഈ കേസിലെ IPSec പ്രോട്ടോക്കോൾ എൻഡ് നോഡിൽ പ്രവർത്തിക്കുകയും അതിൽ എത്തുന്ന ഡാറ്റയെ സംരക്ഷിക്കുകയും ചെയ്യുന്നു. ഹോസ്റ്റ്-ടു-ഹോസ്റ്റ് സ്കീമിനായി, ടണൽ മോഡും അനുവദനീയമാണെങ്കിലും, സംരക്ഷണത്തിൻ്റെ ഗതാഗത രീതിയാണ് മിക്കപ്പോഴും ഉപയോഗിക്കുന്നത്.

രണ്ടാമത്തെ സ്കീമിന് അനുസൃതമായി, രണ്ട് ഇൻ്റർമീഡിയറ്റ് നോഡുകൾക്കിടയിൽ ഒരു സുരക്ഷിത ചാനൽ സ്ഥാപിച്ചിട്ടുണ്ട്, സെക്യൂരിറ്റി ഗേറ്റ്‌വേകൾ (എസ്ജി) എന്ന് വിളിക്കപ്പെടുന്നവ, അവ ഓരോന്നും IPSec പ്രോട്ടോക്കോൾ പ്രവർത്തിപ്പിക്കുന്നു. സെക്യൂരിറ്റി ഗേറ്റ്‌വേകൾക്ക് പിന്നിൽ സ്ഥിതി ചെയ്യുന്ന നെറ്റ്‌വർക്കുകളുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള ഏതെങ്കിലും രണ്ട് എൻഡ് പോയിൻ്റുകൾക്കിടയിൽ സുരക്ഷിതമായ ആശയവിനിമയങ്ങൾ സംഭവിക്കാം. IPSec-നെ പിന്തുണയ്ക്കുന്നതിനും വിശ്വസനീയമായ എൻ്റർപ്രൈസ് ഇൻട്രാനെറ്റുകളിലൂടെ സുരക്ഷിതമല്ലാത്ത ട്രാഫിക്കുകൾ കൈമാറുന്നതിനും എൻഡ് പോയിൻ്റുകൾ ആവശ്യമില്ല. പൊതു ശൃംഖലയ്‌ക്കായി ഉദ്ദേശിച്ചിട്ടുള്ള ട്രാഫിക് സുരക്ഷാ ഗേറ്റ്‌വേയിലൂടെ കടന്നുപോകുന്നു, അത് അതിൻ്റെ പേരിൽ IPSec പരിരക്ഷ നൽകുന്നു. ഗേറ്റ്‌വേകൾക്ക് ടണൽ മോഡ് മാത്രമേ ഉപയോഗിക്കാനാകൂ.

ഹോസ്റ്റ്-ഗേറ്റ്‌വേ സ്കീം വിദൂര ആക്‌സസ്സിനായി പലപ്പോഴും ഉപയോഗിക്കുന്നു. ഇവിടെ, IPSec പ്രവർത്തിക്കുന്ന ഒരു റിമോട്ട് ഹോസ്റ്റിനും എൻ്റർപ്രൈസ് ഇൻട്രാനെറ്റ് നെറ്റ്‌വർക്കിലെ എല്ലാ ഹോസ്റ്റുകൾക്കുമായി ട്രാഫിക്കിനെ സംരക്ഷിക്കുന്ന ഒരു ഗേറ്റ്‌വേയ്‌ക്കുമിടയിൽ ഒരു സുരക്ഷിത ചാനൽ സ്ഥാപിച്ചിരിക്കുന്നു. ഗേറ്റ്‌വേയിലേക്ക് പാക്കറ്റുകൾ അയയ്‌ക്കുമ്പോൾ വിദൂര ഹോസ്റ്റിന് ഗതാഗതവും ടണൽ മോഡും ഉപയോഗിക്കാൻ കഴിയും, എന്നാൽ ഗേറ്റ്‌വേ ടണൽ മോഡിൽ മാത്രമേ പാക്കറ്റിനെ ഹോസ്റ്റിലേക്ക് അയയ്‌ക്കൂ. വിദൂര ഹോസ്റ്റിനും ഗേറ്റ്‌വേ പരിരക്ഷിച്ചിട്ടുള്ള ആന്തരിക നെറ്റ്‌വർക്കിൽ ഉൾപ്പെടുന്ന ഏതൊരു ഹോസ്റ്റിനും ഇടയിൽ - സമാന്തരമായി മറ്റൊരു സുരക്ഷിത ചാനൽ സൃഷ്ടിക്കുന്നതിലൂടെ ഈ സ്കീം സങ്കീർണ്ണമാക്കാം. രണ്ട് SA-കളുടെ ഈ സംയോജിത ഉപയോഗം ആന്തരിക നെറ്റ്‌വർക്കിലെ ട്രാഫിക്കിനെ വിശ്വസനീയമായി പരിരക്ഷിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു.

നതാലിയ ഒലിഫർ

ഒരു പ്രമാണം ഉപയോഗിച്ചുള്ള പ്രവർത്തനങ്ങൾ

ആധുനിക ലോകത്ത്, വിവിധ VPN സാങ്കേതികവിദ്യകൾ എല്ലായിടത്തും ഉപയോഗിക്കുന്നു. ചിലത് (ഉദാഹരണത്തിന്, PPTP) കാലക്രമേണ സുരക്ഷിതമല്ലെന്ന് തിരിച്ചറിയുകയും ക്രമേണ മരിക്കുകയും ചെയ്യുന്നു, മറ്റുള്ളവ (ഓപ്പൺവിപിഎൻ), മറിച്ച്, ഓരോ വർഷവും അവയുടെ വേഗത വർദ്ധിപ്പിക്കുന്നു. എന്നാൽ സുരക്ഷിതമായ സ്വകാര്യ ചാനലുകൾ സൃഷ്ടിക്കുന്നതിനും പരിപാലിക്കുന്നതിനുമുള്ള തർക്കമില്ലാത്ത നേതാവും ഏറ്റവും തിരിച്ചറിയാവുന്ന സാങ്കേതികവിദ്യയും ഇപ്പോഴും IPsec VPN ആണ്. ചിലപ്പോൾ ഒരു പെൻ്റസ്റ്റ് സമയത്ത് നിങ്ങൾക്ക് അഞ്ഞൂറാമത്തെ UDP പോർട്ട് മാത്രം പുറത്തേക്ക് വരുന്ന ഗുരുതരമായ പരിരക്ഷിത നെറ്റ്‌വർക്ക് കണ്ടെത്താനാകും. മറ്റെല്ലാം അടയ്ക്കാനും പാച്ച് ചെയ്യാനും വിശ്വസനീയമായി ഫിൽട്ടർ ചെയ്യാനും കഴിയും. ഇത്തരമൊരു സാഹചര്യത്തിൽ ഇവിടെ പ്രത്യേകിച്ചൊന്നും ചെയ്യാനില്ല എന്ന ചിന്ത ഉയരാം. എന്നാൽ എല്ലായ്‌പ്പോഴും അങ്ങനെയല്ല. കൂടാതെ, ഡിഫോൾട്ട് കോൺഫിഗറേഷനുകളിൽ പോലും IPsec അഭേദ്യമാണെന്നും ശരിയായ സുരക്ഷ നൽകുന്നതാണെന്നും വ്യാപകമായ ആശയമുണ്ട്. ഇന്ന് നമ്മൾ പ്രായോഗികമായി നോക്കുന്നത് ഈ സാഹചര്യം തന്നെയാണ്. എന്നാൽ ആദ്യം, IPsec കഴിയുന്നത്ര ഫലപ്രദമായി ചെറുക്കുന്നതിന്, അത് എന്താണെന്നും അത് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്നും നിങ്ങൾ മനസ്സിലാക്കേണ്ടതുണ്ട്. ഇതാണ് ഞങ്ങൾ ചെയ്യേണ്ടത്!

ഉള്ളിൽ നിന്ന് IPsec

IPsec-ലേക്ക് നേരിട്ട് മാറുന്നതിന് മുമ്പ്, ഏത് തരത്തിലുള്ള VPN-കൾ ഉണ്ടെന്ന് ഓർക്കുന്നത് നന്നായിരിക്കും. VPN-കളുടെ നിരവധി വർഗ്ഗീകരണങ്ങളുണ്ട്, പക്ഷേ ഞങ്ങൾ നെറ്റ്‌വർക്ക് സാങ്കേതികവിദ്യകളിലേക്ക് ആഴത്തിൽ മുങ്ങില്ല, ഏറ്റവും ലളിതമായത് എടുക്കും. അതിനാൽ, ഞങ്ങൾ VPN-നെ രണ്ട് പ്രധാന തരങ്ങളായി വിഭജിക്കും - സൈറ്റ്-ടു-സൈറ്റ് VPN കണക്ഷനുകൾ (അവയെ സ്ഥിരം എന്നും വിളിക്കാം) വിദൂര ആക്സസ് VPN (RA, താൽക്കാലികവും).
ആദ്യ തരം വിവിധ നെറ്റ്‌വർക്ക് ദ്വീപുകളുടെ നിരന്തരമായ ആശയവിനിമയത്തിന് സഹായിക്കുന്നു, ഉദാഹരണത്തിന്, നിരവധി ചിതറിക്കിടക്കുന്ന ശാഖകളുള്ള ഒരു കേന്ദ്ര ഓഫീസ്. ശരി, ഒരു ക്ലയൻ്റ് ചുരുങ്ങിയ സമയത്തേക്ക് കണക്റ്റുചെയ്യുകയും ചില നെറ്റ്‌വർക്ക് ഉറവിടങ്ങളിലേക്ക് ആക്‌സസ് നേടുകയും തുടർന്ന് ജോലി പൂർത്തിയാക്കിയ ശേഷം സുരക്ഷിതമായി വിച്ഛേദിക്കുകയും ചെയ്യുന്ന ഒരു സാഹചര്യമാണ് RA VPN.

രണ്ടാമത്തെ ഓപ്ഷനിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ടാകും, കാരണം വിജയകരമായ ആക്രമണമുണ്ടായാൽ, എൻ്റർപ്രൈസസിൻ്റെ ആന്തരിക നെറ്റ്‌വർക്കിലേക്ക് ഉടനടി പ്രവേശനം നേടുന്നത് സാധ്യമാണ്, ഇത് ഒരു പെൻ്റസ്റ്ററിന് തികച്ചും ഗുരുതരമായ നേട്ടമാണ്. IPsec, അതാകട്ടെ, സൈറ്റ്-ടു-സൈറ്റ്, റിമോട്ട് ആക്സസ് VPN എന്നിവ നടപ്പിലാക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. ഇത് ഏത് തരത്തിലുള്ള സാങ്കേതികവിദ്യയാണ്, അതിൽ എന്ത് ഘടകങ്ങൾ അടങ്ങിയിരിക്കുന്നു?

IPsec ഒന്നല്ല, മറിച്ച് സുതാര്യവും സുരക്ഷിതവുമായ ഡാറ്റ പരിരക്ഷ നൽകുന്ന വ്യത്യസ്ത പ്രോട്ടോക്കോളുകളുടെ ഒരു കൂട്ടമാണ് എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്. IPsec-ൻ്റെ പ്രത്യേകത, അത് നെറ്റ്‌വർക്ക് ലെയറിൽ നടപ്പിലാക്കുന്നു എന്നതാണ്, തുടർന്നുള്ള ലെയറുകളിൽ എല്ലാം ശ്രദ്ധിക്കപ്പെടാതെ സംഭവിക്കുന്ന തരത്തിൽ ഇത് പൂർത്തീകരിക്കുന്നു. ഒരു കണക്ഷൻ സ്ഥാപിക്കുന്ന പ്രക്രിയയിൽ, ഒരു സുരക്ഷിത ചാനലിലെ രണ്ട് പങ്കാളികൾ വ്യത്യസ്ത പാരാമീറ്ററുകളുടെ ഒരു വലിയ എണ്ണം അംഗീകരിക്കേണ്ടതുണ്ട് എന്നതാണ് പ്രധാന ബുദ്ധിമുട്ട്. അതായത്, അവർ പരസ്‌പരം ആധികാരികമാക്കുകയും കീകൾ സൃഷ്‌ടിക്കുകയും കൈമാറ്റം ചെയ്യുകയും വേണം (ഒപ്പം വിശ്വസനീയമല്ലാത്ത അന്തരീക്ഷത്തിലൂടെ), കൂടാതെ ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യേണ്ട പ്രോട്ടോക്കോളുകളും അംഗീകരിക്കുകയും വേണം.

ഇക്കാരണത്താൽ, IPsec ഒരു സുരക്ഷിത കണക്ഷൻ്റെ സ്ഥാപനം, പ്രവർത്തനം, മാനേജ്മെൻ്റ് എന്നിവ ഉറപ്പാക്കുന്നതിനുള്ള ഒരു കൂട്ടം പ്രോട്ടോക്കോളുകൾ ഉൾക്കൊള്ളുന്നു. മുഴുവൻ കണക്ഷൻ സ്ഥാപന പ്രക്രിയയും രണ്ട് ഘട്ടങ്ങൾ ഉൾക്കൊള്ളുന്നു: രണ്ടാം ഘട്ടത്തിൽ ISAKMP സന്ദേശങ്ങളുടെ സുരക്ഷിതമായ കൈമാറ്റം ഉറപ്പാക്കാൻ ആദ്യ ഘട്ടം ഉപയോഗിക്കുന്നു. ISAKMP (ഇൻ്റർനെറ്റ് സെക്യൂരിറ്റി അസോസിയേഷനും കീ മാനേജ്മെൻ്റ് പ്രോട്ടോക്കോളും) ഒരു VPN കണക്ഷനിൽ പങ്കെടുക്കുന്നവർക്കിടയിൽ സുരക്ഷാ നയങ്ങൾ (SA) ചർച്ച ചെയ്യാനും അപ്ഡേറ്റ് ചെയ്യാനും സഹായിക്കുന്ന ഒരു പ്രോട്ടോക്കോളാണ്. എൻക്രിപ്റ്റ് ചെയ്യാൻ (AES അല്ലെങ്കിൽ 3DES) ഏത് പ്രോട്ടോക്കോൾ ഉപയോഗിക്കണമെന്നും (SHA അല്ലെങ്കിൽ MD5) ഉപയോഗിച്ച് പ്രാമാണീകരിക്കേണ്ടതെന്താണെന്നും ഈ നയങ്ങൾ പ്രത്യേകം സൂചിപ്പിക്കുന്നു.

IPsec-ൻ്റെ രണ്ട് പ്രധാന ഘട്ടങ്ങൾ

അതിനാൽ, ഒരു സുരക്ഷിത കണക്ഷൻ സൃഷ്ടിക്കാൻ ഏതൊക്കെ മെക്കാനിസങ്ങൾ ഉപയോഗിക്കുമെന്ന് പങ്കെടുക്കുന്നവർ ആദ്യം സമ്മതിക്കേണ്ടതുണ്ടെന്ന് ഞങ്ങൾ കണ്ടെത്തി, അതിനാൽ ഇപ്പോൾ IKE പ്രോട്ടോക്കോൾ പ്രാബല്യത്തിൽ വരുന്നു. IKE (ഇൻ്റർനെറ്റ് കീ എക്സ്ചേഞ്ച്) ഒരു IPsec SA (സെക്യൂരിറ്റി അസോസിയേഷൻ, അതേ സുരക്ഷാ നയങ്ങൾ) രൂപീകരിക്കാൻ ഉപയോഗിക്കുന്നു, മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, സുരക്ഷിതമായ കണക്ഷനിൽ പങ്കെടുക്കുന്നവരുടെ ജോലി ഏകോപിപ്പിക്കുന്നതിന്. ഈ പ്രോട്ടോക്കോളിലൂടെ, പങ്കെടുക്കുന്നവർ എന്ത് എൻക്രിപ്ഷൻ അൽഗോരിതം ഉപയോഗിക്കും, സമഗ്രത പരിശോധിക്കാൻ ഏത് അൽഗോരിതം ഉപയോഗിക്കും, എങ്ങനെ പരസ്പരം ആധികാരികമാക്കാം എന്നതിനെ കുറിച്ച് സമ്മതിക്കുന്നു. ഇന്ന് പ്രോട്ടോക്കോളിൻ്റെ രണ്ട് പതിപ്പുകൾ ഉണ്ടെന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്: IKEv1, IKEv2. IKEv1-ൽ മാത്രമേ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ടാകൂ: IETF (ഇൻ്റർനെറ്റ് എഞ്ചിനീയറിംഗ് ടാസ്‌ക് ഫോഴ്‌സ്) ഇത് ആദ്യമായി അവതരിപ്പിച്ചത് 1998-ൽ ആണെങ്കിലും, ഇത് ഇപ്പോഴും പലപ്പോഴും ഉപയോഗിക്കുന്നു, പ്രത്യേകിച്ച് RA VPN- കൾക്കായി (ചിത്രം 1 കാണുക).

IKEv2 നെ സംബന്ധിച്ചിടത്തോളം, അതിൻ്റെ ആദ്യ ഡ്രാഫ്റ്റുകൾ 2005 ൽ നിർമ്മിച്ചതാണ്, ഇത് RFC 5996 (2010) ൽ പൂർണ്ണമായും വിവരിച്ചിട്ടുണ്ട്, കഴിഞ്ഞ വർഷം അവസാനം മാത്രമാണ് ഇത് ഒരു ഇൻ്റർനെറ്റ് സ്റ്റാൻഡേർഡ് (RFC 7296) ആയി പ്രഖ്യാപിച്ചത്. സൈഡ്‌ബാറിൽ IKEv1 ഉം IKEv2 ഉം തമ്മിലുള്ള വ്യത്യാസങ്ങളെക്കുറിച്ച് നിങ്ങൾക്ക് കൂടുതൽ വായിക്കാം. IKE-യുമായി ഇടപഴകിയ ശേഷം, ഞങ്ങൾ IPsec ഘട്ടങ്ങളിലേക്ക് മടങ്ങുന്നു. ആദ്യ ഘട്ടത്തിൽ, പങ്കെടുക്കുന്നവർ പരസ്പരം ആധികാരികമാക്കുകയും ഭാവിയിലെ IPsec ടണലിൻ്റെ ആവശ്യമുള്ള എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളെയും മറ്റ് വിശദാംശങ്ങളെയും കുറിച്ചുള്ള വിവരങ്ങൾ കൈമാറാൻ മാത്രം ഉദ്ദേശിച്ചുള്ള ഒരു പ്രത്യേക കണക്ഷൻ സ്ഥാപിക്കുന്നതിനുള്ള പാരാമീറ്ററുകൾ അംഗീകരിക്കുകയും ചെയ്യുന്നു. ഈ ആദ്യ തുരങ്കത്തിൻ്റെ പാരാമീറ്ററുകൾ (ISAKMP ടണൽ എന്നും അറിയപ്പെടുന്നു) ISAKMP നയത്താൽ നിർണ്ണയിക്കപ്പെടുന്നു. ഹാഷുകളും എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളും അംഗീകരിക്കുക, തുടർന്ന് ഡിഫി-ഹെൽമാൻ (ഡിഎച്ച്) കീകൾ കൈമാറുക, അതിനുശേഷം ആരാണെന്ന് കണ്ടെത്തുക എന്നതാണ് ആദ്യപടി. അതായത്, PSK അല്ലെങ്കിൽ RSA കീ ഉപയോഗിച്ചുള്ള പ്രാമാണീകരണ പ്രക്രിയയാണ് അവസാന ഘട്ടം. കക്ഷികൾ ഒരു ധാരണയിലെത്തുകയാണെങ്കിൽ, ഒരു ISAKMP ടണൽ സ്ഥാപിക്കപ്പെടുന്നു, അതിലൂടെ IKE യുടെ രണ്ടാം ഘട്ടം ഇതിനകം കടന്നുപോകുന്നു.

രണ്ടാം ഘട്ടത്തിൽ, ഇതിനകം തന്നെ പരസ്പരം വിശ്വസിക്കുന്ന പങ്കാളികൾ നേരിട്ട് ഡാറ്റ കൈമാറുന്നതിനുള്ള പ്രധാന തുരങ്കം എങ്ങനെ നിർമ്മിക്കാമെന്ന് സമ്മതിക്കുന്നു. ട്രാൻസ്ഫോർമേഷൻ-സെറ്റ് പാരാമീറ്ററിൽ വ്യക്തമാക്കിയ ഓപ്ഷനുകൾ അവർ പരസ്പരം വാഗ്ദാനം ചെയ്യുന്നു, അവർ സമ്മതിക്കുകയാണെങ്കിൽ, അവർ പ്രധാന തുരങ്കം ഉയർത്തുന്നു. ഇത് സ്ഥാപിച്ചുകഴിഞ്ഞാൽ, സഹായ ISAKMP ടണൽ എവിടെയും പോകുന്നില്ല എന്നത് ഊന്നിപ്പറയേണ്ടതാണ് - പ്രധാന തുരങ്കത്തിൻ്റെ SA കാലാനുസൃതമായി അപ്ഡേറ്റ് ചെയ്യാൻ ഇത് ഉപയോഗിക്കുന്നു. തൽഫലമായി, IPsec ഏതെങ്കിലും വിധത്തിൽ ഒന്നല്ല, രണ്ട് തുരങ്കങ്ങൾ സ്ഥാപിക്കുന്നു.

ഡാറ്റ എങ്ങനെ പ്രോസസ്സ് ചെയ്യാം

ഇപ്പോൾ പരിവർത്തന-സെറ്റിനെക്കുറിച്ച് കുറച്ച് വാക്കുകൾ. എല്ലാത്തിനുമുപരി, നിങ്ങൾ എങ്ങനെയെങ്കിലും ടണലിലൂടെ പോകുന്ന ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യേണ്ടതുണ്ട്. അതിനാൽ, ഒരു സാധാരണ കോൺഫിഗറേഷനിൽ, പാക്കറ്റ് എങ്ങനെ പ്രോസസ്സ് ചെയ്യണമെന്ന് വ്യക്തമായി സൂചിപ്പിക്കുന്ന പാരാമീറ്ററുകളുടെ ഒരു കൂട്ടമാണ് ട്രാൻസ്ഫോർ-സെറ്റ്. അതനുസരിച്ച്, അത്തരം ഡാറ്റ പ്രോസസ്സിംഗിന് രണ്ട് ഓപ്ഷനുകൾ ഉണ്ട് - ESP, AH പ്രോട്ടോക്കോളുകൾ. ESP (എൻക്യാപ്‌സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ്) നേരിട്ട് ഡാറ്റ എൻക്രിപ്‌ഷനുമായി ഇടപെടുന്നു, കൂടാതെ ഡാറ്റാ ഇൻ്റഗ്രിറ്റി വെരിഫിക്കേഷൻ നൽകാനും കഴിയും. AH (ഓതൻ്റിക്കേഷൻ ഹെഡർ), അതാകട്ടെ, ഉറവിടം പ്രാമാണീകരിക്കുന്നതിനും ഡാറ്റയുടെ സമഗ്രത പരിശോധിക്കുന്നതിനും മാത്രമേ ഉത്തരവാദിത്തമുള്ളൂ.

ഉദാഹരണത്തിന്, ക്രിപ്‌റ്റോ ipsec ട്രാൻസ്‌ഫോം-സെറ്റ് SET10 esp-aes കമാൻഡ് റൂട്ടറിനോട് പറയും, SET10 എന്ന് പേരുള്ള ട്രാൻസ്‌ഫോം-സെറ്റ് ESP പ്രോട്ടോക്കോൾ ഉപയോഗിച്ചും AES എൻക്രിപ്ഷനും മാത്രമേ പ്രവർത്തിക്കൂ. മുന്നോട്ട് നോക്കുമ്പോൾ, ഇനി മുതൽ ഞങ്ങൾ സിസ്‌കോ റൂട്ടറുകളും ഫയർവാളുകളും ടാർഗെറ്റുകളായി ഉപയോഗിക്കുമെന്ന് ഞാൻ പറയും. യഥാർത്ഥത്തിൽ, ESP ഉപയോഗിച്ച് എല്ലാം കൂടുതലോ കുറവോ വ്യക്തമാണ്, അതിൻ്റെ ജോലി എൻക്രിപ്റ്റ് ചെയ്യുകയും അതുവഴി രഹസ്യാത്മകത ഉറപ്പാക്കുകയും ചെയ്യുക എന്നതാണ്, എന്നാൽ പിന്നെ എന്തുകൊണ്ട് AH ആവശ്യമാണ്? AH ഡാറ്റ പ്രാമാണീകരണം നൽകുന്നു, അതായത്, ഈ ഡാറ്റ കൃത്യമായി ഞങ്ങൾ കണക്ഷൻ സ്ഥാപിച്ച ഒരാളിൽ നിന്നാണ് വന്നതെന്ന് ഇത് സ്ഥിരീകരിക്കുന്നു, അത് വഴിയിൽ മാറ്റം വരുത്തിയിട്ടില്ല. ഇത് ചിലപ്പോൾ ആൻ്റി റീപ്ലേ സംരക്ഷണം എന്ന് വിളിക്കുന്നത് നൽകുന്നു. ആധുനിക നെറ്റ്‌വർക്കുകളിൽ, AH പ്രായോഗികമായി ഉപയോഗിക്കുന്നില്ല; എല്ലായിടത്തും ESP മാത്രമേ കണ്ടെത്താൻ കഴിയൂ.

ഒരു IPsec ടണലിലെ വിവരങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യാൻ തിരഞ്ഞെടുത്ത പാരാമീറ്ററുകൾക്ക് (അക്ക SA) ഒരു ആയുസ്സ് ഉണ്ട്, അതിനുശേഷം അവ മാറ്റിസ്ഥാപിക്കേണ്ടതുണ്ട്. ഡിഫോൾട്ട് ലൈഫ്ടൈം IPsec SA ക്രമീകരണം 86,400 സെക്കൻഡ് അല്ലെങ്കിൽ 24 മണിക്കൂർ ആണ്.
തൽഫലമായി, പങ്കെടുക്കുന്നവർക്ക് എല്ലാവർക്കും അനുയോജ്യമായ പാരാമീറ്ററുകളുള്ള ഒരു എൻക്രിപ്റ്റ് ചെയ്ത ടണൽ ലഭിക്കുകയും അവിടെ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിനായി ഡാറ്റ സ്ട്രീമുകൾ അയയ്ക്കുകയും ചെയ്തു. ആനുകാലികമായി, ആയുസ്സിന് അനുസൃതമായി, പ്രധാന തുരങ്കത്തിനുള്ള എൻക്രിപ്ഷൻ കീകൾ അപ്ഡേറ്റ് ചെയ്യപ്പെടുന്നു: പങ്കെടുക്കുന്നവർ വീണ്ടും ISAKMP ടണൽ വഴി ആശയവിനിമയം നടത്തുന്നു, രണ്ടാം ഘട്ടത്തിലൂടെ കടന്ന് SA പുനഃസ്ഥാപിക്കുന്നു.

IKEv1 മോഡുകൾ

IPsec എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിൻ്റെ അടിസ്ഥാന മെക്കാനിക്സിലേക്ക് ഞങ്ങൾ ഒരു ദ്രുത വീക്ഷണം നടത്തിയിട്ടുണ്ട്, എന്നാൽ നമ്മൾ ശ്രദ്ധിക്കേണ്ട ചില കാര്യങ്ങൾ കൂടിയുണ്ട്. ആദ്യ ഘട്ടം, മറ്റ് കാര്യങ്ങൾക്കൊപ്പം, രണ്ട് മോഡുകളിൽ പ്രവർത്തിക്കാൻ കഴിയും: പ്രധാന മോഡ് അല്ലെങ്കിൽ ആക്രമണാത്മക മോഡ്. മുകളിലുള്ള ആദ്യ ഓപ്ഷൻ ഞങ്ങൾ ഇതിനകം ചർച്ച ചെയ്തിട്ടുണ്ട്, എന്നാൽ ആക്രമണാത്മക മോഡിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ട്. ഈ മോഡ് മൂന്ന് സന്ദേശങ്ങൾ ഉപയോഗിക്കുന്നു (പ്രധാന മോഡിൽ ആറിന് പകരം). ഈ സാഹചര്യത്തിൽ, കണക്ഷൻ ആരംഭിക്കുന്നയാൾ തൻ്റെ എല്ലാ ഡാറ്റയും ഒരേസമയം നൽകുന്നു - അയാൾക്ക് എന്താണ് വേണ്ടത്, എന്തുചെയ്യാൻ കഴിയും, അതുപോലെ തന്നെ ഡിഎച്ച് എക്സ്ചേഞ്ചിൻ്റെ ഭാഗവും. പ്രതികരിക്കുന്നയാൾ ഉടൻ തന്നെ DH തലമുറയുടെ ഭാഗം പൂർത്തിയാക്കുന്നു. തൽഫലമായി, ഈ മോഡിൽ പ്രധാനമായും രണ്ട് ഘട്ടങ്ങൾ മാത്രമേയുള്ളൂ. അതായത്, പ്രധാന മോഡിൽ നിന്നുള്ള ആദ്യ രണ്ട് ഘട്ടങ്ങൾ (ഹാഷ് കരാറും ഡിഎച്ച് എക്സ്ചേഞ്ചും) ഒന്നായി ചുരുക്കിയിരിക്കുന്നു. തൽഫലമായി, ഈ മോഡ് വളരെ അപകടകരമാണ്, കാരണം പ്രതികരണം പ്ലെയിൻ ടെക്സ്റ്റിൽ ധാരാളം സാങ്കേതിക വിവരങ്ങളോടെയാണ് വരുന്നത്. ഏറ്റവും പ്രധാനമായി, VPN ഗേറ്റ്‌വേയ്ക്ക് ഒരു പാസ്‌വേഡ് ഹാഷ് അയയ്‌ക്കാൻ കഴിയും, അത് ആദ്യ ഘട്ടത്തിൽ പ്രാമാണീകരണത്തിനായി ഉപയോഗിക്കുന്നു (ഈ പാസ്‌വേഡ് പലപ്പോഴും പ്രീ-ഷെയർ ചെയ്ത കീ അല്ലെങ്കിൽ PSK എന്ന് വിളിക്കപ്പെടുന്നു).

ശരി, തുടർന്നുള്ള എല്ലാ എൻക്രിപ്ഷനുകളും പതിവുപോലെ മാറ്റങ്ങളില്ലാതെ സംഭവിക്കുന്നു. എന്തുകൊണ്ടാണ് ഈ മോഡ് ഇപ്പോഴും ഉപയോഗിക്കുന്നത്? ഇത് വളരെ വേഗതയുള്ളതാണ്, ഏകദേശം ഇരട്ടി വേഗതയാണ്. RA IPsec VPN-ൽ പലപ്പോഴും അഗ്രസീവ് മോഡ് ഉപയോഗിക്കാറുണ്ട് എന്നതാണ് പെൻ്റസ്റ്ററിന് പ്രത്യേക താൽപ്പര്യം. ആക്രമണാത്മക മോഡ് ഉപയോഗിക്കുമ്പോൾ RA IPsec VPN-ൻ്റെ മറ്റൊരു ചെറിയ സവിശേഷത: ക്ലയൻ്റ് സെർവറുമായി ബന്ധപ്പെടുമ്പോൾ, അത് ഒരു ഐഡൻ്റിഫയർ (ഗ്രൂപ്പിൻ്റെ പേര്) അയയ്ക്കുന്നു. തന്നിരിക്കുന്ന IPsec കണക്ഷനുള്ള ഒരു കൂട്ടം നയങ്ങൾ ഉൾക്കൊള്ളുന്ന ഒരു എൻട്രിയുടെ പേരാണ് ടണൽ ഗ്രൂപ്പിൻ്റെ പേര് (ചിത്രം 2 കാണുക). ഇത് ഇതിനകം തന്നെ സിസ്‌കോ ഉപകരണങ്ങളുടെ സവിശേഷതകളിലൊന്നാണ്.

രണ്ട് ഘട്ടങ്ങൾ മതിയായിരുന്നില്ല

ഇത് വളരെ ലളിതമായ ഒരു സ്കീം അല്ലെന്ന് തോന്നുന്നു, പക്ഷേ വാസ്തവത്തിൽ ഇത് ഇപ്പോഴും കുറച്ചുകൂടി സങ്കീർണ്ണമാണ്. കാലക്രമേണ, സുരക്ഷ ഉറപ്പാക്കാൻ PSK മാത്രം പോരാ എന്ന് വ്യക്തമായി. ഉദാഹരണത്തിന്, ഒരു ജീവനക്കാരൻ്റെ വർക്ക്സ്റ്റേഷൻ വിട്ടുവീഴ്ച ചെയ്യപ്പെടുകയാണെങ്കിൽ, ആക്രമണകാരിക്ക് എൻ്റർപ്രൈസസിൻ്റെ മുഴുവൻ ആന്തരിക നെറ്റ്‌വർക്കിലേക്കും ഉടനടി പ്രവേശനം നേടാനാകും. അതിനാൽ, ഒന്നും രണ്ടും ക്ലാസിക്കൽ ഘട്ടങ്ങൾക്കിടയിൽ ഘട്ടം 1.5 വികസിപ്പിച്ചെടുത്തു. വഴിയിൽ, ഈ ഘട്ടം സാധാരണയായി ഒരു സാധാരണ സൈറ്റ്-ടു-സൈറ്റ് VPN കണക്ഷനിൽ ഉപയോഗിക്കാറില്ല, എന്നാൽ റിമോട്ട് VPN കണക്ഷനുകൾ സംഘടിപ്പിക്കുമ്പോൾ (ഞങ്ങളുടെ കേസ്) ഉപയോഗിക്കുന്നു. ഈ ഘട്ടത്തിൽ രണ്ട് പുതിയ വിപുലീകരണങ്ങൾ അടങ്ങിയിരിക്കുന്നു - എക്സ്റ്റൻഡഡ് ഓതൻ്റിക്കേഷൻ (XAUTH), മോഡ്-കോൺഫിഗറേഷൻ (MODECFG).

IKE പ്രോട്ടോക്കോളിനുള്ളിലെ ഒരു അധിക ഉപയോക്തൃ പ്രാമാണീകരണമാണ് XAUTH. ഈ പ്രാമാണീകരണത്തെ ചിലപ്പോൾ IPsec രണ്ടാം ഘടകം എന്നും വിളിക്കുന്നു. ശരി, ക്ലയൻ്റിലേക്ക് അധിക വിവരങ്ങൾ കൈമാറാൻ MODECFG സഹായിക്കുന്നു, ഇത് ഒരു IP വിലാസം, മാസ്ക്, DNS സെർവർ മുതലായവ ആകാം. ഈ ഘട്ടം മുമ്പ് ചർച്ച ചെയ്തവയെ പൂർത്തീകരിക്കുന്നുവെന്ന് കാണാൻ കഴിയും, എന്നാൽ അതിൻ്റെ പ്രയോജനം നിസ്സംശയമാണ്.

IKEv2 vs IKEv1

രണ്ട് പ്രോട്ടോക്കോളുകളും UDP പോർട്ട് നമ്പർ 500-ൽ പ്രവർത്തിക്കുന്നു, എന്നാൽ പരസ്പരം പൊരുത്തപ്പെടുന്നില്ല; തുരങ്കത്തിൻ്റെ ഒരറ്റത്ത് IKEv1 ഉം മറ്റേ അറ്റത്ത് IKEv2 ഉം ഉള്ള ഒരു സാഹചര്യം അനുവദനീയമല്ല. രണ്ടാമത്തെ പതിപ്പും ആദ്യ പതിപ്പും തമ്മിലുള്ള പ്രധാന വ്യത്യാസങ്ങൾ ഇതാ:

• IKEv2-ൽ ആക്രമണാത്മകമോ പ്രധാനമോ ആയ മോഡുകൾ പോലെയുള്ള ആശയങ്ങൾ മേലിൽ ഇല്ല.
• IKEv2-ൽ, ആദ്യ ഘട്ടം എന്ന പദത്തിന് പകരം IKE_SA_INIT (എൻക്രിപ്ഷൻ/ഹാഷിംഗ് പ്രോട്ടോക്കോളുകളുടെ ചർച്ചയും ഡിഎച്ച് കീകളുടെ ജനറേഷനും ഉറപ്പാക്കുന്ന രണ്ട് സന്ദേശങ്ങളുടെ കൈമാറ്റം), രണ്ടാം ഘട്ടം IKE_AUTH (ആധികാരികത നടപ്പിലാക്കുന്ന രണ്ട് സന്ദേശങ്ങളും) ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുന്നു. ).
• മോഡ് കോൺഫിഗറേഷൻ (IKEv1-ൽ ഘട്ടം 1.5 എന്ന് വിളിക്കപ്പെട്ടിരുന്നത്) ഇപ്പോൾ പ്രോട്ടോക്കോൾ സ്പെസിഫിക്കേഷനിൽ നേരിട്ട് വിവരിച്ചിരിക്കുന്നു, അത് അതിൻ്റെ ഒരു അവിഭാജ്യ ഘടകമാണ്.
• DoS ആക്രമണങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് IKEv2 ഒരു അധിക സംവിധാനം ചേർത്തു. ഒരു സുരക്ഷിത കണക്ഷൻ (IKE_SA_INIT) IKEv2 സ്ഥാപിക്കുന്നതിനുള്ള ഓരോ അഭ്യർത്ഥനയോടും പ്രതികരിക്കുന്നതിന് മുമ്പ്, VPN ഗേറ്റ്‌വേ അത്തരമൊരു അഭ്യർത്ഥനയുടെ ഉറവിടത്തിലേക്ക് ഒരു നിശ്ചിത കുക്കി അയയ്ക്കുകയും പ്രതികരണത്തിനായി കാത്തിരിക്കുകയും ചെയ്യുന്നു എന്നതാണ് ഇതിൻ്റെ സാരം. ഉറവിടം പ്രതികരിച്ചാൽ - എല്ലാം ക്രമത്തിലാണെങ്കിൽ, നിങ്ങൾക്ക് അത് ഉപയോഗിച്ച് DH സൃഷ്ടിക്കാൻ ആരംഭിക്കാം. ഉറവിടം പ്രതികരിക്കുന്നില്ലെങ്കിൽ (ഒരു DoS ആക്രമണത്തിൻ്റെ കാര്യത്തിൽ ഇതാണ് സംഭവിക്കുന്നത്; ഈ സാങ്കേതികത TCP SYN വെള്ളപ്പൊക്കത്തെ അനുസ്മരിപ്പിക്കുന്നു), അപ്പോൾ VPN ഗേറ്റ്‌വേ അതിനെക്കുറിച്ച് മറക്കുന്നു. ഈ സംവിധാനം കൂടാതെ, ആരുടെയും ഓരോ അഭ്യർത്ഥനയ്‌ക്കൊപ്പം, VPN ഗേറ്റ്‌വേ ഒരു DH കീ സൃഷ്‌ടിക്കാൻ ശ്രമിക്കും (ഇത് തികച്ചും റിസോഴ്‌സ്-ഇൻ്റൻസീവ് പ്രക്രിയയാണ്) അത് ഉടൻ തന്നെ പ്രശ്‌നങ്ങളിൽ കലാശിക്കും. തൽഫലമായി, എല്ലാ പ്രവർത്തനങ്ങൾക്കും ഇപ്പോൾ കണക്ഷൻ്റെ മറുവശത്ത് നിന്ന് സ്ഥിരീകരണം ആവശ്യമാണ് എന്ന വസ്തുത കാരണം, ആക്രമിക്കപ്പെട്ട ഉപകരണത്തിൽ പകുതി തുറന്ന സെഷനുകൾ സൃഷ്ടിക്കുന്നത് അസാധ്യമാണ്.

ഞങ്ങൾ നാഴികക്കല്ലിലെത്തുകയാണ്

IPsec-ൻ്റെ പ്രവർത്തന സവിശേഷതകളും അതിൻ്റെ ഘടകങ്ങളും ഒടുവിൽ മനസ്സിലാക്കിയ ശേഷം, നിങ്ങൾക്ക് പ്രധാന കാര്യത്തിലേക്ക് പോകാം - പ്രായോഗിക ആക്രമണങ്ങൾ. ടോപ്പോളജി വളരെ ലളിതവും അതേ സമയം യാഥാർത്ഥ്യത്തോട് അടുത്തും ആയിരിക്കും (ചിത്രം 3 കാണുക).

ഒരു IPsec VPN ഗേറ്റ്‌വേയുടെ സാന്നിധ്യം നിർണ്ണയിക്കുക എന്നതാണ് ആദ്യപടി. ഒരു പോർട്ട് സ്കാൻ നടത്തി ഇത് ചെയ്യാൻ കഴിയും, എന്നാൽ ഇവിടെ ഒരു ചെറിയ സവിശേഷതയുണ്ട്. ISAKMP, UDP പ്രോട്ടോക്കോൾ, പോർട്ട് 500 ഉപയോഗിക്കുന്നു, Nmap ഉപയോഗിച്ചുള്ള സ്ഥിരസ്ഥിതി സ്കാനിംഗ് TCP പോർട്ടുകളെ മാത്രമേ ബാധിക്കുകയുള്ളൂ. ഫലമായി ഒരു സന്ദേശം ഉണ്ടാകും: 37.59.0.253-ൽ സ്കാൻ ചെയ്ത എല്ലാ 1000 പോർട്ടുകളും ഫിൽട്ടർ ചെയ്തു.

എല്ലാ തുറമുഖങ്ങളും ഫിൽട്ടർ ചെയ്തതായി തോന്നുന്നു, തുറന്ന പോർട്ടുകൾ ഇല്ല. എന്നാൽ കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്ത ശേഷം

Nmap -sU --top-ports=20 37.59.0.253 Nmap 6.47 (http://nmap.org) ആരംഭിക്കുന്നത് 2015-03-21 12:29 GMT ന് 37.59.0.253 ഹോസ്റ്റിനുള്ള Nmap സ്കാൻ റിപ്പോർട്ട് ഉയർന്നു (0.066s) . പോർട്ട് സ്റ്റേറ്റ് സർവീസ് 500/udp ഓപ്പൺ isakmp

ഇത് അങ്ങനെയല്ലെന്നും ഇത് തീർച്ചയായും ഒരു VPN ഉപകരണമാണെന്നും ഞങ്ങൾ ഉറപ്പാക്കുന്നു.

നമുക്ക് ആദ്യ ഘട്ടം ആക്രമിക്കാം

പ്രീ-ഷെയർ ചെയ്ത കീ (PSK) ഉപയോഗിച്ചുള്ള ആദ്യ ഘട്ടം, ആക്രമണാത്മക മോഡ്, പ്രാമാണീകരണം എന്നിവയിൽ ഇപ്പോൾ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ടാകും. ഈ സാഹചര്യത്തിൽ, ഞങ്ങൾ ഓർക്കുന്നതുപോലെ, VPN ഉപകരണം അല്ലെങ്കിൽ പ്രതികരണം ഒരു ഹാഷ് ചെയ്ത PSK ഇനീഷ്യേറ്ററിന് അയയ്ക്കുന്നു. ഐകെ പ്രോട്ടോക്കോൾ പരിശോധിക്കുന്നതിനുള്ള ഏറ്റവും പ്രശസ്തമായ യൂട്ടിലിറ്റികളിലൊന്നാണ് ഐകെ-സ്കാൻ, ഇത് കാളി ലിനക്സ് വിതരണത്തിൽ ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. Ike-സ്കാൻ നിങ്ങളെ വിവിധ പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് IKE സന്ദേശങ്ങൾ അയയ്‌ക്കാനും അതനുസരിച്ച്, പ്രതികരണ പാക്കറ്റുകൾ ഡീകോഡ് ചെയ്യാനും പാഴ്‌സ് ചെയ്യാനും നിങ്ങളെ അനുവദിക്കുന്നു. ടാർഗെറ്റ് ഉപകരണം പരിശോധിക്കാൻ ശ്രമിക്കാം:

റൂട്ട്@കാളി:~# ഐകെ-സ്കാൻ -എം -എ 37.59.0.253 0 തിരികെ ഹാൻഡ്ഷേക്ക്; 0 അറിയിപ്പ് തിരികെ നൽകി

അഗ്രസീവ് മോഡ് ഉപയോഗിക്കണമെന്ന് -A സ്വിച്ച് സൂചിപ്പിക്കുന്നു, കൂടുതൽ സൗകര്യപ്രദമായ വായനയ്ക്കായി ഫലങ്ങൾ വരിയായി (മൾട്ടിലൈൻ) പ്രദർശിപ്പിക്കണമെന്ന് -M സൂചിപ്പിക്കുന്നു. ഫലമൊന്നും ലഭിച്ചിട്ടില്ലെന്ന് വ്യക്തമാണ്. കാരണം, നിങ്ങൾ അതേ ഐഡൻ്റിഫയർ, VPN ഗ്രൂപ്പിൻ്റെ പേര് വ്യക്തമാക്കേണ്ടതുണ്ട്. തീർച്ചയായും, ഈ ഐഡൻ്റിഫയറിനെ അതിൻ്റെ പാരാമീറ്ററുകളിലൊന്നായി സജ്ജീകരിക്കാൻ ike-സ്കാൻ യൂട്ടിലിറ്റി നിങ്ങളെ അനുവദിക്കുന്നു. എന്നാൽ ഇത് ഇപ്പോഴും നമുക്ക് അജ്ഞാതമായതിനാൽ, നമുക്ക് ഒരു ഏകപക്ഷീയമായ മൂല്യം എടുക്കാം, ഉദാഹരണത്തിന് 0000.

Root@kali:~# ike-scan -M -A --id=0000 37.59.0.253 37.59.0.253 അഗ്രസീവ് മോഡ് ഹാൻഡ്‌ഷേക്ക് മടങ്ങി

ഈ സമയം ഉത്തരം ലഭിച്ചതായി ഞങ്ങൾ കാണുന്നു (ചിത്രം 5 കാണുക) കൂടാതെ ഞങ്ങൾക്ക് ധാരാളം ഉപയോഗപ്രദമായ വിവരങ്ങൾ നൽകിയിട്ടുണ്ട്. ലഭിച്ച വിവരങ്ങളുടെ വളരെ പ്രധാനപ്പെട്ട ഒരു ഭാഗം പരിവർത്തന-സെറ്റ് ആണ്. ഞങ്ങളുടെ കാര്യത്തിൽ, "Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK" എന്ന് അത് പ്രസ്താവിക്കുന്നു.

ഈ പരാമീറ്ററുകളെല്ലാം --trans സ്വിച്ച് ഉപയോഗിച്ച് ഐകെ-സ്കാൻ യൂട്ടിലിറ്റിക്കായി വ്യക്തമാക്കാം. ഉദാഹരണത്തിന്, --trans=5,2,1,2 എൻക്രിപ്ഷൻ അൽഗോരിതം 3DES ആണെന്നും, HMAC-SHA, ഹാഷിംഗ് HMAC-SHA, ഓതൻ്റിക്കേഷൻ രീതി PSK, രണ്ടാമത്തെ തരം DH ഗ്രൂപ്പ് (1024-ബിറ്റ് MODP) ആണെന്നും സൂചിപ്പിക്കും. ഈ വിലാസത്തിൽ നിങ്ങൾക്ക് മൂല്യ കറസ്പോണ്ടൻസ് ടേബിളുകൾ കാണാൻ കഴിയും. പാക്കേജിൻ്റെ പേലോഡ് നേരിട്ട് പ്രദർശിപ്പിക്കുന്നതിന് മറ്റൊരു കീ (-P) ചേർക്കാം, അല്ലെങ്കിൽ PSK ഹാഷ്.

റൂട്ട്@കാളി:~# ike-scan -M -A --id=0000 37.59.0.253 -P

ആദ്യ ബുദ്ധിമുട്ടുകൾ മറികടക്കുന്നു

ഹാഷ് ലഭിച്ചതായി തോന്നുന്നു, നിങ്ങൾക്ക് അത് ബ്രൂട്ട് ചെയ്യാൻ ശ്രമിക്കാം, പക്ഷേ എല്ലാം അത്ര ലളിതമല്ല. ഒരിക്കൽ, 2005-ൽ, ചില സിസ്‌കോ ഹാർഡ്‌വെയറുകൾക്ക് ഒരു അപകടസാധ്യത ഉണ്ടായിരുന്നു: ആക്രമണകാരി ശരിയായ ഐഡി മൂല്യം കടന്നാൽ മാത്രമേ ഈ ഉപകരണങ്ങൾ ഹാഷ് നൽകിയിട്ടുള്ളൂ. ഇപ്പോൾ, തീർച്ചയായും, അത്തരം ഉപകരണങ്ങൾ കണ്ടെത്തുന്നത് മിക്കവാറും അസാധ്യമാണ്, ആക്രമണകാരി ശരിയായ ഐഡി മൂല്യം അയച്ചോ ഇല്ലയോ എന്നത് പരിഗണിക്കാതെ തന്നെ എല്ലായ്പ്പോഴും ഒരു ഹാഷ്ഡ് മൂല്യം അയയ്ക്കും. വ്യക്തമായും, ബ്രൂട്ട് ഫോഴ്‌സ് ഹാഷിംഗ് അർത്ഥശൂന്യമാണ്. അതിനാൽ, ശരിയായ ഹാഷ് ലഭിക്കുന്നതിന് ശരിയായ ഐഡി മൂല്യം നിർണ്ണയിക്കുക എന്നതാണ് ആദ്യത്തെ ചുമതല. അടുത്തിടെ കണ്ടെത്തിയ ഒരു അപകടസാധ്യത ഇതിന് ഞങ്ങളെ സഹായിക്കും. സന്ദേശങ്ങളുടെ പ്രാരംഭ കൈമാറ്റ സമയത്ത് പ്രതികരണങ്ങൾ തമ്മിൽ ചെറിയ വ്യത്യാസമുണ്ട് എന്നതാണ് കാര്യം. ചുരുക്കത്തിൽ, ശരിയായ ഗ്രൂപ്പിൻ്റെ പേര് ഉപയോഗിച്ചിട്ടുണ്ടെങ്കിൽ, VPN കണക്ഷൻ സ്ഥാപിക്കുന്നത് തുടരാൻ നാല് ശ്രമങ്ങളും രണ്ട് എൻക്രിപ്റ്റ് ചെയ്ത ഫേസ് രണ്ട് പാക്കറ്റുകളും ഉണ്ട്. ഒരു തെറ്റായ ഐഡിയുടെ കാര്യത്തിൽ, പ്രതികരണമായി രണ്ട് പാക്കറ്റുകൾ മാത്രമേ വരുന്നുള്ളൂ. നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, വ്യത്യാസം വളരെ പ്രധാനമാണ്, അതിനാൽ സ്പൈഡർലാബ്സ് (തുല്യമായ രസകരമായ റെസ്‌പോണ്ടർ ടൂളിൻ്റെ രചയിതാവ്) ആദ്യം ഒരു PoC വികസിപ്പിച്ചെടുത്തു, തുടർന്ന് IKEForce യൂട്ടിലിറ്റി ഈ അപകടസാധ്യത മുതലെടുക്കാൻ.

എന്താണ് ഇകെയുടെ ശക്തി

കമാൻഡ് പ്രവർത്തിപ്പിച്ച് നിങ്ങൾക്ക് ഒരു അനിയന്ത്രിതമായ ഡയറക്ടറിയിൽ IKEForce ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിയും

Git ക്ലോൺ https://github.com/SpiderLabs/ikeforce

ഇത് രണ്ട് പ്രധാന മോഡുകളിൽ പ്രവർത്തിക്കുന്നു - കണക്കുകൂട്ടൽ മോഡ് -ഇ (എണ്ണം), ബ്രൂട്ട് ഫോഴ്സ് മോഡ് -ബി (ബ്രൂട്ട്ഫോഴ്സ്). രണ്ടാമത്തെ ഘടകത്തിനെതിരായ ആക്രമണങ്ങൾ നോക്കുമ്പോൾ ഞങ്ങൾ രണ്ടാമത്തേതിലേക്ക് പോകും, ​​എന്നാൽ ഞങ്ങൾ ഇപ്പോൾ ആദ്യത്തേത് കൈകാര്യം ചെയ്യും. ഐഡി നിർണ്ണയിക്കുന്നതിനുള്ള യഥാർത്ഥ പ്രക്രിയ ആരംഭിക്കുന്നതിന് മുമ്പ്, നിങ്ങൾ ട്രാൻസ്ഫോർമേഷൻ-സെറ്റിൻ്റെ കൃത്യമായ മൂല്യം സജ്ജീകരിക്കേണ്ടതുണ്ട്. ഞങ്ങൾ ഇത് നേരത്തെ തന്നെ നിർവചിച്ചിട്ടുണ്ട്, അതിനാൽ -t 5 2 1 2 ഓപ്ഷൻ ഉപയോഗിച്ച് ഞങ്ങൾ ഇത് വ്യക്തമാക്കും. തൽഫലമായി, ഐഡി കണ്ടെത്തുന്ന പ്രക്രിയ ഇതുപോലെ കാണപ്പെടും:

Python ikeforce.py 37.59.0.253 -e -w wordlists/group.txt -t 5 2 1 2

തൽഫലമായി, ശരിയായ ഐഡി മൂല്യം വളരെ വേഗത്തിൽ നേടാൻ സാധിച്ചു (ചിത്രം 7). ആദ്യ ഘട്ടം പൂർത്തിയായി, നിങ്ങൾക്ക് മുന്നോട്ട് പോകാം.

ഞങ്ങൾക്ക് PSK ലഭിക്കുന്നു

ഇപ്പോൾ നിങ്ങൾ ശരിയായ ഗ്രൂപ്പിൻ്റെ പേര് ഉപയോഗിച്ച് ഒരു ഫയലിലേക്ക് PSK ഹാഷ് സംരക്ഷിക്കേണ്ടതുണ്ട്; ഇത് ഐകെ-സ്കാൻ ഉപയോഗിച്ച് ചെയ്യാം:

Ike-scan -M -A --id=vpn 37.59.0.253 -Pkey.psk

ഇപ്പോൾ ശരിയായ ഐഡി മൂല്യം കണ്ടെത്തി ശരിയായ PSK ഹാഷ് ലഭിച്ചു, ഒടുവിൽ നമുക്ക് ഓഫ്‌ലൈൻ ബ്രൂട്ട് ഫോഴ്‌സ് ആരംഭിക്കാം. അത്തരം ബ്രൂട്ട് ഫോഴ്‌സിന് ധാരാളം ഓപ്ഷനുകൾ ഉണ്ട് - ഇതാണ് ക്ലാസിക് psk-ക്രാക്ക് യൂട്ടിലിറ്റി, കൂടാതെ ജോൺ ദി റിപ്പർ (ഒരു ജംബോ പാച്ച് ഉള്ളത്), കൂടാതെ oclHashcat പോലും, ഇത് അറിയപ്പെടുന്നതുപോലെ, നിങ്ങളുടെ ശക്തി ഉപയോഗിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. ജിപിയു. ലാളിത്യത്തിനായി, ഞങ്ങൾ psk-crack ഉപയോഗിക്കും, അത് നേരിട്ടുള്ള ബ്രൂട്ട് ഫോഴ്‌സും നിഘണ്ടു ആക്രമണവും പിന്തുണയ്ക്കുന്നു:

Psk-crack -d /usr/share/ike-scan/psk-crack-dictionary key.psk

എന്നാൽ PSK വിജയകരമായി പുനഃസ്ഥാപിക്കുന്നത് പോലും (ചിത്രം 8 കാണുക) യുദ്ധത്തിൻ്റെ പകുതി മാത്രമാണ്. ഈ ഘട്ടത്തിൽ, അടുത്തതായി നമ്മെ കാത്തിരിക്കുന്നത് XAUTH ഉം IPsec VPN-ൻ്റെ രണ്ടാമത്തെ ഘടകവുമാണെന്ന് ഓർമ്മിക്കേണ്ടതുണ്ട്.

രണ്ടാമത്തെ IPsec ഘടകം കൈകാര്യം ചെയ്യുന്നു

അതിനാൽ, XAUTH ഒരു അധിക സുരക്ഷയാണെന്നും രണ്ടാമത്തെ പ്രാമാണീകരണ ഘടകമാണെന്നും അത് ഘട്ടം 1.5 ആണെന്നും ഞാൻ നിങ്ങളെ ഓർമ്മിപ്പിക്കട്ടെ. XAUTH-ന് നിരവധി ഓപ്ഷനുകൾ ഉണ്ടാകാം - ഇതിൽ RADIUS പ്രോട്ടോക്കോൾ ഉപയോഗിച്ചുള്ള സ്ഥിരീകരണം, ഒറ്റത്തവണ പാസ്‌വേഡുകൾ (OTP), ഒരു സാധാരണ പ്രാദേശിക ഉപയോക്തൃ അടിത്തറ എന്നിവ ഉൾപ്പെടുന്നു. രണ്ടാമത്തെ ഘടകം പരിശോധിക്കാൻ ഒരു പ്രാദേശിക ഉപയോക്തൃ അടിത്തറ ഉപയോഗിക്കുമ്പോൾ ഞങ്ങൾ സാധാരണ അവസ്ഥയിൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കും. അടുത്ത കാലം വരെ, ബ്രൂട്ട് ഫോഴ്‌സ് XAUTH-ന് പൊതുവായി ലഭ്യമായ ഒരു ഉപകരണവും ഉണ്ടായിരുന്നില്ല. എന്നാൽ IKEForce ൻ്റെ വരവോടെ, ഈ പ്രശ്നത്തിന് ഒരു യോഗ്യമായ പരിഹാരം ലഭിച്ചു. XAUTH ബ്രൂട്ട് ഫോഴ്‌സ് സമാരംഭിക്കുന്നത് വളരെ ലളിതമാണ്:

Python ikeforce.py 37.59.0.253 -b -i vpn -k cisco123 -u admin -w wordlists/passwd.txt -t 5 2 1 2 [+]പ്രോഗ്രാം XAUTH ബ്രൂട്ട് ഫോഴ്‌സ് മോഡിൽ ആരംഭിച്ചു [+]ഒറ്റ ഉപയോക്താവിന് നൽകിയത് - ബ്രൂട്ട് ഫോർക്കിംഗ് ഉപയോക്താവിനുള്ള പാസ്‌വേഡുകൾ: അഡ്മിൻ [*]XAUTH പ്രാമാണീകരണം വിജയകരം! ഉപയോക്തൃനാമം: അഡ്മിൻ പാസ്‌വേഡ്: സിസ്കോ

ഈ സാഹചര്യത്തിൽ, മുമ്പ് കണ്ടെത്തിയ എല്ലാ മൂല്യങ്ങളും സൂചിപ്പിച്ചിരിക്കുന്നു: ഐഡി (സ്വിച്ച് -ഐ), പുനഃസ്ഥാപിച്ച പിഎസ്കെ (സ്വിച്ച് -കെ), പ്രതീക്ഷിക്കുന്ന ലോഗിൻ (സ്വിച്ച് -യു). IKEForce ഒരു ലോഗിൻ ബ്രൂട്ട് ഫോഴ്‌സ് തിരയലിനെയും -U പാരാമീറ്റർ ഉപയോഗിച്ച് വ്യക്തമാക്കാൻ കഴിയുന്ന ലോഗിനുകളുടെ ഒരു ലിസ്റ്റിലൂടെയുള്ള തിരയലിനെയും പിന്തുണയ്ക്കുന്നു. സാധ്യമായ സെലക്ഷൻ തടയൽ സാഹചര്യത്തിൽ, ബ്രൂട്ട് ഫോഴ്സ് വേഗത കുറയ്ക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന -s ഓപ്ഷൻ ഉണ്ട്. വഴിയിൽ, യൂട്ടിലിറ്റി നിരവധി നല്ല നിഘണ്ടുക്കൾക്കൊപ്പം വരുന്നു, പ്രത്യേകിച്ചും ഐഡി പാരാമീറ്ററിൻ്റെ മൂല്യം ക്രമീകരിക്കുന്നതിന് ഉപയോഗപ്രദമാണ്.

ആന്തരിക നെറ്റ്‌വർക്കിലേക്ക് ലോഗിൻ ചെയ്യുക

ഇപ്പോൾ ഞങ്ങൾക്ക് എല്ലാ ഡാറ്റയും ഉണ്ട്, അവസാന ഘട്ടം അവശേഷിക്കുന്നു - യഥാർത്ഥത്തിൽ പ്രാദേശിക നെറ്റ്‌വർക്കിലേക്ക് തുളച്ചുകയറുന്നു. ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾക്ക് ഒരുതരം VPN ക്ലയൻ്റ് ആവശ്യമാണ്, അതിൽ ധാരാളം ഉണ്ട്. എന്നാൽ കാളിയുടെ കാര്യത്തിൽ, മുൻകൂട്ടി ഇൻസ്റ്റാൾ ചെയ്ത VPNC നിങ്ങൾക്ക് എളുപ്പത്തിൽ ഉപയോഗിക്കാം. ഇത് പ്രവർത്തിക്കുന്നതിന്, നിങ്ങൾ ഒരു കോൺഫിഗറേഷൻ ഫയൽ ക്രമീകരിക്കേണ്ടതുണ്ട് - /etc/vpnc/vpn.conf. അത് നിലവിലില്ലെങ്കിൽ, നിങ്ങൾ വ്യക്തമായ നിരവധി പാരാമീറ്ററുകൾ സൃഷ്ടിച്ച് പൂരിപ്പിക്കേണ്ടതുണ്ട്:

IPSec ഗേറ്റ്‌വേ 37.59.0.253 IPSec ID vpn IPSec രഹസ്യ cisco123 IKE Authmode psk Xauth ഉപയോക്തൃനാമം അഡ്മിൻ Xauth പാസ്‌വേഡ് cisco

മുമ്പത്തെ ഘട്ടങ്ങളിൽ കണ്ടെത്തിയ എല്ലാ ഡാറ്റയും ഉപയോഗിച്ചതായി ഞങ്ങൾ ഇവിടെ കാണുന്നു - ഐഡി മൂല്യം, PSK, രണ്ടാമത്തെ ഘടകത്തിൻ്റെ ലോഗിൻ, പാസ്‌വേഡ്. അതിനുശേഷം ഒരു കമാൻഡ് ഉപയോഗിച്ച് കണക്ഷൻ തന്നെ സംഭവിക്കുന്നു:

റൂട്ട്@കാളി:~# vpnc vpn

പ്രവർത്തനരഹിതമാക്കുന്നതും വളരെ ലളിതമാണ്:

റൂട്ട്@കാളി:~# vpnc-ഡിസ്‌കണക്റ്റ്

ifconfig tun0 കമാൻഡ് ഉപയോഗിച്ച് കണക്ഷൻ പ്രവർത്തിക്കുന്നുണ്ടോയെന്ന് നിങ്ങൾക്ക് പരിശോധിക്കാം.

വിശ്വസനീയമായ സംരക്ഷണം എങ്ങനെ നിർമ്മിക്കാം

ഇന്ന് ചർച്ച ചെയ്യുന്ന ആക്രമണങ്ങൾക്കെതിരായ സംരക്ഷണം സമഗ്രമായിരിക്കണം: നിങ്ങൾ കൃത്യസമയത്ത് പാച്ചുകൾ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്, ശക്തമായ മുൻകൂട്ടി പങ്കിട്ട കീകൾ ഉപയോഗിക്കുക, സാധ്യമെങ്കിൽ ഡിജിറ്റൽ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കേണ്ടതാണ്. പാസ്‌വേഡ് നയവും മറ്റ് വ്യക്തമായ വിവര സുരക്ഷാ ഘടകങ്ങളും സുരക്ഷ ഉറപ്പാക്കുന്നതിൽ ഒരു പ്രധാന പങ്ക് വഹിക്കുന്നു. സ്ഥിതി ക്രമേണ മാറിക്കൊണ്ടിരിക്കുന്നുവെന്നതും ശ്രദ്ധിക്കേണ്ടതാണ്, കാലക്രമേണ IKEv2 മാത്രമേ നിലനിൽക്കൂ.

എന്താണ് ഫലം?

ഞങ്ങൾ RA IPsec VPN ഓഡിറ്റ് പ്രക്രിയ വിശദമായി ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. അതെ, തീർച്ചയായും, ഈ ടാസ്ക് വളരെ നിസ്സാരമാണ്. നിങ്ങൾ നിരവധി നടപടികൾ കൈക്കൊള്ളേണ്ടതുണ്ട്, അവയിൽ ഓരോന്നിനും ബുദ്ധിമുട്ടുകൾ നിങ്ങളെ കാത്തിരിക്കാം, പക്ഷേ വിജയിക്കുകയാണെങ്കിൽ, ഫലം ശ്രദ്ധേയമാണ്. ആന്തരിക നെറ്റ്‌വർക്ക് ഉറവിടങ്ങളിലേക്ക് ആക്‌സസ് നേടുന്നത് തുടർ പ്രവർത്തനങ്ങൾക്ക് വിശാലമായ സാധ്യത തുറക്കുന്നു. അതിനാൽ, നെറ്റ്‌വർക്ക് ചുറ്റളവ് സംരക്ഷിക്കുന്നതിന് ഉത്തരവാദിത്തമുള്ളവർ റെഡിമെയ്ഡ് ഡിഫോൾട്ട് ടെംപ്ലേറ്റുകളെ ആശ്രയിക്കരുത്, എന്നാൽ ഓരോ സുരക്ഷാ ലെയറിലൂടെയും ശ്രദ്ധാപൂർവ്വം ചിന്തിക്കുക. ശരി, പെൻ്റസ്റ്റുകൾ നടത്തുന്നവർക്ക്, കണ്ടെത്തിയ UDP പോർട്ട് 500, IPsec VPN സുരക്ഷയെക്കുറിച്ച് ആഴത്തിലുള്ള വിശകലനം നടത്താനും ഒരുപക്ഷേ നല്ല ഫലങ്ങൾ നേടാനുമുള്ള ഒരു കാരണമാണ്.

IPSec പ്രോട്ടോക്കോൾ കുടുംബത്തിൻ്റെ വാസ്തുവിദ്യ നോക്കാം. IPv4, IPv6 പ്രോട്ടോക്കോളുകൾക്കായി വിവിധ IP-ലെവൽ സുരക്ഷാ സേവനങ്ങൾ നൽകുക എന്നതാണ് ഈ പ്രോട്ടോക്കോളുകളുടെ കുടുംബത്തിൻ്റെ ഉദ്ദേശ്യം. IPSec പ്രോട്ടോക്കോളുകൾ നൽകുന്ന സുരക്ഷാ സേവനങ്ങളും TCP/IP നെറ്റ്‌വർക്കുകളിൽ ഈ പ്രോട്ടോക്കോളുകളുടെ ഉപയോഗവും നോക്കാം.

ഈ സേവനങ്ങൾ ശരിയായി ഇൻസ്റ്റാൾ ചെയ്യുമ്പോൾ, അവരുടെ ട്രാഫിക് പരിരക്ഷിക്കുന്നതിന് ഈ സുരക്ഷാ സേവനങ്ങൾ ഉപയോഗിക്കാത്ത ഉപയോക്താക്കളുമായോ ഹോസ്റ്റുകളുമായോ മറ്റ് ഇൻ്റർനെറ്റ് ഘടകങ്ങളുമായോ അവ ഇടപെടില്ല. ഈ സേവനങ്ങൾ അൽഗോരിതം-സ്വതന്ത്രമാണ്. പ്രോട്ടോക്കോളുകൾ തന്നെ മാറ്റാതെ തന്നെ പുതിയ ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ ചേർക്കാൻ കഴിയുമെന്നാണ് ഇതിനർത്ഥം. ഉദാഹരണത്തിന്, വ്യത്യസ്ത ഉപയോക്തൃ ഗ്രൂപ്പുകൾ വ്യത്യസ്ത സെറ്റ് അൽഗോരിതങ്ങൾ ഉപയോഗിച്ചേക്കാം.

ഇൻറർനെറ്റിൽ ഉടനീളം പരസ്പര പ്രവർത്തനക്ഷമത ഉറപ്പാക്കാൻ സ്ഥിരസ്ഥിതി അൽഗോരിതങ്ങളുടെ ഒരു സ്റ്റാൻഡേർഡ് സെറ്റ് നിർവചിച്ചിരിക്കുന്നു. IPSec, കീ മാനേജ്‌മെൻ്റ് പ്രോട്ടോക്കോളുകൾ നൽകുന്ന ട്രാഫിക്ക് പരിരക്ഷയ്‌ക്കൊപ്പം ഈ അൽഗോരിതങ്ങൾ ഉപയോഗിക്കുന്നത്, ഉയർന്ന അളവിലുള്ള ക്രിപ്‌റ്റോഗ്രാഫിക് സുരക്ഷ നൽകാൻ സിസ്റ്റത്തെയും ആപ്ലിക്കേഷൻ ഡെവലപ്പറെയും അനുവദിക്കും.

OS-ലോ റൂട്ടറിലോ ഫയർവാളിലോ IPSec നടപ്പിലാക്കാൻ കഴിയും.

IPSec നൽകുന്നു രഹസ്യസ്വഭാവം, ഡാറ്റ സമഗ്രത, പ്രവേശന നിയന്ത്രണംകൂടാതെ IP ഡാറ്റാഗ്രാമുകൾക്കുള്ള ഡാറ്റ ഉറവിട പ്രാമാണീകരണവും. ഐപി ഡാറ്റാഗ്രാമുകളുടെ ഉറവിടത്തിനും ലക്ഷ്യസ്ഥാനത്തിനും ഇടയിലുള്ള അവസ്ഥ നിലനിർത്തിക്കൊണ്ടാണ് ഈ സേവനങ്ങൾ നൽകുന്നത്. നിർദ്ദിഷ്ട ഡാറ്റാഗ്രാം-ലെവൽ സുരക്ഷാ സേവനങ്ങൾ, നൽകിയിരിക്കുന്ന സേവനങ്ങൾക്കായി ഉപയോഗിക്കുന്ന ക്രിപ്‌റ്റോഗ്രാഫിക് അൽഗോരിതങ്ങൾ, ആ അൽഗോരിതങ്ങൾക്കുള്ള കീകൾ എന്നിവ ഈ സംസ്ഥാനം നിർവചിക്കുന്നു.

IPSec പ്രോട്ടോക്കോളുകളുടെ പ്രധാന ജോലികൾ ഞങ്ങൾ പട്ടികപ്പെടുത്തുന്നു:

1. IPv4, IPv6 പ്രോട്ടോക്കോളുകൾക്കായി IP തലത്തിൽ ക്രിപ്‌റ്റോഗ്രാഫിക് പരിരക്ഷ നൽകുന്നു, അതായത് ഡാറ്റയുടെ രഹസ്യാത്മകതയും സമഗ്രതയും ഡാറ്റാഗ്രാമുകളുടെ ഒരു നിശ്ചിത ശ്രേണിയുടെ സമഗ്രതയും ഉറപ്പാക്കുന്നു.
2. IPSec പ്രോട്ടോക്കോളുകൾ ആവശ്യമില്ലാത്ത IP ട്രാഫിക്കിന് സുതാര്യത നൽകുന്നു.
3. വിപുലീകരണം ഉറപ്പാക്കുന്നു, അതായത്. പ്രോട്ടോക്കോൾ തന്നെ മാറ്റാതെ തന്നെ പുതിയ അൽഗോരിതങ്ങൾ ചേർക്കാനുള്ള കഴിവ്.

IPv4, IPv6 പ്രോട്ടോക്കോളുകൾക്കായി ക്രിപ്‌റ്റോഗ്രഫി ഉപയോഗിച്ച് സുരക്ഷിതമായ ആശയവിനിമയത്തിനായി IPSec രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു. സുരക്ഷാ സേവനങ്ങൾ ഉൾപ്പെടുന്നു പ്രവേശന നിയന്ത്രണം, സമഗ്രത ഒപ്പം രഹസ്യസ്വഭാവംഡാറ്റയും റീപ്ലേ ആക്രമണങ്ങളിൽ നിന്നുള്ള സംരക്ഷണവും, ഇത് ഡാറ്റാഗ്രാമുകളുടെ ഒരു നിശ്ചിത ശ്രേണിയുടെ സമഗ്രത ഉറപ്പ് നൽകിക്കൊണ്ട് ഉറപ്പാക്കുന്നു. ഈ സേവനങ്ങൾ IP ലെയറിലാണ് നൽകിയിരിക്കുന്നത്, IP പ്രോട്ടോക്കോളിനും ഉയർന്ന ലെവൽ പ്രോട്ടോക്കോളുകൾക്കും സുരക്ഷ നൽകുന്നു.

IPSec രണ്ട് തരത്തിലുള്ള സമഗ്രതയെ പിന്തുണയ്ക്കുന്നു: ഡാറ്റ സമഗ്രതഡാറ്റാഗ്രാമുകളുടെ ഒരു പ്രത്യേക ശ്രേണിയുടെ സമഗ്രതയും. ഡാറ്റ സമഗ്രതട്രാഫിക് സ്ട്രീമിലെ ഡാറ്റാഗ്രാമുകളുടെ ക്രമം പരിഗണിക്കാതെ തന്നെ ഒരു നിർദ്ദിഷ്‌ട IP ഡാറ്റാഗ്രാമിൻ്റെ പരിഷ്‌ക്കരണം കണ്ടെത്തുന്നു. ഡ്യൂപ്ലിക്കേറ്റ് ഐപി ഡാറ്റാഗ്രാമുകളുടെ രസീത് കണ്ടെത്തുന്ന ഒരു ആൻ്റി-റിപ്ലൈ സേവനമാണ് ഡാറ്റാഗ്രാം സീക്വൻസ് ഇൻ്റഗ്രിറ്റി. ഇത് കണക്ഷൻ ഇൻ്റഗ്രിറ്റിയിൽ നിന്ന് വ്യത്യസ്തമാണ്, ഇതിന് കൂടുതൽ കർശനമായ ട്രാഫിക് ഇൻ്റഗ്രിറ്റി ആവശ്യകതകളുണ്ട്, അതായത് നഷ്ടപ്പെട്ടതോ പുനഃക്രമീകരിച്ചതോ ആയ സന്ദേശങ്ങൾ കണ്ടെത്താനുള്ള കഴിവ്.

സിസ്റ്റത്തിൻ്റെ പ്രധാന ഘടകങ്ങളായ IPSec പ്രോട്ടോക്കോളുകൾ നടപ്പിലാക്കുന്നതും സുരക്ഷാ സേവനങ്ങൾ നൽകുന്നതിനുള്ള അവരുടെ ഇടപെടലും നമുക്ക് പരിഗണിക്കാം.

ഐപി ട്രാഫിക്കിന് സംരക്ഷണം നൽകുന്ന ഹോസ്റ്റ് (ഹോസ്റ്റ് - എച്ച്) അല്ലെങ്കിൽ സെക്യൂരിറ്റി ഗേറ്റ്‌വേയിൽ (സെക്യൂരിറ്റി ഗേറ്റ്‌വേ - എസ്‌ജി) IPSec പ്രവർത്തിക്കുന്നു. IPsec പ്രോട്ടോക്കോളുകൾ നടപ്പിലാക്കുന്ന ഒരു റൂട്ടറിനെ സൂചിപ്പിക്കാൻ സെക്യൂരിറ്റി ഗേറ്റ്‌വേ എന്ന പദം ഉപയോഗിക്കുന്നു.

സുരക്ഷാ നയ ഡാറ്റാബേസിൽ (SPD) നിർവചിച്ചിരിക്കുന്ന ആവശ്യകതകളെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് പരിരക്ഷ, അഡ്മിനിസ്ട്രേറ്റർ സജ്ജീകരിച്ച് പരിപാലിക്കുന്നത്. പൊതുവേ, SPD-യിൽ വ്യക്തമാക്കിയിട്ടുള്ള IP തലക്കെട്ടും ട്രാൻസ്പോർട്ട് ലെയർ വിവരങ്ങളും അടിസ്ഥാനമാക്കി മൂന്ന് വഴികളിൽ ഒന്നിലാണ് പാക്കറ്റുകൾ പ്രോസസ്സ് ചെയ്യുന്നത്. ഓരോ പാക്കറ്റും ഒന്നുകിൽ നിരസിക്കുകയോ പ്രോസസ്സ് ചെയ്യാതെ പാസ്സാക്കുകയോ അല്ലെങ്കിൽ ആ പാക്കറ്റിനായുള്ള SPD എൻട്രി അനുസരിച്ച് പ്രോസസ്സ് ചെയ്യുകയോ ചെയ്യുന്നു.

IPSec നടപ്പിലാക്കുന്നതിനുള്ള സാധ്യമായ വഴികൾ

IPSec ഹോസ്റ്റിൽ അല്ലെങ്കിൽ ഒരു റൂട്ടർ അല്ലെങ്കിൽ ഫയർവാളുമായി സംയോജിപ്പിച്ച് (ഒരു സുരക്ഷാ ഗേറ്റ്‌വേ സൃഷ്ടിക്കുന്നതിന്) നടപ്പിലാക്കുന്നതിന് നിരവധി മാർഗങ്ങളുണ്ട്.

1. IP പ്രോട്ടോക്കോളിൻ്റെ ഒരു പ്രത്യേക നിർവ്വഹണത്തിലേക്ക് IPSec-ൻ്റെ സംയോജനം. ഇതിന് ഐപി സോഴ്‌സ് കോഡിലേക്കുള്ള ആക്‌സസ് ആവശ്യമാണ്, ഇത് ഹോസ്റ്റുകളിലും സുരക്ഷാ ഗേറ്റ്‌വേകളിലും ചെയ്യുന്നു.
2. സ്റ്റാൻഡേർഡ് ഐപി പ്രോട്ടോക്കോൾ നടപ്പാക്കലിനും ലോക്കൽ നെറ്റ്‌വർക്ക് ഡ്രൈവറുകൾക്കുമിടയിൽ അതിൻ്റെ നിർവ്വഹണം സ്ഥാപിക്കുന്ന നിലവിലുള്ള ഐപി പ്രോട്ടോക്കോൾ സ്റ്റാക്ക് ഇംപ്ലിമെൻ്റേഷൻ്റെ "ചുവട്ടിൽ" ഐപിഎസ്സെക് നടപ്പിലാക്കുന്നിടത്താണ് "ബമ്പ്-ഇൻ-ദി-സ്റ്റാക്ക്" (ബിറ്റ്സ്) നടപ്പാക്കലുകൾ. ഈ സാഹചര്യത്തിൽ, ഐപി സ്റ്റാക്ക് സോഴ്സ് കോഡിലേക്കുള്ള ആക്സസ് ആവശ്യമില്ല. ഒരു പ്ലഗ്-ഇൻ ലൈബ്രറിയായി IPSec നടപ്പിലാക്കുമ്പോൾ ഈ സമീപനം സാധാരണയായി ഹോസ്റ്റുകളിൽ നടപ്പിലാക്കുന്നു.
3. ഒരു ബാഹ്യ ക്രിപ്റ്റോ പ്രോസസർ ഉപയോഗിക്കുന്നു. ഇതിനെ സാധാരണയായി "ബമ്പ്-ഇൻ-ദി-വയർ" (BITW) നടപ്പിലാക്കൽ എന്ന് വിളിക്കുന്നു. അത്തരം നടപ്പാക്കലുകൾ ഹോസ്റ്റുകളിലും ഗേറ്റ്‌വേകളിലും ഉപയോഗിക്കാം. സാധാരണയായി BITW ഉപകരണങ്ങൾ IP വിലാസം നൽകാവുന്നവയാണ്.

ട്രാഫിക് സെക്യൂരിറ്റി പ്രോട്ടോക്കോളുകളും സുരക്ഷിത കൂട്ടായ്മ എന്ന ആശയവും

IPSec നൽകുന്ന ട്രാഫിക് പ്രൊട്ടക്ഷൻ സേവനങ്ങൾ രണ്ട് സുരക്ഷിത ട്രാഫിക് പ്രോട്ടോക്കോളുകൾ ഉപയോഗിച്ചാണ് നടപ്പിലാക്കുന്നത്: ഓതൻ്റിക്കേഷൻ ഹെഡർ (AH), എൻക്യാപ്‌സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ESP).

IPSec-ൽ ട്രാഫിക് പരിരക്ഷിക്കുന്നതിന് ഇനിപ്പറയുന്ന പ്രോട്ടോക്കോളുകൾ നിർവചിച്ചിരിക്കുന്നു:

1. എൻകാപ്‌സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ഇഎസ്‌പി) പ്രോട്ടോക്കോൾ പ്രോട്ടോക്കോൾ സ്റ്റാക്കിൽ ഉയർന്ന പ്രോട്ടോക്കോളുകളുടെ രഹസ്യാത്മകതയും സമഗ്രതയും ഉറപ്പാക്കുന്നു, കൂടാതെ ആൻ്റി-റിപ്ലേ സേവനം നൽകാനും കഴിയും, അതായത്. ഡാറ്റാഗ്രാമുകളുടെ ഒരു നിശ്ചിത ശ്രേണിയുടെ സമഗ്രത.
2. ഓതൻ്റിക്കേഷൻ ഹെഡർ (AH) പ്രോട്ടോക്കോൾ പ്രോട്ടോക്കോൾ സ്റ്റാക്കിൽ ഉയർന്ന പ്രോട്ടോക്കോളുകളുടെ സമഗ്രതയും വ്യക്തിഗത ഐപി ഹെഡർ ഫീൽഡുകളുടെ സമഗ്രതയും ഉറപ്പാക്കുന്നു, അത് അയച്ചയാളിൽ നിന്ന് സ്വീകർത്താവിലേക്ക് അയയ്ക്കുമ്പോൾ മാറില്ല, കൂടാതെ ആൻ്റി-റിപ്ലേ സേവനം നൽകാനും കഴിയും, അതായത്. ഡാറ്റാഗ്രാമുകളുടെ ഒരു നിശ്ചിത ശ്രേണിയുടെ സമഗ്രത. IPSec v2-ൽ, ഈ പ്രോട്ടോക്കോൾ നടപ്പിലാക്കുന്നത് ഓപ്ഷണലാണ്.
3. ഈ പ്രോട്ടോക്കോളുകളുടെ പാരാമീറ്ററുകൾ ഇൻ്റർനെറ്റ് കീ എക്സ്ചേഞ്ച് (IKE) കീ വിതരണ പ്രോട്ടോക്കോളിൽ നിർവചിച്ചിരിക്കുന്നു.

IPSec സുരക്ഷിതമാക്കിയ ട്രാഫിക്കുമായി ബന്ധപ്പെട്ടതാണ് ഒരു സെക്യൂരിറ്റി അസോസിയേഷൻ (SA) എന്ന ആശയം. വിവിധ നെറ്റ്‌വർക്ക് സുരക്ഷാ സേവനങ്ങൾ നിർവഹിക്കുന്നതിന് ആവശ്യമായ എല്ലാ വിവരങ്ങളും എസ്എയിൽ അടങ്ങിയിരിക്കുന്നു.

SA ഒരു സിംപ്ലക്സ് ആണ് (ഏകദിശയുള്ള) ലോജിക്കൽ കണക്ഷൻ, സുരക്ഷയ്ക്കായി IPSec പ്രോട്ടോക്കോളുകളിൽ ഒന്ന് ഉപയോഗിക്കുന്ന രണ്ട് എൻഡ് പോയിൻ്റുകൾക്കിടയിൽ സൃഷ്ടിച്ചു. ESP-യും AH-ഉം SA-യിലൂടെ ഗതാഗതം കൈമാറുന്നു. കണക്ഷൻ്റെ അറ്റത്ത് വ്യക്തമാക്കിയ സുരക്ഷാ നയത്തിന് അനുസൃതമായി SA-യിലൂടെ കൊണ്ടുപോകുന്ന എല്ലാ ട്രാഫിക്കും പ്രോസസ്സ് ചെയ്യുന്നു.

SA മാനേജ്‌മെൻ്റിൻ്റെ വിവിധ വശങ്ങൾ ഞങ്ങൾ വിവരിക്കും, സുരക്ഷാ നയം കൈകാര്യം ചെയ്യുന്നതിനുള്ള സാധ്യമായ വഴികൾ, ട്രാഫിക് പ്രോസസ്സിംഗ് രീതികൾ, SA മാനേജിംഗ് രീതികൾ എന്നിവ നിർണ്ണയിക്കും.

ട്രാഫിക്കിൽ പ്രയോഗിക്കുന്ന സുരക്ഷാ സേവന പാരാമീറ്ററുകൾ SA നിർവചിക്കുന്നു. സാധാരണഗതിയിൽ, രണ്ട് ഹോസ്റ്റുകൾക്കിടയിലോ രണ്ട് സെക്യൂരിറ്റി ഗേറ്റ്‌വേകൾക്കിടയിലോ ഉള്ള ഒരു ദ്വിദിശ കണക്ഷന് രണ്ട് എസ്എകൾ ആവശ്യമാണ് (ഓരോ ദിശയ്ക്കും ഒന്ന്).

യൂണികാസ്റ്റ് കണക്ഷനുകൾക്ക് മാത്രമേ ഞങ്ങൾ SA പരിഗണിക്കൂ.

രണ്ട് SA മോഡുകൾ നിർവചിച്ചിരിക്കുന്നു: ഗതാഗത മോഡ്, ടണലിംഗ് മോഡ്. ഗതാഗത മോഡ്രണ്ട് ഹോസ്റ്റുകൾക്കിടയിൽ ഒരു VPN സൃഷ്ടിക്കാൻ ഉപയോഗിക്കുന്നു. IPv4-ൽ, IP ഹെഡറിന് തൊട്ടുപിന്നാലെ ട്രാൻസ്‌പോർട്ട് മോഡ് സെക്യൂരിറ്റി പ്രോട്ടോക്കോൾ തലക്കെട്ട് ദൃശ്യമാകും. ESP പ്രോട്ടോക്കോളിൽ, SA ട്രാൻസ്പോർട്ട് മോഡ് ഉയർന്ന തലത്തിലുള്ള പ്രോട്ടോക്കോളുകൾക്ക് മാത്രമാണ് സുരക്ഷാ സേവനങ്ങൾ നൽകുന്നത്, എന്നാൽ IP തലക്കെട്ടിന് വേണ്ടിയല്ല. AH-ൻ്റെ കാര്യത്തിൽ, ഐപി ഹെഡറിൻ്റെ ഓരോ ഭാഗങ്ങളിലും സംരക്ഷണം വ്യാപിക്കുന്നു.

മറ്റൊരു SA മോഡ് ടണലിംഗ് മോഡാണ്. കണക്ഷൻ്റെ ഒരറ്റം ഒരു സുരക്ഷാ ഗേറ്റ്‌വേ ആണെങ്കിൽ, IPSec SA മാനദണ്ഡങ്ങൾ ടണൽ മോഡിൽ നടപ്പിലാക്കണം, എന്നാൽ പല നിർമ്മാതാക്കളും ഈ സാഹചര്യത്തിൽ ടണലും ഗതാഗത മോഡുകളും അനുവദിക്കുന്നു. പിംഗ് അല്ലെങ്കിൽ എസ്എൻഎംപി കമാൻഡുകൾ പോലെയുള്ള ഒരു സുരക്ഷാ ഗേറ്റ്‌വേയ്‌ക്കായി ട്രാഫിക് നിശ്ചയിക്കപ്പെടുമ്പോൾ, സെക്യൂരിറ്റി ഗേറ്റ്‌വേ ഒരു ഹോസ്റ്റായി കണക്കാക്കുകയും സാധാരണയായി ഉപയോഗിക്കുകയും ചെയ്യുന്നു. ഗതാഗത മോഡ്. ആവശ്യമെങ്കിൽ രണ്ട് ഹോസ്റ്റുകൾക്ക് ഇൻസ്റ്റാൾ ചെയ്യാൻ കഴിയും ടണൽ മോഡ്.

ടണൽ മോഡിൽ, ഒരു ബാഹ്യ ഐപി തലക്കെട്ട് ചേർത്തിരിക്കുന്നു, ഇവയുടെ വിലാസങ്ങൾ സുരക്ഷാ ഗേറ്റ്‌വേകളാണ്. ആന്തരിക IP തലക്കെട്ട് അവസാനത്തെ ഹോസ്റ്റുകളിലേക്ക് പോയിൻ്റ് ചെയ്യുന്നു. സുരക്ഷാ പ്രോട്ടോക്കോൾ തലക്കെട്ട് ബാഹ്യ ഐപി ഹെഡറിന് ശേഷവും അകത്തെ ഐപി ഹെഡറിന് മുമ്പും സ്ഥിതിചെയ്യുന്നു. ടണൽ മോഡിൽ AH ഉപയോഗിക്കുകയാണെങ്കിൽ, മുഴുവൻ ടണൽ ചെയ്ത IP പാക്കറ്റും പോലെ, ബാഹ്യ IP ഹെഡറിൻ്റെ ഭാഗങ്ങൾ സംരക്ഷിക്കപ്പെടും, അതായത്. എല്ലാ ഉയർന്ന തലത്തിലുള്ള പ്രോട്ടോക്കോളുകളും പോലെ എല്ലാ ആന്തരിക തലക്കെട്ടുകളും പരിരക്ഷിച്ചിരിക്കുന്നു. ESP ഉപയോഗിക്കുകയാണെങ്കിൽ, ടണൽ ചെയ്ത പാക്കറ്റിന് മാത്രമേ സംരക്ഷണം നൽകൂ, പുറം തലക്കെട്ടിന് അല്ല.

നമുക്ക് ചുരുക്കമായി സംഗ്രഹിക്കാം:

1. ഹോസ്റ്റ്ഗതാഗതവും തുരങ്കവും രണ്ട് മോഡുകളും പിന്തുണയ്ക്കാൻ കഴിയും.
2. സുരക്ഷാ ഗേറ്റ്‌വേചട്ടം പോലെ, ഇത് ടണൽ മോഡ് മാത്രം ഉപയോഗിക്കുന്നു. ഇത് ട്രാൻസ്പോർട്ട് മോഡിനെ പിന്തുണയ്ക്കുന്നുവെങ്കിൽ, ഈ മോഡ് സാധാരണയായി ഉപയോഗിക്കുന്നത് അപകടകരമല്ലാത്ത ഗേറ്റ്വേ ട്രാഫിക് സ്വീകർത്താവ് ആയിരിക്കുമ്പോൾ മാത്രമാണ്, ഉദാഹരണത്തിന്, നെറ്റ്വർക്ക് മാനേജ്മെൻ്റിന്.

വിപണനം ചെയ്യാവുന്ന സെറ്റ്

IPsec ഒരു പ്രോട്ടോക്കോൾ അല്ല, IP നെറ്റ്‌വർക്കുകളുടെ നെറ്റ്‌വർക്ക് തലത്തിൽ ഡാറ്റ പരിരക്ഷിക്കുന്നതിന് രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന പ്രോട്ടോക്കോളുകളുടെ ഒരു സംവിധാനമാണ്. ഒരു VPN ടണൽ സൃഷ്ടിക്കാൻ IPsec ഉപയോഗിക്കുന്നതിനുള്ള സിദ്ധാന്തം ഈ ലേഖനം വിവരിക്കും.

ആമുഖം

IPsec സാങ്കേതികവിദ്യയെ അടിസ്ഥാനമാക്കിയുള്ള VPN-നെ രണ്ട് ഭാഗങ്ങളായി തിരിക്കാം:

• ഇൻ്റർനെറ്റ് കീ എക്സ്ചേഞ്ച് (IKE) പ്രോട്ടോക്കോൾ
• IPsec പ്രോട്ടോക്കോളുകൾ (AH/ESP/രണ്ടും)

ആദ്യ ഭാഗം (IKE) ചർച്ചാ ഘട്ടമാണ്, ഈ സമയത്ത് രണ്ട് VPN പോയിൻ്റുകൾ അവയ്ക്കിടയിൽ അയച്ച IP ട്രാഫിക്കിനെ സംരക്ഷിക്കാൻ ഏത് രീതികളാണ് ഉപയോഗിക്കേണ്ടതെന്ന് തിരഞ്ഞെടുക്കുന്നു. കൂടാതെ, ഓരോ കണക്ഷനും സെക്യൂരിറ്റി അസോസിയേഷനുകൾ (SA) എന്ന ആശയം അവതരിപ്പിച്ചുകൊണ്ട് കണക്ഷനുകൾ നിയന്ത്രിക്കാനും IKE ഉപയോഗിക്കുന്നു. SA-കൾ ഒരു ദിശയിലേക്ക് മാത്രമേ വിരൽ ചൂണ്ടുകയുള്ളൂ, അതിനാൽ ഒരു സാധാരണ IPsec കണക്ഷൻ രണ്ട് SA-കൾ ഉപയോഗിക്കുന്നു.

ആദ്യ ഭാഗത്തിൽ (IKE) സമ്മതിച്ച രീതികൾ ഉപയോഗിച്ച് കൈമാറുന്നതിനുമുമ്പ് എൻക്രിപ്റ്റ് ചെയ്യുകയും പ്രാമാണീകരിക്കുകയും ചെയ്യേണ്ട IP ഡാറ്റയാണ് രണ്ടാം ഭാഗം. ഉപയോഗിക്കാവുന്ന വ്യത്യസ്ത IPsec പ്രോട്ടോക്കോളുകൾ ഉണ്ട്: AH, ESP അല്ലെങ്കിൽ രണ്ടും.

IPsec-ൽ ഒരു VPN സ്ഥാപിക്കുന്നതിനുള്ള ക്രമം ഇങ്ങനെ ചുരുക്കി വിവരിക്കാം:

• IKE IKE ലെയർ സുരക്ഷയെക്കുറിച്ച് ചർച്ച ചെയ്യുന്നു
• IKE IPsec ലെയർ സുരക്ഷയെക്കുറിച്ച് ചർച്ച ചെയ്യുന്നു
• പരിരക്ഷിത ഡാറ്റ VPN IPsec വഴി കൈമാറ്റം ചെയ്യപ്പെടുന്നു

IKE, ഇൻ്റർനെറ്റ് കീ എക്സ്ചേഞ്ച്

ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാനും പ്രാമാണീകരിക്കാനും, നിങ്ങൾ എൻക്രിപ്ഷൻ/ഓതൻ്റിക്കേഷൻ രീതിയും (അൽഗോരിതം) അവയിൽ ഉപയോഗിക്കുന്ന കീകളും തിരഞ്ഞെടുക്കേണ്ടതുണ്ട്. ഇൻറർനെറ്റ് കീ എക്സ്ചേഞ്ച് പ്രോട്ടോക്കോൾ, IKE യുടെ ചുമതല, ഈ സാഹചര്യത്തിൽ "സെഷൻ കീ" ഡാറ്റ വിതരണം ചെയ്യുന്നതിനും VPN പോയിൻ്റുകൾക്കിടയിൽ ഡാറ്റ പരിരക്ഷിക്കുന്ന അൽഗോരിതങ്ങൾ അംഗീകരിക്കുന്നതിനുമാണ്.

IKE യുടെ പ്രധാന ജോലികൾ:

• VPN-ൻ്റെ പ്രാമാണീകരണം പരസ്പരം പോയിൻ്റ് ചെയ്യുന്നു
• പുതിയ IPsec കണക്ഷനുകൾ സ്ഥാപിക്കുന്നു (SA ജോഡികൾ സൃഷ്ടിക്കുന്നതിലൂടെ)
• നിലവിലെ കണക്ഷനുകൾ കൈകാര്യം ചെയ്യുന്നു

IKE കണക്ഷനുകളുടെ ട്രാക്ക് സൂക്ഷിക്കുന്നു, അവയിൽ ഓരോന്നിനും ഒരു നിശ്ചിത സുരക്ഷാ അസോസിയേഷനുകൾ, SA. IPsec പ്രോട്ടോക്കോൾ (AH/ESP അല്ലെങ്കിൽ രണ്ടും), എൻക്രിപ്ഷൻ/ഡീക്രിപ്ഷൻ കൂടാതെ/അല്ലെങ്കിൽ ഡാറ്റയുടെ പ്രാമാണീകരണത്തിനായി ഉപയോഗിക്കുന്ന സെഷൻ കീകൾ ഉൾപ്പെടെ ഒരു പ്രത്യേക കണക്ഷൻ്റെ പാരാമീറ്ററുകൾ SA വിവരിക്കുന്നു. SA ഏകദിശയുള്ളതാണ്, അതിനാൽ ഒന്നിലധികം SA-കൾ ഓരോ കണക്ഷനും ഉപയോഗിക്കുന്നു. മിക്ക കേസുകളിലും, ESP അല്ലെങ്കിൽ AH മാത്രം ഉപയോഗിക്കുമ്പോൾ, ഓരോ കണക്ഷനുകൾക്കും രണ്ട് SA-കൾ മാത്രമേ സൃഷ്ടിക്കപ്പെടുകയുള്ളൂ, ഒന്ന് ഇൻകമിംഗ് ട്രാഫിക്കിനും ഒന്ന് ഔട്ട്ഗോയിംഗ് ട്രാഫിക്കിനും. ESP-യും AH-ഉം ഒരുമിച്ച് ഉപയോഗിക്കുമ്പോൾ, SA-യ്ക്ക് നാല് ആവശ്യമാണ്.

IKE ചർച്ചകൾ പല ഘട്ടങ്ങളിലൂടെ കടന്നുപോകുന്നു (ഘട്ടങ്ങൾ). ഈ ഘട്ടങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

1. IKE ഘട്ടം-1:
   - IKE യുടെ തന്നെ സംരക്ഷണം (ISAKMP ടണൽ) ചർച്ച ചെയ്യപ്പെടുന്നു
2. IKE ഘട്ടം രണ്ട് (IKE ഘട്ടം-2):
   — IPsec സംരക്ഷണം ചർച്ച ചെയ്തു
   - സെഷൻ കീകൾ ജനറേറ്റുചെയ്യുന്നതിന് ആദ്യ ഘട്ടത്തിൽ നിന്ന് ഡാറ്റ സ്വീകരിക്കുന്നു

IKE, IPsec കണക്ഷനുകൾ ദൈർഘ്യത്തിലും (സെക്കൻഡുകളിൽ) കൈമാറ്റം ചെയ്യപ്പെടുന്ന ഡാറ്റയുടെ അളവിലും (കിലോബൈറ്റിൽ) പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. സുരക്ഷ വർദ്ധിപ്പിക്കുന്നതിനാണ് ഇത് ചെയ്യുന്നത്.
ഒരു IPsec കണക്ഷൻ്റെ ദൈർഘ്യം പൊതുവെ IKE നേക്കാൾ കുറവാണ്. അതിനാൽ, ഒരു IPsec കണക്ഷൻ കാലഹരണപ്പെടുമ്പോൾ, രണ്ടാമത്തെ ചർച്ചാ ഘട്ടത്തിലൂടെ ഒരു പുതിയ IPsec കണക്ഷൻ പുനഃസൃഷ്ടിക്കുന്നു. IKE കണക്ഷൻ പുനഃസൃഷ്ടിക്കുമ്പോൾ മാത്രമാണ് ആദ്യ ചർച്ചാ ഘട്ടം ഉപയോഗിക്കുന്നത്.

IKE നെഗോഷിയേറ്റ് ചെയ്യുന്നതിന്, IKE പ്രൊപ്പോസൽ എന്ന ആശയം അവതരിപ്പിച്ചു - ഇത് ഡാറ്റ എങ്ങനെ സംരക്ഷിക്കാം എന്നതിനെക്കുറിച്ചുള്ള ഒരു നിർദ്ദേശമാണ്. IPsec കണക്ഷൻ ആരംഭിക്കുന്ന VPN പോയിൻ്റ്, കണക്ഷൻ സുരക്ഷിതമാക്കുന്നതിനുള്ള വ്യത്യസ്ത രീതികളെ സൂചിപ്പിക്കുന്ന ഒരു ലിസ്റ്റ് (വാക്യം) അയയ്ക്കുന്നു.
ഒരു പുതിയ IPsec കണക്ഷൻ സ്ഥാപിക്കുന്നതിനെക്കുറിച്ചും ഒരു പുതിയ IKE കണക്ഷൻ സ്ഥാപിക്കുന്നതിനെക്കുറിച്ചും ചർച്ചകൾ നടത്താവുന്നതാണ്. IPsec-ൻ്റെ കാര്യത്തിൽ, പരിരക്ഷിത ഡാറ്റ എന്നത് VPN ടണലിലൂടെ അയയ്‌ക്കുന്ന ട്രാഫിക്കാണ്, കൂടാതെ IKE-യുടെ കാര്യത്തിൽ, IKE ചർച്ചകളിൽ നിന്നുള്ള ഡാറ്റയാണ് പരിരക്ഷിത ഡാറ്റ.
ലിസ്റ്റ് (നിർദ്ദേശം) സ്വീകരിക്കുന്ന VPN പോയിൻ്റ് അതിൽ നിന്ന് ഏറ്റവും അനുയോജ്യമായ ഒന്ന് തിരഞ്ഞെടുത്ത് പ്രതികരണത്തിൽ സൂചിപ്പിക്കുന്നു. ഓഫറുകളൊന്നും തിരഞ്ഞെടുക്കാൻ കഴിയുന്നില്ലെങ്കിൽ, VPN ഗേറ്റ്‌വേ നിരസിക്കുന്നു.
ഒരു എൻക്രിപ്ഷൻ അൽഗോരിതം, ആധികാരികത എന്നിവ തിരഞ്ഞെടുക്കുന്നതിന് ആവശ്യമായ എല്ലാ വിവരങ്ങളും നിർദ്ദേശത്തിൽ അടങ്ങിയിരിക്കുന്നു.

ഘട്ടം 1 IKE - IKE സുരക്ഷാ ചർച്ചകൾ (ISAKMP ടണൽ)
ചർച്ചയുടെ ആദ്യ ഘട്ടത്തിൽ, ഒരു പൊതു കീ (പ്രീ-ഷെയർഡ് കീ) അടിസ്ഥാനമാക്കി VPN പോയിൻ്റുകൾ പരസ്പരം പ്രാമാണീകരിക്കുന്നു. പ്രാമാണീകരണത്തിനായി, ഹാഷ് അൽഗോരിതങ്ങൾ ഉപയോഗിക്കുന്നു: MD5, SHA-1, SHA-2.
എന്നിരുന്നാലും, പരസ്പരം ആധികാരികമാക്കുന്നതിന് മുമ്പ്, വ്യക്തമായ വാചകത്തിൽ വിവരങ്ങൾ കൈമാറാതിരിക്കാൻ, വിപിഎൻ പോയിൻ്റുകൾ നേരത്തെ വിവരിച്ച നിർദ്ദേശങ്ങളുടെ (പ്രൊപ്പോസലുകൾ) ലിസ്റ്റുകൾ കൈമാറുന്നു. രണ്ട് VPN പോയിൻ്റുകൾക്കും അനുയോജ്യമായ ഒരു ഓഫർ തിരഞ്ഞെടുത്തതിന് ശേഷം മാത്രമേ VPN പോയിൻ്റ് പരസ്പരം പ്രാമാണീകരിക്കുകയുള്ളൂ.
പ്രാമാണീകരണം വ്യത്യസ്‌ത രീതികളിൽ ചെയ്യാം: മുൻകൂട്ടി പങ്കിട്ട കീകൾ, സർട്ടിഫിക്കറ്റുകൾ അല്ലെങ്കിൽ . പങ്കിട്ട കീകളാണ് ഏറ്റവും സാധാരണമായ പ്രാമാണീകരണ രീതി.
ഘട്ടം 1 IKE ചർച്ചകൾ രണ്ട് രീതികളിൽ ഒന്നിൽ സംഭവിക്കാം: പ്രധാനവും ആക്രമണാത്മകവും. പ്രധാന മോഡ് കൂടുതൽ സമയമെടുക്കും, എന്നാൽ കൂടുതൽ സുരക്ഷിതവുമാണ്. അതിൻ്റെ പ്രക്രിയയിൽ, ആറ് സന്ദേശങ്ങൾ കൈമാറ്റം ചെയ്യപ്പെടുന്നു. അഗ്രസീവ് മോഡ് വേഗതയേറിയതാണ്, മൂന്ന് സന്ദേശങ്ങളിലേക്ക് സ്വയം പരിമിതപ്പെടുത്തുന്നു.
IKE യുടെ ആദ്യ ഘട്ടത്തിൻ്റെ പ്രധാന പ്രവർത്തനം ഡിഫി-ഹെൽമാൻ കീകളുടെ കൈമാറ്റത്തിലാണ്. ഇത് പബ്ലിക് കീ എൻക്രിപ്ഷനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, ഓരോ കക്ഷിയും അയൽക്കാരൻ്റെ പബ്ലിക് കീ ഉപയോഗിച്ച് പ്രാമാണീകരണ പാരാമീറ്റർ (പ്രീ-ഷെയർഡ് കീ) എൻക്രിപ്റ്റ് ചെയ്യുന്നു, ഈ സന്ദേശം ലഭിച്ച്, അത് തൻ്റെ സ്വകാര്യ കീ ഉപയോഗിച്ച് ഡീക്രിപ്റ്റ് ചെയ്യുന്നു. പരസ്പരം ആധികാരികമാക്കാനുള്ള മറ്റൊരു മാർഗം സർട്ടിഫിക്കറ്റുകളുടെ ഉപയോഗമാണ്.

ഘട്ടം 2 IKE - IPsec സെക്യൂരിറ്റി നെഗോഷ്യേഷൻ
രണ്ടാം ഘട്ടത്തിൽ, IPsec കണക്ഷൻ പരിരക്ഷണ രീതി തിരഞ്ഞെടുത്തു.
ആദ്യ ഘട്ടത്തിൽ സംഭവിച്ച ഡിഫി-ഹെൽമാൻ കീ എക്സ്ചേഞ്ചിൽ നിന്ന് വേർതിരിച്ചെടുത്ത കീയിംഗ് മെറ്റീരിയലാണ് രണ്ടാം ഘട്ടത്തിൽ ഉപയോഗിക്കുന്നത്. ഈ മെറ്റീരിയലിനെ അടിസ്ഥാനമാക്കി, സെഷൻ കീകൾ സൃഷ്ടിക്കപ്പെടുന്നു, അവ വിപിഎൻ ടണലിലെ ഡാറ്റ പരിരക്ഷിക്കാൻ ഉപയോഗിക്കുന്നു.

മെക്കാനിസം ഉപയോഗിച്ചാൽ മികച്ച ഫോർവേഡിംഗ് രഹസ്യം (PFS), തുടർന്ന് ഓരോ ഘട്ടം രണ്ട് ചർച്ചകൾക്കും ഒരു പുതിയ ഡിഫി-ഹെൽമാൻ കീ എക്സ്ചേഞ്ച് ഉപയോഗിക്കും. പ്രവർത്തനത്തിൻ്റെ വേഗത ചെറുതായി കുറയ്ക്കുന്നു, ഈ നടപടിക്രമം സെഷൻ കീകൾ പരസ്പരം സ്വതന്ത്രമാണെന്ന് ഉറപ്പാക്കുന്നു, ഇത് സുരക്ഷ വർദ്ധിപ്പിക്കുന്നു, കാരണം കീകളിൽ ഒന്ന് വിട്ടുവീഴ്ച ചെയ്താലും ബാക്കിയുള്ളവ തിരഞ്ഞെടുക്കാൻ ഇത് ഉപയോഗിക്കാൻ കഴിയില്ല.

IKE ചർച്ചയുടെ രണ്ടാം ഘട്ടത്തിന് ഒരു ഓപ്പറേറ്റിംഗ് മോഡ് മാത്രമേയുള്ളൂ, അതിനെ ക്വിക്ക് മോഡ് എന്ന് വിളിക്കുന്നു. രണ്ടാം ഘട്ട ചർച്ചയിൽ, മൂന്ന് സന്ദേശങ്ങൾ കൈമാറുന്നു.

രണ്ടാം ഘട്ടത്തിൻ്റെ അവസാനം, ഒരു VPN കണക്ഷൻ സ്ഥാപിച്ചു.

IKE ഓപ്ഷനുകൾ.
കണക്ഷൻ സ്ഥാപിക്കുന്ന സമയത്ത്, നിരവധി പാരാമീറ്ററുകൾ ഉപയോഗിക്കുന്നു, ചർച്ചകളില്ലാതെ ഒരു VPN കണക്ഷൻ സ്ഥാപിക്കുന്നത് അസാധ്യമാണ്.

• എൻഡ് നോഡ് ഐഡൻ്റിഫിക്കേഷൻ
  നോഡുകൾ എങ്ങനെ പരസ്പരം ആധികാരികമാക്കുന്നു. ഏറ്റവും സാധാരണയായി ഉപയോഗിക്കുന്ന കീ പങ്കിട്ട കീ ആണ്. പങ്കിട്ട കീ പ്രാമാണീകരണം Diffie-Hellman അൽഗോരിതം ഉപയോഗിക്കുന്നു.
• ലോക്കൽ, റിമോട്ട് നെറ്റ്‌വർക്ക്/ഹോസ്റ്റ്
  VPN ടണലിലൂടെ അനുവദിക്കുന്ന ട്രാഫിക് നിർവചിക്കുന്നു.
• ടണൽ അല്ലെങ്കിൽ ഗതാഗത മോഡ്.
  IPsec രണ്ട് രീതികളിൽ പ്രവർത്തിക്കാൻ കഴിയും: ടണലും ഗതാഗതവും. മോഡ് തിരഞ്ഞെടുക്കുന്നത് സംരക്ഷിക്കപ്പെടുന്ന വസ്തുക്കളെ ആശ്രയിച്ചിരിക്കുന്നു.
  ടണൽ മോഡ്വിദൂര വസ്തുക്കൾ തമ്മിലുള്ള സംരക്ഷണത്തിനായി ഉപയോഗിക്കുന്നു, അതായത്. IP പാക്കറ്റ് പൂർണ്ണമായും പുതിയ ഒന്നിൽ ഉൾക്കൊള്ളിച്ചിരിക്കുന്നു, കൂടാതെ രണ്ട് VPN പോയിൻ്റുകൾ തമ്മിലുള്ള ബന്ധം മാത്രമേ പുറത്തുനിന്നുള്ള നിരീക്ഷകന് ദൃശ്യമാകൂ. പാക്കറ്റ് ഡീകാപ്‌സുലേറ്റ് ചെയ്‌ത് VPN സ്വീകരിക്കുന്ന പോയിൻ്റിൽ ലഭിച്ചതിന് ശേഷം മാത്രമേ യഥാർത്ഥ ഉറവിടവും ലക്ഷ്യസ്ഥാന ഐപി വിലാസങ്ങളും ദൃശ്യമാകൂ. അതിനാൽ, ടണൽ മോഡ് മിക്കപ്പോഴും VPN കണക്ഷനുകൾക്കായി ഉപയോഗിക്കുന്നു.
  ഗതാഗത മോഡ് IP പാക്കറ്റിൻ്റെ (TCP, UDP, അപ്പർ-ലെയർ പ്രോട്ടോക്കോളുകൾ) ഡാറ്റ പരിരക്ഷിക്കുന്നു, കൂടാതെ യഥാർത്ഥ IP പാക്കറ്റിൻ്റെ തലക്കെട്ട് തന്നെ സംരക്ഷിക്കപ്പെടും. ഈ രീതിയിൽ, നിരീക്ഷകൻ യഥാർത്ഥ ഉറവിടവും ലക്ഷ്യസ്ഥാനവും കാണും, പക്ഷേ ഡാറ്റ കൈമാറ്റം ചെയ്യപ്പെടുന്നില്ല. ഹോസ്റ്റുകൾക്കിടയിൽ ഒരു പ്രാദേശിക നെറ്റ്‌വർക്ക് കണക്ഷൻ പരിരക്ഷിക്കുമ്പോൾ ഈ മോഡ് മിക്കപ്പോഴും ഉപയോഗിക്കുന്നു.
• റിമോട്ട് ഗേറ്റ്‌വേ
  സുരക്ഷിത കണക്ഷൻ്റെ സ്വീകർത്താവാണ് VPN, അത് മറുവശത്ത് നിന്നുള്ള ഡാറ്റയെ ഡീക്രിപ്റ്റ്/ആധികാരികമാക്കുകയും അന്തിമ ലക്ഷ്യസ്ഥാനത്തേക്ക് അയയ്ക്കുകയും ചെയ്യും.
• IKE ഓപ്പറേറ്റിംഗ് മോഡ്
  IKE ചർച്ചകൾക്ക് രണ്ട് രീതികളിൽ പ്രവർത്തിക്കാനാകും: അടിസ്ഥാനഒപ്പം ആക്രമണാത്മക.
  അവ തമ്മിലുള്ള വ്യത്യാസം, ആക്രമണാത്മക മോഡിൽ, കുറച്ച് പാക്കറ്റുകൾ ഉപയോഗിക്കുന്നു, ഇത് വേഗത്തിൽ കണക്ഷൻ സ്ഥാപിക്കാൻ അനുവദിക്കുന്നു. മറുവശത്ത്, അഗ്രസീവ് മോഡ് ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പുകൾ, പിഎഫ്എസ് എന്നിവ പോലുള്ള ചില ചർച്ചകളുടെ പാരാമീറ്ററുകൾ കൈമാറുന്നില്ല, അവയ്ക്ക് പങ്കെടുക്കുന്ന കണക്ഷൻ പോയിൻ്റുകളിൽ പ്രാഥമിക സമാനമായ കോൺഫിഗറേഷൻ ആവശ്യമാണ്.
• IPsec പ്രോട്ടോക്കോളുകൾ
  രണ്ട് IPsec പ്രോട്ടോക്കോളുകൾ ഉണ്ട്: ഓതൻ്റിക്കേഷൻ ഹെഡറും (AH) എൻക്യാപ്‌സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡും (ESP), അവ എൻക്രിപ്ഷനും പ്രാമാണീകരണ പ്രവർത്തനങ്ങളും നിർവഹിക്കുന്നു.
  ESP എൻക്രിപ്ഷൻ, ആധികാരികത എന്നിവ പ്രത്യേകം അല്ലെങ്കിൽ ഒരേസമയം അനുവദിക്കുന്നു.
  AH പ്രാമാണീകരണം മാത്രമേ അനുവദിക്കൂ. ESP പ്രാമാണീകരണത്തിലെ വ്യത്യാസം, AH ബാഹ്യ ഐപി തലക്കെട്ടും പ്രാമാണീകരിക്കുന്നു, പാക്കറ്റ് യഥാർത്ഥത്തിൽ അതിൽ വ്യക്തമാക്കിയ ഉറവിടത്തിൽ നിന്നാണ് വന്നതെന്ന് സ്ഥിരീകരിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു.
• IKE എൻക്രിപ്ഷൻ
  ഉപയോഗിക്കേണ്ട IKE എൻക്രിപ്ഷൻ അൽഗോരിതവും അതിൻ്റെ കീകളും വ്യക്തമാക്കുന്നു. വിവിധ സമമിതി എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പിന്തുണയ്ക്കുന്നു, ഉദാഹരണത്തിന്: DES, 3DES, AES.
• IKE പ്രാമാണീകരണം
  IKE നെഗോഷ്യേഷനിൽ ഉപയോഗിക്കുന്ന പ്രാമാണീകരണ അൽഗോരിതം. ഇതായിരിക്കാം: SHA, MD5.
• IKE Diffie-Hellman (DH) ഗ്രൂപ്പുകൾ
  ഐകെയിൽ കീ എക്സ്ചേഞ്ചിനായി ഡിഎഫ് ഗ്രൂപ്പ് ഉപയോഗിച്ചു. വലിയ ഗ്രൂപ്പ്, എക്സ്ചേഞ്ച് കീകളുടെ വലിപ്പം വലുതായിരിക്കും.
• IKE കണക്ഷൻ ആയുസ്സ്
  ഇത് സമയവും (സെക്കൻഡ്) കൈമാറ്റം ചെയ്ത ഡാറ്റയുടെ (കിലോബൈറ്റ്) വലുപ്പവും സൂചിപ്പിക്കുന്നു. കൗണ്ടറുകളിലൊന്ന് ത്രെഷോൾഡ് മൂല്യത്തിൽ എത്തുമ്പോൾ, ഒരു പുതിയ ആദ്യ ഘട്ടം ആരംഭിക്കുന്നു. IKE കണക്ഷൻ സൃഷ്‌ടിച്ചതിനുശേഷം ഡാറ്റയൊന്നും കൈമാറ്റം ചെയ്‌തിട്ടില്ലെങ്കിൽ, ഒരു കക്ഷി ഒരു VPN കണക്ഷൻ സൃഷ്‌ടിക്കാൻ ആഗ്രഹിക്കുന്നതുവരെ പുതിയ കണക്ഷനുകളൊന്നും സൃഷ്‌ടിക്കില്ല.
• പിഎഫ്എസ്
  PFS പ്രവർത്തനരഹിതമാക്കിയതിനാൽ, കീ എക്‌സ്‌ചേഞ്ച് സമയത്ത് IKE ചർച്ചയുടെ ആദ്യ ഘട്ടത്തിൽ കീ സൃഷ്‌ടി മെറ്റീരിയൽ വീണ്ടെടുക്കും. IKE ചർച്ചയുടെ രണ്ടാം ഘട്ടത്തിൽ, ലഭിച്ച മെറ്റീരിയലിനെ അടിസ്ഥാനമാക്കി സെഷൻ കീകൾ സൃഷ്ടിക്കപ്പെടും. PFS പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ, പുതിയ സെഷൻ കീകൾ സൃഷ്ടിക്കുമ്പോൾ, ഓരോ തവണയും അവയ്ക്കായി ഒരു പുതിയ മെറ്റീരിയൽ ഉപയോഗിക്കും. അതിനാൽ, ഒരു കീ അപഹരിക്കപ്പെട്ടാൽ, അതിനെ അടിസ്ഥാനമാക്കി പുതിയ കീകൾ സൃഷ്ടിക്കാൻ സാധ്യമല്ല.
  PFS രണ്ട് രീതികളിൽ ഉപയോഗിക്കാം: ഓരോ തവണയും ഒരു ചർച്ച ആരംഭിക്കുമ്പോൾ ആദ്യത്തെ IKE ഘട്ടത്തിൽ കീകളിലെ ആദ്യത്തെ PFS ഒരു പുതിയ കീ എക്സ്ചേഞ്ച് ആരംഭിക്കും.
  രണ്ടാം ഘട്ടം. ഐഡൻ്റിറ്റി മോഡിലെ രണ്ടാമത്തെ PFS, ഓരോ തവണയും രണ്ടാം ഘട്ട ചർച്ച കടന്നുപോകുമ്പോൾ ആദ്യ ഘട്ട SA നീക്കം ചെയ്യും, രണ്ടാം ഘട്ട ചർച്ചകളൊന്നും മുമ്പത്തെ അതേ കീ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്തിട്ടില്ലെന്ന് ഉറപ്പാക്കും.
• IPsec DH ഗ്രൂപ്പുകൾ
  DF ഗ്രൂപ്പ് ഡാറ്റ IKE-യിൽ ഉപയോഗിച്ചതിന് സമാനമാണ്, PFS-ന് മാത്രം ഉപയോഗിക്കുന്നു.
• IPsec എൻക്രിപ്ഷൻ
  ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്ന അൽഗോരിതം. എൻക്രിപ്ഷൻ മോഡിൽ ESP ഉപയോഗിക്കുമ്പോൾ ഉപയോഗിക്കുന്നു. ഉദാഹരണ അൽഗോരിതം: DES, 3DES, AES.
• IPsec പ്രാമാണീകരണം
  ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റ ആധികാരികമാക്കാൻ ഉപയോഗിക്കുന്ന അൽഗോരിതം. AH അല്ലെങ്കിൽ ESP-യുടെ കാര്യത്തിൽ പ്രാമാണീകരണ മോഡിൽ ഉപയോഗിക്കുന്നു. ഉദാഹരണ അൽഗോരിതങ്ങൾ: SHA, MD5.
• IPsec ജീവിതകാലം
  ഒരു VPN കണക്ഷൻ്റെ ആയുസ്സ് സമയവും (സെക്കൻഡ്) കൈമാറ്റം ചെയ്ത ഡാറ്റയുടെ വലുപ്പവും (കിലോബൈറ്റുകൾ) സൂചിപ്പിക്കുന്നു. പരിധിയിലെത്തുന്ന ആദ്യ കൗണ്ടർ സെഷൻ കീകളുടെ പുനഃസൃഷ്ടിയെ ട്രിഗർ ചെയ്യും. IKE കണക്ഷൻ സൃഷ്‌ടിച്ചതിനുശേഷം ഡാറ്റയൊന്നും കൈമാറ്റം ചെയ്‌തിട്ടില്ലെങ്കിൽ, ഒരു കക്ഷി ഒരു VPN കണക്ഷൻ സൃഷ്‌ടിക്കാൻ ആഗ്രഹിക്കുന്നതുവരെ പുതിയ കണക്ഷനുകളൊന്നും സൃഷ്‌ടിക്കില്ല.

IKE പ്രാമാണീകരണ രീതികൾ

• മാനുവൽ മോഡ്
  IKE ഉപയോഗിക്കാത്ത ഏറ്റവും ലളിതമായ രീതികളും പ്രാമാണീകരണവും എൻക്രിപ്ഷൻ കീകളും മറ്റ് ചില പാരാമീറ്ററുകളും VPN കണക്ഷൻ്റെ രണ്ട് പോയിൻ്റുകളിലും സ്വമേധയാ സജ്ജീകരിച്ചിരിക്കുന്നു.
• പങ്കിട്ട കീകൾ വഴി (മുൻകൂട്ടി പങ്കിട്ട കീകൾ, PSK)
  VPN കണക്ഷൻ്റെ രണ്ട് പോയിൻ്റുകളിലും മുൻകൂട്ടി നൽകിയ പങ്കിട്ട കീ. മുമ്പത്തെ രീതിയിൽ നിന്നുള്ള വ്യത്യാസം, ഇത് IKE ഉപയോഗിക്കുന്നു എന്നതാണ്, ഇത് എൻഡ് പോയിൻ്റുകൾ ആധികാരികമാക്കാനും ഫിക്സഡ് എൻക്രിപ്ഷൻ കീകൾക്ക് പകരം റൊട്ടേറ്റിംഗ് സെഷൻ കീകൾ ഉപയോഗിക്കാനും അനുവദിക്കുന്നു.
• സർട്ടിഫിക്കറ്റുകൾ
  ഓരോ VPN പോയിൻ്റും ഉപയോഗിക്കുന്നു: അതിൻ്റേതായ സ്വകാര്യ കീ, സ്വന്തം പൊതു കീ, സ്വന്തം പബ്ലിക് കീ ഉൾപ്പെടെയുള്ള സ്വന്തം സർട്ടിഫിക്കറ്റ് കൂടാതെ ഒരു വിശ്വസ്ത സർട്ടിഫിക്കേഷൻ അതോറിറ്റി ഒപ്പിട്ടു. മുമ്പത്തെ രീതിയിൽ നിന്ന് വ്യത്യസ്തമായി, VPN കണക്ഷൻ്റെ എല്ലാ പോയിൻ്റുകളിലും ഒരു പൊതു കീ നൽകുന്നത് ഒഴിവാക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു, ഒരു വിശ്വസ്ത അതോറിറ്റി ഒപ്പിട്ട വ്യക്തിഗത സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് അത് മാറ്റിസ്ഥാപിക്കുന്നു.

IPsec പ്രോട്ടോക്കോളുകൾ

IPsec പ്രോട്ടോക്കോളുകൾ ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റ പരിരക്ഷിക്കാൻ ഉപയോഗിക്കുന്നു. പ്രോട്ടോക്കോളും അതിൻ്റെ കീകളും തിരഞ്ഞെടുക്കുന്നത് IKE ചർച്ചയ്ക്കിടെയാണ്.

AH (പ്രാമാണീകരണ തലക്കെട്ട്)

ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റ ആധികാരികമാക്കാനുള്ള കഴിവ് AH നൽകുന്നു. ഇത് ചെയ്യുന്നതിന്, IP പാക്കറ്റിൽ അടങ്ങിയിരിക്കുന്ന ഡാറ്റയുമായി ബന്ധപ്പെട്ട് ഒരു ക്രിപ്റ്റോഗ്രാഫിക് ഹാഷ് ഫംഗ്ഷൻ ഉപയോഗിക്കുന്നു. ഈ ഫംഗ്‌ഷൻ്റെ (ഹാഷ്) ഔട്ട്‌പുട്ട് പാക്കറ്റിനൊപ്പം അയയ്‌ക്കുകയും യഥാർത്ഥ IP പാക്കറ്റിൻ്റെ സമഗ്രത സ്ഥിരീകരിക്കാൻ വിദൂര VPN പോയിൻ്റിനെ അനുവദിക്കുകയും ചെയ്യുന്നു, ഇത് വഴിയിൽ മാറ്റം വരുത്തിയിട്ടില്ലെന്ന് സ്ഥിരീകരിക്കുന്നു. IP പാക്കറ്റിൻ്റെ ഡാറ്റ കൂടാതെ, AH അതിൻ്റെ തലക്കെട്ടിൻ്റെ ഭാഗവും പ്രാമാണീകരിക്കുന്നു.

ഗതാഗത മോഡിൽ, യഥാർത്ഥ IP പാക്കറ്റിന് ശേഷം AH അതിൻ്റെ തലക്കെട്ട് ഉൾച്ചേർക്കുന്നു.
ടണൽ മോഡിൽ, AH അതിൻ്റെ തലക്കെട്ട് പുറം (പുതിയ) IP ഹെഡറിന് ശേഷവും അകത്തെ (യഥാർത്ഥ) IP ഹെഡറിന് മുമ്പും ഉൾക്കൊള്ളുന്നു.

ESP (എൻക്യാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ്)

ഒരു IP പാക്കറ്റുമായി ബന്ധപ്പെട്ട് എൻക്രിപ്ഷൻ, ആധികാരികത ഉറപ്പാക്കൽ അല്ലെങ്കിൽ ഇവ രണ്ടിനും ESP പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്നു.

ഗതാഗത മോഡിൽ, യഥാർത്ഥ IP തലക്കെട്ടിന് ശേഷം ESP പ്രോട്ടോക്കോൾ അതിൻ്റെ തലക്കെട്ട് ചേർക്കുന്നു.
ടണൽ മോഡിൽ, ഇഎസ്പി തലക്കെട്ട് ബാഹ്യ (പുതിയ) ഐപി തലക്കെട്ടിന് ശേഷവും അകത്തെ (ഒറിജിനൽ) മുമ്പും സ്ഥിതി ചെയ്യുന്നു.

ESP ഉം AH ഉം തമ്മിലുള്ള രണ്ട് പ്രധാന വ്യത്യാസങ്ങൾ:

• പ്രാമാണീകരണത്തിന് പുറമേ, ESP എൻക്രിപ്ഷൻ കഴിവുകളും നൽകുന്നു (AH ഇത് നൽകുന്നില്ല)
• ടണൽ മോഡിലെ ESP യഥാർത്ഥ IP ഹെഡറിനെ മാത്രമേ പ്രാമാണീകരിക്കുകയുള്ളൂ (എഎച്ച് പുറമേയുള്ളതിനെയും പ്രാമാണീകരിക്കുന്നു).

NAT (NAT ട്രാവെർസൽ) പിന്നിൽ പ്രവർത്തിക്കുന്നു
NAT-ന് പിന്നിലെ പ്രവർത്തനത്തെ പിന്തുണയ്ക്കുന്നതിനായി ഒരു പ്രത്യേക സ്പെസിഫിക്കേഷൻ നടപ്പിലാക്കി. VPN പോയിൻ്റ് ഈ സ്പെസിഫിക്കേഷനെ പിന്തുണയ്ക്കുന്നുവെങ്കിൽ, IPsec NAT-ന് പിന്നിലെ പ്രവർത്തനത്തെ പിന്തുണയ്ക്കുന്നു, എന്നാൽ ചില ആവശ്യകതകൾ ഉണ്ട്.
NAT പിന്തുണ രണ്ട് ഭാഗങ്ങൾ ഉൾക്കൊള്ളുന്നു:

• IKE ലെയറിൽ, പിന്തുണ, NAT ട്രാവേഴ്സൽ, പിന്തുണയ്ക്കുന്ന സ്പെസിഫിക്കേഷൻ്റെ പതിപ്പ് എന്നിവയെ കുറിച്ചുള്ള വിവരങ്ങൾ എൻഡ് ഡിവൈസുകൾ പരസ്പരം കൈമാറുന്നു.
• ESP തലത്തിൽ, ജനറേറ്റഡ് പാക്കറ്റ് UDP-യിൽ പൊതിഞ്ഞിരിക്കുന്നു.

രണ്ട് എൻഡ് പോയിൻ്റുകളും പിന്തുണച്ചാൽ മാത്രമേ NAT ട്രാവെർസൽ ഉപയോഗിക്കൂ.
NAT നിർവ്വചനം: രണ്ട് VPN എൻഡ്‌പോയിൻ്റുകളും IKE നെഗോഷിയേഷൻ്റെ UDP സോഴ്‌സ് പോർട്ടിനൊപ്പം അവരുടെ IP വിലാസങ്ങളുടെ ഹാഷുകളും അയയ്ക്കുന്നു. ഉറവിട IP വിലാസം കൂടാതെ/അല്ലെങ്കിൽ പോർട്ട് മാറിയിട്ടുണ്ടോ എന്ന് നിർണ്ണയിക്കാൻ സ്വീകർത്താവ് ഈ വിവരങ്ങൾ ഉപയോഗിക്കുന്നു. ഈ പാരാമീറ്ററുകൾ മാറ്റിയിട്ടില്ലെങ്കിൽ, ട്രാഫിക്ക് NAT വഴി കടന്നുപോകുന്നില്ല, NAT ട്രാവേഴ്സൽ മെക്കാനിസത്തിൻ്റെ ആവശ്യമില്ല. വിലാസമോ പോർട്ടോ മാറ്റിയിട്ടുണ്ടെങ്കിൽ, ഉപകരണങ്ങൾക്കിടയിൽ NAT ഉണ്ട്.

NAT ട്രാവേർസൽ ആവശ്യമാണെന്ന് എൻഡ് പോയിൻ്റുകൾ നിർണ്ണയിച്ചുകഴിഞ്ഞാൽ, IKE ചർച്ചകൾ UDP പോർട്ട് 500-ൽ നിന്ന് പോർട്ട് 4500-ലേക്ക് നീങ്ങുന്നു. NAT ഉപയോഗിക്കുമ്പോൾ ചില ഉപകരണങ്ങൾ പോർട്ട് 500-ൽ IKE സെഷൻ ശരിയായി കൈകാര്യം ചെയ്യാത്തതിനാലാണ് ഇത് ചെയ്യുന്നത്.
ESP പ്രോട്ടോക്കോൾ ഒരു ട്രാൻസ്പോർട്ട് ലെയർ പ്രോട്ടോക്കോൾ ആയതിനാൽ IP-യുടെ മുകളിൽ നേരിട്ട് ഇരിക്കുന്നതാണ് മറ്റൊരു പ്രശ്നം. ഇക്കാരണത്താൽ, ഒരു TCP/UDP പോർട്ടിൻ്റെ ആശയങ്ങൾ ഇതിന് ബാധകമല്ല, ഇത് NAT വഴി ഒരു ഗേറ്റ്‌വേയിലേക്ക് ഒന്നിലധികം ക്ലയൻ്റുകളെ ബന്ധിപ്പിക്കുന്നത് അസാധ്യമാക്കുന്നു. ഈ പ്രശ്നം പരിഹരിക്കാൻ, ESP ഒരു UDP ഡാറ്റാഗ്രാമിലേക്ക് പാക്ക് ചെയ്യുകയും പോർട്ട് 4500-ലേക്ക് അയയ്ക്കുകയും ചെയ്യുന്നു, NAT ട്രാവെർസൽ പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ IKE ഉപയോഗിക്കുന്ന അതേ ഒന്ന്.
NAT ട്രാവെർസൽ അതിനെ പിന്തുണയ്ക്കുന്ന പ്രോട്ടോക്കോളുകളിൽ നിർമ്മിച്ചിരിക്കുന്നു കൂടാതെ മുൻകൂർ കോൺഫിഗറേഷൻ ഇല്ലാതെ പ്രവർത്തിക്കുന്നു.