IPsec ഒരൊറ്റ പ്രോട്ടോക്കോൾ അല്ല, IP നെറ്റ്‌വർക്കുകളുടെ നെറ്റ്‌വർക്ക് ലെയറിൽ ഡാറ്റ പരിരക്ഷിക്കുന്നതിന് രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്ന പ്രോട്ടോക്കോളുകളുടെ ഒരു സംവിധാനമാണ്. ഒരു VPN ടണൽ സൃഷ്ടിക്കാൻ IPsec ഉപയോഗിക്കുന്നതിനുള്ള സിദ്ധാന്തം ഈ ലേഖനം വിവരിക്കും.

ആമുഖം

IPsec സാങ്കേതികവിദ്യയെ അടിസ്ഥാനമാക്കിയുള്ള VPN-നെ രണ്ട് ഭാഗങ്ങളായി തിരിക്കാം:

• ഇന്റർനെറ്റ് കീ എക്സ്ചേഞ്ച് പ്രോട്ടോക്കോൾ (IKE)
• IPsec പ്രോട്ടോക്കോളുകൾ (AH/ESP/രണ്ടും)

ആദ്യ ഭാഗം (IKE) ചർച്ചാ ഘട്ടമാണ്, ഈ സമയത്ത് രണ്ട് VPN പോയിന്റുകൾ അവയ്ക്കിടയിൽ അയച്ച IP ട്രാഫിക് സുരക്ഷിതമാക്കാൻ ഏതൊക്കെ രീതികൾ ഉപയോഗിക്കണമെന്ന് തീരുമാനിക്കുന്നു. കൂടാതെ, കണക്ഷനുകൾ നിയന്ത്രിക്കാനും IKE ഉപയോഗിക്കുന്നു, ഇതിനായി ഓരോ കണക്ഷനും സെക്യൂരിറ്റി അസോസിയേഷനുകൾ (SA) എന്ന ആശയം അവതരിപ്പിക്കുന്നു. SA-കൾ ഒരു ദിശയിലേക്ക് മാത്രമേ വിരൽ ചൂണ്ടുകയുള്ളൂ, അതിനാൽ ഒരു സാധാരണ IPsec കണക്ഷൻ രണ്ട് SA-കൾ ഉപയോഗിക്കുന്നു.

ആദ്യ ഭാഗത്തിൽ (IKE) സമ്മതിച്ച രീതികൾ ഉപയോഗിച്ച് പ്രക്ഷേപണം ചെയ്യുന്നതിനുമുമ്പ് എൻക്രിപ്റ്റ് ചെയ്യുകയും പ്രാമാണീകരിക്കുകയും ചെയ്യേണ്ട IP ഡാറ്റയാണ് രണ്ടാം ഭാഗം. ഉപയോഗിക്കാവുന്ന വ്യത്യസ്ത IPsec പ്രോട്ടോക്കോളുകൾ ഉണ്ട്: AH, ESP അല്ലെങ്കിൽ രണ്ടും.

IPsec-ൽ ഒരു VPN സ്ഥാപിക്കുന്നതിനുള്ള ക്രമം ഇങ്ങനെ ചുരുക്കി വിവരിക്കാം:

• IKE IKE ലെയർ സുരക്ഷയെക്കുറിച്ച് ചർച്ച ചെയ്യുന്നു
• IKE IPsec ലെയർ സുരക്ഷയെക്കുറിച്ച് ചർച്ച ചെയ്യുന്നു
• പരിരക്ഷിത ഡാറ്റ VPN IPsec വഴി കൈമാറ്റം ചെയ്യപ്പെടുന്നു

IKE, ഇന്റർനെറ്റ് കീ എക്സ്ചേഞ്ച്

ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാനും പ്രാമാണീകരിക്കാനും, നിങ്ങൾ എൻക്രിപ്ഷൻ / പ്രാമാണീകരണ രീതിയും (അൽഗോരിതം) അവയിൽ ഉപയോഗിക്കുന്ന കീകളും തിരഞ്ഞെടുക്കേണ്ടതുണ്ട്. ഇന്റർനെറ്റ് കീ എക്സ്ചേഞ്ച് പ്രോട്ടോക്കോൾ, IKE യുടെ ചുമതല, ഈ "സെഷൻ കീകൾ" വിതരണം ചെയ്യുകയും VPN പോയിന്റുകൾക്കിടയിൽ ഡാറ്റ പരിരക്ഷിക്കുന്ന അൽഗോരിതങ്ങൾ അംഗീകരിക്കുകയും ചെയ്യുക എന്നതാണ്.

IKE യുടെ പ്രധാന ജോലികൾ:

• പരസ്പരം VPN പോയിന്റുകൾ പ്രാമാണീകരിക്കുക
• പുതിയ IPsec കണക്ഷനുകളുടെ ഓർഗനൈസേഷൻ (SA ജോഡികൾ സൃഷ്ടിക്കുന്നതിലൂടെ)
• നിലവിലെ കണക്ഷനുകൾ കൈകാര്യം ചെയ്യുന്നു

IKE കണക്ഷനുകളുടെ ട്രാക്ക് സൂക്ഷിക്കുന്നു, അവയിൽ ഓരോന്നിനും ഒരു നിശ്ചിത സുരക്ഷാ അസോസിയേഷനുകൾ, SA. IPsec പ്രോട്ടോക്കോൾ (AH/ESP അല്ലെങ്കിൽ രണ്ടും), ഡാറ്റ എൻക്രിപ്റ്റ്/ഡീക്രിപ്റ്റ് ചെയ്യാനും കൂടാതെ/അല്ലെങ്കിൽ ആധികാരികമാക്കാനും ഉപയോഗിക്കുന്ന സെഷൻ കീകൾ ഉൾപ്പെടെ ഒരു പ്രത്യേക കണക്ഷന്റെ പാരാമീറ്ററുകൾ SA വിവരിക്കുന്നു. SA ഏകദിശയുള്ളതാണ്, അതിനാൽ ഓരോ കണക്ഷനും ഒന്നിലധികം SA-കൾ ഉണ്ട്. ESP അല്ലെങ്കിൽ AH മാത്രം ഉപയോഗിക്കുന്ന മിക്ക കേസുകളിലും, ഓരോ കണക്ഷനും രണ്ട് SA-കൾ മാത്രമേ സൃഷ്ടിക്കപ്പെട്ടിട്ടുള്ളൂ, ഒന്ന് ഇൻബൗണ്ട് ട്രാഫിക്കിനും ഒന്ന് ഔട്ട്ബൗണ്ട് ട്രാഫിക്കിനും. ESP-യും AH-ഉം ഒരുമിച്ച് ഉപയോഗിക്കുമ്പോൾ, SA-യ്ക്ക് നാല് ആവശ്യമാണ്.

IKE ചർച്ചകൾ പല ഘട്ടങ്ങളിലൂടെ കടന്നുപോകുന്നു (ഘട്ടങ്ങൾ). ഈ ഘട്ടങ്ങളിൽ ഇവ ഉൾപ്പെടുന്നു:

1. IKE ആദ്യ ഘട്ടം (IKE ഘട്ടം-1):
   - IKE യുടെ തന്നെ (ISAKMP ടണൽ) സംരക്ഷണം ചർച്ച ചെയ്യപ്പെടുന്നു
2. IKE രണ്ടാം ഘട്ടം (IKE ഘട്ടം-2):
   - IPsec സുരക്ഷയെക്കുറിച്ച് ചർച്ച ചെയ്യുക
   - സെഷൻ കീകൾ ജനറേറ്റുചെയ്യുന്നതിന് ആദ്യ ഘട്ടത്തിൽ നിന്ന് ഡാറ്റ സ്വീകരിക്കുന്നു

IKE, IPsec കണക്ഷനുകൾ ദൈർഘ്യത്തിലും (സെക്കൻഡുകളിൽ) കൈമാറ്റം ചെയ്യപ്പെടുന്ന ഡാറ്റയുടെ അളവിലും (കിലോബൈറ്റിൽ) പരിമിതപ്പെടുത്തിയിരിക്കുന്നു. സുരക്ഷ മെച്ചപ്പെടുത്തുന്നതിനാണ് ഇത് ചെയ്യുന്നത്.
ഒരു IPsec കണക്ഷന്റെ ദൈർഘ്യം സാധാരണയായി IKE നേക്കാൾ കുറവാണ്. അതിനാൽ, ഒരു IPsec കണക്ഷൻ കാലഹരണപ്പെടുമ്പോൾ, ചർച്ചയുടെ രണ്ടാം ഘട്ടത്തിലൂടെ ഒരു പുതിയ IPsec കണക്ഷൻ പുനഃസൃഷ്ടിക്കുന്നു. IKE കണക്ഷൻ പുനഃസൃഷ്ടിക്കുമ്പോൾ മാത്രമാണ് ചർച്ചയുടെ ആദ്യ ഘട്ടം ഉപയോഗിക്കുന്നത്.

IKE നെഗോഷ്യേറ്റ് ചെയ്യുന്നതിന്, IKE പ്രൊപ്പോസൽ (IKE പ്രൊപ്പോസൽ) എന്ന ആശയം അവതരിപ്പിച്ചു - ഇത് ഡാറ്റ എങ്ങനെ സംരക്ഷിക്കാം എന്നതിനെക്കുറിച്ചുള്ള ഒരു നിർദ്ദേശമാണ്. IPsec കണക്ഷൻ ആരംഭിക്കുന്ന VPN പോയിന്റ് വ്യത്യസ്ത കണക്ഷൻ സുരക്ഷാ രീതികൾ വ്യക്തമാക്കുന്ന ഒരു ലിസ്റ്റ് (നിർദ്ദേശം) അയയ്ക്കുന്നു.
ഒരു പുതിയ IPsec കണക്ഷൻ സ്ഥാപിക്കുന്നതിനെക്കുറിച്ചും ഒരു പുതിയ IKE കണക്ഷൻ സ്ഥാപിക്കുന്നതിനെക്കുറിച്ചും ചർച്ചകൾ നടത്താവുന്നതാണ്. IPsec-ന്റെ കാര്യത്തിൽ, പരിരക്ഷിത ഡാറ്റ എന്നത് VPN ടണലിലൂടെ അയയ്‌ക്കുന്ന ട്രാഫിക്കാണ്, അതേസമയം IKE-യുടെ കാര്യത്തിൽ, പരിരക്ഷിത ഡാറ്റ IKE ചർച്ചകളുടെ തന്നെ ഡാറ്റയാണ്.
ലിസ്റ്റ് (ഓഫർ) ലഭിച്ച VPN പോയിന്റ് അതിൽ നിന്ന് ഏറ്റവും അനുയോജ്യമായ ഒന്ന് തിരഞ്ഞെടുത്ത് പ്രതികരണത്തിൽ സൂചിപ്പിക്കുന്നു. ഓഫറുകളൊന്നും തിരഞ്ഞെടുക്കാൻ കഴിയുന്നില്ലെങ്കിൽ, VPN ഗേറ്റ്‌വേ നിരസിക്കുന്നു.
ഒരു എൻക്രിപ്ഷനും പ്രാമാണീകരണ അൽഗോരിതവും തിരഞ്ഞെടുക്കുന്നതിന് ആവശ്യമായ എല്ലാ വിവരങ്ങളും നിർദ്ദേശത്തിൽ അടങ്ങിയിരിക്കുന്നു.

ഘട്ടം 1 IKE - IKE സുരക്ഷാ ചർച്ചകൾ (ISAKMP ടണൽ)
ചർച്ചയുടെ ആദ്യ ഘട്ടത്തിൽ, ഒരു പൊതു കീ (പ്രീ-ഷെയർഡ് കീ) അടിസ്ഥാനമാക്കി VPN പോയിന്റുകൾ പരസ്പരം പ്രാമാണീകരിക്കുന്നു. പ്രാമാണീകരണത്തിനായി ഹാഷ് അൽഗോരിതം ഉപയോഗിക്കുന്നു: MD5, SHA-1, SHA-2.
എന്നിരുന്നാലും, പരസ്പരം ആധികാരികമാക്കുന്നതിന് മുമ്പ്, വ്യക്തമായ വാചകത്തിൽ വിവരങ്ങൾ കൈമാറാതിരിക്കാൻ, വിപിഎൻ പോയിന്റുകൾ നേരത്തെ വിവരിച്ച നിർദ്ദേശങ്ങളുടെ (പ്രൊപ്പോസലുകൾ) ലിസ്റ്റുകൾ കൈമാറുന്നു. രണ്ട് VPN പോയിന്റുകൾക്ക് അനുയോജ്യമായ ഓഫർ തിരഞ്ഞെടുത്തതിന് ശേഷം മാത്രമേ, പരസ്പരം VPN പോയിന്റ് പ്രാമാണീകരിക്കൂ.
പ്രാമാണീകരണം വ്യത്യസ്‌ത രീതികളിൽ നടത്താം: മുൻകൂട്ടി പങ്കിട്ട കീകൾ, സർട്ടിഫിക്കറ്റുകൾ അല്ലെങ്കിൽ . പങ്കിട്ട കീകളാണ് ഏറ്റവും സാധാരണമായ പ്രാമാണീകരണ രീതി.
ആദ്യ ഘട്ടത്തിന്റെ IKE ചർച്ചകൾ രണ്ട് രീതികളിൽ ഒന്നിൽ സംഭവിക്കാം: പ്രധാന (പ്രധാനം), ആക്രമണാത്മക (ആക്രമണാത്മകം). പ്രധാന മോഡ് ദൈർഘ്യമേറിയതാണ്, മാത്രമല്ല കൂടുതൽ സുരക്ഷിതവുമാണ്. അതിന്റെ പ്രക്രിയയിൽ, ആറ് സന്ദേശങ്ങൾ കൈമാറ്റം ചെയ്യപ്പെടുന്നു. അഗ്രസീവ് മോഡ് വേഗതയേറിയതാണ്, മൂന്ന് സന്ദേശങ്ങൾ മാത്രമായി പരിമിതപ്പെടുത്തിയിരിക്കുന്നു.
IKE യുടെ ആദ്യ ഘട്ടത്തിന്റെ പ്രധാന പ്രവർത്തനം ഡിഫി-ഹെൽമാൻ കീ എക്സ്ചേഞ്ചിലാണ്. ഇത് പബ്ലിക് കീ എൻക്രിപ്ഷനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, ഓരോ വശവും അയൽക്കാരന്റെ പബ്ലിക് കീ ഉപയോഗിച്ച് പ്രാമാണീകരണ പാരാമീറ്റർ (പ്രീ-ഷെയർഡ് കീ) എൻക്രിപ്റ്റ് ചെയ്യുന്നു, സന്ദേശം ലഭിച്ച്, അവന്റെ സ്വകാര്യ കീ ഉപയോഗിച്ച് അത് ഡീക്രിപ്റ്റ് ചെയ്യുന്നു. കക്ഷികളെ പരസ്പരം ആധികാരികമാക്കുന്നതിനുള്ള മറ്റൊരു മാർഗ്ഗം സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ചാണ്.

ഘട്ടം 2 IKE - IPsec സെക്യൂരിറ്റി നെഗോഷ്യേഷൻ
രണ്ടാം ഘട്ടത്തിൽ, IPsec കണക്ഷൻ എങ്ങനെ സംരക്ഷിക്കണം എന്നതിന്റെ തിരഞ്ഞെടുപ്പ് നടത്തുന്നു.
ആദ്യ ഘട്ടത്തിൽ സംഭവിച്ച ഡിഫി-ഹെൽമാൻ കീ എക്സ്ചേഞ്ചിൽ നിന്ന് വേർതിരിച്ചെടുത്ത കീയിംഗ് മെറ്റീരിയൽ രണ്ടാം ഘട്ടത്തിൽ ഉപയോഗിക്കുന്നു. ഈ മെറ്റീരിയലിനെ അടിസ്ഥാനമാക്കി, സെഷൻ കീകൾ സൃഷ്ടിക്കപ്പെടുന്നു, അവ വിപിഎൻ ടണലിലെ ഡാറ്റ പരിരക്ഷിക്കാൻ ഉപയോഗിക്കുന്നു.

മെക്കാനിസം ഉപയോഗിച്ചാൽ മികച്ച ഫോർവേഡിംഗ് രഹസ്യം (PFS), തുടർന്ന് ഓരോ ഘട്ടം 2 ഹാൻഡ്‌ഷേക്കിനും ഒരു പുതിയ ഡിഫി-ഹെൽമാൻ കീ എക്സ്ചേഞ്ച് ഉപയോഗിക്കും. ജോലിയുടെ വേഗത ചെറുതായി കുറയ്ക്കുന്നു, ഈ നടപടിക്രമം സെഷൻ കീകൾ പരസ്പരം സ്വതന്ത്രമാണെന്ന് ഉറപ്പാക്കുന്നു, ഇത് സംരക്ഷണം വർദ്ധിപ്പിക്കുന്നു, കാരണം കീകളിൽ ഒന്ന് വിട്ടുവീഴ്ച ചെയ്താലും, മറ്റുള്ളവ തിരഞ്ഞെടുക്കാൻ ഇത് ഉപയോഗിക്കാൻ കഴിയില്ല.

IKE ചർച്ചയുടെ രണ്ടാം ഘട്ടത്തിൽ ഒരു പ്രവർത്തന രീതി മാത്രമേയുള്ളൂ, അതിനെ ദ്രുത മോഡ് - ഫാസ്റ്റ് മോഡ് എന്ന് വിളിക്കുന്നു. രണ്ടാം ഘട്ട ചർച്ചകൾക്കിടയിൽ, മൂന്ന് സന്ദേശങ്ങൾ കൈമാറുന്നു.

രണ്ടാം ഘട്ടത്തിന്റെ അവസാനം, ഒരു VPN കണക്ഷൻ സ്ഥാപിച്ചു.

IKE ക്രമീകരണങ്ങൾ.
കണക്ഷൻ സ്ഥാപിക്കുന്ന സമയത്ത്, നിരവധി പാരാമീറ്ററുകൾ ഉപയോഗിക്കുന്നു, ചർച്ചകളില്ലാതെ ഒരു VPN കണക്ഷൻ സ്ഥാപിക്കുന്നത് അസാധ്യമാണ്.

• എൻഡ് നോഡ് തിരിച്ചറിയൽ
  നോഡുകൾ എങ്ങനെ പരസ്പരം ആധികാരികമാക്കുന്നു. ഏറ്റവും സാധാരണയായി ഉപയോഗിക്കുന്നത് പങ്കിട്ട കീയാണ്. പങ്കിട്ട കീ പ്രാമാണീകരണം Diffie-Hellman അൽഗോരിതം ഉപയോഗിക്കുന്നു.
• ലോക്കൽ, റിമോട്ട് നെറ്റ്‌വർക്ക്/ഹോസ്റ്റ്
  VPN ടണലിലൂടെ അനുവദിക്കുന്ന ട്രാഫിക് വ്യക്തമാക്കുന്നു.
• ടണൽ അല്ലെങ്കിൽ ഗതാഗത മോഡ്.
  IPsec രണ്ട് രീതികളിൽ പ്രവർത്തിക്കാൻ കഴിയും: ടണലും ഗതാഗതവും. മോഡിന്റെ തിരഞ്ഞെടുപ്പ് സംരക്ഷിത വസ്തുക്കളെ ആശ്രയിച്ചിരിക്കുന്നു.
  ടണൽ മോഡ്വിദൂര വസ്തുക്കൾ തമ്മിലുള്ള സംരക്ഷണത്തിനായി ഉപയോഗിക്കുന്നു, അതായത്. IP പാക്കറ്റ് പൂർണ്ണമായും പുതിയ ഒന്നിൽ ഉൾക്കൊള്ളിച്ചിരിക്കുന്നു, കൂടാതെ രണ്ട് VPN പോയിന്റുകൾ തമ്മിലുള്ള ബന്ധം മാത്രമേ പുറത്തുനിന്നുള്ള ഒരു നിരീക്ഷകന് ദൃശ്യമാകൂ. വിപിഎൻ റിസീവിംഗ് പോയിന്റിൽ പാക്കറ്റ് ലഭിക്കുമ്പോൾ അത് ഡീകാപ്സുലേറ്റ് ചെയ്തതിനുശേഷം മാത്രമേ ഉറവിടത്തിന്റെയും ലക്ഷ്യസ്ഥാനത്തിന്റെയും യഥാർത്ഥ ഐപി വിലാസങ്ങൾ ദൃശ്യമാകൂ. അതിനാൽ, VPN കണക്ഷനുകൾക്കായി ടണൽ മോഡ് സാധാരണയായി ഉപയോഗിക്കുന്നു.
  ഗതാഗത മോഡ് IP പാക്കറ്റിന്റെ (TCP, UDP, അപ്പർ ലെയർ പ്രോട്ടോക്കോളുകൾ) ഡാറ്റ പരിരക്ഷിക്കുന്നു, കൂടാതെ യഥാർത്ഥ IP പാക്കറ്റിന്റെ തലക്കെട്ട് സംരക്ഷിക്കപ്പെടും. അങ്ങനെ, യഥാർത്ഥ ഉറവിടവും ലക്ഷ്യസ്ഥാനവും നിരീക്ഷകന് ദൃശ്യമാകും, പക്ഷേ പ്രക്ഷേപണം ചെയ്ത ഡാറ്റയല്ല. ഹോസ്റ്റുകൾക്കിടയിൽ ഒരു LAN കണക്ഷൻ സുരക്ഷിതമാക്കുമ്പോൾ ഈ മോഡ് സാധാരണയായി ഉപയോഗിക്കുന്നു.
• റിമോട്ട് ഗേറ്റ്‌വേ
  മറുവശത്ത് നിന്നുള്ള ഡാറ്റയെ ഡീക്രിപ്റ്റ്/ആധികാരികമാക്കുകയും അന്തിമ ലക്ഷ്യസ്ഥാനത്തേക്ക് അയയ്ക്കുകയും ചെയ്യുന്ന ഒരു സുരക്ഷിത കണക്ഷൻ ഡെസ്റ്റിനേഷൻ VPN പോയിന്റ്.
• IKE പ്രവർത്തന രീതി
  IKE ചർച്ചകൾക്ക് രണ്ട് രീതികളിൽ പ്രവർത്തിക്കാനാകും: അടിസ്ഥാനഒപ്പം ആക്രമണാത്മക.
  ഇവ രണ്ടും തമ്മിലുള്ള വ്യത്യാസം, വേഗത്തിലുള്ള കണക്ഷൻ സ്ഥാപിക്കാൻ അഗ്രസീവ് മോഡ് കുറച്ച് പാക്കറ്റുകൾ ഉപയോഗിക്കുന്നു എന്നതാണ്. മറുവശത്ത്, അഗ്രസീവ് മോഡ് ഡിഫി-ഹെൽമാൻ ഗ്രൂപ്പുകൾ, പിഎഫ്എസ് എന്നിവ പോലുള്ള ചില ചർച്ചകളുടെ പാരാമീറ്ററുകൾ കടന്നുപോകുന്നില്ല, ഇതിന് കണക്ഷൻ പോയിന്റുകളിൽ അവയുടെ പ്രാഥമിക സമാന കോൺഫിഗറേഷൻ ആവശ്യമാണ്.
• IPsec പ്രോട്ടോക്കോളുകൾ
  രണ്ട് IPsec പ്രോട്ടോക്കോളുകൾ ഉണ്ട്, ഓതന്റിക്കേഷൻ ഹെഡർ (AH), എൻ‌ക്യാപ്‌സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ് (ESP) എന്നിവ എൻക്രിപ്ഷനും പ്രാമാണീകരണ പ്രവർത്തനങ്ങളും നിർവഹിക്കുന്നു.
  വ്യക്തിഗതമായി അല്ലെങ്കിൽ ഒരേസമയം എൻക്രിപ്റ്റ് ചെയ്യാനും പ്രാമാണീകരിക്കാനും ESP നിങ്ങളെ അനുവദിക്കുന്നു.
  AH പ്രാമാണീകരണം മാത്രമേ അനുവദിക്കൂ. ESP പ്രാമാണീകരണത്തിലെ വ്യത്യാസം, AH ബാഹ്യ ഐപി തലക്കെട്ടും പ്രാമാണീകരിക്കുന്നു, പാക്കറ്റ് യഥാർത്ഥത്തിൽ അതിൽ വ്യക്തമാക്കിയ ഉറവിടത്തിൽ നിന്നാണ് വന്നതെന്ന് പരിശോധിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു.
• IKE എൻക്രിപ്ഷൻ
  ഉപയോഗിക്കേണ്ട IKE എൻക്രിപ്ഷൻ അൽഗോരിതവും അതിന്റെ കീകളും വ്യക്തമാക്കുന്നു. വിവിധ സമമിതി എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾ പിന്തുണയ്ക്കുന്നു, ഉദാഹരണത്തിന്: DES, 3DES, AES.
• IKE പ്രാമാണീകരണം
  IKE ഹാൻഡ്‌ഷേക്കിൽ ഉപയോഗിക്കുന്ന പ്രാമാണീകരണ അൽഗോരിതം. ആകാം: SHA, MD5.
• IKE Diffie-Hellman (DH) ഗ്രൂപ്പുകൾ
  IKE-യിലെ കീ കൈമാറ്റത്തിനായി DF ഉപയോഗിക്കുന്ന ഗ്രൂപ്പ്. വലിയ ഗ്രൂപ്പ്, എക്സ്ചേഞ്ച് കീകളുടെ വലിപ്പം വലുതായിരിക്കും.
• IKE കണക്ഷൻ ആയുസ്സ്
  ഇത് സമയവും (സെക്കൻഡ്) കൈമാറ്റം ചെയ്ത ഡാറ്റയുടെ (കിലോബൈറ്റ്) വലുപ്പവും വ്യക്തമാക്കുന്നു. കൗണ്ടറുകളിലൊന്ന് പരിധിയിലെത്തുമ്പോൾ, ഒരു പുതിയ ആദ്യ ഘട്ടം ആരംഭിക്കുന്നു. IKE കണക്ഷൻ സൃഷ്‌ടിച്ചതിനുശേഷം ഡാറ്റയൊന്നും കൈമാറിയിട്ടില്ലെങ്കിൽ, ഒരു കക്ഷി ഒരു VPN കണക്ഷൻ സൃഷ്‌ടിക്കാൻ ആഗ്രഹിക്കുന്നതുവരെ പുതിയ കണക്ഷനുകളൊന്നും സൃഷ്‌ടിക്കില്ല.
• പിഎഫ്എസ്
  PFS പ്രവർത്തനരഹിതമാക്കിയാൽ, കീ എക്‌സ്‌ചേഞ്ച് സമയത്ത് IKE ചർച്ചയുടെ ആദ്യ ഘട്ടത്തിൽ കീ ജനറേഷൻ മെറ്റീരിയൽ വീണ്ടെടുക്കും. IKE ചർച്ചയുടെ രണ്ടാം ഘട്ടത്തിൽ, ലഭിച്ച മെറ്റീരിയലിനെ അടിസ്ഥാനമാക്കി സെഷൻ കീകൾ സൃഷ്ടിക്കും. PFS പ്രവർത്തനക്ഷമമാക്കിയാൽ, പുതിയ സെഷൻ കീകൾ സൃഷ്‌ടിക്കുമ്പോൾ, അവയ്‌ക്കുള്ള മെറ്റീരിയൽ ഓരോ തവണയും പുതിയത് ഉപയോഗിക്കും. അതിനാൽ, കീ വിട്ടുവീഴ്ച ചെയ്യുകയാണെങ്കിൽ, അതിനെ അടിസ്ഥാനമാക്കി പുതിയ കീകൾ സൃഷ്ടിക്കാൻ കഴിയില്ല.
  PFS രണ്ട് രീതികളിൽ ഉപയോഗിക്കാം: ആദ്യം കീകളിൽ PFS, ഒരു ചർച്ച ആരംഭിക്കുമ്പോഴെല്ലാം IKE യുടെ ആദ്യ ഘട്ടത്തിൽ ഒരു പുതിയ കീ എക്സ്ചേഞ്ച് ആരംഭിക്കും.
  രണ്ടാം ഘട്ടം. രണ്ടാമത്തെ മോഡ്, PFS ഓൺ ഐഡന്റിറ്റി, രണ്ടാം ഘട്ട ചർച്ചകൾ കടന്നുപോകുമ്പോഴെല്ലാം ആദ്യ ഘട്ടത്തിന്റെ SA ഇല്ലാതാക്കും, അതുവഴി രണ്ടാം ഘട്ട ചർച്ചകളൊന്നും സമാനമായ മുൻ കീ ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്തിട്ടില്ലെന്ന് ഉറപ്പാക്കുന്നു.
• IPsec DH ഗ്രൂപ്പുകൾ
  ഈ DF ഗ്രൂപ്പുകൾ IKE-യിൽ ഉപയോഗിക്കുന്നവയ്ക്ക് സമാനമാണ്, PFS-ന് മാത്രം ഉപയോഗിക്കുന്നു.
• IPsec എൻക്രിപ്ഷൻ
  ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്ന അൽഗോരിതം. എൻക്രിപ്ഷൻ മോഡിൽ ESP ഉപയോഗിക്കുമ്പോൾ ഉപയോഗിക്കുന്നു. ഉദാഹരണ അൽഗോരിതം: DES, 3DES, AES.
• IPsec പ്രാമാണീകരണം
  ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റ ആധികാരികമാക്കാൻ ഉപയോഗിക്കുന്ന അൽഗോരിതം. AH അല്ലെങ്കിൽ ESP-യുടെ കാര്യത്തിൽ പ്രാമാണീകരണ മോഡിൽ ഉപയോഗിക്കുന്നു. ഉദാഹരണ അൽഗോരിതങ്ങൾ: SHA, MD5.
• IPsec ജീവിതകാലം
  ഒരു VPN കണക്ഷന്റെ ആയുസ്സ് സമയവും (സെക്കൻഡ്) കൈമാറ്റം ചെയ്ത ഡാറ്റയുടെ വലുപ്പവും (കിലോബൈറ്റുകൾ) സൂചിപ്പിക്കുന്നു. പരിധിയിലെത്തുന്ന ആദ്യ കൗണ്ടർ സെഷൻ കീകൾ വീണ്ടും സൃഷ്‌ടിക്കാൻ തുടങ്ങും. IKE കണക്ഷൻ സൃഷ്‌ടിച്ചതിനുശേഷം ഡാറ്റയൊന്നും കൈമാറിയിട്ടില്ലെങ്കിൽ, ഒരു കക്ഷി ഒരു VPN കണക്ഷൻ സൃഷ്‌ടിക്കാൻ ആഗ്രഹിക്കുന്നതുവരെ പുതിയ കണക്ഷനുകളൊന്നും സൃഷ്‌ടിക്കില്ല.

IKE പ്രാമാണീകരണ രീതികൾ

• മാനുവൽ മോഡ്
  IKE ഉപയോഗിക്കാത്ത ഏറ്റവും ലളിതമായ രീതികളും പ്രാമാണീകരണവും എൻക്രിപ്ഷൻ കീകളും മറ്റ് ചില പാരാമീറ്ററുകളും VPN കണക്ഷന്റെ രണ്ട് പോയിന്റുകളിലും സ്വമേധയാ സജ്ജീകരിച്ചിരിക്കുന്നു.
• മുൻകൂട്ടി പങ്കിട്ട കീകൾ (PSK) വഴി
  VPN കണക്ഷന്റെ രണ്ട് പോയിന്റുകളിലും മുൻകൂട്ടി പങ്കിട്ട കീ. മുമ്പത്തെ രീതിയിൽ നിന്നുള്ള വ്യത്യാസം IKE ഉപയോഗിക്കുന്നു എന്നതാണ്, ഇത് ഫിക്സഡ് എൻക്രിപ്ഷൻ കീകൾക്ക് പകരം എൻഡ് പോയിന്റുകൾ ആധികാരികമാക്കാനും സെഷൻ കീകൾ മാറ്റാനും നിങ്ങളെ അനുവദിക്കുന്നു.
• സർട്ടിഫിക്കറ്റുകൾ
  ഓരോ വിപിഎൻ പോയിന്റും ഉപയോഗിക്കുന്നു: അതിന്റെ സ്വകാര്യ കീ, പൊതു കീ, അതിന്റെ പൊതു കീ ഉൾപ്പെടുന്ന സ്വന്തം സർട്ടിഫിക്കറ്റ്, ഒരു വിശ്വസ്ത സർട്ടിഫിക്കറ്റ് അതോറിറ്റി ഒപ്പിട്ടു. മുമ്പത്തെ രീതിയിൽ നിന്ന് വ്യത്യസ്തമായി, എല്ലാ VPN കണക്ഷൻ പോയിന്റുകളിലും ഒരു പൊതു കീ നൽകുന്നത് ഒഴിവാക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു, അതിന് പകരം ഒരു വിശ്വസ്ത അതോറിറ്റി ഒപ്പിട്ട വ്യക്തിഗത സർട്ടിഫിക്കറ്റുകൾ നൽകുക.

IPsec പ്രോട്ടോക്കോളുകൾ

IPsec പ്രോട്ടോക്കോളുകൾ ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റ പരിരക്ഷിക്കാൻ ഉപയോഗിക്കുന്നു. പ്രോട്ടോക്കോളും അതിന്റെ കീകളും തിരഞ്ഞെടുക്കുന്നത് IKE ചർച്ചയ്ക്കിടെയാണ്.

AH (പ്രാമാണീകരണ തലക്കെട്ട്)

കൈമാറ്റം ചെയ്ത ഡാറ്റ ആധികാരികമാക്കാനുള്ള കഴിവ് AH നൽകുന്നു. ഇത് ചെയ്യുന്നതിന്, IP പാക്കറ്റിൽ അടങ്ങിയിരിക്കുന്ന ഡാറ്റയുമായി ബന്ധപ്പെട്ട് ഒരു ക്രിപ്റ്റോഗ്രാഫിക് ഹാഷ് ഫംഗ്ഷൻ ഉപയോഗിക്കുന്നു. ഈ ഫംഗ്‌ഷന്റെ (ഹാഷ്) ഔട്ട്‌പുട്ട് പാക്കറ്റിനൊപ്പം കൈമാറ്റം ചെയ്യപ്പെടുകയും യഥാർത്ഥ IP പാക്കറ്റിന്റെ സമഗ്രത സ്ഥിരീകരിക്കാൻ വിദൂര VPN പോയിന്റിനെ അനുവദിക്കുകയും ചെയ്യുന്നു, ഇത് വഴിയിൽ മാറ്റം വരുത്തിയിട്ടില്ലെന്ന് സ്ഥിരീകരിക്കുന്നു. IP പാക്കറ്റ് ഡാറ്റയ്ക്ക് പുറമേ, AH അതിന്റെ തലക്കെട്ടിന്റെ ഭാഗവും പ്രാമാണീകരിക്കുന്നു.

ഗതാഗത മോഡിൽ, യഥാർത്ഥ IP പാക്കറ്റിന് ശേഷം AH അതിന്റെ തലക്കെട്ട് ഉൾക്കൊള്ളുന്നു.
ടണൽ മോഡിൽ, AH അതിന്റെ തലക്കെട്ട് പുറം (പുതിയ) IP ഹെഡറിന് ശേഷവും അകത്തെ (യഥാർത്ഥ) IP ഹെഡറിന് മുമ്പും ഉൾക്കൊള്ളുന്നു.

ESP (എൻക്യാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ്)

ESP പ്രോട്ടോക്കോൾ ഒരു IP പാക്കറ്റിന് എതിരായി എൻക്രിപ്ഷൻ, ആധികാരികത ഉറപ്പാക്കൽ അല്ലെങ്കിൽ രണ്ടും ഉപയോഗിക്കുന്നു.

ഗതാഗത മോഡിൽ, യഥാർത്ഥ IP തലക്കെട്ടിന് ശേഷം ESP പ്രോട്ടോക്കോൾ അതിന്റെ തലക്കെട്ട് ചേർക്കുന്നു.
ESP ടണൽ മോഡിൽ, തലക്കെട്ട് ബാഹ്യ (പുതിയ) IP തലക്കെട്ടിന് ശേഷവും അകത്തെ (യഥാർത്ഥം) മുമ്പിലുമാണ്.

ESP ഉം AH ഉം തമ്മിലുള്ള രണ്ട് പ്രധാന വ്യത്യാസങ്ങൾ:

• ESP, പ്രാമാണീകരണത്തിന് പുറമേ, എൻക്രിപ്റ്റ് ചെയ്യാനുള്ള കഴിവും നൽകുന്നു (AH ഇത് നൽകുന്നില്ല)
• ടണൽ മോഡിലെ ESP യഥാർത്ഥ IP തലക്കെട്ടിനെ മാത്രമേ പ്രാമാണീകരിക്കുകയുള്ളൂ (എഎച്ച് പുറമേയുള്ളതിനെയും പ്രാമാണീകരിക്കുന്നു).

NAT (NAT ട്രാവെർസൽ) പിന്നിൽ പ്രവർത്തിക്കുക
NAT-ന് പിന്നിലെ പ്രവർത്തനത്തെ പിന്തുണയ്ക്കുന്നതിനായി ഒരു പ്രത്യേക സ്പെസിഫിക്കേഷൻ നടപ്പിലാക്കിയിട്ടുണ്ട്. VPN പോയിന്റ് ഈ സ്പെസിഫിക്കേഷനെ പിന്തുണയ്ക്കുന്നുവെങ്കിൽ, IPsec NAT പ്രവർത്തനത്തെ പിന്തുണയ്ക്കുന്നു, എന്നാൽ ചില ആവശ്യകതകൾ ഉണ്ട്.
NAT പിന്തുണ രണ്ട് ഭാഗങ്ങൾ ഉൾക്കൊള്ളുന്നു:

• IKE തലത്തിൽ, പിന്തുണ, NAT ട്രാവെർസൽ, പിന്തുണയ്ക്കുന്ന സ്പെസിഫിക്കേഷന്റെ പതിപ്പ് എന്നിവയെക്കുറിച്ച് എൻഡ് ഡിവൈസുകൾ പരസ്പരം ആശയവിനിമയം നടത്തുന്നു.
• ESP തലത്തിൽ, ജനറേറ്റഡ് പാക്കറ്റ് UDP-യിൽ പൊതിഞ്ഞിരിക്കുന്നു.

രണ്ട് പോയിന്റുകളും പിന്തുണയ്ക്കുന്നുവെങ്കിൽ മാത്രമേ NAT ട്രാവെർസൽ ഉപയോഗിക്കൂ.
NAT ന്റെ നിർവ്വചനം: രണ്ട് VPN-കളും IKE നെഗോഷിയേഷന്റെ ഉറവിട UDP പോർട്ടിനൊപ്പം അവരുടെ IP വിലാസങ്ങളുടെ ഹാഷുകളും അയയ്ക്കുന്നു. ഐപി വിലാസം കൂടാതെ/അല്ലെങ്കിൽ ഉറവിടത്തിന്റെ പോർട്ട് മാറിയിട്ടുണ്ടോ എന്ന് നിർണ്ണയിക്കാൻ സ്വീകർത്താവ് ഈ വിവരങ്ങൾ ഉപയോഗിക്കുന്നു. ഈ പാരാമീറ്ററുകൾ മാറ്റിയിട്ടില്ലെങ്കിൽ, ട്രാഫിക്ക് NAT വഴി കടന്നുപോകുന്നില്ല, NAT ട്രാവേഴ്സൽ മെക്കാനിസത്തിന്റെ ആവശ്യമില്ല. വിലാസമോ പോർട്ടോ മാറ്റിയിട്ടുണ്ടെങ്കിൽ, ഉപകരണങ്ങൾക്കിടയിൽ ഒരു NAT ഉണ്ട്.

NAT ട്രാവേർസൽ ആവശ്യമാണെന്ന് എൻഡ് പോയിന്റുകൾ നിർണ്ണയിച്ചുകഴിഞ്ഞാൽ, IKE നെഗോഷ്യേഷൻ UDP പോർട്ട് 500-ൽ നിന്ന് പോർട്ട് 4500-ലേക്ക് മാറ്റുന്നു. NAT ഉപയോഗിക്കുമ്പോൾ ചില ഉപകരണങ്ങൾ പോർട്ട് 500-ൽ IKE സെഷൻ ശരിയായി കൈകാര്യം ചെയ്യാത്തതാണ് ഇതിന് കാരണം.
ESP പ്രോട്ടോക്കോൾ ഒരു ട്രാൻസ്പോർട്ട് ലെയർ പ്രോട്ടോക്കോൾ ആയതിനാൽ IP-യുടെ മുകളിൽ നേരിട്ട് ഇരിക്കുന്നതാണ് മറ്റൊരു പ്രശ്നം. ഇക്കാരണത്താൽ, TCP / UDP പോർട്ടിന്റെ ആശയങ്ങൾ ഇതിന് ബാധകമല്ല, ഇത് ഒന്നിലധികം ക്ലയന്റുകൾക്ക് NAT വഴി ഒരു ഗേറ്റ്‌വേയിലേക്ക് കണക്റ്റുചെയ്യുന്നത് അസാധ്യമാക്കുന്നു. ഈ പ്രശ്നം പരിഹരിക്കാൻ, ESP ഒരു UDP ഡാറ്റാഗ്രാമിലേക്ക് പാക്കേജുചെയ്‌ത് പോർട്ട് 4500-ലേക്ക് അയയ്‌ക്കുന്നു, NAT ട്രാവെർസൽ പ്രവർത്തനക്ഷമമാക്കുമ്പോൾ IKE ഉപയോഗിക്കുന്ന അതേ ഒന്ന്.
NAT ട്രാവെർസൽ അതിനെ പിന്തുണയ്ക്കുന്ന പ്രോട്ടോക്കോളുകളിൽ നിർമ്മിച്ചിരിക്കുന്നു കൂടാതെ മുൻകൂർ കോൺഫിഗറേഷൻ ഇല്ലാതെ പ്രവർത്തിക്കുന്നു.

IPSec പ്രോട്ടോക്കോളുകൾ ഒരു സുരക്ഷിത ചാനലിന്റെ ഓർഗനൈസേഷൻ https://www.site/lan/protokoly-ipsec https://www.site/@@site-logo/logo.png

IPSec പ്രോട്ടോക്കോളുകൾ

ഒരു സുരക്ഷിത ചാനലിന്റെ ഓർഗനൈസേഷൻ

IPSec പ്രോട്ടോക്കോളുകൾ

AH, ESP, IKE എന്നിവ ഉപയോഗിച്ച് ഒരു സുരക്ഷിത ചാനലിന്റെ ഓർഗനൈസേഷൻ.

ഇന്റർനെറ്റ് പ്രോട്ടോക്കോൾ സെക്യൂരിറ്റി (IPSec) എന്നത് ഇന്റർനെറ്റ് സ്റ്റാൻഡേർഡുകളിൽ ഒരു സിസ്റ്റം എന്നാണ്. തീർച്ചയായും, IPSec എന്നത് ഇന്ന് നന്നായി നിർവചിക്കപ്പെട്ടിട്ടുള്ള ഒരു കോർ ഉള്ള ഓപ്പൺ സ്റ്റാൻഡേർഡുകളുടെ ഒരു യോജിച്ച സെറ്റാണ്, അതേ സമയം, പുതിയ പ്രോട്ടോക്കോളുകൾ, അൽഗോരിതങ്ങൾ, ഫംഗ്ഷനുകൾ എന്നിവ ഉപയോഗിച്ച് ഇത് വളരെ ലളിതമായി കൂട്ടിച്ചേർക്കാവുന്നതാണ്.

IPSec പ്രോട്ടോക്കോളുകളുടെ പ്രധാന ലക്ഷ്യം IP നെറ്റ്‌വർക്കുകൾ വഴി സുരക്ഷിതമായ ഡാറ്റ ട്രാൻസ്മിഷൻ നൽകുക എന്നതാണ്. IPSec ന്റെ ഉപയോഗം ഗ്യാരന്റി നൽകുന്നു:

• സമഗ്രത, അതായത് പ്രക്ഷേപണ സമയത്ത് ഡാറ്റ കേടാകുകയോ നഷ്ടപ്പെടുകയോ തനിപ്പകർപ്പാക്കുകയോ ചെയ്തിട്ടില്ല;
• ആധികാരികത, അതായത്, താൻ അവകാശപ്പെടുന്ന ആളാണെന്ന് തെളിയിച്ച അയച്ചയാളാണ് ഡാറ്റ കൈമാറ്റം ചെയ്തത്;
• രഹസ്യാത്മകത, അതായത്, അനധികൃതമായി കാണുന്നത് തടയുന്ന ഒരു രൂപത്തിലാണ് ഡാറ്റ കൈമാറ്റം ചെയ്യപ്പെടുന്നത്.

(ശ്രദ്ധിക്കുക, ക്ലാസിക്കൽ നിർവചനത്തിന് അനുസൃതമായി, ഡാറ്റ സുരക്ഷ എന്ന ആശയത്തിൽ ഒരു ആവശ്യകത കൂടി ഉൾപ്പെടുന്നു - ഡാറ്റയുടെ ലഭ്യത, പരിഗണിക്കുന്ന സന്ദർഭത്തിൽ അവരുടെ ഡെലിവറി ഗ്യാരന്റി ആയി വ്യാഖ്യാനിക്കാവുന്നതാണ്. IPSec പ്രോട്ടോക്കോളുകൾ ഈ പ്രശ്നം പരിഹരിക്കില്ല, അവശേഷിക്കുന്നു. ഇത് TCP ട്രാൻസ്പോർട്ട് ലെയർ പ്രോട്ടോക്കോളിലേക്ക്.)

വ്യത്യസ്‌ത തലങ്ങളിലുള്ള സുരക്ഷിത ചാനലുകൾ

IPSec എന്നത് ഇന്ന് ഏറ്റവും പ്രചാരമുള്ളതാണെങ്കിലും, ഒരു പൊതു (സുരക്ഷിതമല്ലാത്ത) നെറ്റ്‌വർക്കിലൂടെ സുരക്ഷിതമായ ഡാറ്റാ ട്രാൻസ്മിഷനുള്ള സാങ്കേതികവിദ്യയാണ്. ഈ ആവശ്യത്തിനുള്ള സാങ്കേതികവിദ്യകൾക്കായി, ഒരു പൊതുവൽക്കരിച്ച പേര് ഉപയോഗിക്കുന്നു - ഒരു സുരക്ഷിത ചാനൽ (സുരക്ഷിത ചാനൽ). "ചാനൽ" എന്ന പദം രണ്ട് നെറ്റ്‌വർക്ക് നോഡുകൾക്കിടയിൽ (ഹോസ്റ്റുകൾ അല്ലെങ്കിൽ ഗേറ്റ്‌വേകൾ) ഒരു പാക്കറ്റ്-സ്വിച്ച് നെറ്റ്‌വർക്കിൽ സ്ഥാപിച്ചിരിക്കുന്ന ചില വെർച്വൽ പാതയിൽ ഡാറ്റ പരിരക്ഷ നൽകുന്നു എന്ന വസ്തുത ഊന്നിപ്പറയുന്നു.

OSI മോഡലിന്റെ വിവിധ തലങ്ങളിൽ നടപ്പിലാക്കിയ സിസ്റ്റം ടൂളുകൾ ഉപയോഗിച്ച് ഒരു സുരക്ഷിത ചാനൽ നിർമ്മിക്കാൻ കഴിയും (ചിത്രം 1 കാണുക). ഡാറ്റ പരിരക്ഷിക്കാൻ മുകളിലെ ലെയറുകളിൽ ഒന്നിന്റെ (അപ്ലിക്കേഷൻ, അവതരണം അല്ലെങ്കിൽ സെഷൻ) ഒരു പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്നുവെങ്കിൽ, ഈ പരിരക്ഷാ രീതി ഡാറ്റ ട്രാൻസ്പോർട്ട് ചെയ്യാൻ ഉപയോഗിക്കുന്ന നെറ്റ്‌വർക്കുകളെ (IP അല്ലെങ്കിൽ IPX, Ethernet അല്ലെങ്കിൽ ATM) ആശ്രയിക്കുന്നില്ല. നിസ്സംശയമായ നേട്ടമായി കണക്കാക്കാം. മറുവശത്ത്, ആപ്ലിക്കേഷൻ പിന്നീട് ഒരു നിർദ്ദിഷ്ട സുരക്ഷാ പ്രോട്ടോക്കോളിനെ ആശ്രയിച്ചിരിക്കുന്നു, അതായത് ആപ്ലിക്കേഷനുകൾക്ക് അത്തരമൊരു പ്രോട്ടോക്കോൾ സുതാര്യമല്ല.

ഏറ്റവും ഉയർന്ന, ആപ്ലിക്കേഷൻ തലത്തിലുള്ള ഒരു സുരക്ഷിത ചാനലിന് മറ്റൊരു പോരായ്മയുണ്ട് - പരിമിതമായ വ്യാപ്തി. നന്നായി നിർവചിക്കപ്പെട്ട ഒരു നെറ്റ്‌വർക്ക് സേവനത്തെ മാത്രമേ പ്രോട്ടോക്കോൾ പരിരക്ഷിക്കുന്നുള്ളൂ - ഫയൽ, ഹൈപ്പർടെക്സ്റ്റ് അല്ലെങ്കിൽ മെയിൽ. ഉദാഹരണത്തിന്, S/MIME പ്രോട്ടോക്കോൾ ഇമെയിൽ സന്ദേശങ്ങളെ മാത്രമേ സംരക്ഷിക്കൂ. അതിനാൽ, ഓരോ സേവനത്തിനും, പ്രോട്ടോക്കോളിന്റെ ഉചിതമായ ഒരു സുരക്ഷിത പതിപ്പ് വികസിപ്പിക്കേണ്ടത് ആവശ്യമാണ്.

അടുത്ത, അവതരണ തലത്തിൽ പ്രവർത്തിക്കുന്ന ഏറ്റവും അറിയപ്പെടുന്ന സുരക്ഷിത ചാനൽ പ്രോട്ടോക്കോൾ സെക്യുർ സോക്കറ്റ് ലെയർ (എസ്എസ്എൽ) പ്രോട്ടോക്കോളും അതിന്റെ പുതിയ ഓപ്പൺ ഇംപ്ലിമെന്റേഷൻ ട്രാൻസ്പോർട്ട് ലെയർ സെക്യൂരിറ്റി (ടിഎൽഎസ്) ആണ്. പ്രോട്ടോക്കോൾ ലെവൽ കുറയ്ക്കുന്നത് അതിനെ കൂടുതൽ ബഹുമുഖ സംരക്ഷണ ഉപകരണമാക്കുന്നു. ഇപ്പോൾ ഏത് ആപ്ലിക്കേഷനുകൾക്കും ഏത് ആപ്ലിക്കേഷൻ ലെയർ പ്രോട്ടോക്കോളുകൾക്കും ഒരൊറ്റ സുരക്ഷാ പ്രോട്ടോക്കോൾ ഉപയോഗിക്കാം. എന്നിരുന്നാലും, ആപ്ലിക്കേഷനുകൾ ഇനിയും മാറ്റിയെഴുതേണ്ടതുണ്ട് - ചാനൽ പ്രോട്ടോക്കോൾ ഫംഗ്‌ഷനുകൾ സുരക്ഷിതമാക്കുന്നതിനുള്ള വ്യക്തമായ കോളുകൾ അവയിൽ നിർമ്മിക്കേണ്ടതുണ്ട്.

സുരക്ഷിതമായ ചാനൽ സൌകര്യങ്ങൾ സ്റ്റാക്കിലെ താഴ്ന്ന നിലയിലാണ് നടപ്പിലാക്കുന്നത്, ആപ്ലിക്കേഷനുകളിലേക്കും ആപ്ലിക്കേഷൻ പ്രോട്ടോക്കോളുകളിലേക്കും അവയെ സുതാര്യമാക്കുന്നത് എളുപ്പമാണ്. നെറ്റ്‌വർക്കിലും ഡാറ്റ ലിങ്ക് ലെയറുകളിലും, സുരക്ഷാ പ്രോട്ടോക്കോളുകളെ ആശ്രയിക്കുന്നത് പൂർണ്ണമായും അപ്രത്യക്ഷമാകുന്നു. എന്നിരുന്നാലും, ഇവിടെ ഞങ്ങൾ മറ്റൊരു പ്രശ്നം അഭിമുഖീകരിക്കുന്നു - ഒരു പ്രത്യേക നെറ്റ്‌വർക്ക് സാങ്കേതികവിദ്യയിൽ സുരക്ഷാ പ്രോട്ടോക്കോളിന്റെ ആശ്രിതത്വം. വാസ്തവത്തിൽ, ഒരു വലിയ സംയോജിത നെറ്റ്‌വർക്കിന്റെ വിവിധ ഭാഗങ്ങളിൽ, പൊതുവായി പറഞ്ഞാൽ, വ്യത്യസ്ത ചാനൽ പ്രോട്ടോക്കോളുകൾ ഉപയോഗിക്കുന്നു, അതിനാൽ ഒരൊറ്റ ലിങ്ക് ലെയർ പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് ഈ വൈവിധ്യമാർന്ന അന്തരീക്ഷത്തിലൂടെ ഒരു സുരക്ഷിത ചാനൽ സ്ഥാപിക്കുന്നത് അസാധ്യമാണ്.

ഉദാഹരണത്തിന്, ഡാറ്റ ലിങ്ക് ലെയറിൽ പ്രവർത്തിക്കുന്ന പോയിന്റ്-ടു-പോയിന്റ് ടണലിംഗ് പ്രോട്ടോക്കോൾ (PPTP) സുരക്ഷിത ചാനൽ പരിഗണിക്കുക. ഇത് PPP പ്രോട്ടോക്കോൾ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, ഇത് വാടകയ്ക്ക് എടുത്ത ലൈനുകൾ പോലെയുള്ള പോയിന്റ്-ടു-പോയിന്റ് കണക്ഷനുകൾക്കായി വ്യാപകമായി ഉപയോഗിക്കുന്നു. PPTP പ്രോട്ടോക്കോൾ ആപ്ലിക്കേഷൻ ലെയറിന്റെ ആപ്ലിക്കേഷനുകൾക്കും സേവനങ്ങൾക്കും സംരക്ഷണ സുതാര്യത നൽകുന്നു മാത്രമല്ല, പ്രയോഗിച്ച നെറ്റ്‌വർക്ക് ലെയർ പ്രോട്ടോക്കോളിനെ ആശ്രയിക്കുന്നില്ല: പ്രത്യേകിച്ചും, PPTP പ്രോട്ടോക്കോളിന് IP നെറ്റ്‌വർക്കുകളിലും IPX, DECnet അടിസ്ഥാനമാക്കിയുള്ള നെറ്റ്‌വർക്കുകളിലും പാക്കറ്റുകൾ കൊണ്ടുപോകാൻ കഴിയും. പ്രോട്ടോക്കോളുകൾ അല്ലെങ്കിൽ NetBEUI. എന്നിരുന്നാലും, എല്ലാ നെറ്റ്‌വർക്കുകളിലും PPP പ്രോട്ടോക്കോൾ ഉപയോഗിക്കാത്തതിനാൽ (മിക്ക പ്രാദേശിക നെറ്റ്‌വർക്കുകളിലും, ഇഥർനെറ്റ് പ്രോട്ടോക്കോൾ ഡാറ്റ ലിങ്ക് ലെയറിലും ആഗോള നെറ്റ്‌വർക്കുകളിൽ - എടിഎം, ഫ്രെയിം റിലേ പ്രോട്ടോക്കോളുകളിലും പ്രവർത്തിക്കുന്നു), അപ്പോൾ PPTP ഒരു സാർവത്രിക ഉപകരണമായി കണക്കാക്കാനാവില്ല.

നെറ്റ്‌വർക്ക് ലെയറിൽ പ്രവർത്തിക്കുന്ന IPSec ഒരു വിട്ടുവീഴ്ചയാണ്. ഒരു വശത്ത്, ഇത് ആപ്ലിക്കേഷനുകൾക്ക് സുതാര്യമാണ്, മറുവശത്ത്, ഇത് മിക്കവാറും എല്ലാ നെറ്റ്‌വർക്കുകളിലും പ്രവർത്തിക്കാൻ കഴിയും, കാരണം ഇത് വ്യാപകമായി ഉപയോഗിക്കുന്ന ഐപി പ്രോട്ടോക്കോൾ അടിസ്ഥാനമാക്കിയുള്ളതാണ്: നിലവിൽ ലോകത്തിലെ 1% കമ്പ്യൂട്ടറുകൾ മാത്രമേ ഐപിയെ പിന്തുണയ്ക്കുന്നില്ല. ബാക്കിയുള്ള 99% പേരും ഇത് ഒരു പ്രോട്ടോക്കോൾ ആയി അല്ലെങ്കിൽ പല പ്രോട്ടോക്കോളുകളിൽ ഒന്നായി ഉപയോഗിക്കുന്നു.

IPSEC പ്രോട്ടോക്കോളുകൾക്കിടയിലുള്ള പ്രവർത്തനങ്ങളുടെ വിതരണം

IPSec-ന്റെ കേന്ദ്രഭാഗത്ത് മൂന്ന് പ്രോട്ടോക്കോളുകൾ ഉണ്ട്: ഓതന്റി-കേഷൻ ഹെഡർ (AH), എൻക്യാപ്‌സുലേഷൻ സെക്യൂരിറ്റി പേലോഡ് (ESP), ഇന്റർനെറ്റ് കീ എക്സ്ചേഞ്ച് (IKE). ഒരു സുരക്ഷിത ചാനൽ പരിപാലിക്കുന്നതിനുള്ള പ്രവർത്തനങ്ങൾ ഈ പ്രോട്ടോക്കോളുകൾക്കിടയിൽ ഇനിപ്പറയുന്ന രീതിയിൽ വിതരണം ചെയ്യുന്നു:

• AH പ്രോട്ടോക്കോൾ ഡാറ്റയുടെ സമഗ്രതയും ആധികാരികതയും ഉറപ്പ് നൽകുന്നു;
• ESP പ്രോട്ടോക്കോൾ പ്രക്ഷേപണം ചെയ്ത ഡാറ്റയെ എൻക്രിപ്റ്റ് ചെയ്യുന്നു, രഹസ്യാത്മകത ഉറപ്പുനൽകുന്നു, എന്നാൽ ഇതിന് ആധികാരികതയെയും ഡാറ്റ സമഗ്രതയെയും പിന്തുണയ്ക്കാൻ കഴിയും;
• പ്രാമാണീകരണത്തിന്റെയും ഡാറ്റാ എൻക്രിപ്ഷൻ പ്രോട്ടോക്കോളുകളുടെയും പ്രവർത്തനത്തിന് ആവശ്യമായ രഹസ്യ കീകൾ ഉപയോഗിച്ച് ചാനലിന്റെ എൻഡ് പോയിന്റുകൾ സ്വയമേവ നൽകുന്നതിനുള്ള അനുബന്ധ ചുമതല IKE പ്രോട്ടോക്കോൾ പരിഹരിക്കുന്നു.

പ്രവർത്തനങ്ങളുടെ സംക്ഷിപ്ത വിവരണത്തിൽ നിന്ന് കാണാൻ കഴിയുന്നതുപോലെ, AH, ESP പ്രോട്ടോക്കോളുകളുടെ കഴിവുകൾ ഭാഗികമായി ഓവർലാപ്പ് ചെയ്യുന്നു. ഡാറ്റാ സമഗ്രതയും പ്രാമാണീകരണവും ഉറപ്പാക്കുന്നതിന് മാത്രമേ AH പ്രോട്ടോക്കോളിന് ഉത്തരവാദിത്തമുള്ളൂ, അതേസമയം ESP പ്രോട്ടോക്കോൾ കൂടുതൽ ശക്തമാണ്, കാരണം അതിന് ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ കഴിയും, കൂടാതെ, AH പ്രോട്ടോക്കോളിന്റെ പ്രവർത്തനങ്ങൾ നിർവ്വഹിക്കുന്നു (എന്നിരുന്നാലും, ഞങ്ങൾ പിന്നീട് കാണും, പ്രാമാണീകരണവും സമഗ്രതയും ഇത് ഒരു പരിധിവരെ വെട്ടിച്ചുരുക്കിയ രൂപത്തിൽ നൽകുന്നു ). ESP പ്രോട്ടോക്കോളിന് ഏത് കോമ്പിനേഷനിലും എൻക്രിപ്ഷനും ആധികാരികത/സമഗ്രത ഫംഗ്ഷനുകളും പിന്തുണയ്ക്കാൻ കഴിയും, അതായത് രണ്ട് ഗ്രൂപ്പുകളുടെ ഫംഗ്ഷനുകൾ, അല്ലെങ്കിൽ ആധികാരികത/സമഗ്രത, അല്ലെങ്കിൽ എൻക്രിപ്ഷൻ മാത്രം.

IPSec-ൽ ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ രഹസ്യ കീകൾ ഉപയോഗിക്കുന്ന ഏത് സമമിതി എൻക്രിപ്ഷൻ അൽഗോരിതം ഉപയോഗിക്കാം. ഡാറ്റാ സമഗ്രതയും പ്രാമാണീകരണവും എൻക്രിപ്ഷൻ ടെക്നിക്കുകളിലൊന്നിനെ അടിസ്ഥാനമാക്കിയുള്ളതാണ് - ഒരു വൺ-വേ ഫംഗ്ഷൻ ഉപയോഗിച്ചുള്ള എൻക്രിപ്ഷൻ, ഹാഷ് ഫംഗ്ഷൻ അല്ലെങ്കിൽ ഡൈജസ്റ്റ് ഫംഗ്ഷൻ എന്നും അറിയപ്പെടുന്നു.

എൻക്രിപ്റ്റ് ചെയ്ത ഡാറ്റയിൽ പ്രയോഗിച്ച ഈ ഫംഗ്ഷൻ, ഒരു നിശ്ചിത എണ്ണം ബൈറ്റുകൾ അടങ്ങുന്ന ഒരു ഡൈജസ്റ്റ് മൂല്യത്തിന് കാരണമാകുന്നു. യഥാർത്ഥ സന്ദേശത്തോടൊപ്പം ഒരു ഐപി പാക്കറ്റിലാണ് ഡൈജസ്റ്റ് അയച്ചിരിക്കുന്നത്. സ്വീകർത്താവ്, ഡൈജസ്റ്റ് രചിക്കാൻ ഏത് വൺ-വേ എൻക്രിപ്ഷൻ ഫംഗ്‌ഷൻ ഉപയോഗിച്ചുവെന്ന് അറിഞ്ഞുകൊണ്ട്, യഥാർത്ഥ സന്ദേശം ഉപയോഗിച്ച് അത് വീണ്ടും കണക്കാക്കുന്നു. സ്വീകരിച്ചതും കണക്കാക്കിയതുമായ ഡൈജസ്റ്റുകളുടെ മൂല്യങ്ങൾ ഒന്നുതന്നെയാണെങ്കിൽ, പാക്കറ്റിലെ ഉള്ളടക്കങ്ങൾ ട്രാൻസ്മിഷൻ സമയത്ത് ഒരു മാറ്റത്തിനും വിധേയമായിട്ടില്ല എന്നാണ് ഇതിനർത്ഥം. ഡൈജസ്റ്റ് അറിയുന്നത് യഥാർത്ഥ സന്ദേശം വീണ്ടെടുക്കുന്നത് സാധ്യമാക്കുന്നില്ല, അതിനാൽ സംരക്ഷണത്തിനായി ഉപയോഗിക്കാൻ കഴിയില്ല, പക്ഷേ ഡാറ്റയുടെ സമഗ്രത പരിശോധിക്കാൻ ഇത് നിങ്ങളെ അനുവദിക്കുന്നു.

യഥാർത്ഥ സന്ദേശത്തിനായുള്ള ഒരു തരം ചെക്ക്സം ആണ് ഡൈജസ്റ്റ്. എന്നിരുന്നാലും, കാര്യമായ വ്യത്യാസവുമുണ്ട്. ഒരു ചെക്ക്‌സം ഉപയോഗിക്കുന്നത് വിശ്വാസയോഗ്യമല്ലാത്ത ലിങ്കുകളിലൂടെ കൈമാറ്റം ചെയ്യപ്പെടുന്ന സന്ദേശങ്ങളുടെ സമഗ്രത പരിശോധിക്കുന്നതിനുള്ള ഒരു ഉപാധിയാണ്, ക്ഷുദ്രകരമായ പ്രവർത്തനങ്ങളെ ചെറുക്കാൻ ഉദ്ദേശിച്ചുള്ളതല്ല. വാസ്തവത്തിൽ, ട്രാൻസ്മിറ്റ് ചെയ്ത പാക്കറ്റിലെ ഒരു ചെക്ക്സം സാന്നിദ്ധ്യം, ഒരു പുതിയ ചെക്ക്സം മൂല്യം ചേർത്ത് യഥാർത്ഥ സന്ദേശത്തിന് പകരം വയ്ക്കുന്നതിൽ നിന്ന് ഒരു ആക്രമണകാരിയെ തടയില്ല. ചെക്ക്സം പോലെയല്ല, ഡൈജസ്റ്റ് കണക്കാക്കാൻ ഒരു രഹസ്യ കീ ഉപയോഗിക്കുന്നു. അയയ്‌ക്കുന്നയാൾക്കും സ്വീകർത്താവിനും മാത്രം അറിയാവുന്ന ഒരു പരാമീറ്റർ (രഹസ്യ കീയാണ്) ഉപയോഗിച്ച് ഡൈജസ്റ്റ് ലഭിക്കാൻ ഒരു വൺ-വേ ഫംഗ്‌ഷൻ ഉപയോഗിച്ചിട്ടുണ്ടെങ്കിൽ, യഥാർത്ഥ സന്ദേശത്തിൽ എന്തെങ്കിലും മാറ്റം വരുത്തിയാൽ ഉടനടി കണ്ടെത്തും.

എഎച്ച്, ഇഎസ്പി എന്നീ രണ്ട് പ്രോട്ടോക്കോളുകൾ തമ്മിലുള്ള സുരക്ഷാ പ്രവർത്തനങ്ങൾ വേർതിരിക്കുന്നത് പല രാജ്യങ്ങളിലും എൻക്രിപ്ഷനിലൂടെ ഡാറ്റയുടെ രഹസ്യസ്വഭാവം ഉറപ്പാക്കുന്ന മാർഗങ്ങളുടെ കയറ്റുമതിയും കൂടാതെ / അല്ലെങ്കിൽ ഇറക്കുമതിയും നിയന്ത്രിക്കുന്ന രീതിയാണ്. ഈ രണ്ട് പ്രോട്ടോക്കോളുകളും മറ്റൊന്നിനൊപ്പം സ്വതന്ത്രമായും ഒരേ സമയത്തും ഉപയോഗിക്കാൻ കഴിയും, അതിനാൽ നിലവിലുള്ള നിയന്ത്രണങ്ങൾ കാരണം എൻക്രിപ്ഷൻ ഉപയോഗിക്കാൻ കഴിയാത്ത സന്ദർഭങ്ങളിൽ, AH പ്രോട്ടോക്കോൾ ഉപയോഗിച്ച് മാത്രമേ സിസ്റ്റം ഷിപ്പ് ചെയ്യാൻ കഴിയൂ. സ്വാഭാവികമായും, എഎച്ച് പ്രോട്ടോക്കോളിന്റെ സഹായത്തോടെ മാത്രം ഡാറ്റ പരിരക്ഷിക്കുന്നത് പല കേസുകളിലും അപര്യാപ്തമായിരിക്കും, കാരണം ഈ സാഹചര്യത്തിൽ സ്വീകരിക്കുന്ന കക്ഷിക്ക് അവർ പ്രതീക്ഷിക്കുന്ന നോഡിലൂടെയാണ് ഡാറ്റ അയച്ചതെന്നും ഏത് രൂപത്തിലാണ് എത്തിയതെന്നും ഉറപ്പ് ലഭിക്കും. അവരെ സ്വീകരിച്ചു, അയച്ചു. ഡാറ്റയെ എൻക്രിപ്റ്റ് ചെയ്യാത്തതിനാൽ, AH പ്രോട്ടോക്കോളിന് ഡാറ്റയുടെ വഴിയിൽ അനധികൃതമായി കാണുന്നതിൽ നിന്ന് പരിരക്ഷിക്കാൻ കഴിയില്ല. ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിന്, ESP പ്രോട്ടോക്കോൾ ഉപയോഗിക്കേണ്ടത് ആവശ്യമാണ്, അത് അവയുടെ സമഗ്രതയും ആധികാരികതയും പരിശോധിക്കാനും കഴിയും.

സേഫ് അസോസിയേഷൻ

എഎച്ച്, ഇഎസ്പി പ്രോട്ടോക്കോളുകൾ കൈമാറ്റം ചെയ്ത ഡാറ്റ സംരക്ഷിക്കുന്നതിനുള്ള അവരുടെ ജോലി നിർവഹിക്കുന്നതിന്, IKE പ്രോട്ടോക്കോൾ രണ്ട് എൻഡ് പോയിന്റുകൾക്കിടയിൽ ഒരു ലോജിക്കൽ കണക്ഷൻ സ്ഥാപിക്കുന്നു, IPSec മാനദണ്ഡങ്ങളിൽ ഇതിനെ "സെക്യൂരിറ്റി അസോസിയേഷൻ" (സെക്യൂരിറ്റി അസോസിയേഷൻ, SA) എന്ന് വിളിക്കുന്നു. SA യുടെ സ്ഥാപനം ആരംഭിക്കുന്നത് കക്ഷികളുടെ പരസ്പര ആധികാരികതയോടെയാണ്, കാരണം തെറ്റായ വ്യക്തിയിൽ നിന്നോ തെറ്റായ വ്യക്തിയിൽ നിന്നോ ഡാറ്റ കൈമാറുകയോ സ്വീകരിക്കുകയോ ചെയ്താൽ എല്ലാ സുരക്ഷാ നടപടികളുടെയും അർത്ഥം നഷ്ടപ്പെടും. നിങ്ങൾ അടുത്തതായി തിരഞ്ഞെടുക്കുന്ന SA പാരാമീറ്ററുകൾ, AH അല്ലെങ്കിൽ ESP, ഡാറ്റ പരിരക്ഷിക്കാൻ ഉപയോഗിക്കുന്ന രണ്ട് പ്രോട്ടോക്കോളുകളിൽ ഏതാണ്, സുരക്ഷാ പ്രോട്ടോക്കോൾ എന്ത് പ്രവർത്തനങ്ങൾ ചെയ്യുന്നു എന്ന് നിർണ്ണയിക്കുന്നു: ഉദാഹരണത്തിന്, പ്രാമാണീകരണവും സമഗ്രത പരിശോധനയും മാത്രം, അല്ലെങ്കിൽ, കൂടാതെ, തെറ്റായ പുനർനിർമ്മാണത്തിനെതിരായ സംരക്ഷണവും . ഒരു സുരക്ഷിത അസോസിയേഷന്റെ വളരെ പ്രധാനപ്പെട്ട പാരാമീറ്റർ ക്രിപ്റ്റോഗ്രാഫിക് മെറ്റീരിയൽ എന്ന് വിളിക്കപ്പെടുന്നവയാണ്, അതായത് AH, ESP പ്രോട്ടോക്കോളുകളുടെ പ്രവർത്തനത്തിൽ ഉപയോഗിക്കുന്ന രഹസ്യ കീകൾ.

IPSec സിസ്റ്റം ഒരു സുരക്ഷിത അസോസിയേഷൻ സ്ഥാപിക്കുന്നതിനുള്ള ഒരു മാനുവൽ രീതിയും അനുവദിക്കുന്നു, അതിൽ അഡ്മിനിസ്ട്രേറ്റർ ഓരോ എൻഡ് നോഡും കോൺഫിഗർ ചെയ്യുന്നു, അതിലൂടെ അവർ രഹസ്യ കീകൾ ഉൾപ്പെടെയുള്ള ചർച്ചചെയ്ത അസോസിയേഷൻ പാരാമീറ്ററുകൾ നിലനിർത്തുന്നു.

AH അല്ലെങ്കിൽ ESP പ്രോട്ടോക്കോൾ ഇതിനകം സ്ഥാപിതമായ SA ലോജിക്കൽ കണക്ഷനിൽ പ്രവർത്തിക്കുന്നു, അതിന്റെ സഹായത്തോടെ, തിരഞ്ഞെടുത്ത പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് ട്രാൻസ്മിറ്റ് ചെയ്ത ഡാറ്റയുടെ ആവശ്യമായ സംരക്ഷണം നടപ്പിലാക്കുന്നു.

സുരക്ഷിതമായ അസ്സോസിയേഷൻ പാരാമീറ്ററുകൾ സുരക്ഷിത ചാനലിന്റെ രണ്ട് എൻഡ് പോയിന്റുകൾക്കും അനുയോജ്യമായിരിക്കണം. അതിനാൽ, ഓട്ടോമാറ്റിക് SA എസ്റ്റാബ്ലിഷ്‌മെന്റ് നടപടിക്രമം ഉപയോഗിക്കുമ്പോൾ, ചാനലിന്റെ എതിർവശങ്ങളിൽ പ്രവർത്തിക്കുന്ന IKE പ്രോട്ടോക്കോളുകൾ ചർച്ചയ്ക്കിടെ പാരാമീറ്ററുകൾ തിരഞ്ഞെടുക്കുന്നു, രണ്ട് മോഡമുകൾ ഇരുവശത്തും സ്വീകാര്യമായ പരമാവധി വിനിമയ നിരക്ക് നിർണ്ണയിക്കുന്നതുപോലെ. AH, ESP പ്രോട്ടോക്കോളുകൾ പരിഹരിക്കുന്ന ഓരോ ടാസ്ക്കിനും, നിരവധി പ്രാമാണീകരണ, എൻക്രിപ്ഷൻ സ്കീമുകൾ വാഗ്ദാനം ചെയ്യുന്നു - ഇത് IPSec വളരെ ഫ്ലെക്സിബിൾ ടൂൾ ആക്കുന്നു. (ആധികാരികത ഉറപ്പാക്കൽ പ്രശ്നം പരിഹരിക്കുന്നതിനുള്ള ഡൈജസ്റ്റ് ഫംഗ്‌ഷൻ തിരഞ്ഞെടുക്കുന്നത് ഡാറ്റാ എൻക്രിപ്ഷനുള്ള അൽഗോരിതം തിരഞ്ഞെടുക്കുന്നതിനെ ബാധിക്കില്ല എന്നത് ശ്രദ്ധിക്കുക.)

അനുയോജ്യത ഉറപ്പാക്കാൻ, IPsec-ന്റെ സ്റ്റാൻഡേർഡ് പതിപ്പ് ഒരു നിശ്ചിത നിർബന്ധിത "ടൂൾ" സെറ്റ് നിർവചിക്കുന്നു: പ്രത്യേകിച്ചും, ഡാറ്റ ആധികാരികമാക്കുന്നതിന് MD5 അല്ലെങ്കിൽ SHA-1 വൺ-വേ എൻക്രിപ്ഷൻ ഫംഗ്ഷനുകളിൽ ഒന്ന് എപ്പോഴും ഉപയോഗിക്കാം, കൂടാതെ DES തീർച്ചയായും എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളിൽ ഒന്നാണ്. . അതേ സമയം, IPSec ഉൾപ്പെടുന്ന ഉൽപ്പന്നങ്ങളുടെ നിർമ്മാതാക്കൾക്ക് മറ്റ് ആധികാരികത, എൻക്രിപ്ഷൻ അൽഗോരിതം എന്നിവ ഉപയോഗിച്ച് പ്രോട്ടോക്കോൾ വിപുലീകരിക്കാൻ സ്വാതന്ത്ര്യമുണ്ട്, അത് അവർ വിജയകരമായി ചെയ്യുന്നു. ഉദാഹരണത്തിന്, പല IPSec നടപ്പിലാക്കലുകളും ജനപ്രിയമായ ട്രിപ്പിൾ DES എൻക്രിപ്ഷൻ അൽഗോരിതത്തെയും താരതമ്യേന പുതിയ അൽഗോരിതങ്ങളെയും പിന്തുണയ്ക്കുന്നു - Blowfish, Cast, CDMF, Idea, RC5.

ഇൻറർനെറ്റിലൂടെ ആശയവിനിമയം നടത്തുന്ന എല്ലാ ഹോസ്റ്റുകളിൽ നിന്നും ട്രാഫിക്കുകൾ കൈമാറുന്നതിനോ അല്ലെങ്കിൽ ഈ ആവശ്യത്തിനായി ഒരു അനിയന്ത്രിതമായ SA-കൾ സൃഷ്ടിക്കുന്നതിനോ ഒന്നുകിൽ ഒരു SA ഉപയോഗിക്കാൻ IPSec മാനദണ്ഡങ്ങൾ ഗേറ്റ്‌വേകളെ അനുവദിക്കുന്നു, ഉദാഹരണത്തിന്, ഓരോ TCP കണക്ഷനും ഒന്ന്. ഒരു SA എന്നത് IPSec-ലെ ഏകദിശയിലുള്ള (ലളിതമായ) ലോജിക്കൽ കണക്ഷനാണ്, അതിനാൽ രണ്ട് SA-കൾ രണ്ട്-വഴി ആശയവിനിമയത്തിനായി സ്ഥാപിക്കേണ്ടതുണ്ട്.

ഗതാഗത, ടണൽ മോഡുകൾ

AH, ESP പ്രോട്ടോക്കോളുകൾക്ക് രണ്ട് മോഡുകളിൽ ഡാറ്റ പരിരക്ഷിക്കാൻ കഴിയും: ഗതാഗതവും തുരങ്കവും. ട്രാൻസ്‌പോർട്ട് മോഡിൽ, നെറ്റ്‌വർക്കിലൂടെ ഒരു ഐപി പാക്കറ്റിന്റെ സംപ്രേക്ഷണം ഈ പാക്കറ്റിന്റെ യഥാർത്ഥ തലക്കെട്ട് ഉപയോഗിച്ചാണ് നടത്തുന്നത്, അതേസമയം ടണൽ മോഡിൽ, യഥാർത്ഥ പാക്കറ്റ് ഒരു പുതിയ ഐപി പാക്കറ്റിൽ സ്ഥാപിക്കുകയും നെറ്റ്‌വർക്കിലൂടെയുള്ള ഡാറ്റാ ട്രാൻസ്മിഷൻ ഹെഡറിനെ അടിസ്ഥാനമാക്കി നടത്തുകയും ചെയ്യുന്നു. പുതിയ IP പാക്കറ്റിന്റെ. ഒന്നോ അതിലധികമോ മോഡിന്റെ ഉപയോഗം ഡാറ്റ സംരക്ഷണത്തിനുള്ള ആവശ്യകതകളെ ആശ്രയിച്ചിരിക്കുന്നു, അതുപോലെ തന്നെ സുരക്ഷിത ചാനൽ അവസാനിപ്പിക്കുന്ന നോഡ് നെറ്റ്‌വർക്കിൽ വഹിക്കുന്ന പങ്കിനെ ആശ്രയിച്ചിരിക്കുന്നു. അങ്ങനെ, ഒരു നോഡ് ഒരു ഹോസ്റ്റ് (എൻഡ് നോഡ്) അല്ലെങ്കിൽ ഒരു ഗേറ്റ്വേ (ഇന്റർമീഡിയറ്റ് നോഡ്) ആകാം. അതനുസരിച്ച്, മൂന്ന് IPSec നടപ്പിലാക്കൽ പാറ്റേണുകൾ ഉണ്ട്: ഹോസ്റ്റ്-ടു-ഹോസ്റ്റ്, ഗേറ്റ്‌വേ-ടു-ഗേറ്റ്‌വേ, ഹോസ്റ്റ്-ടു-ഗേറ്റ്‌വേ.

ആദ്യ സ്കീമിൽ, ഒരു സുരക്ഷിത ചാനൽ, അല്ലെങ്കിൽ, ഈ സന്ദർഭത്തിൽ, ഒരേ കാര്യം, രണ്ട് നെറ്റ്വർക്ക് എൻഡ് നോഡുകൾക്കിടയിൽ ഒരു സുരക്ഷിത ബന്ധം സ്ഥാപിക്കപ്പെടുന്നു (ചിത്രം 2 കാണുക). ഈ കേസിലെ IPSec പ്രോട്ടോക്കോൾ എൻഡ് നോഡിൽ പ്രവർത്തിക്കുകയും അതിലേക്ക് വരുന്ന ഡാറ്റയെ സംരക്ഷിക്കുകയും ചെയ്യുന്നു. ടണൽ മോഡും അനുവദനീയമാണെങ്കിലും, ഹോസ്റ്റ്-ടു-ഹോസ്റ്റ് സ്കീമിന്, ട്രാൻസ്പോർട്ട് മോഡ് സാധാരണയായി ഉപയോഗിക്കുന്നു.

രണ്ടാമത്തെ സ്കീമിന് അനുസൃതമായി, രണ്ട് ഇന്റർമീഡിയറ്റ് നോഡുകൾക്കിടയിൽ ഒരു സുരക്ഷിത ചാനൽ സ്ഥാപിച്ചിട്ടുണ്ട്, സുരക്ഷാ ഗേറ്റ്‌വേകൾ (സെക്യൂരിറ്റി ഗേറ്റ്‌വേ, എസ്‌ജി) എന്ന് വിളിക്കപ്പെടുന്നവ, അവ ഓരോന്നും IPSec പ്രോട്ടോക്കോൾ പ്രവർത്തിപ്പിക്കുന്നു. സെക്യൂരിറ്റി ഗേറ്റ്‌വേകൾക്ക് പിന്നിൽ സ്ഥിതി ചെയ്യുന്ന നെറ്റ്‌വർക്കുകളുമായി ബന്ധിപ്പിച്ചിട്ടുള്ള ഏതെങ്കിലും രണ്ട് എൻഡ് നോഡുകൾക്കിടയിൽ സുരക്ഷിത ആശയവിനിമയം സംഭവിക്കാം. എൻഡ് നോഡുകൾ IPSec-നെ പിന്തുണയ്‌ക്കുന്നതിനും വിശ്വസനീയമായ എന്റർപ്രൈസ് ഇൻട്രാനെറ്റുകളിലൂടെ സുരക്ഷിതമല്ലാത്ത ട്രാഫിക്കുകൾ കൈമാറുന്നതിനും ആവശ്യമില്ല. പൊതു ശൃംഖലയ്‌ക്കായുള്ള ട്രാഫിക്ക് സെക്യൂരിറ്റി ഗേറ്റ്‌വേയിലൂടെ കടന്നുപോകുന്നു, അത് IPSec ഉപയോഗിച്ച് സംരക്ഷണം നൽകുന്നു, സ്വന്തം പേരിൽ പ്രവർത്തിക്കുന്നു. ഗേറ്റ്‌വേകൾക്ക് ടണൽ മോഡ് മാത്രമേ ഉപയോഗിക്കാനാകൂ.

"ഹോസ്റ്റ്-ഗേറ്റ്‌വേ" സ്കീം പലപ്പോഴും വിദൂര ആക്‌സസിനായി ഉപയോഗിക്കുന്നു. ഇവിടെ, IPSec പ്രവർത്തിക്കുന്ന ഒരു റിമോട്ട് ഹോസ്റ്റിനും എന്റർപ്രൈസ് ഇൻട്രാനെറ്റിന്റെ ഭാഗമായ എല്ലാ ഹോസ്റ്റുകൾക്കുമുള്ള ട്രാഫിക്കിനെ സംരക്ഷിക്കുന്ന ഒരു ഗേറ്റ്‌വേയ്‌ക്കുമിടയിൽ ഒരു സുരക്ഷിത ചാനൽ സ്ഥാപിച്ചിരിക്കുന്നു. ഗേറ്റ്‌വേയിലേക്ക് പാക്കറ്റുകൾ അയയ്‌ക്കുമ്പോൾ വിദൂര ഹോസ്റ്റിന് ഗതാഗതവും ടണൽ മോഡും ഉപയോഗിക്കാൻ കഴിയും, അതേസമയം ഗേറ്റ്‌വേ ടണൽ മോഡിൽ മാത്രമേ ഹോസ്റ്റിലേക്ക് ഒരു പാക്കറ്റ് അയയ്‌ക്കൂ. വിദൂര ഹോസ്റ്റിനും ഗേറ്റ്‌വേ പരിരക്ഷിച്ചിട്ടുള്ള ആന്തരിക നെറ്റ്‌വർക്കിൽ ഉൾപ്പെടുന്ന ഏതൊരു ഹോസ്റ്റിനും ഇടയിൽ - സമാന്തരമായി കൂടുതൽ സുരക്ഷിതമായ ഒരു ചാനൽ സൃഷ്ടിക്കുന്നതിലൂടെ ഈ സ്കീം സങ്കീർണ്ണമാക്കാം. രണ്ട് SA-കളുടെ ഈ സംയോജിത ഉപയോഗം ആന്തരിക നെറ്റ്‌വർക്കിലെ ട്രാഫിക്കും വിശ്വസനീയമായി പരിരക്ഷിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു.

നതാലിയ ഒലിഫർ

ഡോക്യുമെന്റ് പ്രവർത്തനങ്ങൾ

ആധുനിക ലോകത്ത്, വിവിധ VPN സാങ്കേതികവിദ്യകൾ എല്ലായിടത്തും ഉപയോഗിക്കുന്നു. ചിലത് (ഉദാഹരണത്തിന്, PPTP) കാലക്രമേണ സുരക്ഷിതമല്ലാത്തതായി അംഗീകരിക്കപ്പെടുകയും ക്രമേണ മരിക്കുകയും ചെയ്യുന്നു, മറ്റുള്ളവ (ഓപ്പൺവിപിഎൻ), നേരെമറിച്ച്, എല്ലാ വർഷവും വേഗത കൈവരിക്കുന്നു. എന്നാൽ സുരക്ഷിതമായ സ്വകാര്യ ചാനലുകൾ സൃഷ്ടിക്കുന്നതിനും പരിപാലിക്കുന്നതിനുമുള്ള തർക്കമില്ലാത്ത നേതാവും ഏറ്റവും തിരിച്ചറിയാവുന്ന സാങ്കേതികവിദ്യയും ഇപ്പോഴും IPsec VPN ആണ്. ചിലപ്പോൾ, പെൻസ്റ്റിംഗ് ചെയ്യുമ്പോൾ, 500-ാമത്തെ UDP പോർട്ട് മാത്രമുള്ള ഗുരുതരമായ പരിരക്ഷിത നെറ്റ്‌വർക്ക് നിങ്ങൾക്ക് കണ്ടെത്താനാകും. മറ്റെല്ലാം അടയ്ക്കാനും പാച്ച് ചെയ്യാനും വിശ്വസനീയമായി ഫിൽട്ടർ ചെയ്യാനും കഴിയും. ഇത്തരമൊരു സാഹചര്യത്തിൽ ഇവിടെ പ്രത്യേകിച്ചൊന്നും ചെയ്യാനില്ല എന്ന ചിന്ത ഉയരാം. എന്നാൽ എല്ലായ്‌പ്പോഴും അങ്ങനെയല്ല. കൂടാതെ, ഡിഫോൾട്ട് കോൺഫിഗറേഷനുകളിൽ പോലും IPsec അഭേദ്യമാണെന്നും മതിയായ സുരക്ഷ നൽകുമെന്നും പരക്കെ വിശ്വസിക്കപ്പെടുന്നു. ഈ സാഹചര്യം തന്നെയാണ് ഇന്ന് നമ്മൾ കാണാൻ പോകുന്നത്. എന്നാൽ ആദ്യം, IPsec കഴിയുന്നത്ര ഫലപ്രദമായി പോരാടുന്നതിന്, അത് എന്താണെന്നും അത് എങ്ങനെ പ്രവർത്തിക്കുന്നുവെന്നും നിങ്ങൾ കണ്ടെത്തേണ്ടതുണ്ട്. ഇതാണ് ഞങ്ങൾ ചെയ്യേണ്ടത്!

ഉള്ളിൽ നിന്ന് IPsec

IPsec-ലേക്ക് നേരിട്ട് പോകുന്നതിന് മുമ്പ്, പൊതുവെ ഏത് തരത്തിലുള്ള VPN- കൾ ഉണ്ടെന്ന് ഓർക്കുന്നത് നന്നായിരിക്കും. ധാരാളം VPN വർഗ്ഗീകരണങ്ങളുണ്ട്, പക്ഷേ ഞങ്ങൾ നെറ്റ്‌വർക്ക് സാങ്കേതികവിദ്യകളിലേക്ക് ആഴ്ന്നിറങ്ങുകയും ഏറ്റവും ലളിതമായത് എടുക്കുകയും ചെയ്യില്ല. അതിനാൽ, ഞങ്ങൾ VPN-നെ രണ്ട് പ്രധാന തരങ്ങളായി വിഭജിക്കും - സൈറ്റ്-ടു-സൈറ്റ് VPN കണക്ഷനുകൾ (അവയെ സ്ഥിരം എന്നും വിളിക്കാം), വിദൂര ആക്സസ് VPN (RA, അവയും താൽക്കാലികമാണ്).
ആദ്യ തരം വിവിധ നെറ്റ്‌വർക്ക് ദ്വീപുകളെ ശാശ്വതമായി ബന്ധിപ്പിക്കുന്നതിന് സഹായിക്കുന്നു, ഉദാഹരണത്തിന്, നിരവധി ചിതറിക്കിടക്കുന്ന ശാഖകളുള്ള ഒരു കേന്ദ്ര ഓഫീസ്. ശരി, ഒരു ക്ലയന്റ് ചുരുങ്ങിയ സമയത്തേക്ക് കണക്റ്റുചെയ്യുകയും ചില നെറ്റ്‌വർക്ക് ഉറവിടങ്ങളിലേക്ക് ആക്‌സസ് നേടുകയും ജോലി പൂർത്തിയാക്കിയ ശേഷം സുരക്ഷിതമായി വിച്ഛേദിക്കപ്പെടുകയും ചെയ്യുന്ന ഒരു സാഹചര്യമാണ് RA VPN.

രണ്ടാമത്തെ ഓപ്ഷനിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ടാകും, കാരണം വിജയകരമായ ആക്രമണമുണ്ടായാൽ, എന്റർപ്രൈസസിന്റെ ആന്തരിക നെറ്റ്‌വർക്കിലേക്ക് ഉടനടി പ്രവേശനം നേടുന്നത് സാധ്യമാണ്, ഇത് ഒരു പെന്റസ്റ്ററിന് തികച്ചും ഗുരുതരമായ നേട്ടമാണ്. IPsec, അതാകട്ടെ, സൈറ്റ്-ടു-സൈറ്റ്, റിമോട്ട് ആക്സസ് VPN എന്നിവ നടപ്പിലാക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. ഈ സാങ്കേതികവിദ്യ എന്താണ്, അതിൽ എന്ത് ഘടകങ്ങൾ അടങ്ങിയിരിക്കുന്നു?

IPsec ഒന്നല്ല, മറിച്ച് സുതാര്യവും സുരക്ഷിതവുമായ ഡാറ്റ പരിരക്ഷ നൽകുന്ന വ്യത്യസ്ത പ്രോട്ടോക്കോളുകളുടെ ഒരു കൂട്ടമാണ് എന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്. IPsec-ന്റെ പ്രത്യേകത, അത് നെറ്റ്‌വർക്ക് ലെയറിലാണ് നടപ്പിലാക്കുന്നത്, തുടർന്നുള്ള ലെയറുകൾക്ക് എല്ലാം അദൃശ്യമായി സംഭവിക്കുന്ന തരത്തിൽ ഇത് അനുബന്ധമായി നൽകുന്നു. ഒരു കണക്ഷൻ സ്ഥാപിക്കുന്ന പ്രക്രിയയിൽ, ഒരു സുരക്ഷിത ചാനലിലെ രണ്ട് പങ്കാളികൾ വ്യത്യസ്തമായ നിരവധി പാരാമീറ്ററുകൾ അംഗീകരിക്കേണ്ടതുണ്ട് എന്നതാണ് പ്രധാന ബുദ്ധിമുട്ട്. അതായത്, അവർ പരസ്‌പരം ആധികാരികമാക്കുകയും കീകൾ സൃഷ്‌ടിക്കുകയും കൈമാറ്റം ചെയ്യുകയും വേണം (ഒപ്പം വിശ്വസനീയമല്ലാത്ത ഒരു മാധ്യമത്തിലൂടെ), കൂടാതെ ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യേണ്ട പ്രോട്ടോക്കോളുകളെക്കുറിച്ചും സമ്മതിക്കണം.

ഇക്കാരണത്താൽ IPsec പ്രോട്ടോക്കോളുകളുടെ ഒരു കൂട്ടം ഉൾക്കൊള്ളുന്നു, അതിന്റെ ഉത്തരവാദിത്തം ഒരു സുരക്ഷിത കണക്ഷൻ സ്ഥാപിക്കുകയും പ്രവർത്തിപ്പിക്കുകയും നിയന്ത്രിക്കുകയും ചെയ്യുന്നു. മുഴുവൻ കണക്ഷൻ എസ്റ്റാബ്ലിഷ്‌മെന്റ് പ്രക്രിയയിലും രണ്ട് ഘട്ടങ്ങൾ ഉൾപ്പെടുന്നു: രണ്ടാം ഘട്ടത്തിലുള്ള ISAKMP സന്ദേശങ്ങളുടെ സുരക്ഷിതമായ കൈമാറ്റം ഉറപ്പാക്കാൻ ആദ്യ ഘട്ടം ഉപയോഗിക്കുന്നു. ISAKMP (ഇന്റർനെറ്റ് സെക്യൂരിറ്റി അസോസിയേഷനും കീ മാനേജ്മെന്റ് പ്രോട്ടോക്കോളും) ഒരു VPN കണക്ഷനിൽ പങ്കെടുക്കുന്നവർക്കിടയിൽ സുരക്ഷാ നയങ്ങൾ (SA) ചർച്ച ചെയ്യുന്നതിനും അപ്ഡേറ്റ് ചെയ്യുന്നതിനും ഉപയോഗിക്കുന്ന ഒരു പ്രോട്ടോക്കോളാണ്. ഏത് പ്രോട്ടോക്കോൾ (AES അല്ലെങ്കിൽ 3DES) ഉപയോഗിച്ച് എൻക്രിപ്റ്റ് ചെയ്യണമെന്നും ഏത് ആധികാരികത നൽകണമെന്നും (SHA അല്ലെങ്കിൽ MD5) ഈ നയങ്ങൾ വ്യക്തമാക്കുന്നു.

IPsec-ന്റെ രണ്ട് പ്രധാന ഘട്ടങ്ങൾ

അതിനാൽ, സുരക്ഷിതമായ ഒരു കണക്ഷൻ സൃഷ്ടിക്കാൻ ഏതൊക്കെ മെക്കാനിസങ്ങൾ ഉപയോഗിക്കുമെന്ന് ആദ്യം പങ്കാളികൾ സമ്മതിക്കേണ്ടതുണ്ടെന്ന് ഞങ്ങൾ കണ്ടെത്തി, അതിനാൽ ഇപ്പോൾ IKE പ്രോട്ടോക്കോൾ പ്രാബല്യത്തിൽ വരുന്നു. IKE (ഇന്റർനെറ്റ് കീ എക്സ്ചേഞ്ച്) IPsec SA (സെക്യൂരിറ്റി അസോസിയേഷൻ, അതേ സുരക്ഷാ നയങ്ങൾ) രൂപീകരിക്കാൻ ഉപയോഗിക്കുന്നു, മറ്റൊരു വിധത്തിൽ പറഞ്ഞാൽ, സുരക്ഷിതമായ കണക്ഷനിൽ പങ്കെടുക്കുന്നവരുടെ ജോലി ഏകോപിപ്പിക്കുന്നതിന്. ഈ പ്രോട്ടോക്കോൾ മുഖേന, ഏത് എൻക്രിപ്ഷൻ അൽഗോരിതം ഉപയോഗിക്കും, സമഗ്രത പരിശോധിക്കാൻ ഏത് അൽഗോരിതം ഉപയോഗിക്കും, എങ്ങനെ പരസ്പരം ആധികാരികമാക്കാം എന്നിവയിൽ പങ്കെടുക്കുന്നവർ സമ്മതിക്കുന്നു. ഇന്ന് പ്രോട്ടോക്കോളിന്റെ രണ്ട് പതിപ്പുകൾ ഉണ്ടെന്നത് ശ്രദ്ധിക്കേണ്ടതാണ്: IKEv1, IKEv2. IKEv1-ൽ മാത്രമേ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ടാകൂ: IETF (ഇന്റർനെറ്റ് എഞ്ചിനീയറിംഗ് ടാസ്‌ക് ഫോഴ്‌സ്) ഇത് ആദ്യമായി അവതരിപ്പിച്ചത് 1998-ൽ ആണെങ്കിലും, ഇത് ഇപ്പോഴും വളരെ സാധാരണയായി ഉപയോഗിക്കുന്നു, പ്രത്യേകിച്ച് RA VPN- കൾ (ചിത്രം 1 കാണുക).

IKEv2 നെ സംബന്ധിച്ചിടത്തോളം, അതിന്റെ ആദ്യ ഡ്രാഫ്റ്റുകൾ 2005 ൽ നിർമ്മിച്ചതാണ്, ഇത് RFC 5996 (2010) ൽ പൂർണ്ണമായും വിവരിച്ചിട്ടുണ്ട്, കഴിഞ്ഞ വർഷം അവസാനം മാത്രമാണ് ഇത് ഒരു ഇന്റർനെറ്റ് സ്റ്റാൻഡേർഡ് (RFC 7296) ആയി പ്രഖ്യാപിച്ചത്. സൈഡ്‌ബാറിൽ IKEv1 ഉം IKEv2 ഉം തമ്മിലുള്ള വ്യത്യാസങ്ങളെക്കുറിച്ച് നിങ്ങൾക്ക് കൂടുതൽ വായിക്കാം. IKE-യുമായി ഇടപഴകിയ ശേഷം, ഞങ്ങൾ IPsec-ന്റെ ഘട്ടങ്ങളിലേക്ക് മടങ്ങുന്നു. ആദ്യ ഘട്ടത്തിൽ, പങ്കെടുക്കുന്നവർ പരസ്പരം ആധികാരികമാക്കുകയും ഒരു പ്രത്യേക കണക്ഷൻ സജ്ജീകരിക്കുന്നതിനുള്ള പാരാമീറ്ററുകൾ അംഗീകരിക്കുകയും ചെയ്യുന്നു, ഭാവിയിലെ IPsec ടണലിന്റെ ആവശ്യമുള്ള എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളെയും മറ്റ് വിശദാംശങ്ങളെയും കുറിച്ചുള്ള വിവരങ്ങൾ കൈമാറാൻ മാത്രം രൂപകൽപ്പന ചെയ്‌തിരിക്കുന്നു. ഈ ആദ്യ തുരങ്കത്തിന്റെ പാരാമീറ്ററുകൾ (ISAKMP ടണൽ എന്നും അറിയപ്പെടുന്നു) ISAKMP നയത്താൽ നിർണ്ണയിക്കപ്പെടുന്നു. ഒന്നാമതായി, ഹാഷുകളും എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളും അംഗീകരിക്കപ്പെടുന്നു, തുടർന്ന് ഡിഫി-ഹെൽമാൻ (ഡിഎച്ച്) കീ എക്സ്ചേഞ്ച് ഉണ്ട്, അതിനുശേഷം മാത്രമേ ആരാണെന്ന് തീരുമാനിക്കൂ. അതായത്, അവസാന ഘട്ടം PSK- അല്ലെങ്കിൽ RSA- കീ വഴിയുള്ള പ്രാമാണീകരണ പ്രക്രിയയാണ്. കക്ഷികൾ ഒരു ധാരണയിലെത്തുകയാണെങ്കിൽ, ഒരു ISAKMP ടണൽ സ്ഥാപിക്കപ്പെടുന്നു, അതിലൂടെ IKE യുടെ രണ്ടാം ഘട്ടം ഇതിനകം കടന്നുപോകുന്നു.

രണ്ടാം ഘട്ടത്തിൽ, ഇതിനകം തന്നെ പരസ്പരം വിശ്വസിക്കുന്ന പങ്കാളികൾ നേരിട്ട് ഡാറ്റ കൈമാറുന്നതിനുള്ള പ്രധാന തുരങ്കം എങ്ങനെ നിർമ്മിക്കാമെന്ന് സമ്മതിക്കുന്നു. ട്രാൻസ്ഫോർമേഷൻ-സെറ്റ് പാരാമീറ്ററിൽ വ്യക്തമാക്കിയ ഓപ്ഷനുകൾ അവർ പരസ്പരം വാഗ്ദാനം ചെയ്യുന്നു, അവർ സമ്മതിക്കുകയാണെങ്കിൽ, അവർ പ്രധാന തുരങ്കം ഉയർത്തുന്നു. അത് സ്ഥാപിച്ചുകഴിഞ്ഞാൽ, ദ്വിതീയ ISAKMP ടണൽ എവിടെയും പോകുന്നില്ല എന്നത് ഊന്നിപ്പറയേണ്ടത് പ്രധാനമാണ് - പ്രധാന തുരങ്കത്തിന്റെ SA കാലാനുസൃതമായി അപ്ഡേറ്റ് ചെയ്യാൻ ഇത് ഉപയോഗിക്കുന്നു. തൽഫലമായി, IPsec ഏതെങ്കിലും വിധത്തിൽ ഒന്നല്ല, രണ്ട് മുഴുവൻ തുരങ്കങ്ങൾ സ്ഥാപിക്കുന്നു.

ഡാറ്റ എങ്ങനെ പ്രോസസ്സ് ചെയ്യാം

ഇപ്പോൾ പരിവർത്തന-സെറ്റിനെക്കുറിച്ച് കുറച്ച് വാക്കുകൾ. എല്ലാത്തിനുമുപരി, ടണലിലൂടെ പോകുന്ന ഡാറ്റ എങ്ങനെയെങ്കിലും എൻക്രിപ്റ്റ് ചെയ്യേണ്ടത് ആവശ്യമാണ്. അതിനാൽ, ഒരു സാധാരണ കോൺഫിഗറേഷനിൽ, പാക്കേജ് എങ്ങനെ പ്രോസസ്സ് ചെയ്യണമെന്ന് വ്യക്തമായി വ്യക്തമാക്കുന്ന ഒരു കൂട്ടം പരാമീറ്ററുകളാണ് ട്രാൻസ്ഫോർ-സെറ്റ്. അതനുസരിച്ച്, അത്തരം ഡാറ്റ പ്രോസസ്സിംഗിന് രണ്ട് ഓപ്ഷനുകൾ ഉണ്ട് - ഇവയാണ് ESP, AH പ്രോട്ടോക്കോളുകൾ. ESP (എൻക്യാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ്) ഡാറ്റ എൻക്രിപ്ഷനുമായി നേരിട്ട് ഇടപെടുന്നു, കൂടാതെ ഡാറ്റാ സമഗ്രത പരിശോധിക്കാനും കഴിയും. AH (ഓതന്റിക്കേഷൻ ഹെഡർ), അതാകട്ടെ, ഉറവിടം പ്രാമാണീകരിക്കുന്നതിനും ഡാറ്റയുടെ സമഗ്രത പരിശോധിക്കുന്നതിനും മാത്രമേ ഉത്തരവാദിത്തമുള്ളൂ.

ഉദാഹരണത്തിന്, ക്രിപ്‌റ്റോ ipsec Transform-set SET10 esp-aes എന്ന കമാൻഡ് റൂട്ടറിനോട് പറയും, SET10 എന്ന് പേരിട്ടിരിക്കുന്ന ട്രാൻസ്‌ഫോം-സെറ്റ് ESP പ്രോട്ടോക്കോളിലും AES എൻക്രിപ്ഷനിലും മാത്രമേ പ്രവർത്തിക്കൂ. മുന്നോട്ട് നോക്കുമ്പോൾ, ഇനി മുതൽ ഞങ്ങൾ സിസ്‌കോ റൂട്ടറുകളും ഫയർവാളുകളും ടാർഗെറ്റായി ഉപയോഗിക്കുമെന്ന് ഞാൻ പറയും. യഥാർത്ഥത്തിൽ, ESP-യിൽ എല്ലാം കൂടുതലോ കുറവോ വ്യക്തമാണ്, അതിന്റെ ജോലി എൻക്രിപ്റ്റ് ചെയ്യുകയും അങ്ങനെ രഹസ്യസ്വഭാവം ഉറപ്പാക്കുകയും ചെയ്യുക എന്നതാണ്, എന്നാൽ പിന്നെ എന്തുകൊണ്ടാണ് നമുക്ക് AH വേണ്ടത്? AH ഡാറ്റ പ്രാമാണീകരണം നൽകുന്നു, അതായത്, ഞങ്ങൾ കണക്ഷൻ സ്ഥാപിച്ച ഒരാളിൽ നിന്നാണ് ഈ ഡാറ്റ വന്നതെന്നും വഴിയിൽ മാറ്റം വരുത്തിയിട്ടില്ലെന്നും ഇത് സ്ഥിരീകരിക്കുന്നു. ഇത് ചിലപ്പോൾ ആന്റി റീപ്ലേ സംരക്ഷണം എന്ന് വിളിക്കുന്നത് നൽകുന്നു. ആധുനിക നെറ്റ്‌വർക്കുകളിൽ, AH പ്രായോഗികമായി ഉപയോഗിക്കുന്നില്ല, എല്ലായിടത്തും ESP മാത്രമേ കണ്ടെത്താൻ കഴിയൂ.

ഒരു IPsec ടണലിലെ വിവരങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യാൻ തിരഞ്ഞെടുത്ത പരാമീറ്ററുകൾക്ക് (SAs) ഒരു ആയുസ്സ് ഉണ്ട്, അതിനുശേഷം അവ മാറ്റിസ്ഥാപിക്കേണ്ടതുണ്ട്. ഡിഫോൾട്ട് ലൈഫ്ടൈം IPsec SA 86400 സെക്കൻഡ് അല്ലെങ്കിൽ 24 മണിക്കൂറാണ്.
തൽഫലമായി, പങ്കെടുക്കുന്നവർക്ക് എല്ലാവർക്കും അനുയോജ്യമായ പാരാമീറ്ററുകളുള്ള ഒരു എൻക്രിപ്റ്റ് ചെയ്ത ടണൽ ലഭിച്ചു, കൂടാതെ എൻക്രിപ്റ്റ് ചെയ്യുന്നതിനായി ഡാറ്റ സ്ട്രീമുകൾ അയയ്ക്കുകയും ചെയ്യുന്നു. ആനുകാലികമായി, ആയുസ്സിന് അനുസൃതമായി, പ്രധാന ടണലിനുള്ള എൻക്രിപ്ഷൻ കീകൾ അപ്ഡേറ്റ് ചെയ്യപ്പെടുന്നു: പങ്കെടുക്കുന്നവർ ISAKMP ടണലിലൂടെ വീണ്ടും കണക്റ്റുചെയ്യുന്നു, രണ്ടാം ഘട്ടത്തിലൂടെ കടന്ന് SA പുനഃസ്ഥാപിക്കുന്നു.

IKEv1 മോഡുകൾ

ആദ്യ ഏകദേശ കണക്കായി IPsec എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിന്റെ അടിസ്ഥാന മെക്കാനിക്‌സ് ഞങ്ങൾ പരിശോധിച്ചു, എന്നാൽ ശ്രദ്ധ കേന്ദ്രീകരിക്കേണ്ട ചില കാര്യങ്ങൾ കൂടിയുണ്ട്. ആദ്യ ഘട്ടം, മറ്റ് കാര്യങ്ങൾക്കൊപ്പം, രണ്ട് മോഡുകളിൽ പ്രവർത്തിക്കാൻ കഴിയും: പ്രധാന മോഡ് അല്ലെങ്കിൽ ആക്രമണാത്മക മോഡ്. മുകളിലുള്ള ആദ്യ ഓപ്ഷൻ ഞങ്ങൾ ഇതിനകം പരിഗണിച്ചിട്ടുണ്ട്, എന്നാൽ ആക്രമണാത്മക മോഡിൽ ഞങ്ങൾക്ക് താൽപ്പര്യമുണ്ട്. ഈ മോഡിൽ മൂന്ന് സന്ദേശങ്ങൾ ഉപയോഗിക്കുന്നു (പ്രധാന മോഡിൽ ആറിന് പകരം). അതേ സമയം, കണക്ഷൻ ആരംഭിക്കുന്നയാൾ തന്റെ എല്ലാ ഡാറ്റയും ഒരേസമയം നൽകുന്നു - അയാൾക്ക് എന്താണ് വേണ്ടത്, എന്തുചെയ്യാൻ കഴിയും, അതുപോലെ തന്നെ ഡിഎച്ച് എക്സ്ചേഞ്ചിന്റെ ഭാഗവും. മറുവശം ഉടൻ തന്നെ DH തലമുറയുടെ ഭാഗം പൂർത്തിയാക്കുന്നു. തൽഫലമായി, ഈ മോഡിൽ, വാസ്തവത്തിൽ, രണ്ട് ഘട്ടങ്ങൾ മാത്രമേയുള്ളൂ. അതായത്, പ്രധാന മോഡിൽ നിന്നുള്ള ആദ്യ രണ്ട് ഘട്ടങ്ങൾ (ഹാഷുകളുടെയും ഡിഎച്ച് എക്സ്ചേഞ്ചിന്റെയും ഏകോപനം) ഒന്നായി ചുരുക്കിയിരിക്കുന്നു. തൽഫലമായി, പ്രതികരണമായി ധാരാളം സാങ്കേതിക വിവരങ്ങൾ പ്ലെയിൻടെക്‌സ്റ്റിൽ വരുന്നതിനാൽ ഈ മോഡ് വളരെ അപകടകരമാണ്. ഏറ്റവും പ്രധാനമായി, VPN ഗേറ്റ്‌വേയ്ക്ക് ആദ്യ ഘട്ടത്തിൽ പ്രാമാണീകരണത്തിനായി ഉപയോഗിക്കുന്ന പാസ്‌വേഡിന്റെ ഒരു ഹാഷ് അയയ്‌ക്കാൻ കഴിയും (ഈ പാസ്‌വേഡ് പലപ്പോഴും പ്രീ-ഷെയർഡ് കീ അല്ലെങ്കിൽ PSK എന്ന് വിളിക്കപ്പെടുന്നു).

ശരി, തുടർന്നുള്ള എല്ലാ എൻക്രിപ്ഷനുകളും പതിവുപോലെ മാറ്റങ്ങളില്ലാതെ സംഭവിക്കുന്നു. എന്തുകൊണ്ടാണ്, ഈ ഭരണം ഇപ്പോഴും ഉപയോഗിക്കുന്നത്? ഇത് വളരെ വേഗതയുള്ളതാണ്, ഏകദേശം ഇരട്ടി വേഗതയാണ്. RA IPsec VPN-ൽ പലപ്പോഴും അഗ്രസീവ് മോഡ് ഉപയോഗിക്കാറുണ്ട് എന്നത് ഒരു പെന്റസ്റ്ററിന് പ്രത്യേക താൽപ്പര്യമാണ്. ആക്രമണാത്മക മോഡ് ഉപയോഗിക്കുമ്പോൾ RA IPsec VPN-ന്റെ മറ്റൊരു ചെറിയ സവിശേഷത: ഒരു ക്ലയന്റ് സെർവറിലേക്ക് പ്രവേശിക്കുമ്പോൾ, അത് ഒരു ഐഡന്റിഫയർ (ഗ്രൂപ്പിന്റെ പേര്) അയയ്ക്കുന്നു. ടണൽ ഗ്രൂപ്പിന്റെ പേര് (ചിത്രം 2 കാണുക) എന്നത് ഈ IPsec കണക്ഷനുള്ള ഒരു കൂട്ടം നയങ്ങൾ ഉൾക്കൊള്ളുന്ന ഒരു എൻട്രിയുടെ പേരാണ്. ഇത് ഇതിനകം തന്നെ സിസ്‌കോ ഉപകരണങ്ങളുടെ സവിശേഷതകളിലൊന്നാണ്.

രണ്ട് ഘട്ടങ്ങൾ മതിയായിരുന്നില്ല

ഫലം വളരെ ലളിതമായ ഒരു സ്കീം അല്ലെന്ന് തോന്നുന്നു, പക്ഷേ വാസ്തവത്തിൽ ഇത് ഇപ്പോഴും കുറച്ചുകൂടി സങ്കീർണ്ണമാണ്. കാലക്രമേണ, സുരക്ഷ ഉറപ്പാക്കാൻ ഒരു PSK മാത്രം പോരാ എന്ന് വ്യക്തമായി. ഉദാഹരണത്തിന്, ഒരു ജീവനക്കാരന്റെ വർക്ക്സ്റ്റേഷൻ വിട്ടുവീഴ്ച ചെയ്യപ്പെടുകയാണെങ്കിൽ, ആക്രമണകാരിക്ക് എന്റർപ്രൈസസിന്റെ മുഴുവൻ ആന്തരിക നെറ്റ്‌വർക്കിലേക്കും ഉടനടി പ്രവേശനം നേടാനാകും. അതിനാൽ, ഒന്നും രണ്ടും ക്ലാസിക്കൽ ഘട്ടങ്ങൾക്കിടയിൽ ഘട്ടം 1.5 വികസിപ്പിച്ചെടുത്തു. വഴിയിൽ, ഈ ഘട്ടം സാധാരണയായി ഒരു സാധാരണ സൈറ്റ്-ടു-സൈറ്റ് VPN കണക്ഷനിൽ ഉപയോഗിക്കാറില്ല, എന്നാൽ റിമോട്ട് VPN കണക്ഷനുകൾ സംഘടിപ്പിക്കുമ്പോൾ (ഞങ്ങളുടെ കേസ്) ഉപയോഗിക്കുന്നു. ഈ ഘട്ടത്തിൽ രണ്ട് പുതിയ വിപുലീകരണങ്ങൾ അടങ്ങിയിരിക്കുന്നു - എക്സ്റ്റൻഡഡ് ഓതന്റിക്കേഷൻ (XAUTH), മോഡ്-കോൺഫിഗറേഷൻ (MODECFG).

IKE പ്രോട്ടോക്കോളിനുള്ളിലെ ഒരു അധിക ഉപയോക്തൃ പ്രാമാണീകരണമാണ് XAUTH. ഈ പ്രാമാണീകരണം ചിലപ്പോൾ IPsec ന്റെ രണ്ടാമത്തെ ഘടകം എന്ന് വിളിക്കപ്പെടുന്നു. നന്നായി, MODECFG ക്ലയന്റിലേക്ക് കൂടുതൽ വിവരങ്ങൾ കൈമാറാൻ സഹായിക്കുന്നു, അത് ഒരു IP വിലാസം, ഒരു മാസ്ക്, ഒരു DNS സെർവർ മുതലായവ ആകാം. ഈ ഘട്ടം മുമ്പ് പരിഗണിച്ചവയെ ലളിതമായി സപ്ലിമെന്റ് ചെയ്യുന്നതായി കാണാൻ കഴിയും, എന്നാൽ അതിന്റെ പ്രയോജനം നിഷേധിക്കാനാവാത്തതാണ്.

IKEv2 vs IKEv1

രണ്ട് പ്രോട്ടോക്കോളുകളും UDP പോർട്ട് നമ്പർ 500-ൽ പ്രവർത്തിക്കുന്നു, പക്ഷേ അവ പരസ്പരം പൊരുത്തപ്പെടുന്നില്ല, തുരങ്കത്തിന്റെ ഒരറ്റത്ത് IKEv1-നും മറ്റേ അറ്റത്ത് IKEv2-നും സാഹചര്യം അനുവദനീയമല്ല. രണ്ടാമത്തെ പതിപ്പും ആദ്യ പതിപ്പും തമ്മിലുള്ള പ്രധാന വ്യത്യാസങ്ങൾ ഇതാ:

• IKEv2-ൽ, ആക്രമണാത്മകമോ പ്രധാനമോ ആയ അത്തരം ആശയങ്ങളൊന്നും മേലിൽ ഇല്ല.
• IKEv2-ൽ, ആദ്യ ഘട്ടം എന്ന പദത്തിന് പകരം IKE_SA_INIT (എൻക്രിപ്ഷൻ / ഹാഷിംഗ് പ്രോട്ടോക്കോളുകളുടെയും ഡിഎച്ച് കീകളുടെ ജനറേഷന്റെയും ചർച്ചകൾ ഉറപ്പാക്കുന്ന രണ്ട് സന്ദേശങ്ങളുടെ കൈമാറ്റം), രണ്ടാം ഘട്ടം IKE_AUTH (യഥാർത്ഥ പ്രാമാണീകരണം നടപ്പിലാക്കുന്ന രണ്ട് സന്ദേശങ്ങളും) ഉപയോഗിച്ച് മാറ്റിസ്ഥാപിക്കുന്നു.
• മോഡ് കോൺഫിഗറേഷൻ (IKEv1-ൽ ഘട്ടം 1.5 എന്ന് വിളിക്കപ്പെട്ടിരുന്നത്) ഇപ്പോൾ പ്രോട്ടോക്കോൾ സ്പെസിഫിക്കേഷനിൽ നേരിട്ട് വിവരിച്ചിരിക്കുന്നു, അത് അതിന്റെ അവിഭാജ്യ ഘടകമാണ്.
• DoS ആക്രമണങ്ങളിൽ നിന്ന് പരിരക്ഷിക്കുന്നതിന് IKEv2 ഒരു അധിക സംവിധാനം ചേർക്കുന്നു. ഒരു സുരക്ഷിത കണക്ഷൻ (IKE_SA_INIT) IKEv2 സ്ഥാപിക്കുന്നതിനുള്ള ഓരോ അഭ്യർത്ഥനയോടും പ്രതികരിക്കുന്നതിന് മുമ്പ്, VPN ഗേറ്റ്‌വേ അത്തരമൊരു അഭ്യർത്ഥനയുടെ ഉറവിടത്തിലേക്ക് ഒരു കുക്കി അയയ്ക്കുകയും പ്രതികരണത്തിനായി കാത്തിരിക്കുകയും ചെയ്യുന്നു എന്നതാണ് ഇതിന്റെ സാരം. ഉറവിടം ഉത്തരം നൽകിയാൽ - എല്ലാം ക്രമത്തിലാണെങ്കിൽ, നിങ്ങൾക്ക് അത് ഉപയോഗിച്ച് DH സൃഷ്ടിക്കാൻ ആരംഭിക്കാം. ഉറവിടം പ്രതികരിക്കുന്നില്ലെങ്കിൽ (ഒരു DoS ആക്രമണത്തിന്റെ കാര്യത്തിൽ, ഇത് സംഭവിക്കുന്നു, ഈ സാങ്കേതികവിദ്യ ഒരു TCP SYN വെള്ളപ്പൊക്കത്തിന് സമാനമാണ്), അപ്പോൾ VPN ഗേറ്റ്‌വേ അതിനെക്കുറിച്ച് മറക്കുന്നു. ഈ സംവിധാനം കൂടാതെ, ആരുടെയും ഓരോ അഭ്യർത്ഥനയ്‌ക്കൊപ്പം, VPN ഗേറ്റ്‌വേ ഒരു DH കീ സൃഷ്‌ടിക്കാൻ ശ്രമിക്കും (ഇത് ഒരു റിസോഴ്‌സ്-ഇന്റൻസീവ് പ്രോസസ് ആണ്) അത് ഉടൻ തന്നെ പ്രശ്‌നങ്ങളിൽ കലാശിക്കും. തൽഫലമായി, എല്ലാ പ്രവർത്തനങ്ങൾക്കും ഇപ്പോൾ കണക്ഷന്റെ മറുവശത്ത് നിന്ന് സ്ഥിരീകരണം ആവശ്യമാണ് എന്ന വസ്തുത കാരണം, ആക്രമിക്കപ്പെട്ട ഉപകരണത്തിൽ പകുതി തുറന്ന സെഷനുകൾ സൃഷ്ടിക്കുന്നത് അസാധ്യമാണ്.

ഞങ്ങൾ അതിർത്തിയിലേക്ക് പോകുന്നു

IPsec ഉം അതിന്റെ ഘടകങ്ങളും എങ്ങനെ പ്രവർത്തിക്കുന്നു എന്നതിന്റെ പ്രത്യേകതകൾ ഒടുവിൽ മനസ്സിലാക്കിയ ശേഷം, നമുക്ക് പ്രധാന കാര്യത്തിലേക്ക് പോകാം - പ്രായോഗിക ആക്രമണങ്ങളിലേക്ക്. ടോപ്പോളജി വളരെ ലളിതവും അതേ സമയം യാഥാർത്ഥ്യത്തോട് അടുത്തും ആയിരിക്കും (ചിത്രം 3 കാണുക).

ഒരു IPsec VPN ഗേറ്റ്‌വേയുടെ സാന്നിധ്യം നിർണ്ണയിക്കുക എന്നതാണ് ആദ്യപടി. ഒരു പോർട്ട് സ്കാൻ നടത്തി നിങ്ങൾക്ക് ഇത് ചെയ്യാൻ കഴിയും, എന്നാൽ ഇവിടെ ഒരു ചെറിയ ട്വിസ്റ്റ് ഉണ്ട്. ISAKMP, UDP പ്രോട്ടോക്കോൾ, പോർട്ട് 500 ഉപയോഗിക്കുന്നു, അതേസമയം Nmap ഉപയോഗിച്ചുള്ള സ്ഥിരസ്ഥിതി സ്കാൻ TCP പോർട്ടുകളെ മാത്രമേ ബാധിക്കുകയുള്ളൂ. ഫലം ഒരു സന്ദേശമായിരിക്കും: 37.59.0.253-ൽ സ്കാൻ ചെയ്‌ത 1000 പോർട്ടുകളും ഫിൽട്ടർ ചെയ്‌തിരിക്കുന്നു.

എല്ലാ തുറമുഖങ്ങളും ഫിൽട്ടർ ചെയ്തതായി തോന്നുന്നു, തുറന്ന പോർട്ടുകൾ ഇല്ല. എന്നാൽ കമാൻഡ് എക്സിക്യൂട്ട് ചെയ്ത ശേഷം

Nmap -sU --top-ports=20 37.59.0.253 Nmap 6.47 (http://nmap.org) ആരംഭിക്കുന്നത് 2015-03-21 12:29 GMT ന് 37.59.0.253 ഹോസ്റ്റിനുള്ള Nmap സ്കാൻ റിപ്പോർട്ട് ഉയർന്നു (0.066s) . പോർട്ട് സ്റ്റേറ്റ് സർവീസ് 500/udp ഓപ്പൺ isakmp

ഇത് അങ്ങനെയല്ലെന്നും ഞങ്ങൾക്ക് മുന്നിൽ ഒരു VPN ഉപകരണം ഉണ്ടെന്നും ഞങ്ങൾ ഉറപ്പാക്കുന്നു.

ആദ്യഘട്ടത്തിൽ ആക്രമണം

ഇപ്പോൾ നമുക്ക് ആദ്യ ഘട്ടം, അഗ്രസീവ് മോഡ്, പ്രീ-ഷെയർഡ് കീ (PSK) പ്രാമാണീകരണം എന്നിവയിൽ താൽപ്പര്യമുണ്ടാകും. ഈ സാഹചര്യത്തിൽ, ഓർക്കുക, VPN ഉപകരണം അല്ലെങ്കിൽ പ്രതികരിക്കുന്നയാൾ ഇനീഷ്യേറ്ററിന് ഒരു ഹാഷ് ചെയ്ത PSK അയയ്ക്കുന്നു. IKE പ്രോട്ടോക്കോൾ പരിശോധിക്കുന്നതിനുള്ള ഏറ്റവും അറിയപ്പെടുന്ന യൂട്ടിലിറ്റികളിലൊന്നാണ് കാളി ലിനക്സ് വിതരണത്തിന്റെ ഭാഗമായ ike-സ്കാൻ. Ike-സ്കാൻ നിങ്ങളെ വിവിധ പാരാമീറ്ററുകൾ ഉപയോഗിച്ച് IKE സന്ദേശങ്ങൾ അയയ്‌ക്കാനും അതനുസരിച്ച്, പ്രതികരണ പാക്കറ്റുകൾ ഡീകോഡ് ചെയ്യാനും പാഴ്‌സ് ചെയ്യാനും നിങ്ങളെ അനുവദിക്കുന്നു. ടാർഗെറ്റ് ഉപകരണം അന്വേഷിക്കാൻ ശ്രമിക്കുന്നു:

[ഇമെയിൽ പരിരക്ഷിതം]:~# ike-scan -M -A 37.59.0.253 0 തിരികെ ഹാൻഡ്‌ഷേക്ക്; 0 അറിയിപ്പ് തിരികെ നൽകി

അഗ്രസീവ് മോഡ് ഉപയോഗിക്കണമെന്ന് -A സ്വിച്ച് സൂചിപ്പിക്കുന്നു, കൂടാതെ എളുപ്പത്തിൽ വായിക്കുന്നതിന് ഫലങ്ങൾ വരിയായി (മൾട്ടിലൈൻ) പ്രദർശിപ്പിക്കണമെന്ന് -M സൂചിപ്പിക്കുന്നു. ഫലമൊന്നും ലഭിച്ചിട്ടില്ലെന്ന് കാണാം. കാരണം, നിങ്ങൾ അതേ ഐഡന്റിഫയർ, VPN ഗ്രൂപ്പിന്റെ പേര് വ്യക്തമാക്കണം. തീർച്ചയായും, ഈ ഐഡന്റിഫയർ അതിന്റെ പരാമീറ്ററുകളിലൊന്നായി വ്യക്തമാക്കാൻ ike-സ്കാൻ യൂട്ടിലിറ്റി നിങ്ങളെ അനുവദിക്കുന്നു. എന്നാൽ ഇത് ഇപ്പോഴും നമുക്ക് അജ്ഞാതമായതിനാൽ, നമുക്ക് ഒരു ഏകപക്ഷീയമായ മൂല്യം എടുക്കാം, ഉദാഹരണത്തിന് 0000.

[ഇമെയിൽ പരിരക്ഷിതം]:~# ike-scan -M -A --id=0000 37.59.0.253 37.59.0.253 അഗ്രസീവ് മോഡ് ഹാൻഡ്‌ഷേക്ക് മടങ്ങി

ഈ സമയം ഉത്തരം ലഭിച്ചതായി ഞങ്ങൾ കാണുന്നു (ചിത്രം 5 കാണുക) കൂടാതെ ഞങ്ങൾക്ക് ധാരാളം ഉപയോഗപ്രദമായ വിവരങ്ങൾ നൽകിയിട്ടുണ്ട്. ലഭിച്ച വളരെ പ്രധാനപ്പെട്ട ഒരു വിവരമാണ് പരിവർത്തനം-സെറ്റ്. ഞങ്ങളുടെ കാര്യത്തിൽ, "Enc=3DES Hash=SHA1 Group=2:modp1024 Auth=PSK" എന്ന് പറയുന്നു.

--trans സ്വിച്ച് ഉപയോഗിച്ച് ഐകെ-സ്കാൻ യൂട്ടിലിറ്റിക്കായി ഈ ഓപ്ഷനുകളെല്ലാം വ്യക്തമാക്കാം. ഉദാഹരണത്തിന് --trans=5,2,1,2 എന്നത് 3DES എൻക്രിപ്ഷൻ അൽഗോരിതം, HMAC-SHA ഹാഷിംഗ്, PSK പ്രാമാണീകരണ രീതി, രണ്ടാമത്തെ DH ഗ്രൂപ്പ് തരം (1024-ബിറ്റ് MODP) എന്ന് പറയും. ഈ വിലാസത്തിൽ നിങ്ങൾക്ക് മൂല്യ മാപ്പിംഗ് പട്ടികകൾ കാണാൻ കഴിയും. പാക്കേജിന്റെ പേലോഡ് നേരിട്ട് പ്രദർശിപ്പിക്കുന്നതിന് ഒരു കീ കൂടി (-P) ചേർക്കാം, അല്ലെങ്കിൽ PSK ഹാഷ്.

[ഇമെയിൽ പരിരക്ഷിതം]:~# ike-scan -M -A --id=0000 37.59.0.253 -P

ആദ്യ ബുദ്ധിമുട്ടുകൾ മറികടക്കുന്നു

ഹാഷ് ലഭിച്ചതായി തോന്നുന്നു, നിങ്ങൾക്ക് അത് ക്രൂരമാക്കാൻ ശ്രമിക്കാം, പക്ഷേ എല്ലാം അത്ര ലളിതമല്ല. ഒരിക്കൽ, 2005-ൽ, ചില സിസ്‌കോ ഹാർഡ്‌വെയറിൽ ഒരു കേടുപാടുകൾ സംഭവിച്ചു: ആക്രമണകാരി ശരിയായ ഐഡി മൂല്യം കൈമാറിയെങ്കിൽ മാത്രമേ ഈ ഉപകരണങ്ങൾ ഒരു ഹാഷ് തിരികെ നൽകൂ. ഇപ്പോൾ, തീർച്ചയായും, അത്തരം ഉപകരണങ്ങൾ കണ്ടുമുട്ടുന്നത് മിക്കവാറും അസാധ്യമാണ്, ആക്രമണകാരി ശരിയായ ഐഡി മൂല്യം അയച്ചോ ഇല്ലയോ എന്നത് പരിഗണിക്കാതെ തന്നെ ഹാഷ് ചെയ്ത മൂല്യം എല്ലായ്പ്പോഴും അയയ്‌ക്കുന്നു. വ്യക്തമായും, തെറ്റായ ഹാഷിനെ ബ്രൂട്ട് ചെയ്യുന്നത് അർത്ഥശൂന്യമാണ്. അതിനാൽ, ശരിയായ ഹാഷ് ലഭിക്കുന്നതിന് ശരിയായ ഐഡി മൂല്യം നിർണ്ണയിക്കുക എന്നതാണ് ആദ്യ ചുമതല. അടുത്തിടെ കണ്ടെത്തിയ ഒരു അപകടസാധ്യത ഇതിന് ഞങ്ങളെ സഹായിക്കും. സന്ദേശങ്ങളുടെ പ്രാരംഭ കൈമാറ്റ സമയത്ത് പ്രതികരണങ്ങൾ തമ്മിൽ ചെറിയ വ്യത്യാസമുണ്ട് എന്നതാണ് കാര്യം. ചുരുക്കത്തിൽ, ശരിയായ ഗ്രൂപ്പിന്റെ പേര് ഉപയോഗിക്കുമ്പോൾ, VPN കണക്ഷൻ സ്ഥാപിക്കുന്നത് തുടരാൻ നാല് ശ്രമങ്ങളുണ്ട്, കൂടാതെ രണ്ട് എൻക്രിപ്റ്റ് ചെയ്ത ഘട്ടം 2 പാക്കറ്റുകളും. ഒരു തെറ്റായ ഐഡിയുടെ കാര്യത്തിൽ, പ്രതികരണമായി രണ്ട് പാക്കറ്റുകൾ മാത്രമേ വരുന്നുള്ളൂ. നിങ്ങൾക്ക് കാണാനാകുന്നതുപോലെ, വ്യത്യാസം വളരെ പ്രധാനമാണ്, അതിനാൽ SpiderLabs (തുല്യമായ രസകരമായ റെസ്‌പോണ്ടർ ടൂളിന്റെ രചയിതാവ്) ആദ്യം PoC വികസിപ്പിച്ചെടുത്തു, തുടർന്ന് ഈ അപകടസാധ്യത മുതലെടുക്കാൻ IKEForce യൂട്ടിലിറ്റി.

എന്താണ് ഇകെയുടെ ശക്തി

കമാൻഡ് പ്രവർത്തിപ്പിച്ച് നിങ്ങൾക്ക് ഒരു അനിയന്ത്രിതമായ ഡയറക്ടറിയിലേക്ക് IKEForce ഇൻസ്റ്റാൾ ചെയ്യാം

Git ക്ലോൺ https://github.com/SpiderLabs/ikeforce

ഇത് രണ്ട് പ്രധാന മോഡുകളിൽ പ്രവർത്തിക്കുന്നു - കണക്കുകൂട്ടൽ മോഡ് -ഇ (എണ്ണം), ബ്രൂട്ട് ഫോഴ്സ് മോഡ് -ബി (ബ്രൂട്ട്ഫോഴ്സ്). രണ്ടാമത്തെ ഘടകത്തിലെ ആക്രമണങ്ങൾ നോക്കുമ്പോൾ ഞങ്ങൾ രണ്ടാമത്തേതിലെത്തും, എന്നാൽ ഇപ്പോൾ ഞങ്ങൾ ആദ്യത്തേത് കൈകാര്യം ചെയ്യും. ഐഡി നിർണ്ണയിക്കുന്നതിനുള്ള യഥാർത്ഥ പ്രക്രിയ ആരംഭിക്കുന്നതിന് മുമ്പ്, നിങ്ങൾ ട്രാൻസ്ഫോർമേഷൻ-സെറ്റിന്റെ കൃത്യമായ മൂല്യം സജ്ജീകരിക്കേണ്ടതുണ്ട്. ഞങ്ങൾ ഇത് നേരത്തെ തന്നെ നിർവചിച്ചിട്ടുണ്ട്, അതിനാൽ -t 5 2 1 2 ഓപ്ഷൻ ഉപയോഗിച്ച് ഞങ്ങൾ ഇത് വ്യക്തമാക്കും. തൽഫലമായി, ഐഡി കണ്ടെത്തുന്ന പ്രക്രിയ ഇതുപോലെ കാണപ്പെടും:

Python ikeforce.py 37.59.0.253 -e -w wordlists/group.txt -t 5 2 1 2

തൽഫലമായി, ശരിയായ ഐഡി മൂല്യം വളരെ വേഗത്തിൽ ലഭിച്ചു (ചിത്രം 7). ആദ്യ ഘട്ടം കടന്നുപോയി, നിങ്ങൾക്ക് മുന്നോട്ട് പോകാം.

PSK നേടുക

PSK ഹാഷ് ഒരു ഫയലിലേക്ക് സംരക്ഷിക്കുന്നതിന്, ശരിയായ ഗ്രൂപ്പിന്റെ പേര് ഉപയോഗിച്ച്, ഇത് ike-സ്കാൻ ഉപയോഗിച്ച് ചെയ്യാം:

Ike-scan -M -A --id=vpn 37.59.0.253 -Pkey.psk

ഇപ്പോൾ ശരിയായ ഐഡി മൂല്യം എടുക്കുകയും ശരിയായ PSK ഹാഷ് ലഭിക്കുകയും ചെയ്‌തു, ഒടുവിൽ നമുക്ക് ഓഫ്‌ലൈൻ ബ്രൂട്ട് ഫോഴ്‌സ് ആരംഭിക്കാം. അത്തരം ബ്രൂട്ട് ഫോഴ്‌സിന് ധാരാളം ഓപ്ഷനുകൾ ഉണ്ട് - ഇതാണ് ക്ലാസിക് psk-ക്രാക്ക് യൂട്ടിലിറ്റി, കൂടാതെ ജോൺ ദി റിപ്പർ (ഒരു ജംബോ പാച്ചിനൊപ്പം), കൂടാതെ oclHashcat പോലും, നിങ്ങൾക്കറിയാവുന്നതുപോലെ, GPU- യുടെ ശക്തി ഉപയോഗിക്കാൻ നിങ്ങളെ അനുവദിക്കുന്നു. . ലാളിത്യത്തിനായി, ഞങ്ങൾ psk-crack ഉപയോഗിക്കും, അത് നേരിട്ടുള്ള ബ്രൂട്ട് ഫോഴ്‌സും നിഘണ്ടു ആക്രമണങ്ങളും പിന്തുണയ്ക്കുന്നു:

Psk-crack -d /usr/share/ike-scan/psk-crack-dictionary key.psk

എന്നാൽ PSK വിജയകരമായി പുനഃസ്ഥാപിക്കുന്നത് പോലും (ചിത്രം 8 കാണുക) യുദ്ധത്തിന്റെ പകുതി മാത്രമാണ്. ഈ ഘട്ടത്തിൽ, അടുത്തതായി XAUTH ഉം രണ്ടാമത്തെ IPsec VPN ഘടകവും ഞങ്ങളെ കാത്തിരിക്കുന്നുവെന്ന് നാം ഓർക്കേണ്ടതുണ്ട്.

രണ്ടാമത്തെ IPsec ഘടകം കൈകാര്യം ചെയ്യുന്നു

അതിനാൽ, XAUTH ഒരു അധിക പരിരക്ഷയാണെന്നും രണ്ടാമത്തെ പ്രാമാണീകരണ ഘടകമാണെന്നും അത് ഘട്ടം 1.5 ആണെന്നും ഞാൻ നിങ്ങളെ ഓർമ്മിപ്പിക്കട്ടെ. XAUTH-ന് നിരവധി ഓപ്ഷനുകൾ ഉണ്ടാകാം - ഇത് RADIUS പ്രോട്ടോക്കോൾ, ഒറ്റത്തവണ പാസ്‌വേഡുകൾ (OTP), സാധാരണ പ്രാദേശിക ഉപയോക്തൃ ഡാറ്റാബേസ് എന്നിവ ഉപയോഗിച്ചുള്ള ഒരു പരിശോധനയാണ്. രണ്ടാമത്തെ ഘടകം പരിശോധിക്കാൻ പ്രാദേശിക ഉപയോക്തൃ അടിത്തറ ഉപയോഗിക്കുന്ന സ്റ്റാൻഡേർഡ് സാഹചര്യത്തിൽ ഞങ്ങൾ ശ്രദ്ധ കേന്ദ്രീകരിക്കും. അടുത്ത കാലം വരെ, പൊതുവായി ലഭ്യമായ XAUTH ബ്രൂട്ട് ഫോഴ്‌സ് ടൂൾ ഇല്ലായിരുന്നു. എന്നാൽ IKEForce ന്റെ വരവോടെ, ഈ ടാസ്ക്കിന് ഒരു യോഗ്യമായ പരിഹാരം ലഭിച്ചു. XAUTH ബ്രൂട്ട് ഫോഴ്‌സ് വളരെ ലളിതമായി വിക്ഷേപിച്ചു:

Python ikeforce.py 37.59.0.253 -b -i vpn -k cisco123 -u admin -w wordlists/passwd.txt -t 5 2 1 2 [+]പ്രോഗ്രാം XAUTH ബ്രൂട്ട് ഫോഴ്‌സ് മോഡിൽ ആരംഭിച്ചു [+]ഒറ്റ ഉപയോക്താവിന് നൽകിയത് - ബ്രൂട്ട് ഫോർക്കിംഗ് ഉപയോക്താവിനുള്ള പാസ്‌വേഡുകൾ: അഡ്മിൻ [*]XAUTH പ്രാമാണീകരണം വിജയകരം! ഉപയോക്തൃനാമം: അഡ്മിൻ പാസ്‌വേഡ്: സിസ്കോ

ഈ സാഹചര്യത്തിൽ, മുമ്പ് കണ്ടെത്തിയ എല്ലാ മൂല്യങ്ങളും സൂചിപ്പിച്ചിരിക്കുന്നു: ID (കീ -i), പുനഃസ്ഥാപിച്ച PSK (കീ -k), ലോഗിൻ (കീ -u). IKEForce ലോഗിൻ ബ്രൂട്ട്-ഫോഴ്‌സ് തിരയലിനെയും ലോഗിൻ ലിസ്റ്റിലൂടെയുള്ള ആവർത്തനത്തെയും പിന്തുണയ്ക്കുന്നു, അത് -U പാരാമീറ്റർ ഉപയോഗിച്ച് വ്യക്തമാക്കാം. സാധ്യമായ മാച്ച് തടയൽ സാഹചര്യത്തിൽ, ബ്രൂട്ട് ഫോഴ്സിന്റെ വേഗത കുറയ്ക്കാൻ നിങ്ങളെ അനുവദിക്കുന്ന -s ഓപ്ഷൻ ഉണ്ട്. വഴിയിൽ, യൂട്ടിലിറ്റി നിരവധി നല്ല നിഘണ്ടുക്കൾക്കൊപ്പം വരുന്നു, പ്രത്യേകിച്ചും ഐഡി പാരാമീറ്ററിന്റെ മൂല്യം ക്രമീകരിക്കുന്നതിന് ഉപയോഗപ്രദമാണ്.

ആന്തരിക നെറ്റ്‌വർക്കിലേക്ക് പ്രവേശിക്കുന്നു

ഇപ്പോൾ ഞങ്ങൾക്ക് എല്ലാ ഡാറ്റയും ഉണ്ട്, അവസാന ഘട്ടം അവശേഷിക്കുന്നു - പ്രാദേശിക നെറ്റ്‌വർക്കിലേക്കുള്ള യഥാർത്ഥ നുഴഞ്ഞുകയറ്റം. ഇത് ചെയ്യുന്നതിന്, ഞങ്ങൾക്ക് ഒരുതരം VPN ക്ലയന്റ് ആവശ്യമാണ്, അതിൽ ധാരാളം ഉണ്ട്. എന്നാൽ കാളിയുടെ കാര്യത്തിൽ, നിങ്ങൾക്ക് ഇതിനകം മുൻകൂട്ടി ഇൻസ്റ്റാൾ ചെയ്തിട്ടുള്ള VPNC എളുപ്പത്തിൽ ഉപയോഗിക്കാം. ഇത് പ്രവർത്തിക്കുന്നതിന്, നിങ്ങൾ ഒരു കോൺഫിഗറേഷൻ ഫയൽ ശരിയാക്കേണ്ടതുണ്ട് - /etc/vpnc/vpn.conf . അത് ഇല്ലെങ്കിൽ, നിങ്ങൾ വ്യക്തമായ നിരവധി പാരാമീറ്ററുകൾ സൃഷ്ടിച്ച് പൂരിപ്പിക്കേണ്ടതുണ്ട്:

IPSec ഗേറ്റ്‌വേ 37.59.0.253 IPSec ID vpn IPSec രഹസ്യ cisco123 IKE Authmode psk Xauth ഉപയോക്തൃനാമം അഡ്മിൻ Xauth പാസ്‌വേഡ് cisco

മുമ്പത്തെ ഘട്ടങ്ങളിൽ കണ്ടെത്തിയ എല്ലാ ഡാറ്റയും ഉപയോഗിച്ചതായി ഞങ്ങൾ ഇവിടെ കാണുന്നു - രണ്ടാമത്തെ ഘടകത്തിന്റെ ഐഡി, PSK, ലോഗിൻ, പാസ്‌വേഡ് എന്നിവയുടെ മൂല്യം. അതിനുശേഷം, ഒരു കമാൻഡ് ഉപയോഗിച്ച് കണക്ഷൻ തന്നെ സംഭവിക്കുന്നു:

[ഇമെയിൽ പരിരക്ഷിതം]:~# vpnc vpn

പ്രവർത്തനരഹിതമാക്കുന്നതും വളരെ ലളിതമാണ്:

[ഇമെയിൽ പരിരക്ഷിതം]:~# vpnc-വിച്ഛേദിക്കുക

ifconfig tun0 കമാൻഡ് ഉപയോഗിച്ച് കണക്ഷൻ പ്രവർത്തിക്കുന്നുണ്ടോയെന്ന് നിങ്ങൾക്ക് പരിശോധിക്കാം.

ശക്തമായ സംരക്ഷണം എങ്ങനെ നിർമ്മിക്കാം

ഇന്ന് പരിഗണിക്കുന്ന ആക്രമണങ്ങൾക്കെതിരായ സംരക്ഷണം സമഗ്രമായിരിക്കണം: നിങ്ങൾ കൃത്യസമയത്ത് പാച്ചുകൾ ഇൻസ്റ്റാൾ ചെയ്യേണ്ടതുണ്ട്, സ്ഥിരമായ പ്രീ-ഷെയർ ചെയ്ത കീകൾ ഉപയോഗിക്കുക, സാധ്യമെങ്കിൽ ഡിജിറ്റൽ സർട്ടിഫിക്കറ്റുകൾ ഉപയോഗിച്ച് പൂർണ്ണമായും മാറ്റിസ്ഥാപിക്കേണ്ടതാണ്. പാസ്‌വേഡ് നയവും വിവര സുരക്ഷയുടെ മറ്റ് വ്യക്തമായ ഘടകങ്ങളും സുരക്ഷ ഉറപ്പാക്കുന്നതിൽ ഒരു പ്രധാന പങ്ക് വഹിക്കുന്നു. സ്ഥിതി ക്രമേണ മാറിക്കൊണ്ടിരിക്കുന്നുവെന്നതും ശ്രദ്ധിക്കേണ്ടതാണ്, കാലക്രമേണ IKEv2 മാത്രമേ നിലനിൽക്കൂ.

എന്താണ് ഫലം

ഞങ്ങൾ RA IPsec VPN ഓഡിറ്റ് പ്രക്രിയ വിശദമായി ഉൾപ്പെടുത്തിയിട്ടുണ്ട്. അതെ, തീർച്ചയായും, ഈ ടാസ്ക് വളരെ നിസ്സാരമാണ്. സ്വീകരിക്കേണ്ട നിരവധി ഘട്ടങ്ങളുണ്ട്, അവയിൽ ഓരോന്നിനും ബുദ്ധിമുട്ടുകൾ കാത്തിരിക്കാം, പക്ഷേ വിജയിക്കുകയാണെങ്കിൽ, ഫലം ശ്രദ്ധേയമാണ്. നെറ്റ്‌വർക്കിന്റെ ആന്തരിക ഉറവിടങ്ങളിലേക്ക് പ്രവേശനം നേടുന്നത് തുടർ പ്രവർത്തനത്തിനുള്ള വിശാലമായ സാധ്യത തുറക്കുന്നു. അതിനാൽ, നെറ്റ്‌വർക്ക് പരിധി സംരക്ഷിക്കുന്നതിനുള്ള ഉത്തരവാദിത്തമുള്ളവർ റെഡിമെയ്ഡ് ഡിഫോൾട്ട് ടെംപ്ലേറ്റുകളെ ആശ്രയിക്കരുത്, എന്നാൽ ഓരോ സുരക്ഷാ പാളിയും ശ്രദ്ധാപൂർവ്വം പരിഗണിക്കുക. നന്നായി, നുഴഞ്ഞുകയറ്റ പരിശോധനകൾ നടത്തുന്നവർക്ക്, കണ്ടെത്തിയ UDP പോർട്ട് 500, IPsec VPN സുരക്ഷയെക്കുറിച്ച് ആഴത്തിലുള്ള വിശകലനം നടത്താനും ഒരുപക്ഷേ നല്ല ഫലങ്ങൾ നേടാനുമുള്ള അവസരമാണ്.

0 ഈ ലേഖനം സിസ്കോ ഉൽപ്പന്നങ്ങളിൽ ലഭ്യമായ IPSEC (IP സെക്യൂരിറ്റി) യുടെയും അനുബന്ധ IPSec പ്രോട്ടോക്കോളുകളുടെയും ഒരു അവലോകനം നൽകുന്നു, കൂടാതെ വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്കുകൾ (VPN-കൾ) സൃഷ്ടിക്കാൻ ഉപയോഗിക്കുന്നു. ഈ ലേഖനത്തിൽ, IPSEC എന്താണെന്നും IPSEC-ന് അടിവരയിടുന്ന പ്രോട്ടോക്കോളുകളും സുരക്ഷാ അൽഗോരിതങ്ങളും എന്താണെന്നും ഞങ്ങൾ നിർവചിക്കും.

ആമുഖം

IP സെക്യൂരിറ്റി എന്നത് IP പാക്കറ്റുകളുടെ ഗതാഗതത്തിൽ എൻക്രിപ്ഷൻ, പ്രാമാണീകരണം, സുരക്ഷ എന്നിവയുമായി ബന്ധപ്പെട്ട പ്രോട്ടോക്കോളുകളുടെ ഒരു സ്യൂട്ടാണ്; അതിൽ ഇപ്പോൾ ഏകദേശം 20 സ്റ്റാൻഡേർഡ് പ്രൊപ്പോസലുകളും 18 RFC-കളും ഉൾപ്പെടുന്നു.

Cisco VPN ഉൽപ്പന്നങ്ങൾ IPSec പ്രോട്ടോക്കോൾ സ്യൂട്ട് ഉപയോഗിക്കുന്നു, ഇത് ഇന്ന് സമ്പന്നമായ VPN കഴിവുകൾ നൽകുന്നതിനുള്ള വ്യവസായ നിലവാരമാണ്. ഇൻറർനെറ്റ് പോലുള്ള സുരക്ഷിതമല്ലാത്ത നെറ്റ്‌വർക്കുകളിലൂടെ കൈമാറ്റം ചെയ്യപ്പെടുന്ന ഡാറ്റയുടെ രഹസ്യാത്മകത, സമഗ്രത, സാധുത എന്നിവ ഉറപ്പാക്കിക്കൊണ്ട് ഐപി നെറ്റ്‌വർക്കുകൾ വഴി ഡാറ്റ സുരക്ഷിതമായി കൈമാറുന്നതിനുള്ള ഒരു സംവിധാനം IPSec നൽകുന്നു. Cisco നെറ്റ്‌വർക്കുകളിൽ IPSec ഇനിപ്പറയുന്ന VPN കഴിവുകൾ നൽകുന്നു:

• ഡാറ്റ സ്വകാര്യത. IPSec ഡാറ്റ അയച്ചയാൾക്ക് നെറ്റ്‌വർക്കിലൂടെ പാക്കറ്റുകൾ കൈമാറുന്നതിന് മുമ്പ് അവയെ എൻക്രിപ്റ്റ് ചെയ്യാനുള്ള കഴിവുണ്ട്.
• ഡാറ്റ സമഗ്രത. IPSec ഡാറ്റ സ്വീകരിക്കുന്നയാൾക്ക് ആശയവിനിമയം നടത്തുന്ന കക്ഷികളെയും (IPSec ടണലുകൾ ആരംഭിക്കുകയും അവസാനിക്കുകയും ചെയ്യുന്ന ഉപകരണങ്ങളോ സോഫ്‌റ്റ്‌വെയറോ) ആ കക്ഷികൾ അയച്ച IPSec പാക്കറ്റുകളും ആധികാരികമാക്കാനുള്ള കഴിവുണ്ട്.
• ഡാറ്റ ഒറിജിൻ പ്രാമാണീകരണം. IPSec റിസീവറിന് ലഭിക്കുന്ന IPSec പാക്കറ്റുകളുടെ ഉറവിടം പ്രാമാണീകരിക്കാനുള്ള കഴിവുണ്ട്. ഈ സേവനം ഡാറ്റാ ഇന്റഗ്രിറ്റി സേവനത്തെ ആശ്രയിച്ചിരിക്കുന്നു.
• പ്ലേ സംരക്ഷണം. ഒരു IPSec റിസീവറിന് വീണ്ടും പ്ലേ ചെയ്‌ത പാക്കറ്റുകൾ കണ്ടെത്താനും നിരസിക്കാനും കഴിയും, ഇത് കബളിപ്പിക്കപ്പെടുന്നതിൽ നിന്നും മാൻ-ഇൻ-ദി-മിഡിൽ ആക്രമണങ്ങളിൽ നിന്നും തടയുന്നു.

സുരക്ഷാ പ്രോട്ടോക്കോളുകളുടെയും അൽഗോരിതങ്ങളുടെയും സ്റ്റാൻഡേർഡ് അധിഷ്ഠിത സെറ്റാണ് IPSec. IPSec സാങ്കേതികവിദ്യയും അനുബന്ധ സുരക്ഷാ പ്രോട്ടോക്കോളുകളും IETF (ഇന്റർനെറ്റ് എഞ്ചിനീയറിംഗ് ടാസ്‌ക് ഫോഴ്‌സ്) പരിപാലിക്കുന്ന ഓപ്പൺ സ്റ്റാൻഡേർഡുകളുമായി പൊരുത്തപ്പെടുന്നു, കൂടാതെ RFC സ്പെസിഫിക്കേഷനുകളിലും IETF ഡ്രാഫ്റ്റുകളിലും വിവരിച്ചിരിക്കുന്നു. IPSec നെറ്റ്‌വർക്ക് ലെയറിൽ പ്രവർത്തിക്കുന്നു, Cisco റൂട്ടറുകൾ, PIX ഫയർവാളുകൾ, Cisco VPN ക്ലയന്റുകളും കോൺസെൻട്രേറ്ററുകളും പോലെയുള്ള IPSec ഉപകരണങ്ങൾ (പാർട്ടികൾ)ക്കിടയിൽ അയയ്‌ക്കുന്ന IP പാക്കറ്റുകൾക്ക് സുരക്ഷയും പ്രാമാണീകരണവും കൂടാതെ IPSec-നെ പിന്തുണയ്ക്കുന്ന മറ്റ് നിരവധി ഉൽപ്പന്നങ്ങളും നൽകുന്നു. IPSec പിന്തുണ ഏറ്റവും ചെറിയ നെറ്റ്‌വർക്കുകളിൽ നിന്ന് വളരെ വലിയ നെറ്റ്‌വർക്കുകളിലേക്ക് സ്കെയിലിംഗ് അനുവദിക്കുന്നു.

സെക്യൂരിറ്റി അസോസിയേഷൻ (SA)

ആശയവിനിമയം നടത്തുന്ന കക്ഷികൾ തമ്മിലുള്ള ആശയവിനിമയങ്ങൾ ആധികാരികമാക്കുന്നതിനും എൻക്രിപ്റ്റ് ചെയ്യുന്നതിനുമുള്ള ഒരു സാധാരണ മാർഗം IPSec നൽകുന്നു. ആശയവിനിമയങ്ങൾ സുരക്ഷിതമാക്കുന്നതിന്, വിവർത്തനങ്ങൾ എന്ന് വിളിക്കപ്പെടുന്ന സ്റ്റാൻഡേർഡ് എൻക്രിപ്ഷനും പ്രാമാണീകരണ അൽഗോരിതങ്ങളും (അതായത്, ഗണിതശാസ്ത്ര ഫോർമുലകൾ) IPSec ഉപയോഗിക്കുന്നു. കക്ഷികൾക്കിടയിൽ പരസ്പര പ്രവർത്തനക്ഷമത സാധ്യമാക്കുന്നതിന് എൻക്രിപ്ഷൻ കീ ചർച്ചകൾക്കും കണക്ഷൻ മാനേജ്മെന്റിനും IPSec ഓപ്പൺ സ്റ്റാൻഡേർഡുകൾ ഉപയോഗിക്കുന്നു. IPSec ടെക്നോളജി, IPSec കക്ഷികളെ സേവനങ്ങളുടെ അംഗീകൃത ഉപയോഗത്തെക്കുറിച്ച് "ചർച്ച നടത്താൻ" അനുവദിക്കുന്ന രീതികൾ നൽകുന്നു. ചർച്ച ചെയ്യുന്നതിനുള്ള പാരാമീറ്ററുകൾ വ്യക്തമാക്കുന്നതിന് IPSec സുരക്ഷാ അസോസിയേഷനുകൾ ഉപയോഗിക്കുന്നു.

ഡിഫൻസ് അസോസിയേഷൻ(സെക്യൂരിറ്റി അസോസിയേഷൻ - എസ്എ) ആശയവിനിമയം നടത്തുന്ന കക്ഷികളുടെ രണ്ട് ഉപകരണങ്ങൾക്കിടയിൽ കൈമാറ്റം ചെയ്യപ്പെടേണ്ട ഡാറ്റ കൈകാര്യം ചെയ്യുന്നതിനുള്ള ഒരു അംഗീകരിച്ച നയമോ രീതിയോ ആണ്. അത്തരം നയത്തിന്റെ ഘടകങ്ങളിലൊന്ന് ഡാറ്റ എൻക്രിപ്റ്റ് ചെയ്യാൻ ഉപയോഗിക്കുന്ന അൽഗോരിതം ആയിരിക്കാം. രണ്ട് കക്ഷികൾക്കും എൻക്രിപ്ഷനും ഡീക്രിപ്ഷനും ഒരേ അൽഗോരിതം ഉപയോഗിക്കാം. സാധുവായ SA പാരാമീറ്ററുകൾ ഇരുവശത്തുമുള്ള സെക്യൂരിറ്റി അസോസിയേഷൻ ഡാറ്റാബേസിൽ (SAD) സംഭരിച്ചിരിക്കുന്നു.

SA-യുടെ ഇരുവശത്തുമുള്ള രണ്ട് കമ്പ്യൂട്ടറുകൾ SA-യിൽ ഉപയോഗിക്കുന്ന മോഡ്, പ്രോട്ടോക്കോൾ, അൽഗോരിതം, കീകൾ എന്നിവ സംഭരിക്കുന്നു. ഓരോ എസ്എയും ഒരു ദിശയിൽ മാത്രമാണ് ഉപയോഗിക്കുന്നത്. ദ്വിദിശ ആശയവിനിമയത്തിന് രണ്ട് എസ്എമാർ ആവശ്യമാണ്. ഓരോ എസ്എയും ഒരു മോഡും പ്രോട്ടോക്കോളും നടപ്പിലാക്കുന്നു; അതിനാൽ, ഒരു പാക്കറ്റിനായി രണ്ട് പ്രോട്ടോക്കോളുകൾ (AH, ESP എന്നിവ) ഉപയോഗിക്കണമെങ്കിൽ, രണ്ട് SA-കൾ ആവശ്യമാണ്.

IPSec പാർട്ടി പ്രാമാണീകരണം, IKE, IPSec സെക്യൂരിറ്റി അസോസിയേഷൻ പാരാമീറ്ററുകളുടെ ചർച്ചകൾ, IPSec-നുള്ളിൽ ഉപയോഗിക്കുന്ന എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങൾക്കുള്ള കീ തിരഞ്ഞെടുക്കൽ എന്നിങ്ങനെയുള്ള പ്രത്യേക സേവനങ്ങൾ നൽകുന്ന ഒരു ഹൈബ്രിഡ് പ്രോട്ടോക്കോൾ ആണ് ഇന്റർനെറ്റ് കീ എക്സ്ചേഞ്ച് (IKE) പ്രോട്ടോക്കോൾ. IKE പ്രോട്ടോക്കോൾ ഇന്റർനെറ്റ് സെക്യൂരിറ്റി അസോസിയേഷൻ, കീ മാനേജ്മെന്റ് പ്രോട്ടോക്കോൾ (ISAKMP), Oakley പ്രോട്ടോക്കോളുകൾ എന്നിവയെ അടിസ്ഥാനമാക്കിയുള്ളതാണ്, ഇത് IPSec പരിവർത്തനങ്ങളിൽ ഉപയോഗിക്കുന്ന എൻക്രിപ്ഷൻ കീകളുടെ ജനറേഷനും പ്രോസസ്സിംഗും നിയന്ത്രിക്കാൻ ഉപയോഗിക്കുന്നു. സാധ്യതയുള്ള IPSec പാർട്ടികൾക്കിടയിൽ സുരക്ഷാ അസോസിയേഷനുകൾ രൂപീകരിക്കുന്നതിനും IKE പ്രോട്ടോക്കോൾ ഉപയോഗിക്കുന്നു.
ആശയവിനിമയ പാരാമീറ്ററുകൾ വ്യക്തമാക്കുന്നതിന് IKE ഉം IPSec ഉം സുരക്ഷാ അസോസിയേഷനുകൾ ഉപയോഗിക്കുന്നു.
പ്രോട്ടോക്കോളുകളിൽ ഉപയോഗിക്കുന്നതിനായി IKE വിവിധ പ്രാകൃത ഫംഗ്ഷനുകളുടെ ഒരു കൂട്ടം പിന്തുണയ്ക്കുന്നു. അവയിൽ ഹാഷ് ഫംഗ്ഷനും കപട-റാൻഡം ഫംഗ്ഷനും (പിആർഎഫ്) ഉൾപ്പെടുന്നു.

ഹാഷ് ഫംഗ്ഷൻകൂട്ടിയിടി-പ്രതിരോധ പ്രവർത്തനമാണ്. കൂട്ടിയിടി പ്രതിരോധം എന്നതുകൊണ്ട് ഉദ്ദേശിക്കുന്നത് m1, m2 എന്നീ രണ്ട് വ്യത്യസ്ത സന്ദേശങ്ങൾ കണ്ടെത്തുന്നത് അസാധ്യമാണ് എന്നതാണ്.

H(m1)=H(m2), ഇവിടെ H ആണ് ഹാഷ് ഫംഗ്‌ഷൻ.

കപട-റാൻഡം ഫംഗ്ഷനുകളെ സംബന്ധിച്ച്, നിലവിൽ, പ്രത്യേക PRF-കൾക്ക് പകരം, HMAC ഡിസൈനിൽ ഒരു ഹാഷ് ഫംഗ്ഷൻ ഉപയോഗിക്കുന്നു (HMAC എന്നത് ഹാഷ് ഫംഗ്ഷനുകൾ ഉപയോഗിച്ചുള്ള ഒരു സന്ദേശ പ്രാമാണീകരണ സംവിധാനമാണ്). HMAC നിർവചിക്കുന്നതിന്, ഞങ്ങൾക്ക് ഒരു ക്രിപ്‌റ്റോഗ്രാഫിക് ഹാഷ് ഫംഗ്‌ഷനും (H എന്ന് സൂചിപ്പിച്ചിരിക്കുന്നു) ഒരു രഹസ്യ കീയും ആവശ്യമാണ്. ഡാറ്റ ബ്ലോക്കുകളുടെ ഒരു ശ്രേണിയിലേക്ക് തുടർച്ചയായി പ്രയോഗിക്കുന്ന കംപ്രഷൻ നടപടിക്രമം ഉപയോഗിച്ച് ഡാറ്റ ഹാഷ് ചെയ്യുന്ന ഒരു ഹാഷ് ഫംഗ്‌ഷനാണ് H എന്ന് ഞങ്ങൾ അനുമാനിക്കുന്നു. ബൈറ്റുകളിൽ അത്തരം ബ്ലോക്കുകളുടെ നീളവും ഹാഷിംഗിന്റെ ഫലമായി ലഭിച്ച ബ്ലോക്കുകളുടെ ദൈർഘ്യവും ഞങ്ങൾ B കൊണ്ട് സൂചിപ്പിക്കും - L (L
ഐപാഡ് = ബൈറ്റ് 0x36 ആവർത്തിച്ചുള്ള ബി തവണ;
opad = ബൈറ്റ് 0x5C ആവർത്തിച്ചുള്ള B തവണ.

"ടെക്സ്റ്റ്" ഡാറ്റയിൽ നിന്ന് HMAC കണക്കാക്കാൻ, നിങ്ങൾ ഇനിപ്പറയുന്ന പ്രവർത്തനം നടത്തേണ്ടതുണ്ട്:

H(K XOR opad, H(K XOR ipad, text))

പാർട്ടികളെ ആധികാരികമാക്കാൻ IKE HASH മൂല്യങ്ങൾ ഉപയോഗിക്കുന്നു എന്ന വിവരണത്തിൽ നിന്ന് ഇത് പിന്തുടരുന്നു. ഈ സാഹചര്യത്തിൽ HASH എന്നാൽ ISAKMP-യിലെ പേലോഡ് നാമം മാത്രമാണ് അർത്ഥമാക്കുന്നത്, ഈ പേരിന് അതിന്റെ ഉള്ളടക്കവുമായി യാതൊരു ബന്ധവുമില്ല.

IPSec ഇൻഫ്രാസ്ട്രക്ചർ

IPSec VPN-കൾ വിവിധ സിസ്‌കോ ഉപകരണങ്ങൾ ഉപയോഗിച്ച് നിർമ്മിക്കാം - Cisco റൂട്ടറുകൾ, Cisco Secure PIX Firewalls, Cisco Secure VPN ക്ലയന്റ് സോഫ്റ്റ്‌വെയർ, Cisco VPN 3000, 5000 സീരീസ് കോൺസെൻട്രേറ്ററുകൾ. IOS, നെറ്റ്‌വർക്ക് സൊല്യൂഷനുകളുടെ സങ്കീർണ്ണത കുറയ്ക്കുകയും മൊത്തത്തിലുള്ള ചിലവ് കുറയ്ക്കുകയും ചെയ്യുന്നു. നൽകിയിരിക്കുന്ന സേവനങ്ങളുടെ മൾട്ടി-ലെവൽ പരിരക്ഷ നിർമ്മിക്കുമ്പോൾ VPN. ഉയർന്ന ത്രൂപുട്ടും മികച്ച ഫയർവാൾ പ്രവർത്തനക്ഷമതയും ഉള്ള ടണൽ എൻഡ്‌പോയിന്റുകളെ സേവിക്കാൻ കഴിയുന്ന ഉയർന്ന പ്രകടനമുള്ള നെറ്റ്‌വർക്ക് ഉപകരണമാണ് PIX ഫയർവാൾ. CiscoSecure VPN ക്ലയന്റ് സോഫ്‌റ്റ്‌വെയർ ഇ-കൊമേഴ്‌സിനും മൊബൈൽ ആക്‌സസ്സ് ആപ്ലിക്കേഷനുകൾക്കുമുള്ള ഏറ്റവും കർശനമായ റിമോട്ട് ആക്‌സസ് VPN ആവശ്യകതകളെ പിന്തുണയ്‌ക്കുന്നു, IPSec മാനദണ്ഡങ്ങൾ പൂർണ്ണമായി നടപ്പിലാക്കുകയും Cisco റൂട്ടറുകൾക്കും PIX ഫയർവാളുകൾക്കുമിടയിൽ വിശ്വസനീയമായ പരസ്പര പ്രവർത്തനക്ഷമത ഉറപ്പാക്കുകയും ചെയ്യുന്നു.

IPSec എങ്ങനെ പ്രവർത്തിക്കുന്നു

IPSec നിരവധി സാങ്കേതിക പരിഹാരങ്ങളെയും എൻക്രിപ്ഷൻ രീതികളെയും ആശ്രയിക്കുന്നു, എന്നാൽ IPSec ന്റെ പ്രവർത്തനം ഇനിപ്പറയുന്ന പ്രധാന ഘട്ടങ്ങളിൽ സംഗ്രഹിക്കാം:

• ഘട്ടം 1: IPSec പ്രക്രിയ ആരംഭിക്കുക. IPSec കക്ഷികൾ ചർച്ച ചെയ്യുന്ന IPSec സുരക്ഷാ നയം അനുസരിച്ച് എൻക്രിപ്റ്റ് ചെയ്യേണ്ട ട്രാഫിക് IKE പ്രക്രിയ ആരംഭിക്കുന്നു.
• ഘട്ടം 2 ഘട്ടം IKE. IKE പ്രക്രിയ IPSec പാർട്ടികളെ ആധികാരികമാക്കുകയും IKE സെക്യൂരിറ്റി അസോസിയേഷൻ പാരാമീറ്ററുകൾ ചർച്ച ചെയ്യുകയും ചെയ്യുന്നു, IKE യുടെ രണ്ടാം ഘട്ടത്തിൽ IPSec സെക്യൂരിറ്റി അസോസിയേഷൻ പാരാമീറ്ററുകൾ ചർച്ച ചെയ്യുന്നതിനായി ഒരു സുരക്ഷിത ചാനൽ സൃഷ്ടിക്കുന്നു.
• IKE യുടെ ഘട്ടം 3 ഘട്ടം 2. IKE പ്രോസസ്സ് IPSec സെക്യൂരിറ്റി അസോസിയേഷൻ പാരാമീറ്ററുകൾ ചർച്ച ചെയ്യുകയും ആശയവിനിമയം നടത്തുന്ന പാർട്ടി ഉപകരണങ്ങൾക്കായി ഉചിതമായ IPSec സുരക്ഷാ അസോസിയേഷനുകൾ സ്ഥാപിക്കുകയും ചെയ്യുന്നു.
• ഘട്ടം 4. ഡാറ്റ കൈമാറ്റം. IPSec കമ്മ്യൂണിക്കേഷൻ പാർട്ടികൾക്കിടയിൽ ആശയവിനിമയം നടക്കുന്നു, ഇത് IPSec പാരാമീറ്ററുകളും സെക്യൂരിറ്റി അസോസിയേഷൻ ഡാറ്റാബേസിൽ സംഭരിച്ചിരിക്കുന്ന കീകളും അടിസ്ഥാനമാക്കിയുള്ളതാണ്.
• ഘട്ടം 5: IPSec ടണൽ അവസാനിപ്പിക്കുക. IPSec സെക്യൂരിറ്റി അസോസിയേഷനുകൾ ഇല്ലാതാക്കിയതിന്റെ ഫലമായി അല്ലെങ്കിൽ അവരുടെ ആയുഷ്കാല പരിധി കവിഞ്ഞതിനാലോ അവസാനിപ്പിക്കപ്പെടുന്നു.

ഇനിപ്പറയുന്ന വിഭാഗങ്ങൾ ഈ ഘട്ടങ്ങൾ കൂടുതൽ വിശദമായി വിവരിക്കുന്നു.

IPSec നിരവധി സാങ്കേതിക പരിഹാരങ്ങളെയും എൻക്രിപ്ഷൻ രീതികളെയും ആശ്രയിക്കുന്നു, എന്നാൽ IPSec ന്റെ പ്രവർത്തനം ഇനിപ്പറയുന്ന പ്രധാന ഘട്ടങ്ങളിൽ സംഗ്രഹിക്കാം:

ഘട്ടം 1. IPSec പ്രക്രിയ ആരംഭിക്കുന്നു. IPSec കക്ഷികൾ ചർച്ച ചെയ്യുന്ന IPSec സുരക്ഷാ നയം അനുസരിച്ച് എൻക്രിപ്റ്റ് ചെയ്യേണ്ട ട്രാഫിക് IKE പ്രക്രിയ ആരംഭിക്കുന്നു.

ഘട്ടം 2 IKE യുടെ ആദ്യ ഘട്ടം. IKE പ്രക്രിയ IPSec പാർട്ടികളെ ആധികാരികമാക്കുകയും IKE സെക്യൂരിറ്റി അസോസിയേഷൻ പാരാമീറ്ററുകൾ ചർച്ച ചെയ്യുകയും ചെയ്യുന്നു, IKE യുടെ രണ്ടാം ഘട്ടത്തിൽ IPSec സെക്യൂരിറ്റി അസോസിയേഷൻ പാരാമീറ്ററുകൾ ചർച്ച ചെയ്യുന്നതിനായി ഒരു സുരക്ഷിത ചാനൽ സൃഷ്ടിക്കുന്നു.

ഘട്ടം 3 IKE യുടെ രണ്ടാം ഘട്ടം. IKE പ്രോസസ്സ് IPSec സെക്യൂരിറ്റി അസോസിയേഷൻ പാരാമീറ്ററുകൾ ചർച്ച ചെയ്യുകയും ആശയവിനിമയം നടത്തുന്ന പാർട്ടി ഉപകരണങ്ങൾക്കായി ഉചിതമായ IPSec സുരക്ഷാ അസോസിയേഷനുകൾ സ്ഥാപിക്കുകയും ചെയ്യുന്നു.

ഘട്ടം 4 ഡാറ്റ കൈമാറ്റം. IPSec കമ്മ്യൂണിക്കേഷൻ പാർട്ടികൾക്കിടയിൽ ആശയവിനിമയം നടക്കുന്നു, ഇത് IPSec പാരാമീറ്ററുകളും സെക്യൂരിറ്റി അസോസിയേഷൻ ഡാറ്റാബേസിൽ സംഭരിച്ചിരിക്കുന്ന കീകളും അടിസ്ഥാനമാക്കിയുള്ളതാണ്.

ഘട്ടം 5 ഒരു IPSec ടണൽ അവസാനിപ്പിക്കുന്നു. IPSec സെക്യൂരിറ്റി അസോസിയേഷനുകൾ ഇല്ലാതാക്കിയതിന്റെ ഫലമായി അല്ലെങ്കിൽ അവരുടെ ആയുഷ്കാല പരിധി കവിഞ്ഞതിനാലോ അവസാനിപ്പിക്കപ്പെടുന്നു.

IPsec ഓപ്പറേറ്റിംഗ് മോഡുകൾ

IPSec-ന് രണ്ട് പ്രവർത്തന രീതികളുണ്ട്: ഗതാഗതവും തുരങ്കവും.

ഗതാഗത മോഡിൽ, IP പാക്കറ്റിന്റെ വിവരദായകമായ ഭാഗം മാത്രമേ എൻക്രിപ്റ്റ് ചെയ്തിട്ടുള്ളൂ. ഐപി പാക്കറ്റിന്റെ തലക്കെട്ട് മാറ്റാത്തതിനാൽ റൂട്ടിംഗിനെ ബാധിക്കില്ല. ഹോസ്റ്റുകൾക്കിടയിൽ ഒരു കണക്ഷൻ സ്ഥാപിക്കാൻ ട്രാൻസ്പോർട്ട് മോഡ് സാധാരണയായി ഉപയോഗിക്കുന്നു.

ടണൽ മോഡിൽ, മുഴുവൻ IP പാക്കറ്റും എൻക്രിപ്റ്റ് ചെയ്തിരിക്കുന്നു. ഇത് നെറ്റ്‌വർക്കിലൂടെ കൈമാറ്റം ചെയ്യുന്നതിനായി, അത് മറ്റൊരു ഐപി പാക്കറ്റിൽ സ്ഥാപിച്ചിരിക്കുന്നു. അങ്ങനെ, ഒരു സുരക്ഷിത ഐപി ടണൽ ലഭിക്കും. ഒരു വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്കിലേക്ക് റിമോട്ട് കമ്പ്യൂട്ടറുകളെ ബന്ധിപ്പിക്കുന്നതിനോ ഒരു വെർച്വൽ പ്രൈവറ്റ് നെറ്റ്‌വർക്കിന്റെ വിവിധ ഭാഗങ്ങളെ ബന്ധിപ്പിക്കുന്നതിന് ഗേറ്റ്‌വേകൾക്കിടയിൽ തുറന്ന ആശയവിനിമയ ചാനലുകളിലൂടെ (ഇന്റർനെറ്റ്) സുരക്ഷിതമായ ഡാറ്റ ട്രാൻസ്മിഷൻ സംഘടിപ്പിക്കുന്നതിനോ ടണൽ മോഡ് ഉപയോഗിക്കാം.

IPSec പരിവർത്തന ചർച്ചകൾ

IKE പ്രോട്ടോക്കോളിന്റെ പ്രവർത്തന സമയത്ത്, IPSec പരിവർത്തനങ്ങൾ (IPSec സുരക്ഷാ അൽഗോരിതം) ചർച്ച ചെയ്യപ്പെടുന്നു. IPSec രൂപാന്തരങ്ങളും അവയുടെ അനുബന്ധ എൻക്രിപ്ഷൻ അൽഗോരിതങ്ങളും ഇനിപ്പറയുന്നവയാണ്:

AH പ്രോട്ടോക്കോൾ (ഓതന്റിക്കേഷൻ ഹെഡർ - ആധികാരികത തലക്കെട്ട്).പ്രാമാണീകരണവും (ഓപ്ഷണലായി) ഒരു റീപ്ലേ ഡിറ്റക്ഷൻ സേവനവും നൽകുന്ന ഒരു സുരക്ഷാ പ്രോട്ടോക്കോൾ. AH പ്രോട്ടോക്കോൾ ഒരു ഡിജിറ്റൽ സിഗ്നേച്ചറായി പ്രവർത്തിക്കുകയും IP പാക്കറ്റിലെ ഡാറ്റയിൽ കൃത്രിമം കാണിക്കുന്നില്ലെന്ന് ഉറപ്പാക്കുകയും ചെയ്യുന്നു. AH പ്രോട്ടോക്കോൾ ഒരു ഡാറ്റ എൻക്രിപ്ഷനും ഡീക്രിപ്ഷൻ സേവനവും നൽകുന്നില്ല. ഈ പ്രോട്ടോക്കോൾ ഒറ്റയ്ക്കോ ESP പ്രോട്ടോക്കോളുമായി ചേർന്നോ ഉപയോഗിക്കാം.

ESP (എൻക്യാപ്സുലേറ്റിംഗ് സെക്യൂരിറ്റി പേലോഡ്) പ്രോട്ടോക്കോൾ.സ്വകാര്യതയും ഡാറ്റ പരിരക്ഷയും നൽകുന്ന ഒരു സുരക്ഷാ പ്രോട്ടോക്കോൾ, കൂടാതെ ഓപ്ഷണലായി ഒരു പ്രാമാണീകരണവും റീപ്ലേ ഡിറ്റക്ഷൻ സേവനവും. ഐപി പാക്കറ്റുകളുടെ പേലോഡ് എൻക്രിപ്റ്റ് ചെയ്യാൻ Cisco IPSec- പ്രാപ്തമാക്കിയ ഉൽപ്പന്നങ്ങൾ ESP ഉപയോഗിക്കുന്നു. ESP പ്രോട്ടോക്കോൾ ഒറ്റയ്ക്കോ AH-നൊപ്പം ചേർന്നോ ഉപയോഗിക്കാം.

DES സ്റ്റാൻഡേർഡ് (ഡാറ്റ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ് - ഡാറ്റ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ്).പാക്കറ്റ് ഡാറ്റ എൻക്രിപ്ഷനും ഡീക്രിപ്ഷൻ അൽഗോരിതവും. IPSec, IKE എന്നിവയിൽ DES അൽഗോരിതം ഉപയോഗിക്കുന്നു. DES അൽഗോരിതം ഒരു 56-ബിറ്റ് കീ ഉപയോഗിക്കുന്നു, അതായത് കമ്പ്യൂട്ടിംഗ് ഉറവിടങ്ങളുടെ ഉയർന്ന ഉപഭോഗം മാത്രമല്ല, ശക്തമായ എൻക്രിപ്ഷനും. ഓരോ IPSec ആശയവിനിമയ കക്ഷികളുടെയും ഉപകരണങ്ങളിൽ സമാനമായ രഹസ്യ എൻക്രിപ്ഷൻ കീകൾ ആവശ്യമുള്ള ഒരു സമമിതി എൻക്രിപ്ഷൻ അൽഗോരിതം ആണ് DES അൽഗോരിതം. ഡിഫി-ഹെൽമാൻ അൽഗോരിതം സമമിതി കീകൾ സൃഷ്ടിക്കാൻ ഉപയോഗിക്കുന്നു. IKE, IPSec എന്നിവ സന്ദേശങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യാൻ DES അൽഗോരിതം ഉപയോഗിക്കുന്നു.

"ട്രിപ്പിൾ" DES (3DES).മൂന്ന് വ്യത്യസ്ത കീകളുള്ള സ്റ്റാൻഡേർഡ് ഡിഇഎസിന്റെ മൂന്ന് ആവർത്തനങ്ങളുടെ ഉപയോഗത്തെ അടിസ്ഥാനമാക്കിയുള്ള ഡിഇഎസിന്റെ ഒരു വകഭേദം, ഡിഇഎസിന്റെ ശക്തിയെ ഫലപ്രദമായി മൂന്നിരട്ടിയാക്കുന്നു. ഒരു ഡാറ്റ സ്ട്രീം എൻക്രിപ്റ്റ് ചെയ്യാനും ഡീക്രിപ്റ്റ് ചെയ്യാനും IPSec-നുള്ളിൽ 3DES അൽഗോരിതം ഉപയോഗിക്കുന്നു. ഈ അൽഗോരിതം 168-ബിറ്റ് കീ ഉപയോഗിക്കുന്നു, ഇത് ഉയർന്ന എൻക്രിപ്ഷൻ ശക്തി ഉറപ്പ് നൽകുന്നു. സന്ദേശങ്ങൾ എൻക്രിപ്റ്റ് ചെയ്യാൻ IKE, IPSec എന്നിവ 3DES അൽഗോരിതം ഉപയോഗിക്കുന്നു.

എഇഎസ്(വിപുലമായ എൻക്രിപ്ഷൻ സ്റ്റാൻഡേർഡ്)). AES പ്രോട്ടോക്കോൾ Rine Dale4 എൻക്രിപ്ഷൻ അൽഗോരിതം ഉപയോഗിക്കുന്നു, ഇത് കൂടുതൽ ശക്തമായ എൻക്രിപ്ഷൻ നൽകുന്നു. പല ക്രിപ്‌റ്റോഗ്രാഫർമാരും AES ഹാക്ക് ചെയ്യാൻ കഴിയില്ലെന്ന് വിശ്വസിക്കുന്നു. AES ആണ് ഇപ്പോൾ ഫെഡറൽ ഇൻഫർമേഷൻ പ്രോസസ്സിംഗ് സ്റ്റാൻഡേർഡ്. സെൻസിറ്റീവായതും എന്നാൽ തരംതിരിക്കപ്പെടാത്തതുമായ വിവരങ്ങൾ പരിരക്ഷിക്കുന്നതിന് യുഎസ് ഗവൺമെന്റ് ഓർഗനൈസേഷനുകൾ ഉപയോഗിക്കുന്നതിനുള്ള ഒരു എൻക്രിപ്ഷൻ അൽഗോരിതം എന്നാണ് ഇത് നിർവചിച്ചിരിക്കുന്നത്. സമാനമായ പ്രോട്ടോക്കോളുകളുമായി താരതമ്യപ്പെടുത്തുമ്പോൾ AES- യുടെ പ്രശ്നം ഇതിന് വളരെയധികം പ്രോസസ്സിംഗ് പവർ ആവശ്യമാണ് എന്നതാണ്.

ഡാറ്റ ആധികാരികത നൽകുന്നതിന് IPSec പരിവർത്തനം രണ്ട് സ്റ്റാൻഡേർഡ് ഹാഷിംഗ് അൽഗോരിതങ്ങളും ഉപയോഗിക്കുന്നു.

അൽഗോരിതം MD5 (സന്ദേശം ഡൈജസ്റ്റ് 5).ഡാറ്റ പാക്കറ്റുകൾ ആധികാരികമാക്കാൻ ഉപയോഗിക്കുന്ന ഹാഷിംഗ് അൽഗോരിതം. സിസ്‌കോ ഉൽപ്പന്നങ്ങൾ ഹാഷിംഗിലൂടെ അധിക സുരക്ഷ നൽകുന്ന സന്ദേശ പ്രാമാണീകരണ കോഡിന്റെ ഒരു വകഭേദമായ MD5-കണക്കുകൂട്ടിയ HMAC (ഹാഷ്ഡ് മെസേജ് ഓതന്റിക്കേഷൻ കോഡ്) ഉപയോഗിക്കുന്നു. അനിയന്ത്രിതമായ ദൈർഘ്യമുള്ള ഒരു ഇൻപുട്ട് സന്ദേശത്തിനായി ഒരു നിശ്ചിത ദൈർഘ്യമുള്ള ഔട്ട്പുട്ട് ഉൽപ്പാദിപ്പിക്കുന്ന ഒരു വൺ-വേ (അതായത്, മാറ്റാനാവാത്ത) എൻക്രിപ്ഷൻ പ്രക്രിയയാണ് ഹാഷിംഗ്. ഡാറ്റ പ്രാമാണീകരണത്തിനായി IKE, AH, ESP എന്നിവ MD5 ഉപയോഗിക്കുന്നു.

അൽഗോരിതം SHA-1 (സുരക്ഷിത ഹാഷ് അൽഗോരിതം-1 -- സുരക്ഷിത ഹാഷിംഗ് അൽഗോരിതം 1).ഡാറ്റ പാക്കറ്റുകൾ ആധികാരികമാക്കാൻ ഉപയോഗിക്കുന്ന ഹാഷിംഗ് അൽഗോരിതം. SHA-1 ഉപയോഗിച്ച് കണക്കാക്കിയ HMAC കോഡിന്റെ ഒരു വകഭേദമാണ് സിസ്കോ ഉൽപ്പന്നങ്ങൾ ഉപയോഗിക്കുന്നത്. ഡാറ്റ പ്രാമാണീകരണത്തിനായി IKE, AH, ESP എന്നിവ SHA-1 ഉപയോഗിക്കുന്നു.

IKE പ്രോട്ടോക്കോളിനുള്ളിൽ, DES, 3DES, MD5, SHA എന്നിവ ഉപയോഗിക്കുന്ന Diffie-Hellman അൽഗോരിതം ഉപയോഗിച്ച് സമമിതി കീകൾ സൃഷ്ടിക്കപ്പെടുന്നു. പൊതു കീകളുടെ ഉപയോഗത്തെ അടിസ്ഥാനമാക്കിയുള്ള ഒരു ക്രിപ്റ്റോഗ്രാഫിക് പ്രോട്ടോക്കോൾ ആണ് ഡിഫി-ഹെൽമാൻ പ്രോട്ടോക്കോൾ. മതിയായ വിശ്വസനീയമായ ആശയവിനിമയ ചാനൽ ഇല്ലാതെ തന്നെ പങ്കിട്ട രഹസ്യ കീയിൽ അംഗീകരിക്കാൻ ഇത് രണ്ട് കക്ഷികളെ അനുവദിക്കുന്നു. DES, HMAC അൽഗോരിതങ്ങൾക്ക് പങ്കിട്ട രഹസ്യങ്ങൾ ആവശ്യമാണ്. സെഷൻ കീകൾ സൃഷ്ടിക്കാൻ IKE-യിൽ Diffie-Hellman അൽഗോരിതം ഉപയോഗിക്കുന്നു. ഡിഫി-ഹെൽമാൻ (ഡിഎച്ച്) ഗ്രൂപ്പുകൾ - കീ എക്സ്ചേഞ്ച് നടപടിക്രമത്തിൽ ഉപയോഗിക്കുന്ന എൻക്രിപ്ഷൻ കീയുടെ "ശക്തി" നിർവ്വചിക്കുന്നു. ഉയർന്ന ഗ്രൂപ്പ് നമ്പർ, "ശക്തവും" കൂടുതൽ സുരക്ഷിതവുമായ കീ. എന്നിരുന്നാലും, ഡിഎച്ച് ഗ്രൂപ്പ് നമ്പറിന്റെ വർദ്ധനവിനൊപ്പം, കീയുടെ "ബലം", സുരക്ഷാ നില എന്നിവ വർദ്ധിക്കുന്നു എന്ന വസ്തുത കണക്കിലെടുക്കണം, എന്നാൽ അതേ സമയം സെൻട്രൽ പ്രൊസസറിലെ ലോഡ് വർദ്ധിക്കുന്നു, കാരണം കൂടുതൽ സമയവും വിഭവങ്ങളും ഒരു "ശക്തമായ" കീ സൃഷ്ടിക്കാൻ ആവശ്യമാണ്.

WatchGuard ഉപകരണങ്ങൾ DH ഗ്രൂപ്പുകൾ 1, 2, 5 എന്നിവയെ പിന്തുണയ്ക്കുന്നു:

DH ഗ്രൂപ്പ് 1: 768-ബിറ്റ് കീ

DH ഗ്രൂപ്പ് 2: 1024-ബിറ്റ് കീ

DH ഗ്രൂപ്പ് 5: 1536-ബിറ്റ് കീ

VPN വഴി ആശയവിനിമയം നടത്തുന്ന രണ്ട് ഉപകരണങ്ങളും ഒരേ DH ഗ്രൂപ്പ് ഉപയോഗിക്കണം. IPSec ഫേസ് 1 നടപടിക്രമത്തിൽ ഡിവൈസുകൾ ഉപയോഗിക്കേണ്ട DH ഗ്രൂപ്പ് തിരഞ്ഞെടുത്തു.