Descripción general de IPSec

99 0 0 0

Con el uso generalizado de GRE y L2TP, el "Tiandihui" privado (lit. Heaven and Earth Society, en referencia a los grupos de resistencia de la dinastía Qing) también se ha mantenido a la par de los tiempos, desplegando GREs de host a sub-hosts y L2TPs. Los hosts y subhostes utilizan los túneles GRE y L2TP para intercambiar y transmitir mensajes. La causa para "derrocar a la Dinastía Qing y restaurar la Dinastía Ming" está en pleno apogeo. Sin embargo, los buenos tiempos rara vez duran mucho tiempo, y muchos de los mensajes confidenciales transmitidos entre los hosts y los subhostes han sido confiscados por "funcionarios gubernamentales". Los grupos de clientes sub-host se han redondeado por docenas. Una corriente subterránea surge a través de Internet, y el camino por delante es peligroso.

 

Ante la vida y la muerte de la facción, el anfitrión Chen se apresuró a convocar una conferencia para discutir las contramedidas. El problema actual, ya sea GRE o L2TP, no se han tomado medidas de cifrado de seguridad para los túneles establecidos, y como tal, es demasiado fácil para los "funcionarios del gobierno" capturar mensajes confidenciales de texto simple transmitidos entre los hosts y los subhostes a través de Ambos túneles GRE y L2TP. Tiandihui se enfrentó con el problema de garantizar la transferencia segura de mensajes. Las líneas privadas son una solución posible, pero los tesoros del Sutra de 42 Capítulos aún no se han descubierto. Atado al dinero necesario para construir líneas privadas de host a subhost, Tiandihui debe buscar un recurso a través de un recurso común y existente: Internet.

 

Después de rendir homenaje al Anfitrión Supremo, Tiandihui finalmente encontró la respuesta: IPSec (Seguridad de IP). Como tecnología VPN de próxima generación, IPSec puede establecer líneas dedicadas seguras y estables a través de Internet. Comparado con los GRE y los L2TP, IPSec es más seguro y puede garantizar la transferencia segura de mensajes entre hosts y subhostes.

1 Cifrado y Autenticación

Discutir IPSec no es tarea fácil. No es una sola maniobra, sino más bien un conjunto de tácticas. IPSec inteligentemente toma prestado el arte de los fanáticos de la escuela de criptología y ha creado su propia combinación única de cambio de forma para un paso seguro a través de cambios de AH (encabezados de autenticación) y ESP (cargas de seguridad de encapsulación) para una identificación positiva para "devolver el jade intacto a su plataforma ** ul propietario ". Incluso si el mensaje es interceptado, nadie lo entendería, y cualquier mensaje que haya sido manipulado puede ser detectado casi al instante.

 

l Cambio de forma para un paso seguro - cifrado

 

Como se muestra en 5.1.1.1.1 Paso 11. Figura 1-1, IPSec toma prestado un truco simple: antes de que cada extremo transmita un mensaje, primero se usa un algoritmo de cifrado y una clave de cifrado para cambiar el encabezado del mensaje; Este proceso se conoce como cifrado. Una vez que el otro extremo recibe el mensaje, se utiliza el mismo algoritmo de cifrado y la clave de cifrado para restaurar el mensaje a su original; Este proceso se conoce como descifrado. A medida que se transmite el mensaje, es imposible ver su verdadera naturaleza, dejando a los perpetradores con las manos vacías.

 

Figura 1-1 Esquema del cifrado / descifrado de paquetes

Cuando los hosts y subhostes de Tiandihui deben intercambiar mensajes, ambos extremos deben primero acordar un algoritmo de cifrado y una clave de cifrado. Supongamos que el anfitrión debe enviar el comando "15 de agosto, orillas del lago Taihu, que celebra un gran evento" al subhuestro. El host primero debe usar un algoritmo de cifrado incoherente para distorsionar el texto. Luego, una vez que se inserta la clave de cifrado "Overthrow the Qing to Restore the Ming", el comando encriptado finalmente leerá un mensaje como "Overthrow 15 the Lake Taihu Qing Shores para mantener Restore a the big event August Ming", que luego se transmite . Incluso si este mensaje es interceptado por "funcionarios del gobierno" en el camino, quedarán perplejos, sin siquiera un rastro del significado original. Una vez que el host secundario reciba el mensaje, utilizará el mismo algoritmo cifrado y la clave de descifrado "Derrocamiento del Qing para restaurar el Ming", de modo que el mensaje se restaurará a su comando original "15 de agosto, a orillas del lago Taihu, manteniendo un gran evento ".

 

Los hosts y subhostes utilizan la misma clave para el cifrado y descifrado. Este método también se conoce como un algoritmo de cifrado simétrico (o algoritmo de clave simétrica), del cual hay 3: DES, 3DES y AES. Vea la Tabla 1-1 para una comparación de los 3 algoritmos.

 

Tabla 1-1 algoritmos de cifrado simétrico

l Identificación positiva para "devolver el jade intacto a su plataforma ** ul propietario" - autenticación

 

La autenticación de paquetes, como se muestra en la Figura 1-2, es un proceso en el que se utiliza un algoritmo de autenticación y un par de claves de autenticación antes de que se transmita el mensaje para "firmar los papeles" y crear una firma. Luego, la firma se envía junto con el mensaje. Una vez que el otro extremo recibe el mensaje, se utiliza el mismo algoritmo de autenticación y el mismo par de claves de autenticación para obtener la misma firma. Si el paquete se envía con una firma, y si la firma es la misma, verificará que el mensaje no haya sido manipulado.

 

Figura 1-2 Esquema de la autenticación de paquetes

Además de autenticar la integridad del mensaje, IPSec también puede autenticar la fuente del mensaje. Es decir, identifica positivamente el mensaje para garantizar que el mensaje se envió desde el remitente real.

 

En general, la autenticación y el cifrado se utilizan en tándem, y los paquetes cifrados pasarán por un algoritmo de autenticación para generar firmas. Los algoritmos de las series MD5 y SHA son dos formas comunes de autenticación. Vea la Tabla 1-2 para una comparación de los dos.

 

Tabla 1-2 algoritmos de autenticación

De las dos características de IPSec, los AH solo se pueden utilizar para la autenticación, pero no para el cifrado. ESP, por otro lado, puede usarse tanto para el cifrado como para la autenticación. AH y ESP se pueden utilizar de forma independiente o en tándem.

 

2 Encapsulación de seguridad

Tiandihui no puede levantar sus pancartas "anti-Qing" ni anunciar su misión, por lo que a menudo tienen que ocultar sus acciones a través de formas de negocios "legítimas". Por ejemplo, la identidad pública de un host puede ser un comerciante en línea, y la identidad pública de un sub-host puede ser un comprador; Tal intercambio podría ser el mejor catch-all. Para utilizar mejor este catch-all, IPSec ha diseñado dos modos de encapsulación:

 

l Repare abiertamente la galería durante el día mientras pasa en secreto a través de Chencang - modo túnel

 

Con la tunelización, antes de que se inserte un encabezado AH o ESP en el encabezado IP original, se genera un nuevo encabezado de paquete y se coloca antes del encabezado AH o ESP, como se muestra en la Figura 1-3.

 

Figura 1-3 Encapsulación de paquetes en modo túnel

El túnel utiliza el nuevo encabezado de paquete para encapsular el mensaje; las nuevas direcciones IP de origen y destino del encabezado IP sirven como las dos direcciones IP públicas del túnel; De esta manera, la tunelización utiliza dos puertas de enlace para establecer un túnel IPSec, lo que garantiza la comunicación entre las dos redes detrás de cada puerta de enlace. Este es actualmente uno de los modos de encapsulación más utilizados. Los mensajes dentro de la red privada de host a sub host se disfrazan a menudo como comunicación cotidiana entre las identidades del host y del subhost (direcciones IP públicas) como propietario y comprador del barco una vez que el mensaje está cifrado y encapsulado, por lo que no existe. t ser sospechoso

 

l "La puerta se abre en una vista de montañas"; cortar a la persecución - modo de transferencia

 

En una transferencia, el encabezado AH o el encabezado ESP se insertan entre el encabezado IP y TCP, como se muestra en la Figura 1-4.

 

Figura 1-4 Encapsulación de paquetes en modo transferencia

En una transferencia, el encabezado del paquete no se modifica, y las direcciones IP de origen y destino del túnel son las direcciones IP de origen y destino finales de la cadena de comunicación. Como tal, solo los mensajes enviados entre los dos extremos están protegidos en lugar de todos los mensajes de toda la red. Por esta razón, este modo solo es útil para la comunicación entre dos partes en lugar de redes privadas entre hosts y subhostes de Tiandihui.

 

3 asociaciones de seguridad

Una conexión establecida en IPSec entre dos extremos se conoce como SA (Asociación de seguridad). Como sugiere su nombre, los dos extremos se convierten en asociados en los que se utilizan el mismo modo de encapsulación, algoritmo de cifrado, clave de cifrado, algoritmo de autenticación y clave de autenticación, lo que naturalmente requiere confianza mutua y un cierto grado de intimidad.

 

Una SA es una conexión unidireccional, en la que los hosts y subhostes establecerán una SA para proteger todos los aspectos de la comunicación. Las SA de entrada del host corresponden a las SA de salida del host secundario, y las SA de salida del host corresponden a las SA de entrada del host secundario, como se muestra en la Figura 1-5.

 

Figura 1-5 Esquema de la asociación de seguridad IPSec

Para diferenciar las SA en diferentes direcciones, IPSec agregará un identificador único a cada SA. Este identificador se llama un SPI (índice de parámetros de seguridad).

 

El método más directo para establecer una SA es hacer que los hosts y subhostes definan los modos de encapsulación, los algoritmos de cifrado, las claves de cifrado, los algoritmos de autenticación y las claves de autenticación, es decir, para establecer manualmente las SA de IPSec.

Este artículo contiene más recursos

Es necesario Iniciar sesión para descargar o consultar. ¿Sin cuenta?Registrarse.

x
  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje