[Dr.WoW] [No.34] Resumen de Ike e IPsec

84 0 0 0



1 IKEv1 V.S. IKEv2.


Habiendo escrito tanto sobre IKEv1 y IKEv2 ya, es un buen momento para resumir las principales diferencias entre los dos, como se muestra en la Tabla 1-1.

Tabla 1-1Comparación de IKEv1 y IKEv2


Función

IKEv1.

IKEv2.

Proceso de   establecimiento de IPsec SA

Dividido en dos   fases. Phase1 se divide en dos modos: Modo principal y modo agresivo; la fase   2 es fast mode.

Modo principal +   modo rápido requiere 9mensajes para establecer IPSec SA.

Modo agresivo +   modo rápido requiere 6 mensajes para establecer IPSec SA.

No dividido en   fases. IPsec SA se puede establecer con un mínimo de 4mensajes.

IKE SA Integrity Authentication.

No soportado

Compatible

ISAKMP Payload.

Las cargas útiles   soportadas difieren; por ejemplo, el IKEv2 apoya las negociaciones TSpayloads   forACL, pero IKEv1no lo hace.

Las cargas útiles   de IKEv1 y IKEv2 también tienen otras diferencias, pero por ahora, sólo   mencionaremos las cargas útiles del TS.

Método de   autenticación

Clave precompartida

Certificado digital

Sobre digital (raramente utilizado)

Clave precompartida

Certificado digital

EAP

Sobre digital (raramente utilizado)

Acceso remoto

ViaL2TP sobre IPsec

Compatibilidad con ViaEAPAuthentication

 

 

Claramente, el IKEv2 con sus servicios más rápidos y seguros, toma la victoria. Al igual que en el río Yangtze, las olas que vienen viajan sobre las que están delante de ellas. No hay sorpresas aquí.


2 perfiles de protocolo IPsec


Protocolos de seguridad (AH y ESP), algoritmos de cifrado (DES, 3DES y AES), algoritmos de autenticación (MD5. "SHA1". SHA2), Ikes, DHS, ¿has entendido todo eso? En caso de que esto se esté volviendo un poco confuso, Dr. WoW ha presentado un resumen para todos nosotros. Vamos a echar un vistazo:

l   Protocolo de seguridad (AH y ESP) -encapsulación de seguridad de paquetes IP.

Una vez que un paquete IP pone en su chaleco AH o/y ESP, se convierte en un paquete IPSec. Este "chaleco" no es sólo su chaleco cotidiano; este es un "chaleco antibalas" cosido con algoritmos de "cifrado" y "autenticación". Las diferencias entre las dos son como se muestra en la Tabla 1-2.

Tabla 1-2AH contra ESP

Características    de seguridad

Ah

ESP

Protocol IP no.

51

50

Verificación de   integridad de datos

Soportado (autenticación para paquete   entireIP)

Compatible   (autenticación de encabezado noIP)

Autenticación de   origen de datos

Compatible

Compatible

Cifrado de datos

No soportado

Compatible

Packet Replay Attack Protection.

Compatible

Compatible

IPSec NAT-T (NAT Traversal).

No soportado

Compatible

 

l   Algoritmos de encriptación (des, 3DES y AES): El as de picas del paquete IPsec. Los paquetes de datos IPsec utilizan algoritmos de cifrado simétricos para cifrado, pero sólo el protocolo ESP soporta cifrado; el protocolo AH no lo hace. Además, los paquetes de negociación IKE también realizan encriptaciones.

l   Algoritmos de autenticación (MD5. "SHA1". SHA2) -el método de paquetes IPSec de identificación positiva. Los paquetes cifrados generarán firmas digitales a través del algoritmo de autenticación; la firma digital llenará el segmento ICV de verificación de integridad de los encabezados AH y ESP y lo enviará al peer; en el dispositivo receptor, la integridad y origen de los datos se autentica comparando las firmas digitales.

l   IKE -poderoso y atento mayordomo. IPsec utiliza el protocolo IKE al enviar y recibir claves de negociación de seguridad entre dispositivos y claves actualizadas.

l   Algoritmo DH -el abacus atento del mayordomo. DH es conocido como el método de intercambio de claves públicas. Se utiliza para generar materiales clave y realizar intercambios a través de mensajes ISAKMP. Además, en última instancia, enviará y recibirá las claves de cifrado y autenticación de ambos pares.


Habiendo expuesto todos estos conceptos ante nosotros, el doctor WoW no puede dejar de maravillarse con el genio de los diseñadores de protocolos IPSec. Con todos estos nuevos y viejos protocolos y algoritmos cosidos juntos tan perfectamente, toda la malicia de Internet puede ser blindada fuera de nuestros túneles! La Dra. WoW ha presentado un diagrama que nos ayuda a recordar estos acrónimos, como se muestra en la Figura 1-1.

Figura 1-1Perfil de protocolo de seguridad IPSec


023144ihncdgb7n8b99lnb.png

 

Con esto fuera del camino, el doctor WoW se siente aliviado y puede sonreírse con orgullo por el éxito de la red Tiandihui. Pero no estamos fuera del bosque todavía -una vez que las aplicaciones IKE se utilizan para IPSec VPNs, esos problemas de comunicación que enfrentan los subhosts de direcciones IP públicas grandes y medianas se resuelven rápidamente, pero esos sub-hosts que no pueden llegar a direcciones IP públicas fijas no son tan afortunados, gritando que ese favoritismo vuela ante la verdadera fraternidad! Los subhosts sin direcciones IP públicas fijas no pueden establecer VPN IPSec estables con hosts. Es por esta razón que Tiandihui planteó la pregunta: ¿ambos extremos tienen que usar direcciones IP públicas fijas para establecer una VPN IPSec?

¡Por supuesto que no! A continuación, el Dr. WoW nos enseñará una nueva forma de establecer VPNs IPSec -el método de la plantilla IPSec.


  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje