IPSec: различия между версиями
Перейти к навигации
Перейти к поиску
Admin (обсуждение | вклад) |
(нет различий)
|
Текущая версия на 15:13, 12 июля 2023
Ссылки по теме
- Анатомия IPsec. Проверяем на прочность легендарный протокол
- IPSEC как протокол защиты сетевого трафика IPSEC и VPN
Термины
- SA (Security Association) политики безопасности, динамически создаваемый объект, содержащий договоренности сторон по шифрованию
- SAD (Security Associations Database) - база где хранятся SA
Протоколы
- ISAKMP (Internet Security Association and Key Management Protocol)
- IKE (Internet Key Exchange), на текущий момент используется две версии IKEv1, IKEv2
Процесс
- первая фаза
- вторая фаза
Выдрал из статьи "Анатомия IPsec", но не все понял, в некоторых местах эта статья противоречит сама себе
Первая фаза
- В процессе первой фазы участники аутентифицируют друг друга и договариваются о параметрах установки специального соединения, предназначенного только для обмена информацией о желаемых алгоритмах шифрования и прочих деталях будущего IPsec-туннеля.
- Параметры этого первого туннеля (который еще называется ISAKMP-туннель) определяются политикой ISAKMP.
- 1. согласуются хеши и алгоритмы шифрования
- 2. идет обмен ключами Диффи-Хеллмана (DH)
- 3. аутентификация, либо по PSK-, либо по RSA-ключу. И если стороны пришли к соглашению, то устанавливается ISAKMP-туннель, по которому уже проходит вторая фаза IKE.
Вторая фаза
- IKE (IKEv1 или IKEv2)
На Mikrotik есть два подводных камня:
- Маршрутизация. Если в сеть назначения не будет никакого маршрута в том числе маршрута по умолчанию, то обработка прекратиться на этапе маршрутизации и не дойдет до IPSec.
- NAT. Если трафик адресованный в туннель IPSec попадет в правило NAT-а, то произойдет подмена адреса и в IPSec он уже не попадет. Есть два варианта. Делать правило accept выше правила NAT, чтобы трафик адресованный в туннельную подсеть попадал в это парвило, которое ничего не меняет в пакете, но прекращает дальнейшую обработку правил NAT-а. Второй вариант в правиле NAT-а на вкладке Advanced сделать исключение для IPSec трафика.