Авторизация

ПРОТОКОЛ IPSEC, НАСТРОЙКА И ОРГАНИЗАЦИЯ УДАЛЕННОГО ДОСТУПА

для подключения к системе удаленного доступа VPNKI

Протокол IPsec, настройка, организация удаленного доступаIPsec (IP security) - набор протоколов для безопасной передачи трафика через IP сеть. Пожалуй, самый сложный и разветвленный стек протоколов из поддерживаемых системой VPNKI.

Включает в себя три основных протокола:

  • AH (Authentication Header). Обеспечивает управление целостностью передаваемых данных и аутентификацию.
  • ESP (Encapsulating Security Payload). Обеспечивает шифрование данных.
  • ISAKMP (Internet Security Association and Key Management Protocol). Управление установкой соединения, взаимную аутентификации конечными узлами друг друга и обмен секретными ключами.

Основные используемые порты и номера протоколов.

  • Протокол UDP, port 500 (IKE, управление ключами).
  • Протокол UDP, port 4500 (IPSEC NAT-Traversal mode).
  • Протокол ESP, значение 50 (for IPSEC).
  • Протокол AH, значение 51 (for IPSEC).

Вообще, набор протоколов IPsec непрост с точки зрения возможностей его использования, которые весьма многогранны. Однако, базовой особенностью всего взаимодействия по этому протоколу является понятие SA (Security Association). SA это набор параметров о том, как стороны будут в дальнейшем использовать те или иные свойства протоколов из состава IPsec. Если стороны договорились о чем-то, то будет считаться что SA установлена.

Стоит еще упомянуть про два основных режима работы  IPsec - туннельный и транспортный. Грубо говоря, в транспортном режиме шифруются только полезные данные IP пакета, а в туннельном режиме шифруются все данные, включая заголовки IP.

 

Аутентификация

Взаимодействие двух узлов начинается с установления SA. Точнее с двух ассоциаций - для протокола AH и ESP причем в одну и в другую стороны. SA начинается с аутентификации и затем стороны согласовывают будущие параметры сессии:

  • для протокола AH - используемый алгоритм аутентификации, ключи, время жизни ключей и другие параметры.
  • для протокола ESP - алгоритмы шифрования и аутентификации, ключи, параметры инициализации, время жизни ключей и другие параметры.

Здесь же стороны договариваются о туннельном или транспортном режиме работы IPsec.

К завершению процесса у вас должны быть установлены несколько SA, но ... чуть подробнее как это на самом деле.

 

Фаза 1 и Фаза 2

В IPsec все происходит по Фазам.

На фазе 1 происходит установление SA первой фазы. В первой фазе стороны договариваются о методе идентификации, алгоритме шифрования, алгоритме хэшировнаия и группе Diffie Hellman. Эта фаза может пройти путем обмена тремя нешифрованными пакетами (агрессивный режим) или шестью нешифрованными пакетами - стандартный режим. Если все прошло успешно, то создается SA фазы 1 под названием IKE SA и осуществляется переход ко второй фазе.

На фазе 2 стороны договариваются о политике и создаются сами ключи. Эта фаза, в отличии от первой, полностью шифруется и она наступает только в случае успешного окончания первой фазы. В связи с тем, что трафик этой фазы полностью шифрован становится сложно осуществлять поиск неполадок. Однако если все прошло успешно, то создается SA фазы 2 под названием IPSec SA. В этот момент можно сказать, что VPN туннель установлен.

 

Компрессия данных

В составе IPsec нет собственного механизма компрессии данных, однако можно использовать механизм IPcomp. Он сжимает содержимое IP пакета до его передачи в процесс IPsec. Некоторые демоны IPsec поддерживают включение/отключение этого механизма из файлов настроек ipsec.conf (например пакет Strongswan).

 

Автоматическая проверка работоспособности VPN соединения

Внутри IPsec нет штатного средства для проверки работоспособности соединения (типа ping). Работу туннеля можно проверять внешними средствами.

 

Разрыв VPN соединения и смена ключей

Согласованные на двух фазах ключи должны работать оговоренное политикой время. Это означает, что сторонам возможно предстоит пережить процедуру смены ключей (rekeying), а иначе согласованные SA распадутся. Как было сказано выше, у сторон есть ключи в рамках процесса фазы 1 (IKE) и фазы 2 (IPsec). Процедуры их смены различны, как и таймеры, которые за это отвечают. Для того, чтобы не было перерыва связи в процессе смены ключей стороны сначала согласовывают параметры новой SA и лишь после этой успешной процедуры уничтожают старую SA.

В IPsec на каждой из фаз есть несколько способов смены ключей - с аутентификацией или без нее, но мы не будем сильно заострять на этом свое внимание. Просто для этой процедуры слишком существует много нюансов, которые зависят от версий ПО и соотношения таймеров - для IKE и IPsec.

 

Автоматическое установление разорванного VPN соединения

Важным аспектом является способность IPsec устанавливать соединение заново. Для этого существуют настройки в ispec.conf, однако детали этих настроек могут отличаться от версии ПО. Сверяйтесь с мануалом именно по вашей версии программного обеспечения.

 

Плюсы:

  • высокая криптоустойчивость.
  • возможность использования L2TP внутри IPsec для аутентификации по имени пользователя и паролю (вариант VPNKI).

 

Минусы:

  • сложен для настройки и поиска неисправностей.
  • большие накладные расходы на передачу трафика в канале за счет заголовков.

 

Далее:

PPTP.

L2TP.

OpenVPN.

 

ДОПОЛНИТЕЛЬНО

Кроме базового функционала по объединению VPN туннелей с различными протоколами, в системе VPNKI вы можете воспользоваться удаленным доступом к компьютеру или камере, используя:

ВАШИ ОТЗЫВЫ О СИСТЕМЕ УДАЛЕННОГО ДОСТУПА И VPN ТУННЕЛЕЙ

Артур
Артур
Парни, отличный сервис! Нужно было быстро получить удаленный доступ к видеокамере на даче. Статический белый адрес провайдер не дает. Там стройка и мне важно смотреть за работой. Подключился к вам и настроил смартфон. Правда сразу VPN соединение не заработало. Поначалу сложно было понять как у вас все это работает. Поэтому написал в форум и админ решил мою проблему с VPN подключением за несколько минут! Теперь смотрю за процессом стройки на даче через смартфон или компьютер. Статический IP адрес провайдера совсем оказался не нужен. Спасибо за инструкции и помощь! Буду осваивать вашу систему дальше. С уважением, пользователь Артур
Валерий
Валерий
Спасибо! Я использую Ваш сервис в проекте автономного автоматического мобильного поста контроля проезда лесовозного автотранспорта непосредственно в лесном массиве "Егерь-1". В процессе отладки ПО действующего прототипа возникла прямая необходимость VPN соединения и передачи данных из MySQL. Вопрос создания серверной базы или платного сервиса VPN в бюджете не рассматривался. Поэтому Ваш сервис оказался единственной альтернативой, давшей возможность провести полевые испытания прототипа. Этот прототип позволил сформулировать ТЗ как для железа, так и для ПО, включая интерфейс оператора. Огромное Вам человеческое СПАСИБО! Вряд ли меня можно назвать специалистом в области IT, поэтому доступность и разъяснения на Вашем портале и форуме оказали решающее значение в реализации VPN соединения, открыв возможность завершить испытания со знаком "+".
Александр
Александр
Ура, Мужики-и! У меня всё получилось! Спасибо Вам за доброе дело и квалифицированную помощь на форуме! Настроил VPN соединение и подключился! Теперь буду использовать вашу систему на компьютере и смартфоне у себя в офисе, дома и на даче! Удачи в будущих разработках! С меня реклама и благодарности... С Уважением! Александр.