| ua | ru | en |
:: О нас | Продукты | Услуги | Публикации | Аналитика | Контакты | Вход для клиентов
:: Аудит безопасности ІТ | Разработки ІТ |


Построение виртуальной частной сети (VPN) на базе цифровых сертификатов Х.509 и протокола IPSec.

IPSec (VPN)

Интернет дал миру разнообразные информационные сервисы: от обычной электронной почты до электронной коммерции и критических бизнес-приложений, потоки информации в которых содержат огромное количество конфиденциальной информации. Необходимость защитить эту информацию при передаче через общедоступные и небезопасные сети привела информационное общество к созданию виртуальных частных сетей (Virtual Private Networks - VPN). Безопасность VPN достигается за счет применения таких механизмов, как туннелирование, шифрование, аутентификация, управление доступом, а также службами, используемыми для передачи трафика через Интернет или любую другую небезопасную сеть на базе протоколов TCP/IP. IPSec - одна из важнейших технологий обеспечения безопасности, используемых в VPN.

Гарантии целостности и конфиденциальности данных в протоколе IPSec обеспечиваются за счет использования механизмов аутентификации и шифрования. Применение этих механизмов основано на предварительном согласовании сторонами порядка информационного обмена т.н. "контекста безопасности" – используемых криптографических алгоритмов, алгоритмов управления ключевой информацией и конфигурации параметров этих алгоритмов.

Наиболее надежным и эффективным методом применения IPSec является организация шифрования с использованием аутентификации посредством цифровых сертификатов X.509. На рисунке, который приведен ниже, показана схема получения, обмена и проверки сертификатов при организации защищенного канала IPSec VPN.



Сертификаты, выпускаемые Центром сертификации ключей «БКП-консалтинг», могут быть достаточно просто использованы для построения защищенных каналов (VPN) на базе IPSec. Возможность использования цифровых сертификатов в сетевом оборудовании мирового лидера Cisco Systems, Inc. уже реализована производителем, и для профессионалов не составляет особых затруднений. Для этого нужно совсем немного.

Приведем последовательность действий и фрагменты, иллюстрирующие получение результата:

  • авторизоваться в центре сертификации и получить корневой сертификат;

    R10(config)#crypto pki authenticate R10-CA
    Trustpoint 'R10-CA' is a subordinate CA and holds a non self signed cert
    Certificate has the following attributes:
    Fingerprint MD5: BD140FEC 7FADC878 CD8D1223 C651551A
    Fingerprint SHA1: 3F598C48 C115A677 2BFABD6A C6B3D275 9D2360E3
    % Do you accept this certificate? [yes/no]: y
    Trustpoint CA certificate accepted.

  • получить сертификат на устройство;

    R10(config)#cry pki enroll R10-CA
    % Start certificate enrollment ..

    % The fully-qualified domain name in the certificate will be: R10.amb.lan
    % The subject name in the certificate will be: R10.amb.lan
    % The serial number in the certificate will be: B0EC7062
    % The IP address in the certificate is 192.168.10.2
    % Certificate request sent to Certificate Authority
    % The certificate request fingerprint will be displayed.
    % The 'show crypto pki certificate' command will also show the fingerprint.
    Aug 2 08:10:27.214: %SYS-5-CONFIG_I: Configured from console by avl on console
    Aug 2 08:10:27.498: CRYPTO_PKI: Signature Certificate Request Fingerprint MD5: 2ACC14E7 2F0575EA E42598CC 176E0D17
    Aug 2 08:10:27.498: CRYPTO_PKI: Signature Certificate Request Fingerprint SHA1: B48E990C 822D0A96 A27DCAC8 698EAB14 3B5A8E5A
    Aug 2 08:10:29.869: CRYPTO_PKI: Encryption Certificate Request Fingerprint MD5: E09B44DF 69432935 BB1725E5 8735F562
    Aug 2 08:10:29.869: CRYPTO_PKI: Encryption Certificate Request Fingerprint SHA1: 836A51A7 45EB7AAC E84B2B7E 73C3739A F3B086D7
    Aug 2 08:10:32.424: %PKI-6-CERTRET: Certificate received from Certificate Authority
    Aug 2 08:10:42.713: %PKI-6-CERTRET: Certificate received from Certificate Authority
    Aug 2 08:10:42.713: %PKI-4-NOAUTOSAVE: Configuration was modified. Issue "write memory" to save new certificate

  • включить режим шифрования.

    Просмотреть полученные сертификаты можно с помощью команды “show crypto ca certificates”:

    R10#sh cry ca certificates

    Certificate

    Status: Available

    Certificate Serial Number: 19D2391D00000000016A

    Certificate Usage: General Purpose

    Issuer:

    cn=SubCA of one-cons Ltd.

    dc=ca

    dc=amb

    dc=liga-net

    dc=org

    Subject:

    Name: R10.amb.lan

    IP Address: 192.168.10.2

    Serial Number: B0EC7062

    hostname=R10.amb.lan

    ipaddress=192.168.10.2

    serialNumber=B0EC7062

    CRL Distribution Points:

    ldap://ca.amb.liga-net.org/CN=SubCA%20of%20amb-cons%20Ltd.,CN=amb-ca, CN=CDP,CN=Public%20Key%20Services,CN=Services,CN=Configuration,DC=ca,DC=amb,DC=liga-net, DC=org?certificateRevocationList?base?objectClass=cRLDistributionPoint

    http://ca.amb.liga-net.org/CertEnroll/SubCA%20of%20amb-cons%20Ltd..crl

    Validity Date:

    start date: 12:10:16 UA Aug 2 2006

    end date: 12:10:16 UA Aug 1 2008

    Associated Trustpoints: R10-CA



    CA Certificate

    Status: Available

    Certificate Serial Number: 617494C9000100000010

    Certificate Usage: Signature

    Issuer:

    cn=Root Ca of amb-cons Ltd.

    dc=amb

    dc=liga-net

    dc=org

    Subject:

    cn=SubCA of amb-cons Ltd.

    dc=ca

    dc=amb

    dc=liga-net

    dc=org

    CRL Distribution Points:

    http://ca.amb.liga-net.org/CertEnroll/Root%20Ca%20of%20amb-cons%20Ltd.(1).crl

    Validity Date:

    start date: 11:51:53 UA Nov 13 2004

    end date: 12:01:53 UA Nov 13 2014

    Associated Trustpoints: R10-CA


    Как видно из листинга, были получены корневой сертификат и сертификат на устройство маршрутизации, которые необходимы для организации VPN на базе IPSec.

    Для того чтобы после выполнения настройки убедиться, что ваш трафик зашифрован, достаточно запустить утилиту tcpdump на одном из шлюзов.

    16:34:53.218250 IP 192.168.10.2.isakmp > 192.168.17.2.isakmp: isakmp: phase 1 I ident
    16:34:53.251638 IP 192.168.17.2.isakmp > 192.168.10.2.isakmp: isakmp: phase 1 R ident
    16:34:53.256342 IP 192.168.10.2.isakmp > 192.168.17.2.isakmp: isakmp: phase 1 I ident
    16:34:53.289838 IP 192.168.17.2.isakmp > 192.168.10.2.isakmp: isakmp: phase 1 R ident
    16:34:53.519041 IP 192.168.10.2.isakmp > 192.168.17.2.isakmp: isakmp: phase 1 I ident[E]
    16:34:53.519056 IP 192.168.10.2 > 192.168.17.2: udp
    16:34:53.691762 IP 192.168.17.2.isakmp > 192.168.10.2.isakmp: isakmp: phase 2/others R inf[E]
    16:34:53.860920 IP 192.168.17.2.isakmp > 192.168.10.2.isakmp: isakmp: phase 1 R ident[E]
    16:34:53.860926 IP 192.168.17.2 > 192.168.10.2: udp
    16:34:53.914613 IP 192.168.10.2.53425 > 192.168.10.1.domain: 1+ A? ca.amb.liga-net.org. (37)
    16:34:53.915731 IP 192.168.10.2.53431 > 192.168.10.1.domain: 2+ A? ca.amb.liga-net.org. (37)
    16:34:54.798135 IP 192.168.10.1.domain > 192.168.10.2.53425: 1 2/3/0 CNAME[|domain]
    16:34:54.798247 IP 192.168.10.1.domain > 192.168.10.2.53431: 2 2/3/0 CNAME[|domain]
    16:34:54.800962 IP 192.168.10.2.21331 > amb-ca.ca.amb.liga-net.org.ldap: S 4221591914:4221591914(0) win 4128
    16:34:54.802286 IP amb-ca.ca.amb.liga-net.org.ldap > 192.168.10.2.21331: S 1288039318:1288039318(0) ack 4221591915 win 16384
    16:34:54.802826 IP 192.168.10.2.21389 > amb-ca.ca.amb.liga-net.org.http: S 3639528822:3639528822(0) win 4128
    16:34:54.803084 IP amb-ca.ca.amb.liga-net.org.http > 192.168.10.2.21389: S 3375440584:3375440584(0) ack 3639528823 win 16384
    16:34:54.803607 IP 192.168.10.2.21331 > amb-ca.ca.amb.liga-net.org.ldap: . ack 1 win 4128
    16:34:54.804120 IP 192.168.10.2.21389 > amb-ca.ca.amb.liga-net.org.http: . ack 1 win 4128
    16:34:54.804820 IP 192.168.10.2.21331 > amb-ca.ca.amb.liga-net.org.ldap: . 1:15(14) ack 1 win 4128
    16:34:54.805827 IP 192.168.10.2.21389 > amb-ca.ca.amb.liga-net.org.http: . 1:95(94) ack 1 win 4128
    16:34:54.878012 IP amb-ca.ca.amb.liga-net.org.http > 192.168.10.2.21389: . 1:537(536) ack 95 win 65441
    16:34:54.878090 IP amb-ca.ca.amb.liga-net.org.http > 192.168.10.2.21389: . 537:1073(536) ack 95 win 65441
    16:34:54.879733 IP 192.168.10.2.21389 > amb-ca.ca.amb.liga-net.org.http: . ack 1073 win 7464
    16:34:54.880045 IP 192.168.10.2.21389 > amb-ca.ca.amb.liga-net.org.http: . ack 1073 win 8000
    16:34:54.880067 IP amb-ca.ca.amb.liga-net.org.http > 192.168.10.2.21389: FP 1073:1481(408) ack 95 win 65441
    16:34:54.881088 IP 192.168.10.2.21389 > amb-ca.ca.amb.liga-net.org.http: . ack 1482 win 8000
    16:34:54.881949 IP 192.168.10.2.21389 > amb-ca.ca.amb.liga-net.org.http: FP 95:95(0) ack 1482 win 7592
    16:34:54.882119 IP amb-ca.ca.amb.liga-net.org.http > 192.168.10.2.21389: . ack 96 win 65441
    16:34:54.965537 IP 192.168.10.2.isakmp > 192.168.17.2.isakmp: isakmp: phase 2/others I oakley-quick[E]
    16:34:54.974299 IP 192.168.17.2.isakmp > 192.168.10.2.isakmp: isakmp: phase 2/others R oakley-quick[E]
    16:34:54.982984 IP 192.168.10.2.isakmp > 192.168.17.2.isakmp: isakmp: phase 2/others I oakley-quick[E]
    16:34:55.009078 IP amb-ca.ca.amb.liga-net.org.ldap > 192.168.10.2.21331: . ack 15 win 65521

    Приведенный выше фрагмент показывает, что процессы соединения, обмена ключами и сертификатами, и проверки сертификатов прошли успешно.

    Факт, что соединение действительно защищено, иллюстрирует фрагмент, приведенный ниже:

    16:34:55.213925 IP 192.168.10.2 > 192.168.17.2: ESP(spi=0x966f9b4a,seq=0x1)
    16:34:55.215175 IP 192.168.17.2 > 192.168.10.2: ESP(spi=0xa496a63e,seq=0x1)
    16:34:55.216533 IP 192.168.10.2 > 192.168.17.2: ESP(spi=0x966f9b4a,seq=0x2)
    16:34:55.217719 IP 192.168.17.2 > 192.168.10.2: ESP(spi=0xa496a63e,seq=0x2)
    16:34:55.219056 IP 192.168.10.2 > 192.168.17.2: ESP(spi=0x966f9b4a,seq=0x3)
    16:34:55.220265 IP 192.168.17.2 > 192.168.10.2: ESP(spi=0xa496a63e,seq=0x3)
    16:34:55.221622 IP 192.168.10.2 > 192.168.17.2: ESP(spi=0x966f9b4a,seq=0x4)
    16:34:55.222800 IP 192.168.17.2 > 192.168.10.2: ESP(spi=0xa496a63e,seq=0x4)

    Тестирование производилось на оборудовании фирмы Cisco Systems, Inc. Модель маршрутизатора, которая использовалась для тестирования - «Cisco 871 Security Bundle with Advanced IP Services».

    Оборудование для тестирования было любезно предоставлено компанией «МУК» (Мерисел Украина).

  • Назад


    :: О нас | Продукты | Услуги | Публикации | Аналитика | Контакты |
    :: Аудит безопасности ІТ | Разработки ІТ |
    ©2002-2014 "AMB" group.
    Rambler's Top100