IPsec - концепция шифрования данных, включающая в себя технологии и протоколы, которые позволяют реализовывать эту задачу на оборудовании компании cisco systems.
Настроив VPN IPsec на маршрутизаторе cisco, вы сможете передавать информацию, по частному, зашифрованному каналу. Кстати говоря, VPN - одна из основных технологий, которая применяется в качестве обеспечения конфиденциальности передаваемых данных. Но давайте обо все по порядку.
Оглавление:
- Виртуальные частные сети VPN
- VPN сети на основе IPsec
- Настройка IPsec VPN туннеля на маршрутизаторе cisco
- Заключение
- Наши рекомендации
- Стоит почитать
Виртуальные частные сети VPN
Virtual private network - именно так расшифровывается аббревиатура VPN. Всем кто собирается работать в области шифрования и защиты информации в современных сетях, нужно знать и понимать принцип работы данной технологии.
Ее суть в том, чтобы создать виртуальный канал, на основе сети общего пользования, который бы использовался для передачи данных, и соответствовал всем необходимым параметрам безопасности, схожим по этим показателям с выделенным каналом связи.
Для начала, давайте посмотрим, какие реализации этой технологии существуют:
- Внутрикорпоративные сети VPN - если территориально сегменты сети одной компании, расположены в дали друг от друга, для их соединения используется один VPN канал - зашифрованное соединение между двумя сегментами.
- Межкорпоративные сети VPN - в том случае, если разные организации имеют необходимость обмениваться информацией, между ними их сетями создается VPN канал.
- VPN-сети удаленного доступа - данным тип виртуального канала используется в том случае, если необходимо подключить отдельный компьютер (чаще всего домашний), в общую корпоративную сеть.
Все три типа VPN соединений, представлены на рисунке ниже:
Что необходимо для построения VPN сети
Если нам необходимо соединить два сегмента сети посредством шифрованного VPN туннеля, то нам понадобятся два маршрутизатора Cisco Systems, с соответствующими платами расширения и версией программного обеспечения IoS. Проще говоря - нам нужны два маршрутизатора, которые способны работать с технологиями VPN и IPsec. Используя их, мы создаем и настраиваем шифрованный канал, таким образом, реализуя безопасную передачу данных между двумя сетевыми сегментами.
Вам пригодится: базовая настройка маршрутизатора cisco
В том случае, если мы хотим создать частное VPN подключение, чтобы соединить домашний компьютер с корпоративной сетью, нам понадобится программный VPN клиент. Его необходимо запустить, настроить соответствующим образом, и с его помощью подключиться к корпоративной сети. В ней, в свою очередь, должен стоять соответствующим образом настроенный маршрутизатор.
VPN сети на основе IPsec
Технология Ip security - безопасная передача данных по протоколу IP, или сокращенно IPsec, включает в себя набор протоколов и стандартов, которые используются для защиты передаваемых данных. Для создания зашифрованного VPN канала, мы выбираем подходящие технологии IPsec, и на выходе получаем безопасное соединение.
Давайте рассмотрим основные составляющие.
Шифрование в IPsec
В основе процесса шифрование в технологии IPsec лежит использование математических формул и алгоритмов. По сути, объяснять их подробно нет необходимости, нужно лишь понять принцип их работы. Схематично он выглядит следующим образом:
Давайте посмотрим, какие этапы шифрование здесь отображены:
- Этап 1 - имеется VPN сеть. Устройство, которое отправляет данные, использует формулу для шифрования, подставляя в нее ключ шифрования и все необходимые данные
- Этап 2 - данные, которые были зашифрованы, помешаются в новый ip пакет, в котором присутствуют все необходимые данные для пересылки по VPN каналу
- Этап 3 - данный пакет пересылается через защищенное соединение
- Этап 4 - на основе выбранной формулы шифрования, устройство получатель раскодирует полученные данные, и сможет использовать их по назначению
Данные этапы универсальны, разница лишь в используемых алгоритмах шифрования:
Передача ключей шифрования в IPsec
На данный момент, для обмена ключами шифрования между устройствами cisco, используется алгоритм Диффи-Хеллмана - DH. На основе этого алгоритма, два устройства, между которыми настроек безопасный VPN туннель, динамически генерируют ключи шифрования, и передают их по сети.
Основной параметр в данном алгоритме, разрядность ключа в битах.
- Алгоритм DH-1 - ключ 768 бит
- Алгоритм DH-2 - ключ 1024 бит
- Алгоритм DH-3 - ключ 1536 бит
Целостность данных и процесс аутентификации в IPsec
Для прохождения процедуры аутентификации, устройство отправитель рассчитывает небольшое уникальное число, по определенным математическим формулам. Результат называет хеш-кодом, который помещается в передаваемый зашифрованный пакет. Устройство получатель в свою очередь расшифровывает пакет, и сравнивает значение хеш-кода. Если он соответствует действительности, значит отправка произошла из доверенного места, а данные достоверны и надежны.
Настройка IPsec VPN туннеля на маршрутизаторе cisco
Давайте попробуем настроить VPN на маршрутизаторе.
IKE
Настройка ISAKMP Policy
Router-primer(config)#crypto isakmp enable
Router-primer(config)#crypto isakmp policy 110
Router-primer(config-isakmp)#authentication pre-share
Router-primer(config-isakmp)#encryption 3des
Router-primer(config-isakmp)#group 2
Router-primer(config-isakmp)#hash md5
Router-primer(config-isakmp)#lifetime 36000
Pre-shared key
Настройка ключей шифрования
Router-primer(config)#crypto isakmp key 0 password address 192.168.10.10
Отправляющее устройство передает параметры шифрования, а получатель сравнивает их, и при совпадении инициирует соединение.
transform set
Настраиваем IPsec transform set
Router-primer(config)#crypto ipsec transform-set SNRS esp-des
Router-primer(cfg-crypto-trans)#mode tunnel
Router-primer(cfg-crypto-trans)#end
Crypto map
Настраиваем crypto map
Router-primer(config)#crypto map SNRS-MAP 10 ipsec-isakmp
Router-primer(config-crypto-map)#match address 101
Router-primer(config-crypto-map)#set transform-set SNRS
Router-primer(config-crypto-map)#set peer 192.168.10.10
и включаем его на интерфейсе
Router-primer(config-if)#crypto map SNRS-MAP
Списки контроля доступа
Router-primer(config)#ip access-list extended 101
Router-primer(config-ext-nacl)#permit ip 192.168.1.0 0.0.0.255 192.168.9.0 0.0.0.255
Вам пригодится: что такое маска подсети
Видео к статье:
Заключение
Обеспечение целостности и безопасности передаваемых данных - очень ответственная задача. Необходимо знать и понимать современные технологии и принципы работы данного процесса. Эти знания помогут вам создавать защищенные сети и соединения, используя соответствующее оборудование.
Наши рекомендации
Если вы начали наблюдать посторонний шум из системного блока, стоит проверить, может быть это шумит жесткий диск
Если вас компьютер внезапно перезагрузился, проанализируйте сообщение об ошибке. В этом вам поможет материал - синий экран смерти
Случается так, что в результате вирусного заражения, пропадают все ярлыки с рабочего стола
Стоит почитать
Зачем искать информацию на других сайтах, если все собрано у нас?
- MAC адрес — одно из базовых понятий компьютерных сетей. Как узнать MAC адрес, и что он означает
- Как раздать интернет с компьютера на телефон
- Как сменить ip адрес компьютера