Введение
Из предыдущей статьи данного цикла вы узнали об основных возможностях технологии IPSec, о заголовках Authentication Header и Encapsulating Security Payload, а также о таких компонентах, как агент политики IPSec, обмен ключами в Интернете и драйвер IPSec. Перед тем как начать процесс развертывания политики IPSec, вам нужно определить, как именно нужно защищать ваши компьютеры. Не стоит забывать, что вы можете настроить конкретные типы трафика на разрешение или блокирование, основываясь на комбинации адреса источника и назначения, а также определенных портов. Помните, что IPSec позволяет блокировать известные порты программного обеспечения, и даже если ваш сервер уже инфицирован, он не сможет заразить другие компьютеры или разрешить доступ через известный для IPSec порт. В этой статье я расскажу вам о режимах, которые обеспечивают защиту данных и подлинности IP-пакетов, а именно о транспортном и тунельном режимах IPSec.
Транспортный режим IPSec
Режим транспорта IPSec используется для безопасности связи между двумя компьютерами, а также применяется в частных виртуальных сетях на основе IPSec, где задействуется протокол Layer Two Tunneling Protocol (L2TP) для туннелирования подключения IPSec через общественную сеть и является режимом для IPSec по умолчанию. Транспортный режим обеспечивает защиту полезных данных пакетов IP, добавляя дополнительный заголовок или трейлер между исходной датаграммой IP и ее полезными данными. Полезными данными IP считаются TCP-сегменты, которые содержат заголовок TCP и данные TCP-сегмента, сообщения UDP, которые содержат заголовок UDP и данные сообщения UDP, а также сообщение ICMP. Пример безопасности IPSec «узел – узел» позволяет вам обеспечить безопасность и установить доверия одноадресной рассылки от исходного IP-адреса к IP-адресу назначения одноадресной рассылки. Соответственно, вы можете обеспечить безопасность вашего сервера в тех случаях, когда доступ к серверу разрешается только доверенным компьютерам. Используя режим транспорта IPSec, вы можете защищать полезные данные IP при помощи заголовков AH и ESP. Рассмотрим по очереди режим транспорта AH и режим транспорта ESP в следующих подразделах.
Режим транспорта AH
Как я уже говорил в предыдущей статье, заголовок AH обеспечивает проверку подлинности, целостность и защиту портов, причем, используя текущий заголовок данные не шифруются и не обеспечивается никакая конфиденциальность. При использовании данного заголовка, передаваемые данные доступны для чтения, однако зашифрованы для изменения. Сразу после заголовка IP в датаграмму добавляется AH. Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается идентификатор протокола IP 51 (0х33). В этом случае маршрутизаторы перенаправляют трафик как любые другие IP-пакеты, но на брандмауэрах и межсетевых экранах вам придется разрешить пересылку IP-трафика по протоколу 51. После включения AH создается дополнительный пакет служебных данных, который уменьшает наибольший размер передаваемых данных (Maximum transmission unit, MTU) между двумя конечными точками. Для AH рассчитывается ICV, дополнительно обрабатывая служебные данные для каждого защищенного пакета. При помощи сетевых адаптеров можно свести к минимуму служебные данные, которые выполняют криптографические изменения в оборудовании. Для подписания пакетов AH использует алгоритмы хеширования с ключами.
В режиме транспорта AH, ICV при выполнении своего расчета включает следующие компоненты:
- Весь IP-пакет, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;
- Все поля в AH;
- Полезные данные пакетов IP.
AH в режиме транспорта защищает IP-заголовок за исключением полей, для которых разрешены изменения и полезные данные в исходной IP-датаграмме. Если помимо заголовка AH используется другой заголовок IPSec, заголовок AH вставляется перед любыми другими заголовками IPSec. Режим транспорта AH схематически изображен на следующей иллюстрации:
Рис. 1. Режим транспорта AH
Режим транспорта ESP
По поводу заголовка ESP я также говорил в предыдущей статье данного цикла. Иными словами, вы прекрасно знаете, что данный режим помимо проверки подлинности, целостности и защиты от повторов также обеспечивает конфиденциальность полезных данных IP. Но, в режиме транспорта ESP подписывает не весь пакет, а обеспечивает защиту только полезных данных IP. Заголовок ESP в режиме транспорта ESP добавляется в IP-датаграмму сразу после заголовка IP, а трейлер ESP, соответственно, добавляется сразу после передачи полезных данных. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50 (0х32). В этом случае маршрутизаторы перенаправляют трафик как любые другие IP-пакеты, но на брандмауэрах и межсетевых экранах вам придется разрешить пересылку IP-трафика по протоколу 50, причем, полезная нагрузка остается неизмененной. Подобно AH, после включения ESP создается дополнительный пакет служебных данных, который уменьшает наибольший размер передаваемых данных между двумя конечными точками. Режим транспорта ESP шифрует следующие части пакета:
- Полезные данные IP;
- Поля заполнения, длины заполнения и следующий заголовок трейлера ESP.
Алгоритм шифрования, который использует режим шифрования цепочки блоков (Cipher Block Chaining, CBC) имеет незашифрованное поле между заголовком ESP и полезной нагрузкой. Это поле называется вектором инициализации (IV) для расчета CBC, которое выполняется на получателе. Так как это поле используется для начала процесса расшифровки, оно не может быть зашифрованным. Несмотря на то, что у злоумышленника есть возможность просмотра IV, он никак не сможет расшифровать зашифрованную часть пакета без ключа шифрования. Для предотвращения злоумышленниками изменения IV, вектор инициализации охраняется ICV. В этом случае, также как и в случае с AH, ICV выполняет следующие расчеты:
- Все поля в заголовке ESP;
- Полезные данные, включая открытый текст IV;
- Все поля в ESP трейлере за исключением поля данных проверки подлинности.
Так как в предыдущей статье был рассмотрен только заголовок ESP, трейлер ESP состоит из следующих полей:
- Балласт, который содержит от 0 до 255 байт, используемых для придания зашифрованным полезным данным требуемого алгоритмом шифрования вместе с балластом размера в байтах,;
- Длина балласта, которая указывает длину поля балласта (в байтах). Получатель использует это поле для удаления балластных байтов после расшифровки полезных данных вместе с балластом;
- Следующий заголовок, который указывает тип полезных данных, например TCP или UDP.
Режим транспорта ESP схематически изображен на следующей иллюстрации:
Рис. 2. Режим транспорта ESP
Рассмотрим простейший пример использования транспортного режима IPSec. В этом примере политики IPSec распространяются на два компьютера: компьютер отправитель и компьютер получатель. Оба компьютера, или узла, предполагают, что между ними установлена не безопасная среда, несмотря на то, что они могут быть расположены как недалеко друг от друга, так и в разных сегментах сети или через Интернет-соединение. IPSec используется для обеспечения подлинности и гарантии того, что трафик не будет изменен между этими компьютерами. Данный пример изображен на следующей иллюстрации:
Рис. 3. Пример использования режима транспорта
Туннельный режим
Несмотря на то, что по умолчанию используется режим транспорта, отдельный шлюз VPN может быть несовместим с L2TP/IPSec подключениями VPN. В этом случае вы можете использовать режим туннелирования. В отличие от режима транспорта, который зашифровывает только полезные данные IP, режим туннелирования IPSec зашифровывает как полезные данные, так и заголовок IP. Именно в этом режиме обеспечивается защита и инкапсуляция всего IP-пакета с дополнительным незащищенным заголовком. IP-адреса внешнего заголовка IP представляют туннельные канальные точки, а адреса IP внутреннего заголовка представляют первичные начальный и конечный адреса. По сути, режим туннелирования IPSec поддерживается как дополнительная функция. Применяется данный режим для создания некоторых туннелей между шлюзами с целью обеспечения интерперабельности среди маршрутизаторов, шлюзов и конечных систем, которые не поддерживают подключения L2TP/IPSec и PPTP. Зачастую используются такие конфигурации туннельного режима, как шлюз – шлюз, сервер – шлюз, сервер – сервер. Однако, так как туннельный режим используется главным образом для обеспечения взаимодействия со шлюзами или конечными системами, туннели IPSec не поддерживаются в сценариях удаленного доступа к VPN. Также как и в случае с транспортным режимом, туннельный режим может рассматривать пакет IP как полезные данные AH или ESP, о чем речь пойдет в следующих подразделах.
Туннельный режим AH
Туннельный режим AH инкапсулирует всю исходную IP-датаграмму в заголовок нового IP и AH. Для того чтобы указать, что в заголовке IP присутствует AH, устанавливается идентификатор протокола IP 51 (0х33), причем исходный заголовок IP и полезные данные остаются без изменений. Внешний IP-заголовок базируется на конфигурации туннеля IPSec. Локальная подпись IP-адреса источника является лучшим источником для достижения адреса назначения туннеля. Для туннельного режима AH, ICV при выполнении своего расчета включает следующие компоненты:
- Все поля внешнего заголовка IP, за исключением некоторых полей в заголовке IP, которые могут быть изменены при передаче. Эти поля, значения которых для расчета ICV равняются 0, могут быть частью службы (Type of Service, TOS), флагами, смещением фрагмента, временем жизни (TTL), а также заголовком контрольной суммы;
- Все поля AH;
- Исходный IP-пакет.
Как видно на следующей иллюстрации, режим туннелирования AH защищает весь исходный IP-пакет за счет дополнительного внешнего заголовка, который в режиме транспорта AH не используется:
Рис. 4. Туннельный режим AH
Туннельный режим ESP
Туннельный режим ESP инкапсулирует всю исходную IP-датаграмму в заголовок нового IP, заголовок ESP и трейлер. Для того чтобы указать, что в заголовке IP присутствует ESP, устанавливается идентификатор протокола IP 50 (0х32), причем исходный заголовок IP и полезные данные остаются без изменений. Как и в случае с туннельным режимом AH, внешний IP-заголовок базируется на конфигурации туннеля IPSec. В случае использования туннельного режима ESP подписанная часть IP-пакета показывает, где была поставлена подпись, удостоверяющая его целостность и подлинность, а зашифрованная часть показывает, что информация является защищенной и конфиденциальной. В случае использования данного режима, все, что следует после заголовка ESP, подписывается, так как является инкапсулированным в туннелированный пакет, а исходный заголовок помещается после заголовка ESP. Кроме того, до выполнения шифрования ко всему IP-пакету добавляется трейлер ESP и зашифровывается все кроме трейлера. После этого все полезные данные ESP инкапсулируются в новый туннельный заголовок, который не зашифровывается. При отправке через общедоступную сеть такой пакет маршрутизируется на IP-адрес шлюза принимающей интрасети, а уже шлюз расшифровывает пакет и отбрасывает заголовок ESP с использованием исходного заголовка IP для последующей маршрутизации пакета на компьютер в интрасети. Режим туннелирования ESP шифрует следующие части пакета:
- Исходную IP-датаграмму;
- Поля заполнения, длины заполнения и следующий заголовок трейлера ESP.
Для туннельного режима ESP расчет ICV производится следующим образом:
- Все поля в заголовке ESP;
- Исходная IP-датаграмма, включая открытый текст IV;
- Все поля заголовка ESP, за исключением поля данных проверки подлинности.
Стоит отметить, что в туннельном режиме ESP обеспечивается защита для исходного IP-заголовка и полезных данных, однако не предусматривается защита внешнего заголовка IP и поля данных проверки подлинности трейлера ESP. На следующей иллюстрации вы можете увидеть, каким образом туннельный режим ESP инкапсулирует пакет IP в заголовки ESP и IP:
Рис. 5. Туннельный режим ESP
Как я уже говорил немного ранее, вы можете использовать туннельный режим IPSec в различных ситуациях, в которых вам не нужно использовать L2TP/IPSec и PPTP. Рассмотрим простой пример конфигурации туннельного режима шлюз - шлюз: сотрудник вашей организации уехал в командировку и, добравшись до точки назначения, ему понадобилось получить доступ к какому-то конкретному приложению, которое развернуто непосредственно в головном офисе. В этой ситуации трафик отправляется между клиентской машиной в офисе А на сервер, который расположен в главном офисе В. В офисе, в котором находится ваш сотрудник, используется любой сторонний шлюз, а в вашем головном офисе вся инфраструктура развернута на базе Windows Server 2008 R2. В этом случае, как вы можете увидеть на следующей иллюстрации, туннельный режим IPSec используется для защиты трафика между сторонним шлюзом и шлюзом под управлением Windows Server 2008 R2:
Рис. 6. Пример использования режима туннелирования
Заключение
В этой статье вы узнали о режимах, которые обеспечивают защиту данных и подлинности IP-пакетов, а именно о транспортном и туннельном режимах IPSec. Были рассмотрены основные отличия между обоими режимами, а также сценарии защиты полезных данных IP при помощи заголовков AH и ESP для каждого режима.