[Tutorial] IPSec

[!_30]

Salut !

Desi acest tutorial ar dura si "mii de pagini" , fara gluma , deoarece IPSec este ceva destul de complex cu destul de mult roluri , daca esti putin descurcaret il poti face pe cateva pagini lejer.Asta voi incerca eu in randurile "multe" care urmeaza mai jos.

IPSec in complexitatea sa , initial , inainte sa apara , atatea subprotocoale , care mai de care mai updatate care sa le includa avea rolul de

a trimite date securizate intre doua terminale

. Simplu si concret ! Insa aceasta e o poveste lunga si complicata.

IPSec poate trimite , date securizate intre doua noduri de pe retea se numeste tipul transport sau intre doua noduri / hopuri / routere / servere din retele diferite { de pe internet } si aici apare notiunea de tunneling .

Mai jos voi prezenta insa "sumar" cum se incepe si se termina o astfel de transmisie de date securizate , intre doua noduri de pe LAN.Trebuie sa fiti atenti pentru a putea intelege ceva :

Prima parte pe care o vom studia se numeste "negocierea" , ca la piata , inainte sa faci un transfer "securizat" de bani de la tine { client } la vanzator , trebuie sa va hotarati la un pret de comun acord { daca e negociabil } cum zice si numele acestei faze si la mai multe detalii suplimentare.

Aceasta negociere se imarte in doua "transe" :

faza PRIMARA + faza RAPIDA

-sa incepem cu faza primara .

-PC 1 , trimite pachet la PC 2 { pachetul nu a iesit inca pe cablu , deci aveti rabdare } , driverul IPSec se uita sa vada daca pachetul ar trebui trimis securizat , si vede ca trebuie , deci nu trimite inca pachetul "il lasa in buffer" , ci incepe negocierile pentru transmiterea securizata de date catre PC 2 .{sa vedem daca si PC 2 vrea aceasta transmisie securizata , depinde daca e obligatorie mean require security , daca e si PC 2 nu vrea se opreste tranmisia si daca nu e obligatorie e doar request , trimite nesecurizat , cum o fi.

-IKE , are roul de a incepe negocierea pentru transmia de date.

-Computer 1 trimite un mesaj prim { de negociere , nu ce vroia sa trimita initial , inainte sa stie daca e securizat sau nu , aici e o chestie de OSI model , treptele acestuia }.IKE message pentru negociere e trimis catre destinatie cu sursa UDP port 500 si destinatie UDP port 400 { desigur la TCP }.

-al doilea PC , primeste , se uita in headerul IKE message pentru negociere si apoi in IPSec sa vada daca e sau nu se vrea securizare intre cei doi.

-daca si PC 2 , incepe negocierea pentru IKE SA , as se numeste .

-computerele in aceasta faza se autentifica, si genereaza o cheie "master".

-sa continuam cu faza rapida {secundara}.

-primul PC , se uita la intreaga politica de securitate , pentru alte moduri cum ar fi encryptare si restul "tratamentelor" pentru securitate.

-trimite PC-ului 2 , si PC-ul 2 se uita si "fenomenal" e si el de acord.{cu tipul de securizare inceput si trimit prin mesaje IKE , dupa faza IKE SA , de primul PC }.

-are loc trimiterea de pachete encryptata la destinatie PC 2 si invers , apoi decryptar pe baza de chei , etc.. de celalalt PC , destinatia.

Cam asta e , nu-i mare branza { written by !_30 , credit's only }

:hi:

[!_30]

Lectia 2

Implementare si intelegere

Pai in general VPN-ul este folosit de acele aplicatii { sa zicem } , care au nevoie de tranmisie securizata de date , pentru asta a fost conceput initial.

VPN , tunneling si secure data transmision , cam asta e in mare ce poti face cu IPSec

Poate fi asemanat si cu SSL-urile , sau TLS-urile folosite pentru encrypate date { cand intri pe Gmail per example https } .Cam tot pe acolo e.

Un mare avantaj al IPSec e ca lucreaza exact sub layerul de transport al modelului OSI ceea ce-l face mai bun { decat SSL-urile , sau TLS-urile } , dar ii da si niste mici { bubite },

Ai putea da si 2-3 exemple de aplicatii care folosesc IPSec ?

-in afara de VPN -ul binecunoscut , IPSec mai este folosit si pe LAN la cunexiuini client-server,conexiuni router-router { pe WAN } , si conexiuni RAS securizate.

O chestie interesanta , buna de stiut : deriva de la ideea :

-IPSec are doua protocoale primare : AH { care da integritatea pachete , etc } si ESP { autentificare , confidentilatate si integritate } , dar faza tare ca ESP-ul e INTERZIS in unele tari , citeam mai de mult pe wikipedia.

-foloseste algortmi care fac hashuri { MD5 sau SHA-1 } , si chei pentru a calcula valoarea de inegritate a pachetelor { daca au ajuns bine securizate de la nodul 1 la nodul 2 }.

E bine de stiut ca incepand cu IP v6 { pe 128 de biti , noile IP-uri sunt in forma hexazecimala } , IPSec e obligatoriu.

Interesant e ca IPSec a inceput sa fie "dezvoltat" si pe platforme BSD , Solaris , Linux : odata cu niste proiecte : FreeS/WAN.De exemplu proiectul : KNAME implementeaza toata gama IPSec pe NetBSD si OpenBSD.

IPSec e folosit si pe routere Cisco pentru transfer securizat de date.

Mai e implementat si la VoIP , IPSec , o alternativa a IPSec mai este si TLS-ul care nu are aceasi putere ca IPSec.

-uitasem , foloseste un protocol pentru securitate inalta pe 2048 biti.

-o chestie super interesanta :

-cineva spunea : "

Cand pe net se va implementa IP v6 + IPSec se va diminua spamul , pishingul si wormurile de pe net.

, desi doar lucrand la L3 , unii nu sunt de parere.

-mai au rol de creerea tunelelor de L3 in tehnologia wireless.

Interesant nu ?

:@

[m32mark]

chiar interesant, chiar stiti multe :cool: