!_30 Posted August 23, 2006 Report Share Posted August 23, 2006 Salut !Desi acest tutorial ar dura si "mii de pagini" , fara gluma , deoarece IPSec este ceva destul de complex cu destul de mult roluri , daca esti putin descurcaret il poti face pe cateva pagini lejer.Asta voi incerca eu in randurile "multe" care urmeaza mai jos.IPSec in complexitatea sa , initial , inainte sa apara , atatea subprotocoale , care mai de care mai updatate care sa le includa avea rolul de a trimite date securizate intre doua terminale . Simplu si concret ! Insa aceasta e o poveste lunga si complicata.IPSec poate trimite , date securizate intre doua noduri de pe retea se numeste tipul transport sau intre doua noduri / hopuri / routere / servere din retele diferite { de pe internet } si aici apare notiunea de tunneling .Mai jos voi prezenta insa "sumar" cum se incepe si se termina o astfel de transmisie de date securizate , intre doua noduri de pe LAN.Trebuie sa fiti atenti pentru a putea intelege ceva :Prima parte pe care o vom studia se numeste "negocierea" , ca la piata , inainte sa faci un transfer "securizat" de bani de la tine { client } la vanzator , trebuie sa va hotarati la un pret de comun acord { daca e negociabil } cum zice si numele acestei faze si la mai multe detalii suplimentare.Aceasta negociere se imarte in doua "transe" : faza PRIMARA + faza RAPIDA -sa incepem cu faza primara .-PC 1 , trimite pachet la PC 2 { pachetul nu a iesit inca pe cablu , deci aveti rabdare } , driverul IPSec se uita sa vada daca pachetul ar trebui trimis securizat , si vede ca trebuie , deci nu trimite inca pachetul "il lasa in buffer" , ci incepe negocierile pentru transmiterea securizata de date catre PC 2 .{sa vedem daca si PC 2 vrea aceasta transmisie securizata , depinde daca e obligatorie mean require security , daca e si PC 2 nu vrea se opreste tranmisia si daca nu e obligatorie e doar request , trimite nesecurizat , cum o fi.-IKE , are roul de a incepe negocierea pentru transmia de date.-Computer 1 trimite un mesaj prim { de negociere , nu ce vroia sa trimita initial , inainte sa stie daca e securizat sau nu , aici e o chestie de OSI model , treptele acestuia }.IKE message pentru negociere e trimis catre destinatie cu sursa UDP port 500 si destinatie UDP port 400 { desigur la TCP }.-al doilea PC , primeste , se uita in headerul IKE message pentru negociere si apoi in IPSec sa vada daca e sau nu se vrea securizare intre cei doi.-daca si PC 2 , incepe negocierea pentru IKE SA , as se numeste .-computerele in aceasta faza se autentifica, si genereaza o cheie "master".-sa continuam cu faza rapida {secundara}.-primul PC , se uita la intreaga politica de securitate , pentru alte moduri cum ar fi encryptare si restul "tratamentelor" pentru securitate.-trimite PC-ului 2 , si PC-ul 2 se uita si "fenomenal" e si el de acord.{cu tipul de securizare inceput si trimit prin mesaje IKE , dupa faza IKE SA , de primul PC }.-are loc trimiterea de pachete encryptata la destinatie PC 2 si invers , apoi decryptar pe baza de chei , etc.. de celalalt PC , destinatia.Cam asta e , nu-i mare branza { written by !_30 , credit's only }:hi: Quote Link to comment Share on other sites More sharing options...
!_30 Posted August 23, 2006 Author Report Share Posted August 23, 2006 Lectia 2 Implementare si intelegere Pai in general VPN-ul este folosit de acele aplicatii { sa zicem } , care au nevoie de tranmisie securizata de date , pentru asta a fost conceput initial.VPN , tunneling si secure data transmision , cam asta e in mare ce poti face cu IPSec Poate fi asemanat si cu SSL-urile , sau TLS-urile folosite pentru encrypate date { cand intri pe Gmail per example https } .Cam tot pe acolo e.Un mare avantaj al IPSec e ca lucreaza exact sub layerul de transport al modelului OSI ceea ce-l face mai bun { decat SSL-urile , sau TLS-urile } , dar ii da si niste mici { bubite },Ai putea da si 2-3 exemple de aplicatii care folosesc IPSec ? -in afara de VPN -ul binecunoscut , IPSec mai este folosit si pe LAN la cunexiuini client-server,conexiuni router-router { pe WAN } , si conexiuni RAS securizate.O chestie interesanta , buna de stiut : deriva de la ideea :-IPSec are doua protocoale primare : AH { care da integritatea pachete , etc } si ESP { autentificare , confidentilatate si integritate } , dar faza tare ca ESP-ul e INTERZIS in unele tari , citeam mai de mult pe wikipedia.-foloseste algortmi care fac hashuri { MD5 sau SHA-1 } , si chei pentru a calcula valoarea de inegritate a pachetelor { daca au ajuns bine securizate de la nodul 1 la nodul 2 }.E bine de stiut ca incepand cu IP v6 { pe 128 de biti , noile IP-uri sunt in forma hexazecimala } , IPSec e obligatoriu.Interesant e ca IPSec a inceput sa fie "dezvoltat" si pe platforme BSD , Solaris , Linux : odata cu niste proiecte : FreeS/WAN.De exemplu proiectul : KNAME implementeaza toata gama IPSec pe NetBSD si OpenBSD.IPSec e folosit si pe routere Cisco pentru transfer securizat de date.Mai e implementat si la VoIP , IPSec , o alternativa a IPSec mai este si TLS-ul care nu are aceasi putere ca IPSec.-uitasem , foloseste un protocol pentru securitate inalta pe 2048 biti.-o chestie super interesanta :-cineva spunea : "Cand pe net se va implementa IP v6 + IPSec se va diminua spamul , pishingul si wormurile de pe net., desi doar lucrand la L3 , unii nu sunt de parere.-mai au rol de creerea tunelelor de L3 in tehnologia wireless.Interesant nu ? :@ Quote Link to comment Share on other sites More sharing options...
m32mark Posted April 9, 2009 Report Share Posted April 9, 2009 chiar interesant, chiar stiti multe :cool: Quote Link to comment Share on other sites More sharing options...