Аутентификация источника данных

В процессе работы IPsec VPN определяются параметры обмена ключами, устанавливаются общие ключи, аутентификация взаимодействующих узлов (peer), устанавливаются параметры шифрования. Все полученные параметры называются ассоциацией безопасности (security association - SA).

Для поддержки процесса обмена ключами применяется протокол IKE.

IKE рассчитывает ключи, используя последовательности, которыми обмениваются устройства. Обмен информацией выполняется по протоколу UDP (порт 500).

IKE является гибридным протоколом, сочетающим в себе межсетевую ассоциацию безопасности (Internet Security Association) и протокол управления ключами (Key Management Protocol) – ISAKMP.

Рассмотрим этапы работы IPSec.

1.Начало процесса IPSec.

На рабочей станции во внутренней сети генерируется трафик для передачи. Он поступает на маршрутизатор периметра. На этом маршрутизаторе определяется, должен ли данный тип трафика защищаться с помощью средств IPSec.

Для выделения соответствующего типа трафика на маршрутизаторах Cisco и PIX Firewall применяются списки доступа. Списки доступа определяют необходимость применения шифрования с помощью операторов permit (шифровать) и deny (не шифровать).

Если трафику необходимо шифрование в соответствии с технологией IPSec, согласованной удаленными сторонами (узлами), то запускается первая фаза процесса IКЕ.

2. Первая фаза IKE.

В первой фазе IKE выполняется аутентификация сторон IPSec, устанавливаются параметры ассоциации защиты IKE и создается защищенный канал между ними для начала обмена IKE.

Первая фаза IKE может выполняться в двух режимах – основном и энергичном.