Vytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik



Podobné dokumenty
IPSec na platformě Juniper (CLI+GUI), kompatibilita s prvky Cisco

Seminární práce do předmětu: Bezpečnost informačních systémů. téma: IPsec. Vypracoval: Libor Stránský

Bezpečnost vzdáleného přístupu. Jan Kubr

TheGreenBow IPSec VPN klient

Moderní komunikační technologie. Ing. Petr Machník, Ph.D.

Y36PSI IPv6. Jan Kubr - 7_IPv6 Jan Kubr 1/29

2N EasyRoute UMTS datová a hlasová brána

SSL Secure Sockets Layer

Analýza aplikačních protokolů

Analýza protokolů rodiny TCP/IP, NAT

4. Síťová vrstva. Síťová vrstva. Počítačové sítě I. 1 (6) KST/IPS1. Studijní cíl. Představíme si funkci síťové vrstvy a jednotlivé protokoly.

GRE tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

Access Control Lists (ACL)

PA159 - Bezpečnostní aspekty

Šifrování ve Windows. EFS IPSec SSL. - Encrypting File System - Internet Protocol Security - Secure Socket Layer - Private Point to Point Protocol

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Směrovací protokol OSPF s využitím systému Mikrotom. Ing. Libor Michalek, Ph.D.

Možnosti IPv6 NAT. Lukáš Krupčík, Martin Hruška KRU0052, HRU0079. Konfigurace... 3 Statické NAT-PT Ověření zapojení... 7

VRRP v1+v2, konfigurace, optimalizace a reakce na události na plaformě RouterOS

Ověření možností generování provozu na platformě MikroTik + srovnání s Cisco a Open Source řešeními

Nezávislé unicast a multicast topologie s využitím MBGP

Konfigurace DHCP serveru a překladu adres na směrovačích Cisco

L2 multicast v doméně s přepínači CISCO

Konfigurace sítě s WLAN controllerem

12. Bezpečnost počítačových sítí

Implementace protokolů IPSec na OS Linux, FreeS/WAN. Martin Povolný

Semestrální projekt do předmětu SPS

Šifrová ochrana informací věk počítačů PS5-2

Šifrová ochrana informací věk počítačů PS5-2

Instalace Microsoft SQL serveru 2012 Express

L2 multicast v doméně s přepínači CISCO

Typická využití atributu Community protokolu BGP - modelové situace

WireGuard. nová a jednoduchá linuxová VPN. Petr Krčmář. 3. listopadu 2018

Mikrotik a modul Calea

Protokoly: IP, ARP, RARP, ICMP, IGMP, OSPF

Site - Zapich. Varianta 1

Počítačové sítě II. 20. Útoky na síť a její ochrana Miroslav Spousta, 2006 <qiq@ucw.cz>,

Počítačová síť. je skupina počítačů (uzlů), popřípadě periferií, které jsou vzájemně propojeny tak, aby mohly mezi sebou komunikovat.

Průzkum a ověření možností směrování multicast provozu na platformě MikroTik.

Y36PSI Bezpečnost v počítačových sítích. Jan Kubr - 10_11_bezpecnost Jan Kubr 1/41

POPIS STANDARDU CEN TC278/WG4. 1 z 5. Oblast: TTI. Zkrácený název: Zprávy přes CN 4. Norma číslo:

PA159 - Bezpečnost na síti II

Registrační číslo projektu: CZ.1.07/1.5.00/ Elektronická podpora zkvalitnění výuky CZ.1.07 Vzděláním pro konkurenceschopnost

IPsec tunel APLIKA ˇ CNÍ P ˇ RÍRU ˇ CKA

7. Aplikační vrstva. Aplikační vrstva. Počítačové sítě I. 1 (5) KST/IPS1. Studijní cíl. Představíme si funkci aplikační vrstvy a jednotlivé protokoly.

OpenVPN. Uvedené dílo podléhá licenci Creative Commons Uved te autora 3.0 Česko. Ondřej Caletka (CESNET, z.s.p.o.) OpenVPN 3. března / 16

Směrování. static routing statické Při statickém směrování administrátor manuálně vloží směrovací informace do směrovací tabulky.

Digitální podepisování pomocí asymetrické kryptografie

Internet a zdroje. (ARP, routing) Mgr. Petr Jakubec. Katedra fyzikální chemie Univerzita Palackého v Olomouci Tř. 17. listopadu

Zabezpečení v síti IP

HSRP v1+v2, reakce na události object trackingu, vliv na zátěž CPU

Ověření technologie Traffic-Flow na platformě Mikrotik a NetFlow na platformě Cisco

Základy IOS, Přepínače: Spanning Tree

JAK ČÍST TUTO PREZENTACI

VLSM Statické směrování

Přepínaný Ethernet. Virtuální sítě.

Komunikační protokoly počítačů a počítačových sítí

Směrovací protokol Mesh (802.11s) na platformě Mikrotik

VPN - Virtual private networks

5. Směrování v počítačových sítích a směrovací protokoly

VLSM Statické směrování

IPv6. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Diffieho-Hellmanův protokol ustanovení klíče

IBM i Verze 7.2. Zabezpečení VPN (Virtual Private Networking)

OpenVPN. Ondřej Caletka.

Počítačové sítě pro V3.x Teoretická průprava II. Ing. František Kovařík

Programování síťové služby Sniffer OSPFv2 a OSPFv3

Desktop systémy Microsoft Windows

Možnosti Multi-Topology Routing v Cisco IOS (ISIS, OSPF, BGP, EIGRP)

Uživatelský modul. WiFi SSID Switch

Počítačové sítě IP směrování (routing)

OpenVPN a dynamické směrování

IKEv2, peer-specific politiky pro negociaci IPSec tunelů

Podsíťování. Počítačové sítě. 7. cvičení

Zabezpečení sítí VPN (Virtual private networking)

Projekt VRF LITE. Jiří Otisk, Filip Frank

Uživatelský modul. WiFi STA

ERP-001, verze 2_10, platnost od

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP.

UKRY - Symetrické blokové šifry

VPN (Virtual Private Networking)

Instalace SQL 2008 R2 na Windows 7 (64bit)

Počítačové sítě Teoretická průprava II. Ing. František Kovařík

Protokol TELNET. Schéma funkčních modulů komunikace protokolem TELNET. Telnet klient. login shell. Telnet server TCP/IP TCP/IP.

XMW3 / IW3 Sítě 1. Štefan Pataky, Martin Poisel YOUR LOGO

MPLS MPLS. Label. Switching) Michal Petřík -

Podpora a možnosti konfigurace VLAN GVRP a autentizace 802.1x na DSLAM Zyxel IES-1000

12. Virtuální sítě (VLAN) VLAN. Počítačové sítě I. 1 (7) KST/IPS1. Studijní cíl. Základní seznámení se sítěmi VLAN. Doba nutná k nastudování

Konfigurace WDS režimu u produktů bezdrátových AP a routerů Tenda

Mikrotik RouterOS: Řízení datových toků

Administrace služby - GTS Network Storage

Co je Czech Point? Podací Ověřovací Informační Národní Terminál, zredukovat přílišnou byrokracii ve vztahu

Použití Virtual NAT interfaces na Cisco IOS

Hot Standby Router Protocol (zajištění vysoké spolehlivosti výchozí brány)

Semestrální projekt do předmětu. Technologie počítačových sítí

Síťová vrstva. RNDr. Ing. Vladimir Smotlacha, Ph.D.

Komunikační napojení účastníků na centrální depozitář cenných papírů

Zabezpečení sítí VPN (Virtual private networking)

Multicast Source Discovery Protocol (MSDP)

Autentizace uživatele připojeného přes 802.1X k přepínači Cisco Catalyst 2900/3550 pomocí služby RADIUS

Transkript:

Vytvoření šifrovaného tunelu Ipsec na směrovačích Cisco a Mikrotik Žemba Zdeněk, Kozelský Martin Abstrakt: Cílem tohoto semestrálního projektu bylo ověřit možnosti šfrovaného spojení mezi směrovači Cisco a Mikrotik. Projekt je rozdělen na dvě části, teoretickou, která obsahuje shrnutí důležitých pojmů a praktickou. V praktické části je nejprve podrobně vysvětlena možnost nastavení Mikrotiku v grafické nadstavbě Winbox. Dále pak konfigurace směrovače Mikrotik, která je znázorněna jak v příkazové řádce, tak přes grafickou nadstavbu Winbox. Následuje konfigurace směrovače Cisco pomocí příkazové řádky a analýza provozu. Klíčová slova: Cisco, Mikrotik, IPsec, IKE, ISAKMP 1 Teorie...2 2 Vysvětlení některých důležitých pojmů...2 3 Případová studie...3 3.1 Možnosti konfigurace Mikrotik (winbox)...4 3.2 Nastavení routeru RB - Mikrotik...7 3.3 Nastavení routeru RA - Cisco...11 3.4 Analýza provozu...11 4 Závěr...12 prosinec 2008 Technologie počítačových sítí 1/12

1 Teorie IPsec se dá charakterizovat jako kompletní řešení zabezpečení IP provozu na úrovni 3. vrstvy. Je to skupina protokolů obstarávající zabezpečení komunikace. Bohužel souhrn těchto protokolů vytváří velmi komplikovaný celek. Jednotlivé implementace jsou tak náchylnější k chybám, také díky tomu, že jednotlivé platformy podporující IPsec se liší v míře implementace IPsecu. IPsec lze rozdělit podle režimu na: transportní zabezpečuje pouze datovou část paketu, z toho vyplívá, že koncové body tunelu musí být schopné vzájemné adresace (žádný NAT apod.). Transportní režim lze nasadit pouze u topologie user-user. V praxi se příliš nevyužívá. tunelový - nachází mnohem širší uplatnění, s jeho pomocí lze realizovat topologie typu user-user, user-network, network-network. Encapsulací prochází celý paket a před něj se přidává nová hlavička. a podle použitého protokolu na: AH (authentication protocol) zabezpečuje IP pakety, jejich integritu, provádí autentizaci a dokáže zamezit opakování paketů (tzv. anti-replay attack). AH sice provádí autentizaci, ale nešifruje, proto se dnešní době příliš nepoužívá. ESP (encapsulating security payload) na rozdíl od AH provádí šifrování a dokáže, podobně jako AH, autentizovat odesílatele. Obsahuje také ochranu před opakováním. 2 Vysvětlení některých důležitých pojmů SPI (security parameter index) identifikátor přesně definovaný pro každý tunel zvlášť, definuje použité šifrovací a autentizační protokoly. Každý datagram pak obsahuje SPI. SPI je tak ukazatelem do tabulky, ve které jsou uvedeny použité šifrovací a kontrolní funkce a konkrétní hodnoty klíčů. SA (security association) SA je jedinečná pro každý tunel. Udává jaké budou použity bezpečnostní protokoly, jaké budou použity šifrovací algoritmy a definuje, jaké se použijí klíče pro komunikaci. prosinec 2008 Technologie počítačových sítí 2/12

ISAKMP (Internet Association and Key Management Protokol) SA lze konfigurovat manuálně, ale to není příliš vhodné, zvláště pokud spravujeme síť s mnoha klienty, je ruční správa klíčů dost nepohodlná. ISAKMP toto řeší, sám spravuje databázi SA. Zprostředkovává dohodu mezi dvěma peery, tzn. jaké protokoly a jaké šifrovací algoritmy se použijí. IKE (Internet Key Exchange) - IKE se stará o vlastní výměnu vygenerovaných klíčů. Jeho základem je tzv. Diffie-Hellmanův algoritmus. Sestavování spojení se skládá ze dvou fází: 1. fáze oba konce si vymění své předsdílené klíče v zašifrované podobě, pomocí nich si vytvářejí šifrovací klíče pro 2. fázi. Poté se zřizuje bezpečný kanál pro další komunikaci protokolem ISAKMP. 2. fáze oba peery se vzájemně autentizují podle autentizační metody na které se dohodli. Po šifrovaném kanálu se vyjednávají parametry pro protokoly AH nebo ESP. 3 Případová studie V praktické části úlohy jsme vytvořili šifrované spojení mezi routery RA a RB. Jedná se o tunelový režim, protože propojujeme dvě sítě. Ze schématu je patrné, že spojení mezi PC1 a RA a mezi PC2 a RB je nešifrované. RA RB 192.168.3.0/24 172.16.0.0/30 192.168.1.0/24 PC 1 PC 2 3.2 3.1 0.1 0.2 1.1 1.2 nešifrovaný provoz IPsec tunel nešifrovaný provoz Nejprve pro vysvětlení popíši možnosti nastavení Mikrotiku. Vyzkoušeli jsme dvě možnosti zapojení: Mikrotik Mikrotik a Cisco - Mikrotik. V další kapitole je popsáno nastavení Mikrotiku v případě topologie Mikrotik Mikrotik, pro názornost je postačující popis jen jedné strany tunelu router RB. V další kapitole jsme jako router RA použili Cisco router (topologie Cisco - Mikrotik) Mikrotik jsme konfigurovali grafickou nadstavbou Winbox, Cisco jsme konfigurovali přes terminálový program Teraterm. Jako Mikrotik platformu jsme použili RouterBoard řady 532A a Cisco 2801. prosinec 2008 Technologie počítačových sítí 3/12

3.1 Možnosti konfigurace Mikrotik (winbox) Nejprve je nutné zadat rozsah zdrojových a cílových IP adres se má šifrovat, je možné šifrovat provoz běžící jen na některých portech, nebo šifrovat provoz určitých protokolů. Je potřeba také určit zacházení s pakety, pro které ještě není vytvořeno žádné SA. Typ použitého IPsec protokolu, typ použitého zabezpečovacího protokolu atd. (záložka Policy). V záložce Peer nastavíme IP adresu druhého konce tunelu a potřebné nastavení ISAKMP/IKE, tzn. předsdílený klíč, použité šifrovací protokoly atd. Posledním důležitým nastavením je určení zabezpečovacích a šifrovacích metod využitých k encapsulaci a autentizaci provozu. Metody je možné kombinovat, přičemž se obě strany dohodnou na metodách, které mají v záložce Proposal povoleny. U každé záložky budou podrobněji rozebrány možnosti nastavení (záložka Proposal). Policy Src. Address: zdrojová adresa ve tvaru x.x.x.x/maska:port Dst. Address: cílová adresa ve tvaru: x.x.x.x/maska:port Protocol: protokol který chceme šifrovat Action: určuje pravidlo, které se bude týkat provozu vybraného podle záložky General. discard zahazuje provoz encrypt kryptuje provoz none bez pravidla Level: určuje zacházení s pakety,ke kterým není přiřazená bezpečnostní asociace (SA) use přeskočí transformaci, nezahazuje pakety ani nezískává SA z IKE daemonu require zahazuje pakety, snaží se získat SA unique přeskočí transformaci, získává SA z IKE démonu IPsec Protocols: typ použitého zabezpečovacího protokolu na výběr je zde AH, ESP, nebo kombinace AH a ESP(AH je aplikováno později než ESP). prosinec 2008 Technologie počítačových sítí 4/12

Tunnel: aktivace/deaktivace tunelového módu. V tunelovém módu můžeme propojit přes IPsec dvě sítě, nebo klienta, který je za routerem. IP hlavičky nemusí být shodné s SA src. a dst. address. Šifrovaná je komunikace jen mezi SA src. a SA dst. adresami. V netunelovém módu (transportní mód) mohou projít encapsulací jedině pakety, které mají zdrojovou i cílovou IP hlavičku shodnou s SA Src. Address a SA Dst. Address polem IPsec paketu. Transportní mód může pracovat jedině s pakety, jehož příjemcem, nebo odesílatelem je IPsec peer. SA Src Address: zdroj SA - pole využívané SA k vytvoření hlavičky kryptovaného paketu SA Dst. Address: cíl SA - pole využívané SA k vytvoření hlavičky kryptovaného paketu Proposal: název kombinace autentizačních a šifrovacích metod (obdoba transform-setu u platformy Cisco) Manual SA: možnost zadání manuálního SA profilu, podle kterého se budou vytvářet SA pro zadané pravidlo. Zadáváme v případě ručního zadávání klíčů. Peer V záložce Peer konfigurujeme nastavení, které bude použito k vytvoření spojení mezi IKE daemony. Toto nastavení bude použito k výměně klíčů a algoritmů pro dohadování SA. Toto nastavení neovlivňuje již vytvořené SA. prosinec 2008 Technologie počítačových sítí 5/12

Address: adresa (rozsah adres) na kterou se bude provoz šifrovat Port: UDP port využívaný protokolem ISAKMP Auth. Method: autentizační metoda - pre-shared key použití předsdíleného klíče - rsa signature použití digitálního podpisu Exchange Mode: main v první fázi se vyjednávají obecné parametry komunikace a druhá fáze již probíhá šifrovaně. aggressive zprávy první a druhé fáze se přenáší současně. Důsledkem je fakt, že v tomto případě komunikace neprobíhá šifrovaně, protože z důvodu současného průběhu první fáze nejsou ještě známy parametry potřebné pro šifrování přenosu. Send Initial Contact tímto určíme, která strana bude iniciátorem spojení, tato strana také navrhuje dobu životnosti SA. Nat traversal zabalení ESP hlavičky do UDP hlavičky. Použití v případě umístění klienta za NATem, kdy se mění zdrojová IP adresa, ale zašifrovaná zdrojová IP adresa pomocí IKE protokolu je privátní IP adresa klienta. V případě nepoužití NAT- T zjistí stroj na druhé straně IPsec kanálu nesoulad mezi zdrojovými IP adresami a paket zahodí. Proposal Check: životnost SA (týká se jen phase 2) claim - nastavení nejkratší doby životnosti exact nastavení pevně dané doby životnosti podle položky Lifetime obey akceptuje jakoukoli životnost navrhnutou iniciátorem strict pokud iniciátor navrhuje delší dobu životnosti, tak ji odmítá. Jinak přijímá navrhovanou životnost iniciátorem. Doporučená hodnota podle výrobce. Hash Algorithm: md5 nebo sha (V Ipsecu se používá pro kontrolu, že paket nebyl modifikován. Po vytvoření, zašifrování paketu se číslo jeho velikosti zahashuje a připojí se k paketu. Při přijetí paketu se číslo opět kontroluje, tj. velikost paketu se zahashuje a spočítaná hash se porovná s obdrženou.) Encryption Algorithm: 3des, des, aes (algoritmus šifrování dat, des je zastaralý, lehce rozluštitelný. 3des při použití 3x dvěma klíči je sice bezpečnější, ale náročný na výpočetní výkon. Aes je nejvhodnější k použití, bezpečnější než des a rychlejší než 3des.) DH group: číslo používané pro počítání klíčů, výrobce doporučuje použití modp1024 (1024 určuje kolika bitové číslo se použije k počítání klíčů) DPD Interval: Dead Peer Detection (detekce ztracených spojení, v případě ztráty spojení DPD přeruší posílání dat a smaže SA přiřazené tomuto spojení.) prosinec 2008 Technologie počítačových sítí 6/12

Proposal Auth. Algorithms: výběr autentizačních metod, které chceme uplatnit. Encr. Algorithms: výběr šifrovacích metod, které chceme uplatnit. Lifetime: životnost klíče, po skončení životnosti si obě strany předají nové klíče PFS Group: Perfect Forward Secrecy (udává, jestli se v quick módu mají použít čísla vygenerovaná v main módu. Pokud je na yes, čísla se generují znovu. Je to bezpečnější, ale trochu náročnější na výkon a čas při sestavování spojení. Při dnešních výkonech je zdržení nepostřehnutelné) 3.2 Nastavení routeru RB - Mikrotik Policy Nejprve jsme vytvořili pravidlo, že pakety se zdrojovou IP adresou pocházející ze sítě 192.168.1.0/24 a cílovou adresou sítě 192.168.3.0/24 se mají šifrovat. Nastavili jsme šifrování všech protokolů a šifrování provozu na všech portech. Provoz, který ještě nemá přiřazené žádné SA se bude zahazovat,dokud se příslušné SA nevytvoří. IPsec protokol jsme použili ESP a adresy konce tunelu jsou určeny v SA src. address a SA dst. address. Tím, že jsme vybrali v kolonce Manual SA: none, jsme nastavili vytvoření a výměnu klíčů pomocí ISAKMP/IKE. prosinec 2008 Technologie počítačových sítí 7/12

zápis v terminálu: ip ipsec policy add src-address=192.168.1.0/24 dst-address=192.168.3.0/24 \ sa-src-address=172.16.0.2 sa-dst-address=172.16.0.1 action=encrypt \ tunnel=yes Peer Zde je jsme nastavili IP adresu Peera, tzn. IP adresu druhého konce tunelu router RA. Port přes který si budou jednotlivé strany vyjednávat parametry spojení pomocí ISAKMP protokolu. O výměnu klíčů se stará protokol IKE, protože používáme autentizaci předsdíleným klíčem, je nutné jej zadat do pole Secret. Echange mode jsme nastavili na main, tudíž domlouvání parametrů a klíčů a sestavování šifrovaných tunelů je rozděleno na dvě fáze, viz. kapitola 3.4. prosinec 2008 Technologie počítačových sítí 8/12

zápis v terminálu: ip ipsec peer add address=172.16.0.1 secret= abcd \ dh-group=modp1024 hash-algorithm=md5 enc-algorithm=3des Proposal Název jsme ponechali default. Určili jsme, že pro autentizaci je možno použít algoritmy md5 a sha1. Pro šifrování pak algoritmy 3des a aes-256. Které algoritmy se použijí záleží na dohodě obou koncových zařízení tunelu (peerů). Pokud označíme více možností, vyberou si vždy takové algoritmy, které mají společné. Životnost SA jsme nastavili na 1 minutu. prosinec 2008 Technologie počítačových sítí 9/12

zápis v terminálu: ip ipsec proposal add name="default" auth-algorithms=md5,sha1 \ enc-algorithms=3des,aes-256 lifetime=1m lifebytes=0 pfs-group=no \ disabled=no Kontrola šifrovacích klíčů: Z obrázku lze vyčíst, že ačkoli jsme zadali v proposal více druhů autorizačních a šifrovacích algoritmů, tak mikrotik vybral podle něj vhodnější md5 a 3des. V dolní části okna lze vidět autorizační a šifrovací klíče. prosinec 2008 Technologie počítačových sítí 10/12

3.3 Nastavení routeru RA - Cisco Nejprve nastavíme ACL (access-list), tímto určíme na který provoz se má šifrování IPsec aplikovat. V našem případě šifrujeme všechen provoz mezi sítěmi 192.168.3.0 a 192.168.1.0. (config)# access-list 101 permit ip 192.168.3.0 0.0.0.255 192.168.1.0 0.0.0.255 Dále je potřeba nastavit soubor pravidel, jaké šifrovací protokoly se budou využívat. Zde pro šifrování provozu je použito protokolu esp a šifrovací metody 3des. Pro autentizaci je rovněž použito esp a autentizační metody sha. (config)# crypto ipsec transform-set ts esp-3des esp-sha-hmac Nyní se jednotlivé konfigurace spojí dohromady v jednu mapu mapa. Mapě jsme přiřadili acces-list s názvem 101, soubor pravidel ts a peer s IP adresou 172.16.0.2. (config)# crypto map mapa 1 ipsec-isakmp (config-crypto-map)# match address 101 (config-crypto-map)# set transform-set ts (config-crypto-map)# set peer 172.16.0.2 Protože používáme ISAKMP protokol, je potřeba nastavit i pravidla pro něj. Nastavujeme předsdílený klíč: abcd a IP adresu druhého konce tunelu. Pomocí Policy 1 je nastavena autentizace pomocí předsdíleného klíče, šifrování 3des, DH grupu 2 (modp 1024 mikrotik) a hashovací metodu md5. (config)# crypto isakmp key 0 abcd address 172.16.0.2 (config)# crypto isakmp policy 1 (config-isakmp)# authentication-pre-share (config-isakmp)# encryption 3des (config-isakmp)# group 2 (config-isakmp)# hash md5 Posledním krokem je přidělení vytvořené mapy k interface, na kterém bude končit IPsec tunel. (config)# int fa 0/1 (config-if)# crypto-map mapa prosinec 2008 Technologie počítačových sítí 11/12

3.4 Analýza provozu Provoz na IPsec tunelu jsme vytvořili zprávami ping request a ping reply. Zprávy request byly posílány z PC2 a odpovědi reply byly odesílány z PC1. Provoz mezi PC a routery není šifrován, proto jsme analyzovali provoz jen na spoji mezi routery RA a RB. K analýze jsme použili program Wireshark. Z výpisu programu Wireshark lze vyčíst průběh komunikace na IPsec tunelu. Fáze 1: (main mode)peer s IP adresou 172.16.0.2 (RB) inicializuje spojení. S použitím protokolu ISAKMP si s peerem 172.16.0.1 vzájemně vymění 6 zpráv. Výsledkem těchto zpráv je autentizace obou stran a šifrovací klíč pro posílání prvních navazovacích zpráv quick módu. Fáze 2: (quick mode) obsahuje tři zprávy, peery se vzájemně autentizují. Quick mode domlouvá symetrické šifrovací klíče. Jsou vytvořeny dva šifrované jednosměrné tunely s různými klíči. Dále už je odchytáván šifrovaný provoz protokol ESP. 4 Závěr V projektu jsme úspěšně ověřili možnost vytvoření šifrovaného tunelu mezi dvěma platformami Mikrotikem a Ciscem. Oproti očekávání byl největší problém propojit dva Mikrotiky. Ukázalo se, že verze firmwaru 3.16 (beta) a 3.13 (stable) obsahují chybu, kvůli které nebylo možné dokončit 2. fázi navazování spojení. Routery si nebyly schopné vytvořit SA a pokud, tak jen na jedné straně. Vše se vyřešilo až nahráním firmwaru 2.9.51, což je na oficiálních stránkách Mikrotiku uváděná jako historická verze. Podporu IPsecu poskytují obě zařízení dostatečně, každé ale s jinými defaultními hodnotami. Je potřeba dodržet správně nastavení na obou stranách tunelu (předsdílený klíč, autentizační a šifrovací metody atd.). Po správném nastavení se obě zařízení vzájemně autentizovaly, vyměnily klíče a začaly si předávat šifrované pakety. Nárůst zpoždění linky se projevil, hlavně při průchodu paketů větších velikostí. U pingu s délkou paketů 1500B se zpoždění zvýšilo z 2ms na 8ms, při použití metody 3des. Podle mě může za zpoždění z velké části použitý hardware na kterém běží Mikrotik routerboard 532A, při použití výkonnější náhrady by se zpoždění mohlo snížit. prosinec 2008 Technologie počítačových sítí 12/12

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář