IPsec ტექნოლოგია

IPsec (Internet Protocol Security) წარმოადგენს სხვადასხვა პროტოკოლების ნაკრებს, რომელიც გვაძლევს საშუალებას რომ ვუზრუნველვყოთ IP პაკეტების უსაფრთხოება (OSI მოდელის Layer 3-ზე).

IPsec-ს შეუძლია უზრუნველყოს:

  • კონფიდენციალურობა (Confidentiality) – პაკეტის კონფიდენციალურობის დაცვა ხორციელდება შიფრაციის სხვადასხვა ალგორითმების გამოყენებით (DES, 3DES, IDEA, AES), რაც იმას ნიშნავს რომ ღია ტექსტი გადაიქცევა დაშიფრულ ტექსტად.
  • მონაცემთა მთლიანობა (Data Integrity) –მონაცემთა მთლიანობის დაცვა ხორციელდება ჰეშირების (MD5, SHA) ან/და Hashed Message Authentication Code (HMAC)-ის ალგორითმების მეშვეობით, რათა დავრწმუნდეთ, რომ პაკეტების გადაცემისას მონაცემები არ დაზიანებულა ან არ შეცვლილა.
  • აუტენთიფიკაცია (Authentication) – VPN სესიის დაწყებისას საჭიროა VPN წყვილების  ავთენტურობის შემოწმება რომელიც ხორციელდება PSK (Pre Shared Key) ან RSA Digital signatures-ის გამოყენებით.
  • Antireplay: VPN კავშირის დამყარების შემდეგ, არ მოხდება დუბლირებული პაკეტების გაგზავნა (პაკეტების ნუმერაციის მეშვეობით).

IPSec VTI (Virtual Tunnel Interface) არის VPN-ის კონფიგურაციის გამარტივებული მეთოდი, რომელიც იყენებს ე.წ Tunnel ინტერფეისებს.

 

შენიშვნა –  კონფიგურაციისას იგულისხმება, რომ როუტერების IP მისამართები და მარშრუტიზაცია პროვაიდერის მიმართულებით დაკონფიგურირებულია.

 

კონფიგურაციისას გამოყენებული ტოპოლოგია

Main მარშრუტიზატორის კონფიგურაცია

ვაკონფიგურირებთ IKE Phase 1-ს:

R1(config)# crypto isakmp policy 10

R1(config-isakmp)# hash sha256

R1(config-isakmp)# authentication pre-share

R1(config-isakmp)# group 14

R1(config-isakmp)# lifetime 3600

R1(config-isakmp)# encryption aes

ვაკონფიგურირებთ ე.წ  Pre-Shared key-ს (იგივე პაროლს) და ვუთითებთ R2-ის გარე IP მისამართს:

R1(config)# crypto isakmp key PasswdC1sc0 address 98.75.15.2

ვაკონფიგურირებთ  IPsec Transform-Set-ს და IPsec პროფილს:

R1(config)# crypto ipsec transform-set MY_TRANSFORM_SET esp-aes esp-sha256-hmac

R1(cfg-crypto-trans)# mode tunnel

R1(cfg-crypto-trans)# exit

R1(config)# crypto ipsec profile IPSEC_PROFILE

R1(ipsec-profile)# set transform-set MY_TRANSFORM_SET

ვაკონფიგურირებთ Tunnel ინტერფეისს და ვირჩევთ  Tunnel-ის დაცვის მეთოდს:

R1(config)# interface tunnel 0

R1(config-if)# ip address 10.10.10.1 255.255.255.252

R1(config-if)# tunnel source 213.15.30.226

R1(config-if)# tunnel destination 98.75.15.2

R1(config-if)# tunnel mode ipsec ipv4

R1(config-if)# tunnel protection ipsec profile IPSEC_PROFILE

ვუთითებთ სტატიკურ მარშრუტს R2-ზე არსებული შიდა ქსელისკენ:

R1(config)# ip route 172.16.10.0 255.255.255.0 Tunnel0

Branch მარშრუტიზატორის კონფიგურაცია

ვაკონფიგურირებთ IKE Phase 1-ს:

R2(config)# crypto isakmp policy 10

R2(config-isakmp)# hash sha256

R2(config-isakmp)# authentication pre-share

R2(config-isakmp)# group 14

R2(config-isakmp)# lifetime 3600

R2(config-isakmp)# encryption aes

ვაკონფიგურირებთ ე.წ  Pre-Shared key-ს (იგივე პაროლს) და ვუთითებთ R1-ის გარე IP მისამართს:

R2(config)# crypto isakmp key PasswdC1sc0 address 213.15.30.226

ვაკონფიგურირებთ  IPsec Transform-Set-ს და IPsec პროფილს:

R2(config)# crypto ipsec transform-set MY_TRANSFORM_SET esp-aes esp-sha256-hmac

R2(cfg-crypto-trans)# mode tunnel

R2(cfg-crypto-trans)# exit

R2(config)# crypto ipsec profile IPSEC_PROFILE

R2(ipsec-profile)# set transform-set MY_TRANSFORM_SET

ვაკონფიგურირებთ Tunnel ინტერფეისს და ვირჩევთ  Tunnel-ის დაცვის მეთოდს:

R2(config)# interface tunnel 0

R2(config-if)# ip address 10.10.10.2 255.255.255.252

R2(config-if)# tunnel source 98.75.15.2

R2(config-if)# tunnel destination 213.15.30.226

R2(config-if)# tunnel mode ipsec ipv4

R2(config-if)# tunnel protection ipsec profile IPSEC_PROFILE

ვუთითებთ სტატიკურ მარშრუტს R1-ზე არსებული შიდა ქსელისკენ:

R2(config)# ip route 192.168.10.0 255.255.255.0 Tunnel0