Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Schutz der Verbindung.

  • Печать
Обновлено 10.10.2025 06:09

Um eine sichere Verbindung herzustellen, müssen beide Sitzungsteilnehmer in der Lage sein, Sicherheitseinstellungen wie Authentifizierungsalgorithmen und Schlüssel schnell zu harmonisieren. IPSec unterstützt zwei Arten von Schlüsselverwaltungsschemas, mit denen Teilnehmer Sitzungsparameter aushandeln können.

Mit der aktuellen Version von IP, IPv4, können Sie entweder das Internet Secure Association Key Management Protocol (ISAKMP) oder Simple Key Management for Internet Protocol verwenden.

Überschrift AH.

Der optionale Header (Authentication Header, AH) ist ein normaler Authentifizierungsheader und befindet sich am häufigsten zwischen dem Hauptheader des IP-Pakets und dem Datenfeld. Das Vorhandensein dieses Headers hat keinen Einfluss auf den Prozess der Übertragung von Transportinformationen oder höheren Ebenen. Der primäre und einzige Zweck von AH besteht darin, den Schutz vor Angriffen zu gewährleisten, die durch unbefugte Änderung des Paketinhalts entstehen, einschließlich der Ersetzung der ursprünglichen Netzwerkschichtadresse. Die Protokolle auf höherer Ebene müssen modifiziert werden, um die Authentizität der erhaltenen Daten zu überprüfen.

Betrachten Sie die Werte jedes der angegebenen Felder.

Next Header (8 Bits) - Der Typ des Protokollheaders nach dem AH-Header. Über dieses Feld erkennt das IP-sec-Empfangsmodul das geschützte Protokoll der obersten Ebene. Die Werte dieses Feldes für verschiedene Protokolle können in RFC 1700 angezeigt werden.

Payload Len (8 Bits) - Dieses Feld gibt die Gesamtgröße des AN-Headers in 32-Bit-Wörtern minus 2 an. Trotzdem muss die Headerlänge bei Verwendung von IPv6 ein Vielfaches von 8 Bytes sein.

Reserved (16 bits) – reserviert. Wird mit Nullen gefüllt.

Security Parameters Index (32 Bits) - Der Index der Sicherheitsparameter. Der Wert dieses Feldes zusammen mit der IP-Adresse des Empfängers und dem Sicherheitsprotokoll (EN-Protokoll) identifiziert eindeutig die sichere virtuelle Verbindung (SA) für dieses Paket. Der SPI-Wertebereich ist 1...255 von IANA reserviert.

Sequenznummer (32 Bits) - Die Sequenznummer. Dient zum Schutz vor wiederholter Übertragung. Das Feld enthält einen monoton steigenden Wert für den Parameter. Obwohl der Empfänger den Service zum Schutz vor erneutem Senden von Paketen ablehnen kann, ist er obligatorisch und immer im AH-Header vorhanden. Das übergebende IPSec-Modul verwendet dieses Feld immer, der Empfänger kann es jedoch nicht verarbeiten.

Integrity Check Value - Prüfsumme. Muss ein Vielfaches von 8 Bytes für IPv6 und 4 Bytes für IPv4 sein.

Das AH-Protokoll wird zur Authentifizierung verwendet, dh um zu bestätigen, dass wir genau mit dem kommunizieren, von dem wir annehmen, und dass die Daten, die wir erhalten, bei der Übertragung nicht verzerrt sind.

ESP-Header.

Bei Verwendung der Kapselung verschlüsselter Daten ist der ESP-Header der letzte in einer Reihe von optionalen Headern, die im Paket «sichtbar» sind. Da das Hauptziel von ESP darin besteht, die Vertraulichkeit von Daten zu gewährleisten, können verschiedene Arten von Informationen die Verwendung erheblich unterschiedlicher Verschlüsselungsalgorithmen erfordern. Aus diesem Grund kann das ESP-Format abhängig von den verwendeten kryptografischen Algorithmen erhebliche Änderungen erfahren. Sie können jedoch die folgenden erforderlichen Felder auswählen: ein SPI, der den Sicherheitskontext angibt, und ein Sequenznummer-Feld, das die Sequenznummer des Pakets enthält. Das Feld "ESP Authentication Data» (Prüfsumme) ist im ESP-Header optional. Der Empfänger des ESP-Pakets entschlüsselt den ESP-Header und verwendet die Parameter und Daten des verwendeten Verschlüsselungsalgorithmus, um die Informationen auf Transportebene zu entschlüsseln.

Security Parameters Index (32 Bits) - Der Index der Sicherheitsparameter. Der Wert dieses Feldes zusammen mit der IP-Adresse des Empfängers und dem Sicherheitsprotokoll (EN-Protokoll) identifiziert eindeutig die sichere virtuelle Verbindung (SA) für dieses Paket. Der SPI-Wertebereich ist 1...255 ist von IANA für die spätere Verwendung reserviert.

Sequenznummer (32 Bits) - Die Sequenznummer. Dient zum Schutz vor wiederholter Übertragung. Das Feld enthält einen monoton steigenden Wert für den Parameter. Obwohl der Empfänger den Service zum Schutz vor erneutem Senden von Paketen ablehnen kann, ist er immer im AH-Header vorhanden. Der Absender (der das IPSec-Modul sendet) sollte dieses Feld immer verwenden, der Empfänger muss es jedoch möglicherweise nicht verarbeiten.

Payload data (variable) – Dieses Feld enthält die Daten gemäß dem Feld «Next Header». Dieses Feld ist obligatorisch und besteht aus einer ganzen Anzahl von Bytes. Wenn der Algorithmus, mit dem dieses Feld verschlüsselt wird, Daten zum Synchronisieren von Krypto-Prozessen benötigt (z. B. ein Initialisierungsvektor - «Initialization Vector»), kann dieses Feld diese Daten explizit enthalten.

Padding (0-255 octets) ist eine Ergänzung. Dies ist beispielsweise für Algorithmen erforderlich, bei denen Klartext ein Vielfaches einer bestimmten Anzahl von Bytes benötigt, z. B. die Blockgröße für eine Blockchiffre.

Pad Length (8 Bits) - Die Größe der Ergänzung (in Bytes).

Next Header (8 bits) - Dieses Feld gibt den Datentyp an, der im Feld «Payload data» enthalten ist.

Integrity Check Value - Prüfsumme. Muss ein Vielfaches von 8 Bytes für IPv6 und 4 Bytes für IPv4 sein.

Es gibt zwei Anwendungsmodi ESP und AH (sowie deren Kombinationen) - Transport und Tunnel.

Der Transportmodus wird verwendet, um das Datenfeld eines IP-Pakets zu verschlüsseln, das Transportschichtprotokolle (TCP, UDP, ICMP) enthält, das wiederum Anwendungsdienstinformationen enthält. Ein Beispiel für die Anwendung des Transportmodus ist das Senden von E-Mails. Alle Middleware auf der Paketroute vom Absender zum Empfänger verwenden nur öffentliche Informationen auf Netzwerkebene und möglicherweise einige optionale Paketheader (in IPv6). Der Nachteil des Transportmodus ist das Fehlen von Mechanismen, um bestimmte Absender und Empfänger des Pakets zu verbergen, sowie die Möglichkeit, eine Verkehrsanalyse durchzuführen. Das Ergebnis einer solchen Analyse kann Informationen über den Umfang und die Richtungen der Informationsübertragung, den Interessenbereich der Teilnehmer und den Standort der Führungskräfte sein.

Im Tunnelmodus wird im Gegensatz zum Transportmodus das gesamte Paket einschließlich des Netzwerkschichtheaders verschlüsselt. Der Tunnelmodus wird verwendet, wenn der Informationsaustausch der Organisation mit der Außenwelt ausgeblendet werden muss. Die Adressfelder für den Header der Netzwerkschicht des Tunnelmodus-Pakets werden jedoch von der Firewall Ihrer Organisation ausgefüllt und enthalten keine Informationen über den bestimmten Absender des Pakets. Wenn Sie Informationen von der Außenwelt an das lokale Netzwerk Ihrer Organisation senden, wird die Netzwerkadresse der Firewall als Ziel verwendet. Nachdem die Firewall den ersten Header der Netzwerkschicht entschlüsselt hat, wird das Paket an den Empfänger weitergeleitet.

Security Associations.

Die Security Association (SA) ist eine Art von Verbindung, die Sicherheitsdienste für den durch sie übertragenen Datenverkehr bereitstellt. Wenn zum Beispiel zwei Computer auf jeder SA-Seite den in SA verwendeten Modus, das Protokoll, die Algorithmen und Schlüssel speichern, wird jeder SA nur in eine Richtung angewendet. Zwei SaaS sind für die bidirektionale Kommunikation erforderlich. Jede SA implementiert einen Modus und ein Protokoll; Wenn also zwei Protokolle (wie AH und ESP) für ein Paket verwendet werden müssen, sind zwei SA erforderlich.

Bis heute wird IPSec von fast allen modernen Netzwerkgeräten unterstützt. Daher werde ich keine Beispiele für die Konfiguration dieses Protokolls für die Hardware eines bestimmten Entwicklers angeben. In früheren Beiträgen wurden nur theoretische Informationen vorgestellt, die es ermöglichen, die Funktionsweise des Protokolls zu verstehen. Wenn Sie IPSec für bestimmte Hardwaremodelle konfigurieren möchten, müssen Sie die Dokumentation des Hardwareherstellers verwenden.

Nachdem wir die theoretischen Grundlagen des Funktionierens betrachtet haben, gehen wir zur praktischen Einrichtung über. Als Beispiel konfigurieren wir eine IPSec-Richtlinie, die die gesamte Kommunikation über HTTP und HTTPS verhindert, und verwenden Windows 7. Es ist erwähnenswert, dass sie sich bei der Verwendung des Server-Betriebssystems Windows 2008 unterscheiden können, aber sehr geringfügig sind.

Öffnen Sie also die MMC–Konsole (Windows–Symbol - Ausführen - mmc).

Klicken Sie im angezeigten Menü auf Konsole und dann auf Snap-In hinzufügen oder entfernen. Klicken Sie im geöffneten Dialog auch auf Hinzufügen, wählen Sie aus der geöffneten Liste IP-Sicherheitsrichtlinie verwalten aus.

Im angezeigten Computerauswahldialog geben Sie den lokalen Computer an. Schließen Sie die Fenster nacheinander, indem Sie auf Fertig stellen, Schließen, OK klicken. Im linken Bereich der Konsole wird nun der Knoten IP-Sicherheitsrichtlinien auf dem 'lokalen Computer' angezeigt. Klicken Sie mit der rechten Maustaste darauf und wählen Sie den Befehl IP-Filterlisten verwalten aus.

Klicken Sie im geöffneten Dialog auf die Schaltfläche Hinzufügen. Ein weiteres Fenster wird geöffnet - die Filterliste. Um es später einfacher zu machen, in den Filterlisten zu navigieren, geben Sie einen Namen für den neuen Filter ein, indem Sie Folgendes eingeben

geben Sie im Feld Name beispielsweise den Datenverkehr an. Klicken Sie auf die Schaltfläche Hinzufügen, um mit der eigentlichen Erstellung des Filters zu beginnen.

Auf der zweiten Seite können Sie eine Beschreibung des Filters angeben. Damit Sie nicht verwirrt werden: Ein Filter kann aus vielen anderen bestehen. Da wir im vorherigen Schritt in der Beschreibung des Datenverkehrs angegeben haben, erstellen wir jetzt nacheinander zwei Filter: einen für HTTP und einen für HTTPS. Der resultierende Filter kombiniert diese beiden Filter. Geben Sie also im Beschreibungsfeld HTTP an. Lassen Sie das Kontrollkästchen aktiviert, damit die Filterregeln sowohl in eine Richtung zur Weiterleitung von Paketen als auch in eine umgekehrte Richtung mit denselben Parametern erweitert werden können. Klicken Sie auf Weiter.

Jetzt müssen Sie die Quelladresse der IP-Pakete angeben. Wie auf dem Bild zu sehen ist, ist die Möglichkeit, eine Adresse auszuwählen, ziemlich breit. Jetzt geben wir meine IP-Adresse an und klicken auf Weiter. Im nächsten Fenster legen wir die Zieladresse fest. Wählen Sie eine beliebige IP-Adresse aus und klicken Sie auf Weiter. Jetzt müssen Sie den Protokolltyp angeben. Wählen Sie TCP aus der Liste aus. Gehen wir weiter - wir stellen die Portnummern ein.

Der obere Schalter bleibt in der Position Pakete von jedem Port, und der untere Schalter aktiviert den Modus Pakete an diesem Port und geben Sie den Wert des HTTP-Ports – 80 in das Feld ein. Klicken Sie auf Fertig stellen, schließen Sie den Master. Klicken Sie nun erneut auf die Schaltfläche Hinzufügen und führen Sie alle vorherigen Operationen erneut durch, indem Sie jedoch den Portwert 443 (für HTTPS) angeben. Die Liste im unteren Fenster sollte beide erstellten Paketfilterregeln enthalten.

Unser Filter ist fertig, aber wir müssen jetzt die Aktionen definieren, die er ausführen wird. Wechseln Sie zur Registerkarte Filteraktionen verwalten und klicken Sie auf Hinzufügen. Der Dialog des Assistenten wird erneut geöffnet, klicken Sie auf Weiter. Geben Sie einen Namen an, zum Beispiel Block, gehen wir weiter. Wählen Sie als Aktion den Schalter Sperren aus, klicken Sie auf Weiter und Fertig. Der Filter wurde erstellt, die Aktion wurde für ihn definiert, wir müssen nur noch eine Richtlinie erstellen und zuweisen. Klicken Sie im Fenster der MMC-Konsole mit der rechten Maustaste auf den Knoten IP-Sicherheitsrichtlinien und wählen Sie IP-Sicherheitsrichtlinie erstellen aus. Klicken Sie im geöffneten Fenster des Assistenten auf Weiter, geben Sie dann einen Namen für die Richtlinie ein, z. B. POLICY_NTTR_NTTRS, und klicken Sie auf Weiter. Deaktivieren Sie das Kontrollkästchen Standardregel verwenden, klicken Sie auf Weiter und Fertig stellen. Klicken Sie im Eigenschaftenfenster der Richtlinie auf Hinzufügen.

Drücken Sie weiter, lassen Sie den Schalter in Position Diese Regel definiert keinen Tunnel, gehen Sie weiter. Netzwerktyp - Geben Sie alle Netzwerkverbindungen an und klicken Sie auf Weiter. Jetzt müssen Sie einen Filter aus der Liste auswählen.

Wählen Sie den von uns erstellten Filter Traffic aus (auf der linken Seite sollte ein Punkt im Kreis erscheinen), klicken Sie auf die Schaltfläche Weiter. Auf die gleiche Weise wählen wir die Aktion für die Filterrichtlinie aus, klicken auf Weiter und Fertig. Die von Ihnen erstellte Richtlinie wird nun im rechten Fensterbereich der MMC mit dem Namen POLICY_STP_STPS angezeigt.

Alles, was noch zu tun ist, ist sie zuzuweisen. Klicken Sie dazu mit der rechten Maustaste auf den Namen und wählen Sie den Befehl Zuweisen aus. Es bleibt übrig, den Browser zu starten, um zu überprüfen. Wenn alles richtig gemacht wurde, sollte das Bild so sein.

Als Ergebnis der zuvor durchgeführten Aktionen haben wir die Verwendung von Webdatenverkehr untersagt. Fügen Sie nun einen Filter hinzu, der Verbindungen zu einigen Internetseiten zulässt. Zum Beispiel lassen wir den Browser anzeigen

knoten www.microsoft.com . Doppelklicken Sie dazu in unserer MMC-Konsole auf den Namen der Richtlinie POLICY_PTPS_PTP. Klicken Sie im Eigenschaftenfenster auf die Schaltfläche Hinzufügen, und doppelklicken Sie dann auf den Filter Datenverkehr. Klicken Sie auf der Registerkarte Filterliste auf Hinzufügen. Geben Sie einen Namen für den neuen Filter an, zum Beispiel www.microsoft.com , klicken Sie auf Hinzufügen, Als nächstes hinterlassen Sie meine IP-Adresse als Paketquelle, klicken Sie auf die Schaltfläche Weiter. Wählen Sie als Ziel die Zeichenfolge Definierter DNS-Name aus, und geben Sie im Feld Hostname Folgendes ein www.microsoft.com . Klicken Sie auf Weiter.

Es wird eine Warnung angezeigt, die besagt, dass der Filter anstelle des DNS-Namens im Filter ist www.microsoft.com die IP-Adresse 207.46.197.32 wird verwendet. Wir stimmen zu, indem wir auf Ja klicken, dann den Protokolltyp - TCP angeben, den Schalter Für diesen Port auswählen und seine Nummer - 80 angeben. Klicken Sie auf Weiter, Fertig und OK. Definieren Sie nun die Filteraktion - gehen Sie auf die Registerkarte mit dem gleichen Namen und wählen Sie die Option Zulassen aus.

Jetzt besteht der Filter aus zwei Filtern: Einer verbietet den gesamten http-Datenverkehr, der andere erlaubt Verbindungen zu einer bestimmten IP-Adresse.

Dieses Beispiel zeigt auch einen der wesentlichen Unterschiede zwischen der Verwendung einer »normalen" Firewall und der IPSec-Filterung: Die Verwendung von IPSec erlaubt keine Festlegung der Filterreihenfolge oder -priorität. Es wird jedoch immer noch funktionieren. Es bleibt übrig, alle Dialogfelder zu schließen und es zu überprüfen.

Jetzt beim Wechseln zu www.microsoft.com (und nur ihn!) Der Browser sollte den Inhalt dieses Knotens anzeigen. Beachten Sie, dass Ressourcen, die sich auf einem anderen Host befinden (z. B. Werbebanner), nicht angezeigt werden, da sie auch durch die angewendete IPSec-Richtlinie gefiltert werden.

Auf die gleiche Weise können Sie Ihre eigenen gewünschten Filter erstellen und anwenden.

Oleg Petukhov, Rechtsanwalt im Bereich des Völkerrechts und des Schutzes personenbezogener Daten, Spezialist für Informationstechnik sicherheit, Schutz von Informationen und persönlichen Daten.

Telegramm-Kanal: https://t.me/datenschutzmit

Die Gruppe im Telegramm: https://t.me/datenschutzmit1

Website: https://legascom.ru

E-Mail: online@legascom.ru

#informationssicherheit #informationssicherheit

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.