Москва
+7-929-527-81-33
Вологда
+7-921-234-45-78
Вопрос юристу онлайн Юридическая компания ЛЕГАС Вконтакте

Protezione della connessione.

  • Печать
Обновлено 10.10.2025 06:18

Per stabilire una connessione sicura, entrambi i partecipanti alla sessione devono essere in grado di negoziare rapidamente le impostazioni di protezione, come gli algoritmi di autenticazione e le chiavi. Il protocollo IPSec supporta due tipi di schemi di gestione delle chiavi con cui i partecipanti possono negoziare i parametri della sessione.

Con l'attuale versione IP, IPv4, è possibile utilizzare Internet Secure Association Key Management Protocol (ISAKMP) o Simple Key Management for Internet Protocol.

Titolo AH.

L'intestazione opzionale (Authentication Header, AH) è un'intestazione di autenticazione comune e si trova più spesso tra l'intestazione del pacchetto IP principale e il campo dati. La presenza di questa intestazione non influisce sul processo di trasferimento delle informazioni di trasporto e di livelli superiori. Lo scopo principale e unico di AH è proteggere dagli attacchi che comportano modifiche non autorizzate al contenuto del pacchetto, incluso lo spoofing dell'indirizzo di origine del livello di rete. I protocolli di livello superiore devono essere modificati per verificare l'autenticità dei dati ricevuti.

Considera i valori di ciascuno dei campi forniti.

Next Header (8 bits) - il tipo di intestazione del protocollo che segue L'intestazione AH. Da questo campo, il modulo IP-sec ricevente viene a conoscenza del protocollo protetto di livello superiore. I valori di questo campo per diversi protocolli possono essere visualizzati in RFC 1700.

Payload Len (8 bits)-questo campo definisce la dimensione totale di un-header in parole a 32 bit meno 2. Nonostante ciò, quando si utilizza IPv6, la lunghezza dell'intestazione deve essere un multiplo di 8 byte.

Riservato (16 bit) - Riservato. Riempito con zeri.

Security Parameters Index (32 bits) - indice dei parametri di sicurezza. Il valore di questo campo, insieme all'indirizzo IP del destinatario e al protocollo di sicurezza (EN-Protocol), determina in modo univoco una connessione virtuale sicura (SA) per un determinato pacchetto. Intervallo di valori SPI 1...255 riservato da IANA.

Numero di sequenza (32 bit) - Numero di sequenza. Serve a proteggere dalla ritrasmissione. Il campo contiene un valore di parametro monotonicamente crescente. Sebbene il destinatario possa rifiutare il servizio di protezione dalla ritrasmissione dei pacchetti, è obbligatorio e sempre presente NELL'intestazione AH. Il modulo IPSec trasmittente Utilizza sempre questo campo, ma il destinatario potrebbe non elaborarlo.

Integrity Check Value-checksum. Deve essere un multiplo di 8 byte per IPv6 e 4 byte per IPv4.

Il protocollo AH viene utilizzato per l'autenticazione, ovvero per confermare che stiamo contattando esattamente chi assumiamo e che i dati che riceviamo non sono distorti durante la trasmissione.

Intestazione ESP.

Quando si utilizza l'incapsulamento dei dati crittografati, L'intestazione ESP è l'ultima di una serie di intestazioni opzionali «visibili» nel pacchetto. Poiché L'obiettivo principale DELL'ESP è garantire la riservatezza dei dati, diversi tipi di informazioni possono richiedere l'uso di algoritmi di crittografia significativamente diversi. Per questo motivo, il formato ESP può subire cambiamenti significativi a seconda degli algoritmi crittografici utilizzati. Tuttavia, è possibile distinguere i seguenti campi obbligatori: SPI, che indica il contesto di sicurezza, e Sequence Number Field, che contiene il numero sequenziale del pacchetto. Il campo» ESP Authentication Data " (checksum) è facoltativo nell'intestazione ESP. Il destinatario del pacchetto ESP decodifica L'intestazione ESP e utilizza i parametri e i dati dell'algoritmo di crittografia applicato per decodificare le informazioni del livello di trasporto.

Security Parameters Index (32 bits) - indice dei parametri di sicurezza. Il valore di questo campo, insieme all'indirizzo IP del destinatario e al protocollo di sicurezza (EN-Protocol), determina in modo univoco una connessione virtuale sicura (SA) per un determinato pacchetto. Intervallo di valori SPI 1...255 è riservato da IANA per un uso successivo.

Numero di sequenza (32 bit) - Numero di sequenza. Serve a proteggere dalla ritrasmissione. Il campo contiene un valore di parametro monotonicamente crescente. Anche se il destinatario può rifiutare il servizio di protezione dalla ritrasmissione dei pacchetti, è sempre presente NELL'intestazione AH. Il mittente (che trasmette il modulo IPsec) deve sempre utilizzare questo campo, ma il destinatario potrebbe non aver bisogno di elaborarlo.

Payload data (variable) – questo campo contiene i dati in base al campo «Next Header». Questo campo è obbligatorio ed è costituito da un numero intero di byte. Se l'algoritmo utilizzato per crittografare questo campo richiede dati per sincronizzare i processi crittografici (ad esempio, il vettore di inizializzazione è «vettore di inizializzazione»), questo campo può contenere questi dati in modo esplicito.

Padding (0-255 octets) - aggiunta. Necessario, ad esempio, per gli algoritmi che richiedono che il testo in chiaro sia un multiplo di un certo numero di byte, come la dimensione del blocco per un cifrario a blocchi.

Pad Length (8 bits) - dimensione del pad (in byte).

Next Header (8 bits) - questo campo definisce il tipo di dati contenuti nel campo «Payload data».

Integrity Check Value-checksum. Deve essere un multiplo di 8 byte per IPv6 e 4 byte per IPv4.

Esistono due modalità di applicazione ESP e AH (così come le loro combinazioni): trasporto e tunnel.

La modalità di trasporto viene utilizzata per crittografare un campo dati di un pacchetto IP contenente protocolli del livello di trasporto (TCP, UDP, ICMP), che a sua volta contiene informazioni sui servizi applicativi. Un esempio di applicazione della modalità di trasporto è il trasferimento di posta elettronica. Tutti i nodi intermedi nel percorso del pacchetto dal mittente al destinatario utilizzano solo informazioni a livello di rete aperte e possibilmente alcune intestazioni di pacchetto opzionali (in IPv6). Lo svantaggio della modalità di trasporto è la mancanza di meccanismi per nascondere il mittente e il destinatario specifici del pacchetto, nonché la possibilità di condurre un'analisi del traffico. Il risultato di tale analisi può essere informazioni sui volumi e le direzioni del trasferimento di informazioni, le aree di interesse degli abbonati, la posizione dei dirigenti.

La modalità tunnel, a differenza del trasporto, implica la crittografia dell'intero pacchetto, inclusa l'intestazione del livello di rete. La modalità Tunnel viene utilizzata se è necessario nascondere lo scambio di informazioni dell'organizzazione con il mondo esterno. In questo modo, i campi dell'indirizzo dell'intestazione del livello di rete di un pacchetto che utilizza la modalità Tunnel vengono popolati dal firewall dell'organizzazione e non contengono informazioni sul mittente specifico del pacchetto. Quando si trasferiscono informazioni dal mondo esterno alla rete locale dell'organizzazione, l'indirizzo di destinazione viene utilizzato come indirizzo di rete del firewall. Dopo che il firewall ha decrittografato l'intestazione iniziale del livello di rete, il pacchetto viene inviato al destinatario.

Security Associations.

Security Association (SA) è un tipo di connessione che fornisce servizi di sicurezza per il traffico che lo attraversa. Ad esempio, quando due computer su ciascun lato di SA memorizzano la modalità, il protocollo, gli algoritmi e le chiavi utilizzati in SA, ogni SA viene applicata solo in una direzione. La comunicazione bidirezionale richiede due SA. Ogni SA implementa una modalità e un protocollo; quindi, se è necessario utilizzare due protocolli (come AH ed ESP) per un pacchetto, sono necessari due SA.

Ad oggi, il protocollo IPSec è supportato da quasi tutti i dispositivi di rete moderni. Pertanto, non fornirò esempi di configurazione di questo protocollo per l'hardware di uno sviluppatore specifico. I post precedenti hanno fornito solo informazioni teoriche per comprendere i principi del protocollo. Se si desidera configurare IPSec su modelli hardware specifici, è necessario utilizzare la documentazione fornita dallo sviluppatore dell'hardware.

Dopo aver considerato le basi teoriche del funzionamento, passiamo alla configurazione pratica. Ad esempio, configureremo un criterio IPSec che vieta tutte le comunicazioni HTTP e HTTPS e utilizzeremo Windows 7. Vale la pena notare che nel caso di utilizzo del sistema operativo server Windows 2008, possono differire, ma estremamente leggermente.

Quindi, apri la console MMC (icona di Windows – Esegui – mmc).

Nel menu che si apre, è necessario selezionare il comando console, quindi aggiungere o rimuovere lo snap-in. Nella finestra di dialogo che si apre, fai anche clic su Aggiungi, seleziona Dall'elenco che si apre Gestione dei criteri di sicurezza IP.

Nella finestra di dialogo di selezione del computer che appare, specificare il computer locale. Chiudiamo costantemente le finestre facendo clic sui pulsanti fine, chiudi, OK. ora nel riquadro sinistro della console, avremo il nodo dei criteri di sicurezza IP sul "computer locale". Facciamo clic con il pulsante destro del mouse su di esso e selezioniamo il comando Gestisci elenchi di filtri IP.

Nella finestra di dialogo che si apre, fai clic sul pulsante Aggiungi. Si aprirà un'altra finestra: L'elenco dei filtri. Per rendere più facile navigare negli elenchi di filtri in futuro, impostare un nome per il nuovo filtro digitando

nel campo Nome, ad esempio Traffico_nttr_nttrs. Fare clic sul pulsante Aggiungi per iniziare a creare effettivamente il filtro.

Nella seconda pagina è possibile specificare una descrizione del filtro. In modo da non confonderti: un filtro può essere composto da molti altri. Dal momento che abbiamo indicato nel passaggio precedente nella descrizione di Traffic_htr_htrs, ora creeremo due filtri in sequenza: uno per HTTP, L'altro per HTTPS. Il filtro risultante combinerà questi due filtri. Quindi, indichiamo nel campo della descrizione HTTP. La casella di controllo riflessa rimane abilitata : ciò consentirà di diffondere le regole del filtro sia in una direzione dell'inoltro dei pacchetti che in un'altra con gli stessi parametri. Fare Clic Su Avanti.

Ora è necessario specificare l'indirizzo di origine dei pacchetti IP. Come puoi vedere nell'immagine, la possibilità di scegliere un indirizzo è piuttosto ampia. Ora indicheremo il mio indirizzo IP e faremo clic su Avanti. Nella finestra successiva, imposta l'indirizzo di destinazione. Seleziona qualsiasi indirizzo IP, fai clic su Avanti. Ora dovresti specificare il tipo di protocollo. Selezionare DALL'elenco TCP. Vai avanti: imposta i numeri di porta.

Lasciamo L'interruttore superiore nella posizione dei pacchetti da qualsiasi porta e quello inferiore attiva la modalità pacchetti su questa porta e nel campo inseriamo il valore della porta HTTP-80. Fare clic su Fine, chiudere la procedura guidata. Ora fai di nuovo clic sul pulsante Aggiungi ed esegui di nuovo tutte le operazioni precedenti, ma già specificando il valore della porta 443 (per HTTPS). Nell'elenco della finestra inferiore devono essere presenti entrambe le regole di filtro dei pacchetti create.

Fare clic sul pulsante OK. il nostro filtro è pronto, ma ora è necessario determinare le azioni che eseguirà. Passare alla scheda Gestisci azioni filtro e fare clic sul pulsante Aggiungi. La finestra di dialogo della procedura guidata si aprirà di nuovo, Fare clic su Avanti. Specifichiamo un nome, ad esempio Block, andiamo avanti. Come azione, seleziona il pulsante di opzione Blocca, fai clic su Avanti e fatto. Il filtro è stato creato, l'azione è stata definita, non ci resta che creare una politica e assegnarla. Nella finestra della console MMC, fare clic con il pulsante destro del mouse sul nodo Criteri di sicurezza IP e selezionare il comando Crea criteri di sicurezza IP. Nella finestra della procedura guidata che si apre, fare clic su Avanti, quindi specificare un nome per la politica, ad esempio Politica_nttr_nttrs, fare clic su Avanti. Deseleziona la casella di controllo Usa regola predefinita, fai clic su Avanti e fatto. Nella finestra delle proprietà dei criteri, fare clic sul pulsante Aggiungi.

Fare clic su Avanti, lasciare l'INTERRUTTORE IN POSIZIONE Questa regola non determina il tunnel, andare avanti. Tipo di rete: specificare tutte le connessioni di rete, fare clic su Avanti. Ora è necessario selezionare un filtro dall'elenco.

Seleziona il filtro Traffic_nttr_nttrs che abbiamo creato (un punto in un cerchio dovrebbe apparire a sinistra), fai clic sul pulsante Avanti. Allo stesso modo, Seleziona l'azione per il filtro - Politica_nttr_nttrs, fai clic su Avanti e fatto. Ora, nel riquadro di destra della console MMC, verrà visualizzato il criterio creato denominato Politica_ttr_ttrs.

Tutto quello che resta da fare è nominarla. Per fare ciò, fare clic con il mouse sul nome e selezionare il comando Assegna. Per verificare, resta da avviare il browser. Se tutto è stato fatto correttamente, l'immagine dovrebbe essere così.

Come risultato di azioni precedenti, abbiamo vietato l'uso del traffico web. Ora aggiungiamo un filtro che consentirà connessioni ad alcuni nodi di Internet. Ad esempio, lasceremo che il browser visualizzi

nodo www.microsoft.com. per fare ciò, nella nostra console MMC, fare doppio clic sul nome della politica Politica_htps_htps. Nella finestra delle proprietà, fare clic sul pulsante Aggiungi, quindi fare doppio clic per selezionare il filtro Traffic_nttr_nttrs. Nella scheda Elenco filtri, fare clic sul pulsante Aggiungi. Specifichiamo un nome per il nuovo filtro, ad esempio www.microsoft.com, fare clic su Aggiungi, quindi, come fonte di pacchetti, lasciare il mio indirizzo IP, fare clic sul pulsante Avanti. Come indirizzo di destinazione, selezionare la stringa nome DNS specifico e nel campo Nome host digitare www.microsoft.com. Fare clic su Avanti.

Viene visualizzato un avviso che indica che nel filtro anziché nel nome DNS www.microsoft.com verrà utilizzato l'indirizzo IP 207.46.197.32. Siamo d'accordo facendo clic sul pulsante Sì, quindi indichiamo il tipo di protocollo - TCP, selezioniamo l'interruttore su questa porta e indichiamo il suo numero - 80. Ora definiamo l'azione del filtro: vai al segnalibro con lo stesso nome e seleziona L'opzione Consenti.

Ora il filtro è composto da due filtri: uno nega tutto il traffico http, l'altro consente connessioni a un indirizzo IP specifico.

Questo esempio mostra anche una delle differenze significative tra l'utilizzo di un firewall» normale " e il filtraggio con IPSec: L'utilizzo di IPSec non consente di specificare l'ordine o la priorità del filtro. Tuttavia, funzionerà ancora. Resta da chiudere tutte le finestre di dialogo e controllarlo.

Ora quando si passa a www.microsoft.com (e solo lui!) il browser deve visualizzare il contenuto di questo nodo. Tieni presente che le risorse che si trovano su un altro host (ad esempio banner pubblicitari) non vengono visualizzate e vengono filtrate anche dal criterio IPSec applicato.

Allo stesso modo, è possibile creare i propri filtri necessari e applicarli.

Oleg Petukhov, avvocato nel campo del diritto internazionale e della protezione dei dati personali, specialista nel campo dell'informazione sicurezza, protezione delle informazioni e dei dati personali.

Canale Telegram: https://t.me/protezionedelleinformazioni

Gruppo in telegramma: https://t.me/protezionedelleinformazioni1

Sito: https://legascom.ru

E-mail: online@legascom.ru

#protezionedelleInformazioni #sicurezzadelleinformazioni

 

 

 

 
Юридические услуги
Яндекс.Метрика
Представительство в суде и защита прав, досудебное урегулирование споров, медиация, абонентское сопровождение организаций, кадровое делопроизводство, трудовое право, восстановление на работе и выплата заработной платы, регистрация и ликвидация предприятий, земельные споры, споры связанные с недвижимостью, сопровождение сделок с недвижимостью, бесплатная юридическая консультация. Квалифицированный юрист Вологда. Квалифицированный адвокат Вологда. Квалифицированный юрист Москва. Квалифицированный адвокат Москва. Квалифицированный юрист Санкт-Петербург. Квалифицированный адвокат Санкт-Петербург. Суд по интеллектуальным правам. Европейский суд по правам человека. Апелляционная жалоба. Апелляционная жалоба в Московский городской суд. Апелляционная жалоба в Санкт-Петербургский городской суд. Санкт-Петербургский городской суд. Московский городской суд. Верховный суд. Кассационная жалоба. Кассационная жалоба в Верховный суд. Оценка перспектив обращения в Европейский суд по правам человека. Подготовка жалоб в Европейский суд по правам человека. ЕСПЧ. Оценка перспектив обращения в ЕСПЧ. Подготовка жалоб в ЕСПЧ. Жалоба ЕСПЧ. Жалоба в ЕСПЧ. Адвокат ЕСПЧ. Юрист ЕСПЧ. Адвокат Европейский суд по правам человека. Юрист Европейский суд по правам человека. Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Подготовка жалоб в Комитет ООН по правам человека. Оценка перспектив обращения в Комитет ООН по правам человека. Жалоба Комитет ООН по правам человека. Адвокат Комитет ООН по правам человека. Юрист Комитет ООН по правам человека. Арбитражный суд города Москвы. Арбитражный суд Московской области. Арбитражный суд города Санкт-Петербурга и Ленинградской области. Арбитражный суд Вологодской области. Девятый апелляционный арбитражный суд. Десятый апелляционный арбитражный суд. Тринадцатый апелляционный арбитражный суд. Четырнадцатый арбитражный апелляционный суд. Арбитражный суд Московского округа. Арбитражный суд Северо-Западного округа. Юрист Верховный Суд. Адвокат Верховный Суд. Юрист Верховный Суд Российской Федерации. Адвокат Верховный Суд Российской Федерации. Юрист Верховный Суд РФ. Адвокат Верховный Суд РФ. Юрист Вологодский областной суд. Адвокат Вологодский областной суд. Юрист Ленинградский областной суд. Адвокат Ленинградский областной суд. Юрист Сантк-Петербургский городской суд. Адвокат Санкт-Петербургский городской суд. Юрист Московский областной суд. Адвокат Московский областной суд. Юрист Московский городской суд. Адвокат Московский городской суд. Реновация Москва. Реновация в Москве. Юрист реновация Москва. Юрист реновация в Москве. Адвокат реновация Москва. Адвокат реновация в Москве.