Freigeben über


IPSEC & κρυπτογράφηση

Αφορμ? για το παρ?ν ?ρθρο αποτελε? η συζ?τηση που ε?χα πρ?σφατα με διαχειριστ?ς δικτ?ου σχετικ? με την μετ?βαση εν?ς πολ? μεγ?λου δικτ?ου (400+ καταστ?ματα πανελλαδικ?) σε ν?α δικτυακ? υποδομ? και χρ?ση encryprion.

Kαθ’ ?λη τη δι?ρκεια της συζ?τησης επι?θηκε λοιπ?ν πως θα χρησιμοποιηθε? IPSEC encryption ?που χρειαστε? για λ?γους ασφαλε?ας.

Διαισθ?νθηκα πως δεν υπ?ρχει ιδια?τερη γν?ση για το ?λο θ?μα οπ?τε ?κανα την ερ?τηση για το ε?δος του IPSEC που θα χρησιμποιηθε?, δηλαδ? αν θα ε?ναι ESP ? Authenication Headers. Η απ?ντηση ?ταν “?χει κ?ποια σημασ?α; νομ?ζω πως το default ε?ναι ESP”

Οκ, η απ?ντηση σωστ? μεν αλλ? ?δειξε ?γνοια!

Χωρ?ς να μπω σε πολ? θεωρ?α το IPSEC ?χει 2 λειτουργ?ες

  • Authentication Headers ?που δεν γ?νεται encrypt τ?ποτα αλλ? χρησιμοιποιε? ?ξτρα headers για integrity & authenticity
  • ESP ?που χρησιμοπε?ται για authenticity, integrity, and confidentiality. ?που confidentiality σημα?νει encryption.

Για του λ?γου το αληθ?ς ?κανα δοκιμ? με GPO IPSEC & Authentication Headers σε Windows 2003 AD με Windows XP client.

ScreenHunter_02 Oct. 15 16.28

Εδ? φα?νεται ping request (ICMP) χωρ?ς ?ξτρα headers.

 

ScreenHunter_01 Oct. 15 16.28

Reply χωρ?ς επιπλ?ον headers, η IPSEC πολιτικ? δεν ?χει εφαρμοστε?.

 

Εφαρμ?ζουμε λοιπ?ν την πολιτκ? και

ScreenHunter_08 Oct. 15 16.38

Προσ?ξτε το επιπλ?ον header (IPSEC Authentication Headers)

 

Π?με τ?ρα να δο?με τη διαδικασ?α http authentication σε κ?ποιο web server, με τη χρ?ση IPSEC.

ScreenHunter_05 Oct. 15 16.29

Ζητ?με τη default σελ?δα. GET / HTTP/1.1

ScreenHunter_06 Oct. 15 16.29

Και η απ?ντηση ε?ναι πως ο server απαιτε? authentication, HTTP/1.1 401 Unauthorized

 

ScreenHunter_07 Oct. 15 16.29

Εδ? λοιπ?ν δ?νουμε username/password, χρησιμοποι?ντας π?ντα IPSEC!

Φα?νεται λοιπ?ν πως η χρ?ση AH δεν περιλαμβ?νει καν?να απολ?τως encryption, αντιθ?τως στη χρ?ση ESP θα ε?χαμε encryption στα περιεχ?μενα του πακ?του οπ?τε τ?ποτα απ? τα παραπ?νω δε θα ?ταν εμφαν?!