IPSEC & κρυπτογράφηση
Αφορμ? για το παρ?ν ?ρθρο αποτελε? η συζ?τηση που ε?χα πρ?σφατα με διαχειριστ?ς δικτ?ου σχετικ? με την μετ?βαση εν?ς πολ? μεγ?λου δικτ?ου (400+ καταστ?ματα πανελλαδικ?) σε ν?α δικτυακ? υποδομ? και χρ?ση encryprion.
Kαθ’ ?λη τη δι?ρκεια της συζ?τησης επι?θηκε λοιπ?ν πως θα χρησιμοποιηθε? IPSEC encryption ?που χρειαστε? για λ?γους ασφαλε?ας.
Διαισθ?νθηκα πως δεν υπ?ρχει ιδια?τερη γν?ση για το ?λο θ?μα οπ?τε ?κανα την ερ?τηση για το ε?δος του IPSEC που θα χρησιμποιηθε?, δηλαδ? αν θα ε?ναι ESP ? Authenication Headers. Η απ?ντηση ?ταν “?χει κ?ποια σημασ?α; νομ?ζω πως το default ε?ναι ESP”
Οκ, η απ?ντηση σωστ? μεν αλλ? ?δειξε ?γνοια!
Χωρ?ς να μπω σε πολ? θεωρ?α το IPSEC ?χει 2 λειτουργ?ες
- Authentication Headers ?που δεν γ?νεται encrypt τ?ποτα αλλ? χρησιμοιποιε? ?ξτρα headers για integrity & authenticity
- ESP ?που χρησιμοπε?ται για authenticity, integrity, and confidentiality. ?που confidentiality σημα?νει encryption.
Για του λ?γου το αληθ?ς ?κανα δοκιμ? με GPO IPSEC & Authentication Headers σε Windows 2003 AD με Windows XP client.
Εδ? φα?νεται ping request (ICMP) χωρ?ς ?ξτρα headers.
Reply χωρ?ς επιπλ?ον headers, η IPSEC πολιτικ? δεν ?χει εφαρμοστε?.
Εφαρμ?ζουμε λοιπ?ν την πολιτκ? και
Προσ?ξτε το επιπλ?ον header (IPSEC Authentication Headers)
Π?με τ?ρα να δο?με τη διαδικασ?α http authentication σε κ?ποιο web server, με τη χρ?ση IPSEC.
Ζητ?με τη default σελ?δα. GET / HTTP/1.1
Και η απ?ντηση ε?ναι πως ο server απαιτε? authentication, HTTP/1.1 401 Unauthorized
Εδ? λοιπ?ν δ?νουμε username/password, χρησιμοποι?ντας π?ντα IPSEC!
Φα?νεται λοιπ?ν πως η χρ?ση AH δεν περιλαμβ?νει καν?να απολ?τως encryption, αντιθ?τως στη χρ?ση ESP θα ε?χαμε encryption στα περιεχ?μενα του πακ?του οπ?τε τ?ποτα απ? τα παραπ?νω δε θα ?ταν εμφαν?!