for_students:sks:ipsec

Различия

Показаны различия между двумя версиями страницы.

Ссылка на это сравнение

Предыдущая версия справа и слева Предыдущая версия
Следующая версия 		Предыдущая версия
for_students:sks:ipsec [2022/11/30 09:38]
ejlka 		for_students:sks:ipsec [2022/12/07 12:28] (текущий)
ejlka
Строка 18: Строка 18:
   * Субъект Б шифрует пакет данных при помощи полученного открытого ключа и передает его А. Передача может осуществляться по незащищенным каналам.   * Субъект Б шифрует пакет данных при помощи полученного открытого ключа и передает его А. Передача может осуществляться по незащищенным каналам.
   * Субъект А расшифровывает полученную от Б информацию при помощи секретного, закрытого ключа.   * Субъект А расшифровывает полученную от Б информацию при помощи секретного, закрытого ключа.
-В такой схеме перехват любых данных, передаваемых по незащищенным каналам, не имеет смысла, поскольку восстановить исходную информацию возможно только при помощи закрытого ключа, известного лишь получателю и не требующего передачи.+В такой схеме перехват любых данных, передаваемых по незащищенным каналам, не имеет смысла, поскольку восстановить исходную информацию возможно только при помощи закрытого ключа, известного лишь получателю и не требующего передачи. Минус такого шифрования - низкая скорость. 
 + 
 +==== алгоритм диффи-хеллмана ==== 
 +Как работает открытый и закрытый ключи на сервере? 
 +==== Хеш функция ==== 
 +Криптографическая хеш-функция - это математический алгоритм, который отображает данные произвольного размера в битовый массив фиксированного размера. 
 + 
 +Результат, производимый хеш-функцией, называется «хеш-суммой» или же просто «хешем», а входные данные часто называют «сообщением». 
 + 
 +Для идеальной хеш-функции выполняются следующие условия: 
 + 
 +  * хеш-функция является детерминированной, то есть одно и то же сообщение приводит к одному и тому же хеш-значению 
 +  * значение хеш-функции быстро вычисляется для любого сообщения 
 +  * невозможно найти сообщение, которое дает заданное хеш-значение 
 +  * невозможно найти два разных сообщения с одинаковым хеш-значением 
 +  * небольшое изменение в сообщении изменяет хеш настолько сильно, что новое и старое значения кажутся некоррелирующими 
 + 
 +Вместе с данными можно отправлять еще и хеш-сумму. Если хеш-суммы будут совпадать, то данные в момент передачи не были изменены. \\ 
 +Для начала задаем политику шифрования: ''crypto isakmp policy 10'' \\ 
 +Далее попадаем в режим редактирования политики (чем меньше номер политики, тем выше ее приоритет) \\ 
 +Выбираем тип шифрования ''encryption aes 256'' (256 - количество бит) \\ 
 +Задаем тип аутентификации. Единственный вариант - ''authentication pre-share'' (предварительная) \\ 
 +Редактирование политики завершено, переходим к ключу \\ 
 +''crypto isakmp key QWERTY address 8.8.8.2'' (ключ для подключения к удаленному адресу) \\ 
 +Устанавливаем правило для шифрованного трафика. Pre-share вспомогательный для обмена ключами. ''crypto ipsec transform-set AES-TEST esp-aes esp-sha-hmac'' esp-sha-hmac - метод шифрования \\ 
 +Далее создается "карта шифрования" ''crypto map MAP_TEST 10 ipsec-isakmp'' \\ 
 +В конфигурировании карты шифрования  ''set peer 8.8.8.2'' (удаленный адрес) \\ 
 +''set transform-set AES-TEST \\ 
 +match address List_test\\ 
 +ip access-list extended List_test \\ 
 +permit ip 10.10.0.0 0.0.255.255 172.17.0.0 0.0.255.255 \\ 
 +permit ip 172.17.0.0 0.0.255.255 10.10.0.0 0.0.255.255'' \\ 
 +Необходимо указать интерфейс, с которого пойдет шифрованный трафик. int gi0/0 -> crypto map MAP_TEST \\ 
 +Осталось задать маршрут по умолчанию: ip route 0.0.0.0 0.0.0.0 внешний интерфейс роутера 
 + 
  • for_students/sks/ipsec.1669790299.txt.gz
  • Последнее изменение: 2022/11/30 09:38
  • ejlka