Internet Protocol security (IPsec) je sada souvisejících protokolů pro nastavení zabezpečené komunikace na úrovni paketů IP. Hostitelé, kteří chtějí vytvořit připojení IPsec použijí specifické metody komunikace. Hostitelé komunikují o výměně klíčů, algoritmech šifrování a metodách ověřování.
PRISMAsync Print Server může použít IPsec pro ověřování hostitele, ověřování dat a šifrování dat. Při komunikaci hostitel-hostitel poskytuje PRISMAsync Print Server možnosti IPsec pro konfiguraci škálovatelného přístupu k místům v síti, která jsou považována za důvěryhodná.
Tento článek popisuje hlavní komponenty IPsec. Text v rámečku popisuje implementaciIPsec nástroje PRISMAsync Print Server.
Protokoly TCP/IP lze mapovat do čtyřvrstvého koncepčního modelu známého jako model DARPA. Čtyři vrstvy zahrnují: Aplikační, transportní, síťová, síťové rozhraní. Vrstvy modelu DARPA jsou ve shodě s jednou nebo více vrstvami modelu Open Systems Interconnection (OSI). Protokoly IPsec jsou integrovány v síťové vrstvě, kde poskytují zabezpečení pro mnoho protokolů aplikační vrstvy.
Model Open Systems Interconnection (OSI)Ověřování hostitele může probíhat prostřednictvím předem sdíleného klíče nebo prostřednictvím ověření s využitím certifikátů.
Předem sdílení klíč je třeba vytvořit a uložit na obou stranách ještě před zahájením relace IPsec.
Ověřování s využitím certifikátů je vzájemný proces. Oba hostitelé musí odeslat svůj certifikát identity.
|
PRISMAsync Print Server podporuje použití předem sdílených klíčů a ověřování s využitím certifikátů. PRISMAsync Print Server přijímá následující podpisové algoritmy: ECDSA 256, ECDSA 384, RSA. Ověřování založené na certifikátech lze kombinovat s ověřováním pomocí předem sdíleného klíče. Pokud není ověřování s využitím certifikátů úspěšné, použije se předem sdílený klíč. Metodu ověřování hostitele vybíráte v pravidluPRISMAsync Print Server IPsec. |
Diffie-Hellman (DH) exchange umožňuje dvěma hostitelům vypočítat stejný tajný klíč bez odeslání tajných hodnot přes veřejnou síť. Sdílený klíč zašifruje veškerou následující komunikaci.
Jako součást komunikace se musí hostitelé shodnout na skupině Diffie-Hellman. Skupina Diffie-Hellman určuje sílu sdíleného klíče. Vyšší čísla skupiny Diffie-Hellman jsou bezpečnější, ale potřebují pro výpočet klíče více zdrojů.
|
PRISMAsync Print Server využívá metodu Diffie-Hellman pro kryptografii s použitím klíčů. PRISMAsync podporuje: DH Group 14, DH Group 24, Elliptic-curve Diffie–Hellman (ECDH) P-256, ECDH P-384. |
IPsec může používat dva protokoly zabezpečení:
Authentication Header (AH), který obsahuje algoritmy pro ověřování zdrojů paketů IP (ověřování původu dat) a pro ověřování integrity obsahu (ověřování dat).
Encapsulating Security Payload (ESP), který obsahuje algoritmy pro zajištění důvěrnosti (šifrování) a integrity obsahu (ověřování dat).
|
PRISMAsync Print Server používá pouze Encapsulating Security Payload (ESP). |
ESP šifruje data paketů IP (payload) a ne adresu IP cílového umístění. ESP zapouzdřuje originální payload IP s hlavičkou a ukončením ESP. Každý datový paket IPsec má jedinečný index SA (SAI), který označuje dohodnuté zabezpečené připojení Security Association (SA). Příjemce použije index SA pro nalezení SA příslušného k tomuto paketu IP. Oba hostitelé použijí stejný klíč k zašifrování a dešifrování payload IP.
Pakety IP bez a se šifrováním ESPIPsec může pro šifrování paketů IP běžet ve dvou režimech: transportním režimu a tunelovém režimu. V transportním režimu je šifrován pouze payload IP. Tunelový režim se obvykle používá pro VPN, kde je vytvořen tunel přes internet a kde jsou šifrovány celé pakety IP.
|
PRISMAsync Print Server používá pouze transportní režim. |
Network address translation (NAT) je metoda úpravy informace o adrese IP paketů IP během přenosu. Pokud je informace o adrese IP změněna prostřednictvím NAT, SA neobsahuje správný odkaz na adresu IP cílového umístění. Jako výsledek zahodí IPsec pakety IP.
Network Address Translation-Traversal (NAT-T) může detekovat, jestli je připojeno jedno nebo více zařízení NAT. V takovém případě NAT-T zapouzdří datové pakety IP další vrstvou, takže překlad adresy nevede ke ztrátě datových paketů.
|
S nástrojem PRISMAsync Print Server můžete povolit NAT-T dvěma způsoby: Použít NAT-T v případě, že jsou vzdálené koncové body za zařízením NAT. Nebo, použít NAT-T v případě, že jsou oba koncové body za zařízením NAT. |
Distribuce a správa tajných klíčů jsou důležité pro úspěšné použití systému IPsec. IPsec používá protokol Internet Key Exchange (IKE) pro komunikaci při výměně klíčů a pro automatické generování tajných klíčů.
|
PRISMAsync Print Server používá moduly Internet Key Exchange (IKE) a Authenticated Internet Protocol (AuthIP) pro práci s klíči. Modul pro práci s klíči můžete vybrat v Pravidlu IPsec PRISMAsync Print Server. |
Způsob práce IPsec je určen během dvou fází procesu komunikace. Každý hostitel uloží výsledky komunikace ve svém vlastním Security Association (SA), který je sadou parametrů popisujících dohodnutou příchozí komunikaci IPsec.
Fáze 1
Oba hostitelé komunikují o ochraně výchozí komunikace. Fáze 1 SA vytvoří zabezpečené spojení, prostřednictvím kterého probíhá výchozí komunikace.
Komunikace fáze 1 může probíhat v Hlavním režimu nebo v Agresivním režimu.
|
PRISMAsync Print Server podporuje pouze Main mode. |
Komunikace fáze 1 v Hlavním režimu jsou následující:
Zašifrování: Dohoda na algoritmech používaných během fáze 1.
Ověřování: Dohoda na algoritmech používaných během fáze 1.
Protokol zabezpečení: Dohoda na použitém protokolu zabezpečení.
Výměna klíčů: Dohoda na použité skupině Diffie-Hellman (DH).
Ověřování hostitelů: Dohoda na metodě ověřování použité pro ověřování hostitelů.
 POZNÁMKA
Protože PRISMAsync Print Server podporuje pouze ESP, PRISMAsync Print Server nekomunikuje ohledně protokolu zabezpečení. |
Informace, které byly dohodnuty, se uloží v IKE SA. SA odráží jednosměrnou komunikaci: příchozí nebo odchozí.
|
PRISMAsync Print Server využívá konfiguraci IKE SA lifetime systému Windows: 480 minut. |
Fáze 2
Fáze 2 pokračuje komunikací o IPsec SA. Toto SA popisuje způsob ochrany datových paketů během přenosu mezi dvěma hostiteli.
Zašifrování: Dohoda na algoritmech použitých pro zašifrování datových paketů.
Ověřování: Dohoda na algoritmech použitých pro ověřování datových paketů.
Výměna klíčů (volitelná): Dohoda na skupině Diffie-Hellman (DH) použité pro vytvoření nových symetrických klíčů namísto použití klíčů generovaných ve fázi 1.
IPsec používá SA IPsec pro kontrolu, jestli jsou příchozí a odchozí pakety zabezpečeny podle dohody. IPsec spravuje veškerý provoz, který sdílí stejné SA, stejným způsobem. SA však mají omezenou životnost.
|
POZNÁMKA
Protože PRISMAsync Print Server podporuje pouze ESP, neprobíhá žádná komunikace ohledně protokolu zabezpečení. |
|
PRISMAsync Print Server využívá konfiguraci IKE SA lifetime systému Windows: 60 minut. |
Algoritmy šifrování a ověřování jsou použity ve fázi 1 a fázi 2.
|
PRISMAsync Print Server podporuje následující algoritmy šifrování ve fázi 1:
PRISMAsync Print Server podporuje následující algoritmy šifrování ve fázi 2:
PRISMAsync Print Server podporuje následující algoritmy ověřování ve fázi 1:
PRISMAsync Print Server podporuje následující algoritmy ověřování ve fázi 2:
Algoritmy šifrování PRISMAsync nejsou konfigurovatelné individuálně, ale jako šifrovací skupina. Skupina zahrnuje algoritmy šifrování, ověřování a algoritmy Diffie-Hellman, které odpovídají určité síle šifrování. Pro nakonfigurování IPsec vyberte minimální úroveň síly algoritmů, kterou bude PRISMAsync Print Server přijímat:
|