Динамическое соединение VPN обеспечивает более высокий уровень
защиты, так как для управления ключами в этом соединении применяется
протокол IKE. Этот протокол позволяет серверам VPN, между которыми
установлено соединение, согласовывать новые ключи через заданные
интервалы времени.
Если процедура согласования выполнена успешно, серверы VPN заново
создают ключи, применяемые для защиты соединения. Это уменьшает
вероятность того, что кто-либо сможет получить конфиденциальную
информацию во время ее передачи по соединению. Если при пересылке
информации обеспечивается ее секретность, то на основе передаваемых
данных невозможно угадать новые ключи.
Диспетчер ключей VPN - это реализация протокола Internet Key Exchange (IKE), созданная
фирмой IBM. Диспетчер ключей поддерживает автоматическое согласование
конфигураций защиты (SA), а также автоматическое создание и
обновление ключей шифрования.
Конфигурация защиты (SA) содержит информацию,
необходимую для работы протокола IPSec. В частности, SA задает
алгоритмы, размер и срок действия ключей, конечные системы и режим
передачи данных.
Ключи шифрования служат для защиты информации во время
ее передачи целевой системе.
Прим.: Секретность ключей - это основное требование, которое
необходимо соблюдать при установлении защищенного соединения. Если ключи станут известны другим
пользователям, то будет бесполезно применять какие-либо способы
идентификации и шифрования.
- Этапу управления ключами
- Работа диспетчера ключей VPN делится на два этапа.
- Этап 1
- На первом этапе создается основной секретный ключ, на основе которого
вычисляются все последующие ключи шифрования, применяемые для защиты
пользовательских данных. Этот этап не зависит от наличия защищенного
соединения. Для идентификации и выбора ключей, предназначенных для защиты сообщений IKE на втором этапе согласования,
на первом этапе согласования функция VPN применяет подпись RSA, цифровую подпись
ECDSA, или подготовленный ключ.
Подготовленный ключ - это неочевидная строка (пароль)
длиной до 128 символов ASCII. На обоих концах соединения должен быть задан один
и тот же подготовленный ключ. Преимущество применения подготовленного ключа -
простота, недостаток - необходимость предварительной передачи ключа по
надежному каналу связи, например, по телефону или по почте (не по сети). Подготовленный ключ можно считать разновидностью пароля.
Идентификация с помощью подписи RSA считается более надежным
способом идентификации, так как в этом случае применяются цифровые сертификаты. Цифровые сертификаты можно настроить с помощью Диспетчера цифровых
сертификатов. VPN не имеет ограничения длины
ключа RSA. Оба сервера
ключей должны доверять сертификатной компании, выдавшей применяемый
сертификат.
Подписи ECDSA меньше подписей RSA, которые имеют подобную
криптографическую силу, повышая эффективность связи. Подписи ECDSA поддерживают три длины ключей,
ECDSA-256, ECDSA-384 и ECDSA-521. Цифровые сертификаты можно настроить с помощью Диспетчера цифровых
сертификатов. Оба сервера
ключей должны доверять сертификатной компании, выдавшей применяемый
сертификат. Подписи ECDSA не поддерживаются в IKEv1.
- Этап 2
- На втором этапе согласуются конфигурации защиты и ключи, которые будут
применяться для защиты данных приложения. До этого момента данные приложения не
передавались по сети. Первый этап необходим
для защиты сообщений, передаваемых на втором этапе.
После завершения второго этапа согласования VPN устанавливает
защищенное сетевое соединение между указанными конечными точками. При передаче
данных по соединению VPN обеспечивается их защита. Уровень защиты выбирается
относительно уровня производительности на первом и втором этапах согласования.
Обычно первый этап согласования выполняется раз в день, а второй этап
согласования выполняется каждые 60 - 5 минут. Чем чаще
обновляются параметры защиты, тем выше уровень защиты данных, но
ниже производительность системы. Для защиты наиболее важных данных
установите минимальный срок действия ключа.
При создании динамического соединения VPN с помощью программы
IBM® Navigator
for i требуется определить стратегию
IKE, применяемую на первом этапе согласования, а также стратегию защиты данных,
применяемую на втором этапе согласования. При необходимости воспользуйтесь мастером Создать
соединение. Этот
мастер автоматически создает все необходимые объекты конфигурации
VPN, в том числе стратегию IKE и стратегию защиты данных.
Рекомендовано для ознакомления
Для получения дополнительной информации о протоколе Internet Key Exchange (IKE)
и управлении ключами ознакомьтесь со следующими документами RFC, созданными
Рабочей группой Internet (IETF):
- IKEv1
- RFC 2407, The Internet IP Security Domain of Interpretation for
ISAKMP
- RFC 2408, Internet Security Association and Key Management Protocol
(ISAKMP)
- RFC 2409, The Internet Key Exchange (IKE)
Эти RFC в настоящее
время поддерживаются для IKEv1.
Эти документы RFC можно найти в Internet на следующем Web-сайте:
http://www.rfc-editor.org.