Protokol - ESP (AH).
Rejim - tunnel (transport).
Kalitlarni almashtirish usuli - IKE (qo'lda).
IKE rejimi - asosiy (agressiv).
DH tugmasi - 5-guruh (2-guruh, 1-guruh) - dinamik ravishda yaratilgan seans kalitlarini tanlash uchun
guruh raqami, guruh uzunligi.
Autentifikatsiya - SHA1 (SHA, MD5).
Shifrlash - DES (3DES, Blowfish, AES).
Siyosatni yaratishda odatda algoritmlar va Diffie-Hellman guruhlarining tartiblangan ro'yxatini
yaratish
mumkin. Diffie-Hellman (DH) - bu IKE, IPSec va PFS (Perfect Forward Secrecy) uchun umumiy sirlarni
o'rnatish uchun ishlatiladigan shifrlash protokoli.
Bunday holda, ikkala tugunga mos keladigan birinchi
pozitsiya ishlatiladi. Xavfsizlik siyosatidagi hamma narsa bu tasodifga erishishga imkon berishi juda
muhimdir. Agar siyosatning bir qismidan
tashqari hamma narsa mos kelsa, xostlar hali ham VPN
ulanishini o'rnatolmaydi. O'rtasida VPN tunnelini o'rnatishda
turli tizimlar
Siz
eng xavfsiz siyosatni
tanlashingiz uchun har bir tomon qaysi algoritmlarni qo'llab-quvvatlashini bilib olishingiz kerak.
Xavfsizlik siyosati o'z ichiga olgan asosiy sozlamalar:
Ma'lumotlarni shifrlash/parchalash uchun simmetrik algoritmlar.
Ma'lumotlar yaxlitligini tekshirish uchun kriptografik nazorat summalari.
Tugunni aniqlash usuli. Eng keng tarqalgan usullar - oldindan ulashilgan sirlar yoki CA sertifikatlari.
Tunnel rejimi yoki transport rejimidan foydalanish kerakmi.
Qaysi Diffie-Hellman guruhidan foydalanish kerak (DH guruhi 1 (768-bit); DH guruhi 2 (1024-bit); DH
guruhi 5 (1536-bit)).
AH, ESP yoki ikkalasini ham ishlatish kerakmi.
PFS dan foydalanish kerakmi.
IPSec ning cheklovi shundaki, u faqat IP protokoli darajasida ma'lumotlarni uzatishni qo'llab-
quvvatlaydi.
IPSec-dan foydalanishning ikkita asosiy sxemasi mavjud bo'lib, ular xavfsiz kanalni tashkil etuvchi
tugunlarning rolida farqlanadi.
Birinchi sxemada tarmoqning oxirgi xostlari o'rtasida xavfsiz kanal hosil bo'ladi.
Ushbu sxemada IPSec
protokoli ishlayotgan xostni himoya qiladi:
Guruch. 6.13. Ikki so'nggi nuqta o'rtasida xavfsiz kanal yarating
Ikkinchi sxemada ikkita xavfsizlik shlyuzi o'rtasida xavfsiz kanal o'rnatiladi. Ushbu shlyuzlar shlyuzlar
orqasidagi tarmoqlarga ulangan oxirgi xostlardan ma'lumotlarni oladi. Bu
holda oxirgi xostlar IPSec
protokolini qo'llab-quvvatlamaydi, umumiy tarmoqqa yo'naltirilgan trafik o'z nomidan himoyani amalga
oshiradigan xavfsizlik shlyuzidan o'tadi.
Guruch. 6.14. Ikki shlyuz o'rtasida xavfsiz kanal yaratish
IPSec-ni qo'llab-quvvatlaydigan xostlar
uchun transport rejimi ham, tunnel rejimi ham ishlatilishi
mumkin. Shlyuzlar uchun faqat tunnel rejimiga ruxsat beriladi.