الشبكات الخاصة الظاهرية وتبادل مفتاح الإنترنت لسلسلة مركز VPN 5000 من Cisco

المقدمة

تبادل مفتاح الإنترنت (IKE) هو طريقة قياسية تستخدم لترتيب الاتصالات الآمنة المصدق عليها. يستخدم مركز Cisco VPN 5000 IKE لإعداد أنفاق IPSec. تعد أنفاق بروتوكول IPSec هذه العمود الفقري لهذا المنتج.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

• مركز VPN 5000 Series

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الاصطلاحات

للحصول على مزيد من المعلومات حول اصطلاحات المستندات، ارجع إلى اصطلاحات تلميحات Cisco التقنية.

مهام IKE

تقوم IKE بمعالجة المهام التالية:

• المصادقة

• تفاوض الجلسة

• تبادل المفاتيح

• تفاوض نفق IPSec وتكوينه

المصادقة

تعد المصادقة أهم مهمة تقوم بها IKE، وهي الأكثر تعقيدا. فكلما تفاوضت على امر ما، من المهم ان تعرف من تتفاوض معه. ويمكن أن تستخدم شركة الصناعات الاستخراجية إحدى الطرائق المتعددة لتوثيق هوية الأطراف المتفاوضة فيما بينها.

• مفتاح مشترك - تستخدم IKE تقنية تجزئة لضمان أن شخص ما فقط لديه نفس المفتاح يمكنه إرسال حزم IKE.

• معيار التوقيع الرقمي (DSS) أو التوقيعات الرقمية من نوع ريفست وشامير وأديلمان (RSA) - تستخدم IKE تشفير التوقيع الرقمي ذو المفاتيح العامة للتحقق من أن كل طرف هو من تدعي أنه هو.

• تشفير RSA - تستخدم IKE إحدى الطريقتين لتشفير ما يكفي من التفاوض لضمان أن الطرف الذي لديه المفتاح الخاص الصحيح فقط يمكنه مواصلة التفاوض.

وأثناء التفاوض بشأن جلسة العمل، تسمح شركة IKE للأطراف بالتفاوض حول كيفية إجراء المصادقة وكيف ستحمي أي مفاوضات مستقبلية (أي مفاوضات نفق IPSec). يتم التفاوض بشأن هذه البنود:

• أسلوب المصادقة - هذا هو أحد الطرق المدرجة في قسم المصادقة بهذا المستند.

• خوارزمية تبادل المفاتيح - هذه تقنية حسابية للتبادل الآمن للمفاتيح المشفرة عبر وسيط عام (Diffie-Hellman). يتم إستخدام المفاتيح في خوارزميات التشفير وتوقيع الحزمة.

• خوارزمية التشفير - معيار تشفير البيانات (DES) أو المعيار الثلاثي لتشفير البيانات (3DES).

• خوارزمية توقيع الحزمة - ملخص الرسالة 5 (MD5) وخوارزمية التجزئة الآمنة 1 (SHA-1).

تبادل المفاتيح

يستخدم IKE طريقة تبادل المفاتيح التي تم التفاوض عليها (راجع قسم تفاوض جلسة العمل في هذا المستند) لإنشاء وحدات بت كافية من مواد تضمين التشفير لتأمين الحركات المستقبلية. تضمن هذه الطريقة حماية كل جلسة IKE باستخدام مجموعة مفاتيح جديدة وآمنة.

تشكل المصادقة وتفاوض جلسة العمل وتبادل المفاتيح المرحلة الأولى من تفاوض IKE. بالنسبة لمركز تركيز VPN 5000، يتم تكوين هذه الخصائص في قسم سياسة IKE من خلال الكلمة الأساسية حماية. هذه الكلمة الأساسية هي تسمية تحتوي على ثلاث قطع: خوارزمية المصادقة وخوارزمية التشفير وخوارزمية تبادل المفاتيح. يتم فصل القطع بفاصلة سفلية. تعني التسمية MD5_DES_G1 إستخدام MD5 لمصادقة حزمة IKE، واستخدام DES لتشفير حزمة IKE، واستخدام مجموعة Diffie-Hellman 1 لتبادل المفاتيح. لمزيد من المعلومات، ارجع إلى تكوين سياسة IKE لأمان نفق IPSec.

تفاوض نفق IPSec وتكوينه

بعد أن تنتهي IKE من التفاوض على طريقة آمنة لتبادل المعلومات (المرحلة الأولى)، تستخدم IKE للتفاوض على نفق IPSec. ويتم تحقيق ذلك باستخدام المرحلة الثانية من IKE. في هذا التبادل، تقوم IKE بإنشاء مواد تعبئة طازجة لنفق IPSec لاستخدامه (إما باستخدام مفاتيح المرحلة الأولى من IKE كأساس أو من خلال إجراء تبادل مفاتيح جديد). كما يتم التفاوض حول خوارزميات التشفير والمصادقة لهذا النفق.

يتم تكوين أنفاق IPSec باستخدام قسم مجموعة VPN (المعروفة سابقا باسم قسم بروتوكول إنشاء النفق الآمن (STEP)) لأنفاق عميل VPN وقسم شريك النفق لأنفاق شبكة LAN إلى شبكة LAN. ال VPN مستعمل قسم حيث المصادقة طريقة ل كل مستعمل خزنت. يتم توثيق هذه الأقسام في تكوين سياسة IKE لأمان نفق IPSec.

امتدادات IKE لواجهة مستخدم مركز VPN 5000

• RADIUS - لا تدعم IKE مصادقة RADIUS. يتم إجراء مصادقة RADIUS في تبادل معلومات خاص يحدث بعد أول حزمة IKE من عميل VPN. إذا كان بروتوكول مصادقة كلمة المرور (PAP) مطلوبا، يلزم وجود سر مصادقة RADIUS خاص. لمزيد من المعلومات، ارجع إلى وثائق NoCHAP و PAPAuthSecret في تكوين سياسة IKE لأمان نفق IPSec. تتم مصادقة مصادقة RADIUS وتشفيرها. تتم حماية تبادل PAP بواسطة PAPAuthSecret. ومع ذلك، هناك سر واحد فقط من هذا القبيل ل IntraPort بالكامل، لذلك تكون الحماية ضعيفة مثل أي كلمة مرور مشتركة.

• SecureID - لا تدعم IKE حاليا مصادقة SecureID. يتم إجراء مصادقة SecureID في تبادل معلومات خاص بين المرحلة الأولى والمرحلة الثانية. هذا التبادل محمي تماما من قبل جمعية أمان IKE (SA) التي تم التفاوض عليها في المرحلة الأولى.

• بروتوكول إدارة الوصول إلى النفق الآمن (STAMP) - تقوم إتصالات عميل شبكة VPN بتبادل المعلومات مع IntraPort أثناء عملية IKE. يتم إرسال معلومات مثل ما إذا كان حفظ الأسرار هو حق تماما، أي شبكات IP يجب أن تنقلها، أو ما إذا كان يتم نفق حركة مرور تبادل حزم الشبكة البينية (IPX)، في الحمولات الخاصة أثناء آخر وحدتي IKE. يتم إرسال هذه الحمولات فقط إلى عملاء VPN المتوافقين.

إيساكمب وأوكلي

بروتوكول إدارة المفاتيح وارتباط أمان الإنترنت (ISAKMP) هو لغة تستخدم لإجراء المفاوضات عبر الإنترنت (على سبيل المثال، باستخدام بروتوكول IP). أوكلي هي طريقة لإجراء تبادل مصدق عليه للمواد الأساسية المشفرة. وتجمع IKE الطرازين معا في حزمة واحدة، مما يسمح بإعداد الاتصالات الآمنة عبر الإنترنت غير الآمن.

الخطوة والختم

بروتوكول إنشاء النفق الآمن (STEP) هو الاسم السابق لنظام VPN. في أيام ما قبل IKE، تم إستخدام STAMP للتفاوض على إتصالات IPSec. تستخدم إصدارات عميل شبكة VPN الأقدم من 3.0 STAMP لإنشاء اتصال مع IntraPort.

معلومات ذات صلة

• إعلان نهاية المبيعات لسلسلة Cisco VPN 5000
• تكوين نفق موجه إلى VPN 5000 Series Concentrator LAN-to-LAN
• صفحة دعم منتج مركز VPN 5000 من Cisco
• صفحة دعم منتج عميل Cisco VPN 5000
• مفاوضة IPSec/دعم تقنية بروتوكولات IKE
• الدعم التقني والمستندات - Cisco Systems