Сип 4 расшифровка: Провод СИП-4т — технические характеристики, описание, расшифровка

Содержание

Самонесущий изолированный провод СИП-4 4х16-0,6/1 СИП-4 4х16-0,6/1 Неустановленный

Маркоразмер кабельного изделия СИП-4 4х16-0,6/1
Марка кабельного изделия (без категории пож.опасности) СИП-4
Показатель пожарной опасности (кабельная маркировка) без маркировки
Количество основных жил 4
Сечение основных жил 16мм²
Количество вспомогательных жил
Сечение вспомогательных жил
Сечение нулевой несущей жилы
Материал токопроводящих жил алюминий
Наличие и материал сердечника
Сечение сердечника жил
Материал изоляции жил сшитый полиэтилен
Диаметр кабеля, мм (точн.знач.)
Диаметр кабеля, мм (округлен.знач.)
Номинальное переменное напряжение U₀/U 0,6/1кВ
Номинальная частота 50Гц
Номинальное постоянное напряжение
Конструктивная особенность
Тип присоединения
Особенности области применения
Тип прокладки воздушные линии
Применение во взрывоопасных зонах нет
Класс пожарной опасности нет
Климатическое исполнение В
Диапазон температур эксплуатации от -60°C до 50°C
Температура монтажа кабельного изделия не ниже -20°C
Срок службы кабельного изделия 40 лет
Тип определяющего документа
Номер определяющего документа
Примечание
Альтернативные названия СИП4 СИП 4 4х16 4×16 4 16
Страна происхождения
Сертификация RoHS
Код EAN / UPC
Код GPC
Код в Profsector.com FN15.182.1.182
Статус компонента у производителя

Провод СИП-4 4х16: технические характеристики, диаметр, мощность

Современную жизнь невозможно представить без таких бытовых приборов, как утюг, чайник, микроволновая печи или холодильник. Все эти устройства работают от электричества, получаемого, в свою очередь, из ЛЭП установок, в которых используется СИП кабель. В этой статье говорится о том, что такое СИП-4, описываются его основные технические характеристики, а также представлены основные ошибки и проблемы при эксплуатации провода.

Как расшифровывается кабель СИП-4 4х16

Изделие СИП-4 4х16 – это провод самонесущего типа, имеет четырехжильную структуру проводников с площадью по 16 мм2 на каждую жилу.

В роли основной изоляции применяется светостабилизиронный сшитый ПВХ материал. Такой провод очень часто используется при монтаже и подключении линий электропередач. Провод получил большое распространение, благодаря своим многочисленным техническим параметрам. Чаще всего, его используют при подключении отдельных потребителей, зданий и промышленных объектов.

Внешний вид изделия

Преимущества СИП кабеля:

  • Долгий срок службы;
  • Выдерживает экстремальные температурным условиям;
  • Устойчивость к механическим повреждениям.
Виды самонесущих проводов

Расшифровка СИП-4 4х16 выглядит следующим образом:

  • СИП – самонесущий изолированный провод;
  • 4 – категория кабеля;
  • 4 – четыре жилы внутри для перемещения тока;
  • 16 – площадь сечения каждой жилы в мм2.

Важно! Также, в зависимости от конструкции и области применения, изделие может иметь дополнительную защиту в виде бронированного слоя. Подобный провод допускается прокладывать под землей в кабель-каналах или кабельной канализации.

Далее в статье указана информация о проводе СИП 4 4х16, его технических характеристиках и правила прокладки изделия.

Технические характеристики провода СИП-4 4х16 (+ диаметр, мощность)

Кабель имеет следующие заводские параметры:

  • Допустимая мощность 0.6/1кВ;
  • Температурный диапазон от -50 до 50 градусов;
  • Минимальная температура монтажа провода без предварительного прогрева -15°С;
  • Предельно допустимая температура при эксплуатации – 85 градусов;
  • Критическая токовая температура для перегрева провода 120 градусов;
  • Минимально разрешенный радиус загиба провода при монтаже – 7 наружных диаметров;
  • Срок эксплуатации до 30 лет;
  • Гарантия до 3 лет.

Внимание! Полный список характеристик можно найти в спецификации изделия.

СИП 4 16 характеристики

Сфера применения кабеля СИП-4 4х16

Выше было уже сказано, что такой провод очень часто применяется при монтаже ЛЭП, и его часто можно заметить на столбах ВЛ. Также, это изделие используется для образования линейных ветвей от магистральных линий электропередач при устройстве вводов к различным объектам.

СИП провод можно протянуть самостоятельно к столбам и получать бесперебойное электричество, но при этом необходимо получить специальное разрешение в сетевой организации.

Конструкция кабеля СИП-4 4х16

Внутри изделия находится кабельный сердечник, который выполняет функцию проводника. Он производится из алюминиевого сплава в соответствии с ГОСТ No52373-2004. Жилы кабеля могут иметь секторный или круглый вид, состоят из определенного количества проволок, которые скручиваются в плотный жгут.

ЛЭП установки

Внутренние жилы также производятся из алюминия, иногда в составе используется медь. Внешняя изоляция изготавливается из ПВХ материалов. Эта оболочка может быть горючей или не горючей. Чаще используют первый вариант, что обеспечивает дополнительную безопасность эксплуатации ЛЭП.

Правила выбора провода СИП-4 4х16

Для того, чтобы правильно выбрать провод, необходимо рассчитать его сечение. Очень тонкие кабели будут иметь достаточно высокое сопротивление, в следствие чего провода начнут перегреваться, а при слишком высокой температуре случится короткое замыкание или пожар.

Важно! Существуют специальные таблицы, где прописаны правила подбора подходящих сечений под определенное напряжение.

Также, при выборе СИП-4 необходимо определить изоляционный слой провода. Для территории с высокой интенсивностью солнечных лучей, желательно покупать провода с оболочкой из светостабилизированного полиэтилена.

Правильное крепление к столбу

При риске резкого внешнего перегрева, необходимо отдать предпочтение негорючей оболочке. Если кабель прокладывается в местах значительных перепадов температур, желательно выбирать изделия с термопластичной изоляцией.

Важно! При выборе необходимо произвести визуальный осмотр изделия. Если целостность упаковки нарушена, то такой кабель приобретать не стоит. Также, можно запросить сертификат соответствия, где указан завод-изготовитель, дата производства изделия и его полное наименование. Если такого документа нет, то, возможно, это подделка. Перед покупкой необходимо изучить самые популярные фабрики и искать именно их продукцию.

Правила монтажа СИП-4 4х16

Первым делом, прокладываются кабельные пути, после чего необходимо подключить сеть питания, которая будет источником энергии для помещений.

Процесс монтажа

Необходимо помнить о том, что соединение с кабелем без слоя изоляции выполняется через гофры с герметичным составом, а также, с применением фиксаторов. В этом случае нужно зачистить край провода, а потом сжать его прессом. Допускается использование ответвительных фиксаторов, необходимых для проводов без несущей жилы.

Ошибки, возникающие в процессе прокладки

Проблема №1. Раскатка провода по грунту.

При монтаже необходимо внимательно раскладывать изделие, чтобы не повредить внешнюю изоляцию. Для этого существуют специальные ролики и опоры, на которые можно повесить провод. Поврежденный внешний слой может привести к снижению срока эксплуатации и КЗ.

Раскатка на опорах

Проблема №2. Повторное применение фиксаторов.

Такие фиксаторы применяются для ветвления провода от магистрали к абоненту. Использование прокалывающих фиксаторов, помогает выполнить это действие без снятия внешнего слоя, но повторное их применение не разрешается.

Проблема №3. Скручивание провода.

Запрещено скручивать в общую жилу два и более проводов СИП, так как, в соответствии с ПУЭ, каждое изделие подключается отдельно.

Проблема №4. Два анкерных фиксатора на один кронштейн.

Для одного кронштейна устанавливается всего один фиксатор. Это правило необходимо запомнить для того, чтобы качественно выполнить прокладку.

Проблема №5. Не проводился визуальный осмотр.

При неправильно хранении провода на складе, он теряет свои свойства. Если при покупке человек не обратил внимания на мелкие царапины или трещины, то впоследствии это может привести не только к снижению срока службы, но и к возникновению опасных ситуаций. Перед непосредственной прокладкой необходимо осмотреть провод несколько раз.

Проблема №6. Не используется дополнительная защита.

Для этого можно применять специальные гофры, которые предотвращают возникновение пожара или обледенения изделий. Если на кабеле скопится лед, то он начнет провисать, что в итоге приведёт к его обрыву.

Правила хранения и транспортировки СИП-4 4х16

Как и любая кабельная продукция, СИП провода необходимо хранить в сухом складском помещении, иначе существует риск возникновения плесени.

Хранение кабеля на складе

Барабаны с проводом должны стоять на кантах, а не лежать на боку. Это может повредить внешний слой изоляции. Допускается хранение на открытом воздухе, но вдали от прямых солнечных лучей. Время от времени нужно проверять целостность упаковки и провода, потому что, если на складе есть грызуны, они способны испортить внешнюю оболочку.

Перевозить катушки с проводами необходимо только в специальном погрузчике. Барабаны нужно закреплять, чтобы при транспортировке они не катались по кузову. Погрузочно-разгрузочные работы осуществляются с использованием специальной техники.

Внимание!  Размещение катушек с проводами на земле без дополнительных опор не допускается. Пренебрежение этим правилом может привести к механическим повреждениям внешней оболочки, из-за чего жилы начнут перегреваться и случится короткое замыкание.

Транспортировка изделий

Производители провода СИП-4 4х16

На современном рынке кабельной продукции в данное время достаточно большая конкуренция. Электромонтеры советуют отдавать предпочтение фабрикам с опытом работы более 10 лет. Также, перед покупкой можно прочитать отзывы о производителе или просмотреть их сайт в интернете. Если у человека нет опыта в покупке таких изделий, то ему следует обратиться за помощью к профессионалам. Помимо технических параметров, нужно уметь провести визуальный осмотр провода. Ниже представлены одни из самых популярных заводов по состоянию на начало 2020 года.

ТОО «KAZ TEL», Шымкент

Предприятие начало свою работу в 2010 году. За 10 лет завод стремительно развивался и расширял свои территории. В наличии имеется более 1000 типоразмеров изделий, а заказ можно сделать прямо на сайте компании. Логисты занимаются доставками по Европе и России. На заводе функционирует собственный испытательный центр, поэтому вся продукция проходит жесткий отбор. Предприятие работает по импортной технологии изготовления, активно сотрудничая с коллегами из Германии.

ООО «Завод Агрокабель», Великий Новгород

Предприятие начало функционировать с 1989 года, и в настоящее время оно сотрудничает со многими странами Европы и Азии. Продукция изготавливается на высокопрофессиональном оборудовании. На данный момент завод занимается разработкой нового вида проводов с функцией устойчивости к высоким температурам. В наличии имеется более 5000 тысяч типоразмеров изделий. Можно заказать продукцию прямо с сайта, так как в наличии имеется полный ассортимент продукции.

Процесс производства провода

ООО «АлтайКабель», Барнаул

Компания начала свою работу в 1990 году. На сегодняшний день в наличии имеется более 20000 тысяч типов изделий. Руководители занимаются перевозками продукции по воздуху и железнодорожным путям. Технологи могут изготовить изделие по индивидуальному заказу. Одни из немногих кто выпускает провода с устойчивостью от грибка и грызунов. Имеют много положительных отзывов как на сайте, так и на просторах интернета. Завод является одним из десяти лидирующих предприятий на территории России. Постоянно выпускаются новые провода с различными функциями устойчивости от повреждений и более продолжительным сроком службы.

Перед покупкой изделий мастера рекомендуют выбрать несколько подходящих фабрик и узнать о них больше на тематических форумах, так как многие отзывы могут быть сфальсифицированы.

Виды сечения

В заключении необходимо отметить, что без провода СИП-4 невозможно было бы получать бытовое электричество и передавать его потребителям. Изделие уже давно зарекомендовало себя на рынке не только высокими качествами, но и доступной ценой. Для того, чтобы правильно выбрать кабель, необходимо получить о нем как можно больше информации, рассчитать сечение и нагрузку, а также пропускную способность проводника.

Новосибирский государственный архитектурно-строительный университет — Сибстрин

Архив новостей

2021-12-02 14:03:05

Подведены итоги Всероссийского конкурса выпускных квалификационных работ в области строительства, защищенных в 2020 году. Его организатором является Международная общественная организация содействия строительному образованию (АСВ) при содействии Федерального учебно-методического объединения в системе высшего образования по укрупненной группе специальностей и направлений подготовки 08.00.00 «Техника и технологии строительства». На конкурс, который проводится в дистанционном формате на базе НИУ МГСУ, от НГАСУ (Сибстрин) было направлено 37 работ. По результатам участия университета во Всероссийском конкурсе, выпускные квалификационные работы в области строительства…

Архив новостей

2021-12-02 11:21:34

23 ноября 2021 года состоялась конференция по итогам летней учебной практики студентов направления «Социология». Благодаря соглашению между нашим университетом и туристической компанией Kilit Global с 2020 года в учебном процессе кафедры Экономики, управления, социологии и педагогики НГАСУ (Сибстрин) задействованы ведущие туроператоры Новосибирска. Это дало возможность студентам-социологам продуктивно провести лето в солнечной Турции. В работе конференции принимали участие директор института международной деятельности Наталья Синеева, директор института цифровых и инженерных технологий Лилия Ильина и заведующая кафедрой Экономики, социологии и педагогики Наталья Нижальская, а также студенты разных групп и курсов института цифровых и инженерных технологий.

Архив новостей

2021-12-01 18:22:51

7 декабря 2021 года (вторник) пройдут встречи кандидатов на должность ректора Новосибирского государственного архитектурно-строительного университета (Сибстрин) с сотрудниками и студентами. Встреча Косолаповой Ирины Анатольевны: в 12.00 в ауд. 362 Встреча Сколубовича Юрия Леонидовича: в 14.00 в ауд. 239 Напоминаем, что 10 декабря 2021 года (пятница) состоится конференция научно-педагогических работников, представителей других категорий работников и обучающихся НГАСУ (Сибстрин) по выборам ректора университета. Начало регистрации: в 13.30 Начало конференции: в 14.00

Архив новостей

2021-12-01 15:15:05

В рабочем поселке Линево Искитимского района состоялась профильная игра «Сделай шаг». Ее организатором выступила средняя общеобразовательная школа №4 р.п. Линево и Центр детского научно-технического творчества «Спутник» Искитимского района Новосибирской области. На игру было заявлено десять команд школ Искитимского района. Школьникам и их кураторам были озвучены задачи инженерно-технологической направленности, подготовленные партнерами конкурса. Ими стали представители нескольких производственных предприятий, совет депутатов р.п. Линево и образовательные учреждения, в число которых вошел НГАСУ (Сибстрин). Особенность игры заключалась в том, что участникам профильной смены предстояло найти решение задач в реальных условиях…

Архив новостей

2021-11-10 13:09:13

Стартовал пятый, юбилейный сезон, Всероссийской студенческой олимпиады «Я – профессионал» – одного из флагманских проектов президентской платформы «Россия – страна возможностей»! Олимпиада проводится для студентов российских вузов, которые учатся по программам бакалавриата, специалитета или магистратуры. Каждый участник сможет попробовать свои силы в одном или нескольких из 72 направлений. «Я — профессионал» — это практико-ориентированные состязания. Задания для участников составляют эксперты ведущих университетов и научно-исследовательских институтов совместно с опытными специалистами-практиками — представителями компаний-партнеров олимпиады.

Архив новостей

2021-12-01 13:59:51

Уважаемые студенты, преподаватели и сотрудники НГАСУ (Сибстрин)! Министерство науки и высшего образования Российской Федерации проводит анкетирование среди студентов и сотрудников университетов в целях подготовки аналитических данных по вопросам реализации проектов по созданию инновационной образовательной среды (кампусов) в соответствии с Постановлением Правительства Российской Федерации от 28.07.2021 № 1268 «О реализации проекта по созданию инновационной образовательной среды (кампусов) с применением механизмов государственно-частного партнерства и концессионных соглашений в рамках…

Архив новостей

2021-12-01 10:26:24

29 ноября 2021 года ректор НГАСУ (Сибстрин) Юрий Сколубович встретился со студенческим активом университета. Участниками мероприятия стали студенты, представляющие Объединенный совет обучающихся, Профсоюзную организацию, Штаб студенческих отрядов, Советы институтов/факультетов, студенческий медиацентр и другие, а также представители администрации вуза. На встрече речь шла о качестве образования и его контроле, развитии студенческого самоуправления и поддержке инициатив. В начале встречи с презентацией итогов исследования «Аудит и оценка проблематики обучения студентов 1-3 курса в НГАСУ (Сибстрин)» выступил представитель студсовета института строительства, студент 4 курса Лев Керман. Исследование было проведено по инициативе Студенческого совета ИС в мае этого года для изучения мнений и потребностей студенческой среды. Его итоги могут быть использованы для улучшения качества образовательной, научной и внеучебной деятельности студентов

Архив новостей

2021-12-01 09:10:14

10 декабря 2021 года (пятница) состоится конференция научно-педагогических работников, представителей других категорий работников и обучающихся НГАСУ (Сибстрин) по выборам ректора университета. Начало регистрации: в 13.30 Начало конференции: в 14.00 Повестка дня: Выборы ректора федерального государственного бюджетного образовательного учреждения высшего образования «Новосибирский государственный архитектурно-строительный университет (Сибстрин)» Разное (при наличии)

Архив новостей

2021-11-22 09:34:04

Уважаемые коллеги! Приглашаем вас принять участие в качестве слушателей Евразийского форума по инженерной сейсмологии, геотехнике и динамике сооружений Seismo-Sibgeotec-2021, который пройдет с 30 ноября по 2 декабря 2021 года в Новосибирске. Организаторы Форума: Центральный научно-исследовательский и проектный институт Министерства строительства и жилищно-коммунального хозяйства Российской Федерации, Новосибирский государственный архитектурно-строительный университет (Сибстрин), Региональный академический научно-образовательный центр Российской академии архитектуры и строительных наук на базе НГАСУ (Сибстрин), Товарищество Сибирских Геотехников…

Архив новостей

2021-11-17 16:26:15

Новосибирский государственный архитектурно-строительный университет (Сибстрин) и лакокрасочный завод «Колорит» (г. Новосибирск) проводят конкурс по разработке дизайн-проекта по оформлению вне учебного пространства (коридор) кафедры Строительных материалов, стандартизации и сертификации. К участию в конкурсе приглашаются студенты, магистранты, аспиранты и молодые ученые университета вне зависимости от специальности, а также преподаватели в качестве руководителей. Участвовать могут как самостоятельные конкурсанты, так и творческие коллективы. Один участник может представить не более 2-х собственных проектов, которые ранее не реализовывались и не принимали участие в других аналогичных конкурсах. Особой спецификой конкурсного проекта должно быть применение и/или визуализация качественных экологичных строительных материалов и технологий, которые свяжут все компоненты дизайн-проекта в единое целое. Все предложенные идеи проектов должны быть интерпретированы современными дизайнерскими средствами и декораторскими приемами и выполнены в AutoCAD и CorelDraw, а также в формате цифровых фотографий.

Инструмент дешифрования программ-вымогателей

GandCrab

Обновление , июнь 2019 г .: Наше сотрудничество с румынской полицией, Европолом и другими правоохранительными органами позволило получить еще один новый дешифратор для всех выпущенных версий вымогателя GandCrab, за исключением v2 и v3. Если вам нужно расшифровать версии 1, 4, с 5.0.1 по 5.2, загрузите и запустите наш новый инструмент, указанный ниже.

В феврале 2018 года Bitdefender выпустил первый в мире инструмент дешифрования, который поможет жертвам вымогателей GandCrab бесплатно вернуть свои данные и цифровую жизнь.Но с тех пор жертвы последующих версий GandCrab и его партнерского подхода «программа-вымогатель как услуга» обращались к нам за помощью.

Хорошая новость в том, что теперь вы можете вернуть свои данные, не платя ни цента киберпреступникам. Bitdefender предлагает бесплатную утилиту, автоматизирующую процесс расшифровки данных.

Поддерживаемые версии GandCrab

В приведенной ниже таблице показаны версии GandCrab, которые может расшифровать этот инструмент, и способы определения версии, с которой вы столкнулись.Вы можете распознать эту программу-вымогатель и его версию по расширению, которое она добавляет к зашифрованным файлам и / или по первой строке записки с требованием выкупа.

Файл Файл Файл
Версия 1: имеет расширение .GDCB. Начинается с — = GANDCRAB = -, ……………. расширение: .GDCB
Версия 2: имеет расширение .GDCB. Начинается с — = GANDCRAB = -, ……………. расширение: .GDCB
Версия 3: расширение файла.КРАБ. Начинается с — = GANDCRAB V3 = — ……… .. расширение: .CRAB
Версия 4: имеет расширение .KRAB. Начинается с — = GANDCRAB V4 = — ……… .. расширение: .KRAB
Версия 5: расширение файла. ([A-Z] +). Начинается с — = GANDCRAB V5.0 = — ………. расширение: .UKCZA
Версия 5.0.1: расширение файла. ([A-Z] +). Начинается с — = GANDCRAB V5.0,1 = -…. расширение: .YIAQDG
Версия 5.0.2: расширение файла. ([A-Z] +). Начинается с— = GANDCRAB V5.0.2 = -…. расширение: .CQXGPMKNR
Версия 5.0.3: расширение файла. ([A-Z] +). Начинается с— = GANDCRAB V5.0.3 = -…. расширение: .HHFEHIOL
Версия 5.0.3: расширение файла. ([A-Z] +). Начинается с— = GANDCRAB V5.0.4 = -…. расширение:.BYACZCZI
Версия 5.0.5: расширение файла. ([A-Z] +). Начинается с— = GANDCRAB V5.0.5 = -…. расширение: .KZZXVWMLI
Версия 5.0.5: расширение файла. ([A-Z] +). Начинается с— = GANDCRAB V5.1 = -…. расширение: .IJDHRQJD

Требования к средствам дешифрования

  • Активное подключение к Интернету. Этот инструмент ТРЕБУЕТ активного подключения к Интернету, поскольку наши серверы будут пытаться ответить на отправленный идентификатор, возможно, с действующим закрытым ключом RSA-2048.Только если этот шаг завершится успешно, процесс расшифровки продолжится.
  • Записка о выкупе. Для того, чтобы это решение для восстановления работало, у вас должна быть как минимум (1) копия записки с требованием выкупа на вашем компьютере. Записка с требованием выкупа необходима для восстановления ключа дешифрования, поскольку она позволяет нам вычислить уникальный ключ дешифрования для ваших файлов. Убедитесь, что вы не запускаете утилиту очистки, которая обнаруживает и удаляет записку с требованием выкупа до запуска этого инструмента.

Как использовать инструмент

Шаг 1: Загрузите наш инструмент дешифрования и сохраните его где-нибудь на своем компьютере.Обратите внимание, что для этого инструмента требуется активное подключение к Интернету. Без него процесс расшифровки не продолжится.

Скачать дешифратор GandCrab

Этот инструмент ТРЕБУЕТ активного подключения к Интернету, так как наши серверы будут пытаться ответить на отправленный идентификатор, возможно, с действующим закрытым ключом RSA-2048. Если этот шаг завершится успешно, процесс расшифровки
будет продолжен.

Шаг 2: Запустите утилиту. Он должен быть сохранен на вашем компьютере как BDGandCrabDecryptor.исполняемый.

Шаг 3: Примите условия.

Шаг 4: Выберите «Сканировать всю систему», если вы хотите найти все зашифрованные файлы или просто добавить путь к своим зашифрованным файлам. Мы настоятельно рекомендуем вам также выбрать «Резервные файлы» перед началом процесса дешифрования. Затем нажмите «Сканировать».

Независимо от того, отметили вы опцию «Резервное копирование файлов» или нет, средство дешифрования сначала пытается расшифровать (5) файлы по указанному пути и НЕ будет продолжать, если расшифровка не удалась .Этот дополнительный механизм безопасности гарантирует, что инструмент дешифрования предоставил действительные файлы. Однако этот подход повлияет на потенциальные тесты, запускаемые на 1 или 2 файлах, или на шифрование файлов с разными расширениями.

Шаг 5: На этом этапе ваши файлы должны быть расшифрованы. Если вы выбрали вариант резервного копирования, вы увидите как зашифрованные, так и дешифрованные файлы. Мы рекомендуем вам сейчас убедиться, что ваши файлы могут быть безопасно открыты и нет никаких следов повреждений.

После проверки файлов вы можете удалить зашифрованные файлы сразу, выполнив поиск файлов, соответствующих расширению GandCrab.

Если у вас возникнут проблемы, свяжитесь с нами по адресу электронной почты, указанному в инструменте удаления.

Подтверждение

Этот продукт включает программное обеспечение, разработанное OpenSSL Project для использования в OpenSSL Toolkit ( http://www.openssl.org/ )

Что такое SSL Passthrough? Определение, схемы и связанные часто задаваемые вопросы

<< Вернуться к техническому глоссарию

Определение сквозной передачи SSL

Передача SSL происходит, когда входящий запрос уровня сокетов безопасности (SSL) не дешифруется в балансировщике нагрузки, а передается на сервер для дешифрования.
Сквозная передача SSL используется, когда безопасность веб-приложений является главной проблемой.

Часто задаваемые вопросы

Что такое сквозная передача SSL?

Secure Socket Layer (SSL), который в последнее время называется TLS (Transport Layer Security), представляет собой протокол безопасности для HTTP-трафика в Интернете. SSL шифрует обмен данными между клиентом и сервером для безопасной отправки сообщений. Когда на адресе веб-сайта указано «HTTPS», буква «S» означает, что для шифрования данных используется SSL.

SSL passthrough — это действие по передаче данных через балансировщик нагрузки на сервер без их расшифровки.Обычно расшифровка или завершение SSL происходит на балансировщике нагрузки, и данные передаются на веб-сервер как простой HTTP. Но сквозной протокол SSL сохраняет данные в зашифрованном виде при прохождении через балансировщик нагрузки. Веб-сервер выполняет расшифровку при получении. Этот процесс используется, когда особенно важна безопасность передачи данных в локальной сети.

Сквозная передача SSL

обходится дороже, так как использует больше циклов центрального процессора (ЦП). Это также ограничивает некоторые функции прокси-сервера с балансировкой нагрузки.Сквозной прокси-протокол SSL не проверяет трафик и не перехватывает сеансы SSL на сетевых устройствах до достижения сервера, поскольку он просто передает зашифрованные данные. Сквозная передача SSL лучше всего подходит для небольших развертываний.

Как настроить сквозную передачу SSL?

Режим протокола управления передачей (TCP) по сравнению с режимом HTTP требуется в конфигурациях переднего и внутреннего сервера. При сквозной передаче SSL используется режим TCP для передачи зашифрованных данных на серверы.

Конфигурация сквозной передачи SSL прокси не требует установки сертификата SSL на балансировщике нагрузки.SSL-сертификаты устанавливаются на внутреннем сервере, поскольку они обрабатывают SSL-соединение, а не балансировщик нагрузки.

При сквозной передаче SSL запросы перенаправляются на другой сервер, поскольку соединение остается зашифрованным.

Сквозная передача SSL против разгрузки SSL

SSL передает трафик HTTPS на внутренний сервер без расшифровки трафика на балансировщике нагрузки. Данные проходят полностью зашифрованными, что исключает любые действия уровня 7. Сквозная передача SSL через прокси — это самый простой способ настроить SSL в балансировщике нагрузки, но он подходит только для небольших развертываний.

Разгрузка SSL, также известная как завершение SSL, расшифровывает весь трафик HTTPS на балансировщике нагрузки. Могут выполняться действия уровня 7, и данные поступают на внутренний сервер в виде обычного HTTP-трафика. Разгрузка SSL позволяет проверять данные при их передаче между балансировщиком нагрузки и сервером. Это также снижает нагрузку на ЦП на сервере приложений за счет заблаговременного дешифрования данных. Однако разгрузка SSL уязвима для атак, поскольку данные передаются в незашифрованном виде между балансировщиком нагрузки и сервером приложений.

Предлагает ли Avi сквозную передачу SSL?

Да. Avi Vantage полностью поддерживает HTTPS-трафик с шифрованием SSL, предоставляя в качестве опций как сквозную передачу SSL, так и разгрузку SSL. В общем, Avi рекомендует разгрузку SSL или завершение SSL, используя Avi Vantage в качестве конечной точки для SSL, что позволяет поддерживать полную видимость трафика, а также применять расширенные функции управления трафиком, безопасности и ускорения.

Для получения дополнительной информации см. Следующие ресурсы для сквозной передачи ssl:

Как зашифровать / расшифровать файл в EDAMIS 4?

Портал EDAMIS 4 может автоматически шифровать файлы при наличии открытого ключа.EDAMIS 4 использует библиотеку под названием «OpenPGP.js» (реализация стандарта OpenPGP на JavaScript) для шифрования данных в вашем веб-браузере. Использование OpenPGP — хороший выбор, поскольку он широко используется в мире и был тщательно протестирован для предотвращения проблем с безопасностью.

Чтобы EDAMIS 4 Portal зашифровал файл, выберите параметр « EDAMIS » в поле « Encrypt by » перед отправкой файла:

Автоматическое шифрование, обеспечиваемое порталом, выполняется в браузере и, следовательно, зависит от ограничений памяти браузера.Это может зависеть от используемого вами браузера, операционной системы, используемого компьютера и т. Д. В результате шифрование для больших файлов может завершиться неудачно, если недостаточно памяти. Если шифрование не удается из-за нехватки памяти, вы получите ошибку «Недостаточно памяти», аналогичную приведенной ниже:

В этом случае мы можем предложить следующие решения для шифрования больших файлов:

  • Используйте портал (зашифровано: EDAMIS ), но с более мощным браузером / операционной системой.Использование 64-разрядного браузера в более новой операционной системе может увеличить доступную память и, таким образом, сделать возможным шифрование в браузере для типов файлов, которые вы отправляете. Для этой операции следует учитывать Google Chrome или Microsoft EDGE
  • Используйте портал (шифрование: , пользователь ), но выполняйте шифрование самостоятельно: Евростат применяет стандарт PGP для шифрования. Вы можете сами зашифровать исходящие файлы с помощью Gpg4win для Windows, а затем отправить их через портал EDAMIS 4.Это позволит вам не полагаться на средства шифрования на стороне браузера EDAMIS 4 Portal, которые имеют указанные выше ограничения памяти. Открытый ключ, используемый для шифрования, можно загрузить с EDAMIS, выполнив действия, описанные на странице Как загрузить открытый ключ.

Имейте в виду, что, хотя стандарт OpenPGP допускает использование файлов данных в двоичном формате или в кодировке ASCII, Евростат в настоящее время принимает только файлов в кодировке ASCII.

Помимо портала EDAMIS 4, EDAMIS предлагает еще один метод передачи, обеспечивающий поддержку шифрования: клиент ESDEN. Поэтому вы можете спросить своего национального координатора по передаче, доступен ли этот дополнительный метод передачи в вашей организации.

  • Как зашифровать файл с помощью Gpg4win (Kleopatra)?

Пошаговое руководство по загрузке и настройке Kleopatra для шифрования:

1. Загрузите и установите Gpg4win для ОС Windows.
2. После установки запустите приложение (Kleopatra.exe).
3. Перейдите в «Настройки» >> «Настроить Kleopatra
» 4. Нажмите «Криптографические операции» (слева)
5. Выберите параметр «Создавать подписанные или зашифрованные файлы как текстовые файлы»
6. Нажмите «Применить», чтобы сохранить изменения
7. Нажмите ОК, чтобы закрыть окно настроек

Чтобы зашифровать файлы с помощью Kleopatra, выполните следующие действия:

1. Щелкните Импорт и выберите загруженный открытый ключ (и) из EDAMIS
2.В следующем окне выберите «Больше не спрашивать» и нажмите Нет. Нам этот вариант не нужен, потому что мы используем открытый ключ, предоставленный Евростатом.
3. Нажмите кнопку «Подписать / зашифровать» и выберите файл, который нужно зашифровать.
4. В окне «Подписать / зашифровать файлы» снимите (снимите флажок) флажки «Подписать как» и «Зашифровать для меня».
5. Убедитесь, что установлен флажок «Шифрование для других», и введите имя открытого ключа (загруженного с портала EDAMIS 4), который будет использоваться для шифрования
6. Нажмите «Подписать / зашифровать»
7.Нажмите «Продолжить» в окне «Самостоятельное шифрование». Вы также можете не показывать это окно снова.
8. Нажмите «Готово».
9. Найдите зашифрованный файл и переименуйте его, удалив расширение .asc. Таким образом, файл сохранит свое первоначальное имя, но будет зашифрован.

  • Как расшифровать файл с помощью Gpg4win (Kleopatra)?

Чтобы расшифровать файлы с помощью Kleopatra, выполните следующие действия. Обратите внимание, что у вас должен быть закрытый ключ, который будет использоваться для расшифровки.

  1. Запуск Kleopatra
  2. Нажмите «Импорт» и выберите свой закрытый ключ.
  3. В следующем окне («Вы импортировали секретный ключ») нажмите «Да», затем «ОК».
  4. Щелкните «Файл» и выберите «Расшифровать / Проверить»
  5. Найдите зашифрованный файл в вашей системе
  6. Выберите выходную папку для расшифровки и нажмите «Расшифровать / Проверить»

Если у вас есть какие-либо вопросы / сомнения относительно использования средств шифрования / дешифрования портала EDAMIS 4, пожалуйста, не стесняйтесь связаться с нами, написав электронное письмо по адресу ESTAT-SUPPORT-EDAMIS @ ec.europa.eu

Шифрование и дешифрование файлов с использованием ABAP

Эта запись в блоге предназначена для того, чтобы дать общее представление о процессе шифрования и дешифрования файлов с использованием ключа в ABAP. К концу этого сообщения в блоге мы сможем узнать, «как зашифровать текстовый файл или данные с помощью ключа, и, в конце концов, мы также сможем узнать,« как расшифровать зашифрованные данные с помощью того же ключа ».

Вы также можете попробовать это сообщение в блоге, если вы получаете ошибку времени выполнения «CX_SEC_SXML_ENCRYPT_ERROR» в классе «CL_SEC_SXML_WRITER» во время дешифрования данных.

Требование:

Недавно я столкнулся с требованием, согласно которому мы должны зашифровать сгенерированный файл при его размещении на сервере приложений (t-код — AL11). Стороннее промежуточное ПО считывает файл с сервера приложений SAP и отправляет его в целевую систему. Чтобы избежать неправильного использования любых конфиденциальных данных сторонним промежуточным программным обеспечением, мы закодировали файл с помощью ключа (ключ генерируется каждый раз, следовательно, ключ всегда уникален), и ключ был передан заинтересованному лицу целевую систему по электронной почте.Я подумал поделиться этим, чтобы это могло быть кому-то полезно.

Механизм, упомянутый выше, называется «Симметричное шифрование ключа» в криптографии (поскольку тот же ключ используется в процессе шифрования и дешифрования, отсюда и название «Симметричный»).

Мы будем использовать класс «CL_SEC_SXML_WRITER» для процесса шифрования и дешифрования. Класс «CL_SEC_SXML_WRITER» содержит 3 алгоритма шифрования и дешифрования. Ниже приведены подробности.

  • Алгоритм AES 128 бит
  • Алгоритм AES 192 бит
  • Алгоритм AES 256 бит

Это алгоритмы, которые соблюдаются повсеместно, поэтому даже если целевая система не является системой SAP, зашифрованный файл из SAP может быть расшифрован с использованием правильного ключа в целевой системе и наоборот (и да, используемый алгоритм во время процесса шифрования должны использоваться во время процесса дешифрования, конечно).

Итак, давайте продемонстрируем полный процесс шифрования и дешифрования с использованием ключа в ABAP. Мы будем создавать 2 разные программы. Ниже приведены подробности.

  • Программа 1: Мы создадим программу с именем «ZFILE_ENCRYPTION» . В этой программе мы выполним следующую задачу: —
    • Создание файла, который необходимо зашифровать
    • Создание ключа «KEY» , который будет использоваться в процессе шифрования
    • Шифрование файла сгенерированным ключом
    • Передача ключа предполагаемому лицу по электронной почте
  • Программа 2: Мы создадим другую программу с именем «ZFILE_DECRYPTION» для дешифрования зашифрованного файла с использованием сгенерированного ключа.Для сценария, который я работал с (упомянутым выше) , эта программа мне не требовалась, поскольку дешифрование было выполнено в целевой системе. Однако эта программа может быть полезна, если вы находитесь на принимающей стороне закодированного файла. В целях демонстрации я объясню это в этом сообщении в блоге. Программа выполнит следующую задачу: —
    • Чтение закодированного файла с сервера приложений (t-код: AL11)
    • Расшифровка файла кодирования с помощью ключа получена по электронной почте
    • Скачивание расшифрованного файла (в читаемом формате)

Давайте подробно рассмотрим обе программы по порядку.

Программа 1: ZFILE_ENCRYPTION — Шифрование файла с помощью ключа

Примечание: Полный исходный код приведен в конце этого сообщения в блоге.

Шаг 1: Подготовка текстового файла, который необходимо зашифровать

Этот шаг довольно прост. В демонстрационных целях я буду загружать текстовый файл с сервера презентаций. Ниже приведен пример кода для загрузки файла. Объект данных « LV_DATA» содержит желаемые данные, которые необходимо зашифровать.

Вы также можете сгенерировать строку файла программно, вместо того, чтобы загружать ее с сервера представления.

  ДАННЫЕ:
      lt_data ТИП string_t,
      lv_data TYPE строка,
      lv_str TYPE строка.
    СПОСОБ ВЫЗОВА cl_gui_frontend_services => gui_upload
      ЭКСПОРТ
        имя_файла = p_path
        filetype = 'ASC'
      ИЗМЕНЕНИЕ
        data_tab = lt_data
      ИСКЛЮЧЕНИЯ
        file_open_error = 1
        file_read_error = 2
        no_batch = 3
        gui_refuse_filetransfer = 4
        invalid_type = 5
        no_authority = 6
        unknown_error = 7
        bad_data_format = 8
        header_not_allowed = 9
        separator_not_allowed = 10
        header_too_long = 11
        unknown_dp_error = 12
        access_denied = 13
        dp_out_of_memory = 14
        disk_full = 15
        dp_timeout = 16
        not_supported_by_gui = 17
        error_no_gui = 18
        ДРУГИЕ = 19.ПЕТЛЯ НА lt_data INTO lv_str.
      ЕСЛИ lv_data ЯВЛЯЕТСЯ НАЧАЛЬНЫМ.
        lv_data = lv_str.
      ЕЩЕ.
        lv_data = | {lv_data} {cl_abap_char_utilities => новая строка} {lv_str} |.
      ENDIF.
    КОНЕЦ.  

Исходный файл выглядит так:

Шаг 2: Создание ключа для шифрования

Мы должны сгенерировать «KEY» , который будет использоваться в процессе шифрования. Для этого можно использовать метод «GENERATE_KEY» класса «CL_SEC_SXML_WRITER» .Метод всегда каждый раз возвращает уникальный «XSTRING» .

  ДАННЫЕ:
  lv_key ТИП xstring.

lv_key = cl_sec_sxml_writer => generate_key (алгоритм = cl_sec_sxml_writer => co_aes128_algorithm).  

Важно: Пожалуйста, не используйте класс «CL_ABAP_CONV_OUT_CE» для генерации «KEY» для шифрования. Если вы это сделаете, программа сбросит дамп, если программы шифрования и дешифрования отличаются.Ниже скриншот дампа.

Шаг 3. Шифрование файла с помощью ключа

До сих пор мы подготовили данные, которые необходимо зашифровать, а также генерируется ключ, который будет использоваться для шифрования. Для этого мы должны использовать метод «ENCRYPT» класса «CL_SEC_SXML_WRITER» . Аргументы метода — это ключ, полученный на предыдущем шаге, данные (которые необходимо зашифровать) в формате «XSTRING» и имя алгоритма, который необходимо использовать.Ниже приведен пример кода

  ДАННЫЕ:
  lv_data_xstr ТИП xstring,
  lv_msg ТИП xstring.

«Преобразование данных - из строкового формата в xstring. Вы можете использовать любой другой метод или функциональный модуль, который преобразует строку в формат xstring.
lv_data_xstr = cl_bcs_convert => string_to_xstring (
  iv_string = lv_data "Входные данные
).

"Зашифруйте данные с помощью ключа
cl_sec_sxml_writer => encrypt (
  ЭКСПОРТ
    plaintext = v_data
    ключ = v_key
    алгоритм = cl_sec_sxml_writer => co_aes128_algorithm
  ИМПОРТ
    зашифрованный текст = lv_msg). 

Шаг 4: Сохранение зашифрованного файла на сервере приложений

Теперь, когда мы зашифровали файл, мы должны сохранить зашифрованный файл на сервере приложений (t-код: AL11). Но обратите внимание на зашифрованный файл в формате «XSTRING». Итак, как передать «XSTRING» на сервер приложения. Да, вы правы, просто назначьте «XSTRING» объекту данных «STRING» и передайте строку на сервер приложений. Так просто. Ниже приведен фрагмент кода.

  ДАННЫЕ:
 lv_str TYPE строка.КОНСТАНТЫ:
 lc_filepath TYPE string VALUE '\\ PGRDEV \ sapmnt \ trans \ file_after_encryption.txt "
 
lv_str = lv_msg.

"Сплит на 132 позиции
ВЫЗОВ ФУНКЦИИ "CONVERT_STRING_TO_TABLE"
  ЭКСПОРТ
    i_string = lv_str
    i_tabline_length = 132
  ТАБЛИЦЫ
    et_table = lt_str.

ОТКРЫТЬ НАБОР ДАННЫХ lc_filepath В ТЕКСТОВОМ РЕЖИМЕ ДЛЯ ВЫХОДНОГО КОДИРОВАНИЯ ПО УМОЛЧАНИЮ.

"Зацикливаться на всех линиях
ПЕТЛЯ НА lt_str INTO lv_str.
  ПЕРЕДАТЬ lv_str В lc_filepath.КОНЕЦ.

ЗАКРЫТЬ НАБОР ДАННЫХ lc_filepath.
  

Зашифрованный файл в AL11 выглядит следующим образом. Теперь данные зашифрованы с помощью ключа.

Шаг 5: Отправка сгенерированного ключа заинтересованному лицу по электронной почте.

Существует множество сообщений в блогах и веток, в которых объясняется, как отправлять электронную почту на ABAP. Так что я не буду рассказывать об этом в этом сообщении в блоге. Однако вы можете найти код в нижнем разделе этого сообщения в блоге.

Программа 2: ZFILE_DECRYPTION: расшифровка файла с использованием сгенерированного ключа

Примечание: Полный исходный код приведен в конце этого сообщения в блоге.

Шаг 1: Чтение зашифрованного файла с сервера приложений

Мы читаем зашифрованный файл с сервера приложений (t-код: AL11), используя «OPEN DATASET». Пожалуйста, обратитесь к ссылке ниже, если вы новичок в этом.

https://help.sap.com/doc/abapdocu_750_index_htm/7.50/en-US/abapopen_dataset.htm

  ДАННЫЕ:
  lv_str TYPE строка,
  lv_data TYPE строка.

КОНСТАНТЫ:
 lc_filepath TYPE string VALUE '\\ PGRDEV \ sapmnt \ trans \ file_after_encryption.текст'.

ОТКРЫТЬ НАБОР ДАННЫХ lc_filepath ДЛЯ ВВОДА В ТЕКСТОВОМ РЕЖИМЕ КОДИРОВАНИЕ ПО УМОЛЧАНИЮ.

ДЕЛАТЬ.
  ПРОЧИТАЙТЕ НАБОР ДАННЫХ lc_filepath В lv_str.
  ЕСЛИ sy-subrc NE 0.
    ВЫХОД.
  ENDIF.
  lv_data = | {lv_data} {lv_str} |.
ENDDO.  

Шаг 2: Расшифровка файла с помощью ключа

Теперь, когда мы прочитали зашифрованные данные с сервера приложений (t-код: AL11) и получили сгенерированный ключ (ключ получен по электронной почте — см. Шаг 5 программы 1 выше), мы должны расшифровать данные с использованием метода «DECRYPT» класса «CL_SEC_SXML_WRITER».У методов есть аргументы для «зашифрованных данных», «ключа, который использовался при шифровании», «алгоритма, который использовался во время« шифрования ».

Объект данных «LV_DATA» содержит зашифрованные данные (полученные из шага выше). Тип данных объекта данных — «строка». Мы должны назначить его объекту данных типа «XSTRING». Затем мы можем расшифровать данные. Ниже исходный код для ссылки

  ДАННЫЕ:
      lt_binary ТИП СТАНДАРТНОЙ ТАБЛИЦЫ x255.

    ДАННЫЕ:
      lv_message_decrypted ТИП xstring,
      lv_str TYPE строка,
      lv_key ТИП xstring,
      lv_data_xstr ТИП xstring,
      lv_data_text TYPE строка,
      lv_length ТИП i."Полученный ключ. Как уже говорилось, ключ был передан ответственному лицу. Ключ был назначен здесь, чтобы мы могли расшифровать файл.
    lv_key = '38451B52187A3A4AECA26B27AE79D147'
    
   "Назначьте зашифрованные данные, полученные на предыдущем шаге, объекту данных xstring, чтобы его можно было расшифровать.
   lv_data_xstr = lv_data.

    "Расшифровать сообщение
    cl_sec_sxml_writer => расшифровать (
      ЭКСПОРТ
        ciphertext = lv_data_xtr
        key = lv_key
        алгоритм = cl_sec_sxml_writer => co_aes128_algorithm
      ИМПОРТ
        plaintext = lv_message_decrypted)."Объект данных LV_MESSAGE_DECRYPTED теперь содержит дешифрованные данные в формате xstring. Итак, чтобы сделать его доступным для чтения человеком, мы должны преобразовать xstring в строку.

    "Преобразовать xstring в двоичный
    ВЫЗОВ ФУНКЦИИ 'SCMS_XSTRING_TO_BINARY'
      ЭКСПОРТ
        буфер = lv_message_decrypted
      ИМПОРТ
        output_length = lv_length
      ТАБЛИЦЫ
        двоичный_таб = lt_binary.

    "Двоичный в строку
    ВЫЗОВ ФУНКЦИИ "SCMS_BINARY_TO_STRING"
      ЭКСПОРТ
        input_length = lv_length
      ИМПОРТ
        text_buffer = lv_data_text
      ТАБЛИЦЫ
        binary_tab = lt_binary
      ИСКЛЮЧЕНИЯ
        не удалось = 1
        ДРУГИЕ = 2. 

Теперь, когда у вас есть расшифрованные данные, вы можете обработать их или загрузить на сервер презентаций в соответствии с требованиями. Я загрузил файл на сервер презентаций для демонстрации. Пожалуйста, обратитесь к приложенному файлу исходного кода для получения подробной информации.

Расшифрованный файл выглядит следующим образом

Заключение:

Итак, в этом сообщении в блоге мы можем зашифровать данные / текстовый файл с помощью ключа (ключ был сгенерирован во время выполнения).Ключ был отправлен заинтересованному лицу по электронной почте. Была создана отдельная программа дешифрования, которая расшифровывает данные с помощью общего ключа.

Надеюсь, этот пост в блоге кому-то поможет.

Полный исходный код приведен ниже для обеих программ — шифрование и дешифрование

Программа: ZFILE_ENCRYPTION
  * & ---------------------------------------------- ----------------------- *
* & Сообщить о ZFILE_ENCRYPTION
* &
* & ------------------------------------------------ --------------------- *
* &
* &
* & ------------------------------------------------ --------------------- *

ОТЧЕТ о zfile_encryption.ПАРАМЕТРЫ:
  p_path TYPE string ОБЯЗАТЕЛЬНЫЙ НИЖНИЙ ВАРИАНТ.

* ------------------------------------------------- --------------------- *
* КЛАСС lcl_encryption ОПРЕДЕЛЕНИЕ
* ------------------------------------------------- --------------------- *
*
* ------------------------------------------------- --------------------- *
КЛАСС lcl_encryption ОПРЕДЕЛЕНИЕ.

  ОБЩЕСТВЕННЫЙ РАЗДЕЛ.

    КЛАСС-МЕТОДЫ:
      выберите файл,
      загрузить файл
        ПОДНЯТИЕ cx_bcs,
      encrypt_file,
      send_email.КОНСТАНТЫ:
      c_filepath TYPE string VALUE '\\ PGRDEV \ sapmnt \ trans \ encrypted_file.txt'.

  ЧАСТНЫЙ РАЗДЕЛ.

    КЛАСС-ДАННЫЕ:
      v_data ТИП xstring,
      v_key ТИП xstring.

КОНЕЦ. "lcl_encryption ОПРЕДЕЛЕНИЕ

НА ЭКРАНЕ ВЫБОРА ПО ЗАПРОСУ ЗНАЧЕНИЯ ДЛЯ p_path.

  "Выберите файл
  lcl_encryption => select_file ().

НАЧАЛО ОТБОРА.

  "Загрузить файл
  lcl_encryption => upload_file ()."Зашифрованный файл
  lcl_encryption => encrypt_file ().

* ------------------------------------------------- --------------------- *
* РЕАЛИЗАЦИЯ КЛАССА lcl_test
* ------------------------------------------------- --------------------- *
*
* ------------------------------------------------- --------------------- *
РЕАЛИЗАЦИЯ КЛАССА lcl_encryption.

  МЕТОД select_file.

    ДАННЫЕ:
      lt_file TYPE таблица файлов,
      ls_file ТИП file_table,
      lv_rc ТИП i.СПОСОБ ВЫЗОВА cl_gui_frontend_services => file_open_dialog
      ИЗМЕНЕНИЕ
        file_table = lt_file
        rc = lv_rc
      ИСКЛЮЧЕНИЯ
        file_open_dialog_failed = 1
        cntl_error = 2
        error_no_gui = 3
        not_supported_by_gui = 4
        ДРУГИЕ = 5.

    ЕСЛИ sy-subrc EQ 0.

      ПРОЧИТАЙТЕ ТАБЛИЦУ lt_file В ls_file ИНДЕКС 1.ЕСЛИ sy-subrc EQ 0.
        p_path = ls_file.
      ENDIF.

    ENDIF.

  КОНЕЦ. "загрузить файл

  МЕТОД upload_file.

    ДАННЫЕ:
      lt_data ТИП string_t,
      lv_data TYPE строка,
      lv_str TYPE строка.

    ОЧИСТИТЬ v_data.

    СПОСОБ ВЫЗОВА cl_gui_frontend_services => gui_upload
      ЭКСПОРТ
        имя_файла = p_path
        filetype = 'ASC'
      ИЗМЕНЕНИЕ
        data_tab = lt_data
      ИСКЛЮЧЕНИЯ
        file_open_error = 1
        file_read_error = 2
        no_batch = 3
        gui_refuse_filetransfer = 4
        invalid_type = 5
        no_authority = 6
        unknown_error = 7
        bad_data_format = 8
        header_not_allowed = 9
        separator_not_allowed = 10
        header_too_long = 11
        unknown_dp_error = 12
        access_denied = 13
        dp_out_of_memory = 14
        disk_full = 15
        dp_timeout = 16
        not_supported_by_gui = 17
        error_no_gui = 18
        ДРУГИЕ = 19.ПЕТЛЯ НА lt_data INTO lv_str.

      ЕСЛИ lv_data ЯВЛЯЕТСЯ НАЧАЛЬНЫМ.
        lv_data = lv_str.
      ЕЩЕ.
        lv_data = | {lv_data} {cl_abap_char_utilities => новая строка} {lv_str} |.
      ENDIF.

    КОНЕЦ.

    "Преобразовать в xstring
    v_data = cl_bcs_convert => string_to_xstring (
      iv_string = lv_data "Входные данные
     ).

  КОНЕЦ. "загрузить файл

  МЕТОД encrypt_file.ДАННЫЕ:
      lt_str ТИП string_t,
      lv_str TYPE строка,
      lv_msg ТИП xstring.

    v_key = cl_sec_sxml_writer => generate_key (алгоритм = cl_sec_sxml_writer => co_aes128_algorithm).

    "зашифровать с использованием AES256
    cl_sec_sxml_writer => encrypt (
      ЭКСПОРТ
        plaintext = v_data
        ключ = v_key
        алгоритм = cl_sec_sxml_writer => co_aes128_algorithm
      ИМПОРТ
        зашифрованный текст = lv_msg).lv_str = lv_msg.

    "Сплит на 132 позиции
    ВЫЗОВ ФУНКЦИИ "CONVERT_STRING_TO_TABLE"
      ЭКСПОРТ
        i_string = lv_str
        i_tabline_length = 132
      ТАБЛИЦЫ
        et_table = lt_str.

    ОТКРЫТЬ НАБОР ДАННЫХ c_filepath В ТЕКСТОВОМ РЕЖИМЕ ДЛЯ ВЫХОДНОГО КОДИРОВАНИЯ ПО УМОЛЧАНИЮ.

    "Зацикливаться на всех линиях
    ПЕТЛЯ НА lt_str INTO lv_str.
      ПЕРЕДАТЬ lv_str В c_filepath.
    КОНЕЦ.

    ЗАКРЫТЬ НАБОР ДАННЫХ c_filepath."Отправить электронное письмо
    send_email ().

    СООБЩЕНИЕ 'Файл сохранен в AL11' ТИП 'I'.

  КОНЕЦ. "encrypt_file

  МЕТОД send_email.

    КОНСТАНТЫ:
      lc_subject TYPE so_obj_des VALUE 'Ключ шифрования',
      lc_raw ТИП char03 ЗНАЧЕНИЕ "RAW".

    ДАННЫЕ:
      lr_send_request ТИП ССЫЛКА НА cl_bcs,
      lr_bcs_exception ТИП ССЫЛКА НА cx_bcs,
      lr_recipient ТИП ССЫЛКА НА if_recipient_bcs,
      lr_sender ТИП ССЫЛКА НА cl_sapuser_bcs,
      lr_document ТИП ССЫЛКА НА cl_document_bcs.ДАННЫЕ:
      lv_mlrec ТИП so_obj_nam,
      lv_sent_to_all ТИП os_boolean,
      lv_email ТИП adr6-smtp_addr,
      lv_subject ТИП so_obj_des,
      lv_str TYPE строка,
      lv_text ТИП bcsy_text.

    ПЫТАТЬСЯ.

        "Создать запрос на отправку
        lr_send_request = cl_bcs => create_persistent ().

        "Электронное письмо ОТ ...
        lr_sender = cl_sapuser_bcs => создать (sy-uname)."Добавить отправителя для отправки запроса
        СПОСОБ ВЫЗОВА lr_send_request-> set_sender
          ЭКСПОРТ
            i_sender = lr_sender.

        "Электронная почта TO ...
        lv_email = '[email protected]'.

        lr_recipient = cl_cam_address_bcs => create_internet_address (lv_email).

        "Добавить получателя для отправки запроса
        СПОСОБ ВЫЗОВА lr_send_request-> add_recipient
          ЭКСПОРТ
            i_recipient = lr_recipient
            i_express = 'Х'."Email BODY
        lv_str = | Ключ шифрования: {v_key} |.

        ДОБАВИТЬ lv_str К lv_text.

        lr_document = cl_document_bcs => create_document (
            i_type = lc_raw
            i_text = lv_text
            i_length = '12'
            i_subject = lc_subject).

        "Добавить документ для отправки запроса
        СПОСОБ ВЫЗОВА lr_send_request-> set_document (lr_document).

        "Отправить электронное письмо
        СПОСОБ ВЫЗОВА lr_send_request-> send (
          ЭКСПОРТ
            i_with_error_screen = 'X'
          ПОЛУЧЕНИЕ
            результат = lv_sent_to_all).ЕСЛИ lv_sent_to_all = 'X'.
          НАПИШИТЕ «Электронное письмо отправлено!».
        ENDIF.

        "Обязательство отправить электронное письмо
        ЗАВЕРШИТЬ РАБОТУ.

        "Обработка исключений
      CATCH cx_bcs INTO lr_bcs_exception.

        ЗАПИСЫВАТЬ:
          'Ошибка!',
          'Тип ошибки:',
          lr_bcs_exception-> error_type.

    КОНЕЦ.

  КОНЕЦ. "send_email"

КОНЕЦ. "lcl_test РЕАЛИЗАЦИЯ
  
Программа: ZFILE_DECRYPTION
  * & ---------------------------------------------- ----------------------- *
* & Сообщить о ZFILE_ENCRYPTION
* &
* & ------------------------------------------------ --------------------- *
* &
* &
* & ------------------------------------------------ --------------------- *

СООБЩИТЬ zfile_decryption.ПАРАМЕТРЫ:
  p_key TYPE string ОБЯЗАТЕЛЬНЫЙ НИЖНИЙ ВАРИАНТ.

* ------------------------------------------------- --------------------- *
* КЛАСС lcl_encryption ОПРЕДЕЛЕНИЕ
* ------------------------------------------------- --------------------- *
*
* ------------------------------------------------- --------------------- *
КЛАСС lcl_decryption ОПРЕДЕЛЕНИЕ.

  ОБЩЕСТВЕННЫЙ РАЗДЕЛ.

    КЛАСС-МЕТОДЫ:
      read_file,
      decrypt_file,
      Загрузка файла.КОНСТАНТЫ:
      c_filepath TYPE string VALUE '\\ PGRDEV \ sapmnt \ trans \ encrypted_file.txt'.

  ЧАСТНЫЙ РАЗДЕЛ.

    КЛАСС-ДАННЫЕ:
      v_data ТИП xstring,
      v_data_text TYPE строка,
      v_key ТИП xstring.

КОНЕЦ. "lcl_encryption ОПРЕДЕЛЕНИЕ

НАЧАЛО ОТБОРА.

  "Загрузить файл
  lcl_decryption => read_file ().

  "Расшифровать файл
  lcl_decryption => decrypt_file ()."Загрузка файла
  lcl_decryption => файл_загрузки ().

* ------------------------------------------------- --------------------- *
* РЕАЛИЗАЦИЯ КЛАССА lcl_test
* ------------------------------------------------- --------------------- *
*
* ------------------------------------------------- --------------------- *
КЛАСС lcl_decryption РЕАЛИЗАЦИЯ.

  МЕТОД read_file.

    ДАННЫЕ:
      lv_str TYPE строка,
      lv_data TYPE строка.v_key = p_key.

    ОТКРЫТЬ НАБОР ДАННЫХ c_filepath ДЛЯ ВВОДА В ТЕКСТОВОМ РЕЖИМЕ КОДИРОВАНИЕ ПО УМОЛЧАНИЮ.

    ДЕЛАТЬ.

      ПРОЧИТАЙТЕ НАБОР ДАННЫХ c_filepath В lv_str.
      ЕСЛИ sy-subrc NE 0.
        ВЫХОД.
      ENDIF.
      lv_data = | {lv_data} {lv_str} |.

    ENDDO.

    v_data = lv_data.

  КОНЕЦ. "загрузить файл

  МЕТОД decrypt_file.

    ДАННЫЕ:
      lt_binary ТИП СТАНДАРТНОЙ ТАБЛИЦЫ x255.ДАННЫЕ:
      lv_message_decrypted ТИП xstring,
      lv_str TYPE строка,
      lv_length ТИП i.

    "Расшифровать сообщение
    cl_sec_sxml_writer => расшифровать (
      ЭКСПОРТ
        ciphertext = v_data
        ключ = v_key
        алгоритм = cl_sec_sxml_writer => co_aes128_algorithm
      ИМПОРТ
        plaintext = lv_message_decrypted).

    "Преобразовать xstring в двоичный
    ВЫЗОВ ФУНКЦИИ 'SCMS_XSTRING_TO_BINARY'
      ЭКСПОРТ
        буфер = lv_message_decrypted
      ИМПОРТ
        output_length = lv_length
      ТАБЛИЦЫ
        двоичный_таб = lt_binary."Двоичный в строку
    ВЫЗОВ ФУНКЦИИ "SCMS_BINARY_TO_STRING"
      ЭКСПОРТ
        input_length = lv_length
      ИМПОРТ
        text_buffer = v_data_text
      ТАБЛИЦЫ
        binary_tab = lt_binary
      ИСКЛЮЧЕНИЯ
        не удалось = 1
        ДРУГИЕ = 2.

  КОНЕЦ. "загрузить файл

  МЕТОД download_file.

    ДАННЫЕ:
      lv_filename TYPE строка,
      lv_path TYPE строка,
      lv_fullpath TYPE строка,
      lt_string ТИП string_t."Диалог сохранения файла
    СПОСОБ ВЫЗОВА cl_gui_frontend_services => file_save_dialog
      ИЗМЕНЕНИЕ
        имя_файла = lv_filename
        путь = lv_path
        fullpath = lv_fullpath
      ИСКЛЮЧЕНИЯ
        cntl_error = 1
        error_no_gui = 2
        not_supported_by_gui = 3
        invalid_default_file_name = 4
        ДРУГИЕ = 5.ДОБАВИТЬ v_data_text К lt_string.

    СПОСОБ ВЫЗОВА cl_gui_frontend_services => gui_download
      ЭКСПОРТ
        filename = lv_fullpath
        filetype = 'ASC'
      ИЗМЕНЕНИЕ
        data_tab = lt_string
      ИСКЛЮЧЕНИЯ
        file_write_error = 1
        no_batch = 2
        gui_refuse_filetransfer = 3
        invalid_type = 4
        no_authority = 5
        unknown_error = 6
        header_not_allowed = 7
        separator_not_allowed = 8
        Размер файла_not_allowed = 9
        header_too_long = 10
        dp_error_create = 11
        dp_error_send = 12
        dp_error_write = 13
        unknown_dp_error = 14
        access_denied = 15
        dp_out_of_memory = 16
        disk_full = 17
        dp_timeout = 18
        file_not_found = 19
        dataprovider_exception = 20
        control_flush_error = 21
        not_supported_by_gui = 22
        error_no_gui = 23
        ДРУГИЕ = 24.КОНЕЦ. "Загрузка файла

КОНЕЦ. "lcl_test РЕАЛИЗАЦИЯ
  

Растущая необходимость в расшифровке SSL

Расшифровка

SSL — процесс, который позволяет вам проверять безопасный HTTP-трафик, когда он проходит через ваш брандмауэр, — всегда играл большую роль в защите и безопасности вашей сети. Без возможности увидеть полную картину трафика невозможно должным образом защитить вашу сеть, ваших пользователей или ваши данные.Недавние изменения усиливают потребность в расшифровке SSL, что делает более важным, чем когда-либо, пролить свет на ваш трафик и активность.

Распаковываем программное и аппаратное обеспечение SSL Decryption и Palo Alto Networks.

Шифруется дополнительный трафик

Поскольку более 95% трафика шифруется, слабые протоколы больше не поддерживаются, а сертификаты SSL получить проще, чем когда-либо прежде. Кроме того, все больше сайтов переходят на HTTPS, что затрудняет получение полной картины безопасности без расшифровки.


Были достигнуты успехи в возможностях дешифрования SSL с помощью программного обеспечения Palo Alto Networks с PAN-OS 10.0 и 10.1. Мы сделали это проще и повысили производительность.

Начиная с PAN-OS 10.0, поддержка расшифровки TLS 1.3 была добавлена ​​во всех режимах: прямой прокси, входящий контроль, зеркало дешифрования и брокер дешифрования.

Это даст вам полную видимость и контроль трафика TLS 1.3, а также задействует все функции безопасности нового поколения.

Организациям, которые развертывают сторонние средства управления безопасностью как часть своего общего пакета безопасности, необходимо несколько раз расшифровать трафик, чтобы реализовать преимущества полного стека безопасности. Это усложняет работу, увеличивает задержку в сети и отрицательно влияет на работу конечных пользователей.

Хотя другие поставщики межсетевых экранов предлагают расшифровку, они не могут отправлять весь трафик сторонним средствам безопасности, создавая слепые зоны.В результате предприятия вынуждены покупать дополнительные устройства, такие как расшифровка SSL и специализированные брокеры пакетов для расшифровки, фильтрации и перенаправления трафика в средства безопасности, что увеличивает стоимость и сложность эксплуатации.

С новым брокером сетевых пакетов (который является бесплатным) наш NGFW может интеллектуально пересылать все типы трафика (например, TLS, расшифрованный TLS и не-TLS) сторонним инструментам безопасности с одного устройства. Это позволяет вам оптимизировать производительность вашей сети и максимизировать эффективность ваших существующих инструментов безопасности, выборочно отправляя только необходимый трафик конкретному стороннему инструменту безопасности.Заказчики также могут устранить отказ в единой точке за счет балансировки нагрузки между различными устройствами.

Новое оборудование

Вместе с новым программным обеспечением Palo Alto Networks также анонсировала новое оборудование, которое поможет использовать преимущества нового программного обеспечения.

Представляем серию PA-400 для распределенного предприятия — Серия PA-400 — это большой скачок в производительности по сравнению с PA-220 предыдущего поколения.До 10-кратного увеличения производительности Threat + Decryption и до 5-кратного увеличения времени загрузки.

* По сравнению с Cisco 9300 с 2 картами SM-56 (128 Гбит / с NGFW)

Представляем PA-5450 для Hyperscale Datacenter & Internet Edge — Пятикратная производительность угроз + дешифрование по сравнению с PA-5260. Поскольку большая часть корпоративного трафика в настоящее время зашифрована, дешифрование внутри NGFW является ключевым требованием, и PA-5450 обеспечивает значительное повышение производительности дешифрования и угрозы, до 5 раз превышающее производительность дешифрования угрозы + на PA-5260.

Вместе с тем, новые карты DPC могут улучшить производительность дешифрования на 33%.


Больше журналов, легче увидеть

Одним из новых улучшений является добавление новой вкладки «Активность SSL» в ACC. Внутри этой новой вкладки вы увидите следующие элементы:

  • Версия TLS трафика SSL
  • Причины сбоя дешифрования
  • Процент расшифрованных / незашифрованных

Благодаря новому расширенному представлению в ACC, у вас есть возможность значительно упростить детализацию проблем, связанных с дешифрованием, что позволит вам получить доступ к журналам дешифрования непосредственно из ACC и провести аудит трафика, который использует любые слабые версии TLS или слабые шифры.Это экономит время и избавляет от головной боли.

Технология дешифрования SSL, страница

Если вы еще не знали, у LIVEcommunity есть специальная страница технологии SSL Decryption. Это будет единственное место в LIVEcommunity, где вы сможете найти обсуждения, статьи, блоги, видео и ресурсы, посвященные расшифровке SSL.

Дополнительная информация

Чтобы получить всю подробную информацию о передовых методах, инструментах и ​​процессах, загрузите технический документ по расшифровке SSL.

Нужна помощь в планировании развертывания SSL? Тогда мы здесь, чтобы помочь спланировать развертывание передовой практики расшифровки SSL с помощью передовой практики дешифрования ..

Спасибо, что нашли время прочитать мой блог.

Если вам понравилось, нажмите кнопку «Мне нравится» (большой палец вверх), не забудьте подписаться на область блога LIVEcommunity.

Как всегда, мы приветствуем все комментарии и отзывы в разделе комментариев ниже.

Будьте в безопасности,

Джо Делио

Конец строки

Настройка и устранение неполадок шифрования сетевого уровня Cisco: история вопроса — часть 1

В этом документе обсуждается настройка и устранение неполадок шифрования сетевого уровня Cisco с IPSec, а также протокола ассоциации безопасности Интернета и протокола управления ключами (ISAKMP), а также рассматривается фоновая информация и базовая конфигурация шифрования сетевого уровня, а также IPSec и ISAKMP.

Требования

Для этого документа нет особых требований.

Используемые компоненты

Информация в этом документе основана на версиях программного и аппаратного обеспечения:

Информация в этом документе была создана на устройствах в определенной лабораторной среде. Все устройства, используемые в этом документе, были запущены с очищенной (по умолчанию) конфигурацией. Если ваша сеть работает, убедитесь, что вы понимаете потенциальное влияние любой команды.

Условные обозначения

Дополнительные сведения об условных обозначениях в документах см. В разделе «Условные обозначения технических советов Cisco».

Функция шифрования сетевого уровня была представлена ​​в программном обеспечении Cisco IOS® версии 11.2. Он обеспечивает механизм безопасной передачи данных и состоит из двух компонентов:

  • Аутентификация маршрутизатора: Перед передачей зашифрованного трафика два маршрутизатора выполняют одноразовую двустороннюю аутентификацию с использованием открытых ключей стандарта цифровой подписи (DSS) для подписи случайных вызовов.

  • Шифрование сетевого уровня: Для шифрования полезной нагрузки IP маршрутизаторы используют обмен ключами Диффи-Хеллмана для безопасной генерации DES (40- или 56-битный ключ сеанса), Triple DES — 3DES (168-бит) или более поздний Advanced Encryption Standard — AES (128-битный (по умолчанию), 192-битный или 256-битный ключ), представленный в 12.2 (13) T. Новые ключи сеанса генерируются на настраиваемой основе. Политика шифрования устанавливается криптокартами, которые используют расширенные списки IP-доступа, чтобы определить, какие пары сети, подсети, хоста или протокола должны быть зашифрованы между маршрутизаторами.

Фон криптографии

Область криптографии занимается сохранением конфиденциальности сообщений. Защита конфиденциальных сообщений была основным направлением криптографии на протяжении большей части ее истории. Шифрование — это преобразование данных в нечитаемую форму. Его цель — обеспечить конфиденциальность, скрывая информацию от всех, для кого она не предназначена, даже если они могут видеть зашифрованные данные. Расшифровка противоположна шифрованию: это преобразование зашифрованных данных обратно в понятную форму.

Шифрование и дешифрование требуют использования некоторой секретной информации, обычно называемой «ключом». В зависимости от используемого механизма шифрования один и тот же ключ может использоваться как для шифрования, так и для дешифрования; в то время как для других механизмов ключи, используемые для шифрования и дешифрования, могут быть разными.

Цифровая подпись связывает документ с владельцем определенного ключа, а цифровая отметка времени связывает документ с его созданием в определенное время. Эти криптографические механизмы могут использоваться для управления доступом к общему диску, установке с высоким уровнем безопасности или к телевизионному каналу с оплатой за просмотр.

В то время как современная криптография становится все более разнообразной, криптография в основном основана на проблемах, которые трудно решить. Проблема может быть сложной, потому что для ее решения требуется знание ключа, например, для расшифровки зашифрованного сообщения или подписи какого-либо цифрового документа. Проблема также может быть сложной, потому что ее сложно выполнить по сути, например, найти сообщение, которое дает заданное значение хеш-функции.

По мере развития криптографии границы между тем, что является криптографией, а что нет, стали размытыми.Сегодняшнюю криптографию можно охарактеризовать как изучение методов и приложений, зависящих от существования трудно решаемых математических задач. Криптоаналитик пытается взломать криптографические механизмы, а криптология — это дисциплина, объединяющая криптографию и криптоанализ.

Определения

В этом разделе определяются связанные термины, используемые в этом документе.

  • Аутентификация: Свойство знать, что полученные данные действительно отправлены заявленным отправителем.

  • Конфиденциальность: Свойство связи, при котором предполагаемые получатели знают, что отправляется, но непреднамеренные стороны не могут определить, что отправлено.

  • Стандарт шифрования данных (DES): В DES используется метод симметричного ключа, также известный как метод секретного ключа. Это означает, что если блок данных зашифрован с помощью ключа, зашифрованный блок должен быть расшифрован одним и тем же ключом, поэтому и шифровальщик, и дешифратор должны использовать один и тот же ключ.Несмотря на то, что метод шифрования известен и хорошо опубликован, наиболее широко известный метод атаки — это грубая сила. Ключи должны быть проверены на соответствие зашифрованным блокам, чтобы убедиться, что они могут правильно их разрешить. По мере того, как процессоры становятся более мощными, естественная жизнь DES подходит к концу. Например, скоординированные усилия с использованием резервной вычислительной мощности тысяч компьютеров в Интернете позволяют найти 56-битный ключ к закодированному сообщению DES за 21 день.

    DES проверяется каждые пять лет Агентством национальной безопасности США (NSA) на соответствие целям правительства США.Текущее разрешение истекает в 1998 году, и NSA заявило, что не будет повторно сертифицировать DES. Помимо DES, существуют другие алгоритмы шифрования, которые также не имеют каких-либо известных слабых мест, кроме атак методом грубой силы. Для получения дополнительной информации см. DES FIPS 46-2 Национального института стандартов и технологий (NIST).

  • Расшифровка: Обратное применение алгоритма шифрования к зашифрованным данным, таким образом восстанавливая эти данные в их исходное незашифрованное состояние.

  • DSS и алгоритм цифровой подписи (DSA): DSA был опубликован NIST в стандарте цифровой подписи (DSS), который является частью проекта Capstone правительства США. DSS был выбран NIST в сотрудничестве с NSA в качестве стандарта цифровой аутентификации правительства США. Стандарт выпущен 19 мая 1994 года.

  • Шифрование: Применение определенного алгоритма к данным, чтобы изменить внешний вид данных, делая их непонятными для тех, кто не имеет права просматривать информацию.

  • Целостность: Свойство обеспечения передачи данных от источника к месту назначения без необнаруженных изменений.

  • Отсутствие отказа от авторства: Свойство получателя, которое может доказать, что отправитель некоторых данных действительно отправил данные, даже если отправитель позже может пожелать отрицать факт отправки этих данных.

  • Криптография с открытым ключом: Традиционная криптография основана на том, что отправитель и получатель сообщения знают и используют один и тот же секретный ключ.Отправитель использует секретный ключ для шифрования сообщения, а получатель использует тот же секретный ключ для расшифровки сообщения. Этот метод известен как «секретный ключ» или «симметричная криптография». Основная проблема заключается в том, чтобы заставить отправителя и получателя согласовать секретный ключ, чтобы никто не узнал об этом. Если они находятся в разных физических местах, они должны доверять курьеру, телефонной системе или какой-либо другой среде передачи, чтобы предотвратить раскрытие передаваемого секретного ключа. Любой, кто подслушивает или перехватывает передаваемый ключ, может позже прочитать, изменить и подделать все сообщения, зашифрованные или аутентифицированные с помощью этого ключа.Генерация, передача и хранение ключей называется управлением ключами; все криптосистемы должны иметь дело с проблемами управления ключами. Поскольку все ключи в криптосистеме с секретным ключом должны оставаться секретными, криптография с секретным ключом часто испытывает трудности с обеспечением безопасного управления ключами, особенно в открытых системах с большим количеством пользователей.

    Концепция криптографии с открытым ключом была введена в 1976 году Уитфилдом Диффи и Мартином Хеллманом для решения проблемы управления ключами. В их концепции каждый человек получает пару ключей, один из которых называется открытым ключом, а другой — закрытым.Открытый ключ каждого человека публикуется, а закрытый ключ хранится в секрете. Отсутствует необходимость для отправителя и получателя в совместном использовании секретной информации, и все коммуникации используют только открытые ключи, а закрытый ключ никогда не передается или не передается. Больше нет необходимости доверять какому-либо каналу связи, чтобы обезопасить его от подслушивания или предательства. Единственное требование — чтобы открытые ключи были связаны с их пользователями доверенным (аутентифицированным) способом (например, в доверенном каталоге).Кто угодно может отправить конфиденциальное сообщение, просто используя общедоступную информацию, но сообщение можно расшифровать только с помощью закрытого ключа, который находится в исключительном владении предполагаемого получателя. Кроме того, криптография с открытым ключом может использоваться не только для обеспечения конфиденциальности (шифрование), но и для аутентификации (цифровые подписи).

  • Цифровые подписи с открытым ключом: Чтобы подписать сообщение, человек выполняет вычисление, используя как свой закрытый ключ, так и само сообщение.Результат называется цифровой подписью и прикрепляется к сообщению, которое затем отправляется. Второй человек проверяет подпись, выполняя вычисление с участием сообщения, предполагаемой подписи и открытого ключа первого лица. Если результат правильно сохраняется в простом математическом соотношении, подпись проверяется как подлинная. В противном случае подпись может быть поддельной или сообщение могло быть изменено.

  • Шифрование с открытым ключом: Когда один человек хочет отправить секретное сообщение другому человеку, первое лицо ищет открытый ключ второго человека в каталоге, использует его для шифрования сообщения и отправляет его.Затем второй человек использует свой закрытый ключ, чтобы расшифровать сообщение и прочитать его. Никто не может расшифровать сообщение. Кто угодно может отправить зашифрованное сообщение второму человеку, но только второй человек может его прочитать. Ясно, что одно из требований состоит в том, чтобы никто не мог определить закрытый ключ из соответствующего открытого ключа.

  • Анализ трафика: Анализ потока сетевого трафика с целью получения информации, полезной для злоумышленника.Примерами такой информации являются частота передачи, идентификаторы участвующих сторон, размеры пакетов, используемые идентификаторы потока и т. Д.

Предварительная информация

В этом разделе обсуждаются некоторые основные концепции шифрования сетевого уровня. Он содержит аспекты шифрования, на которые вам следует обратить внимание. Первоначально эти вопросы могут не иметь для вас смысла, но было бы неплохо прочитать их сейчас и знать о них, потому что они станут более понятными после того, как вы поработаете с шифрованием в течение нескольких месяцев.

  • Важно отметить, что шифрование происходит только на выходе интерфейса, а дешифрование происходит только на входе в интерфейс. Это различие важно при планировании вашей политики. Политика шифрования и дешифрования симметрична. Это означает, что определение одного автоматически дает вам другое. Для криптокарт и связанных с ними расширенных списков доступа явно определяется только политика шифрования.

    Политика дешифрования использует идентичную информацию, но при сопоставлении пакетов она меняет местами адреса и порты источника и назначения.Таким образом, данные защищены в обоих направлениях дуплексного соединения. Оператор match address x в команде crypto map используется для описания пакетов, покидающих интерфейс. Другими словами, это описание шифрования пакетов. Однако пакеты также должны быть сопоставлены для дешифрования при входе в интерфейс. Это делается автоматически путем обхода списка доступа с обратными адресами источника и назначения и портами. Это обеспечивает симметрию соединения.Список доступа, на который указывает криптокарта , должен описывать трафик только в одном (исходящем) направлении. IP-пакеты, не соответствующие заданному вами списку доступа, будут передаваться, но не зашифрованы. «Запретить» в списке доступа указывает, что эти хосты не должны совпадать, что означает, что они не будут зашифрованы. «Запретить» в этом контексте не означает, что пакет отброшен.

  • Будьте очень осторожны при использовании слова «любой» в расширенных списках доступа. Использование «любого» приводит к отбрасыванию вашего трафика, если он не направляется к соответствующему «незашифрованному» интерфейсу.Кроме того, с IPSec в программном обеспечении Cisco IOS версии 11.3 (3) T «любой» не допускается.

  • Не рекомендуется использовать ключевое слово «any» при указании адресов источника или назначения. Указание «любой» может вызвать проблемы с протоколами маршрутизации, протоколом сетевого времени (NTP), эхо-ответом, эхо-ответом и многоадресным трафиком, поскольку принимающий маршрутизатор автоматически отбрасывает этот трафик. Если должно использоваться «any», ему должны предшествовать операторы «deny» для трафика, который не должен быть зашифрован, например «ntp».

  • Чтобы сэкономить время, убедитесь, что можно проверить связь с на одноранговом маршрутизаторе, с которым вы пытаетесь установить шифровальную связь. Кроме того, попросите конечные устройства (которые зависят от шифрования их трафика) проверять связь друг с другом, прежде чем вы потратите слишком много времени на устранение неправильной проблемы. Другими словами, убедитесь, что маршрутизация работает, прежде чем пытаться выполнить crypto . У удаленного однорангового узла может не быть маршрута для выходного интерфейса, и в этом случае вы не сможете провести сеанс шифрования с этим одноранговым узлом (вы можете использовать ip без номера на этом последовательном интерфейсе).

  • Многие двухточечные каналы WAN используют немаршрутизируемые IP-адреса, а шифрование программного обеспечения Cisco IOS версии 11.2 основывается на протоколе управляющих сообщений Интернета (ICMP) (что означает, что он использует IP-адрес выходного последовательного интерфейса для ICMP). Это может заставить вас использовать IP-адрес без номера на интерфейсе WAN. Всегда выполняйте команду ping и traceroute , чтобы убедиться, что маршрутизация существует для двух пиринговых (шифрование / дешифрование) маршрутизаторов.

  • Только два маршрутизатора могут совместно использовать сеансовый ключ Диффи-Хеллмана. То есть один маршрутизатор не может обмениваться зашифрованными пакетами с двумя одноранговыми узлами, используя один и тот же сеансовый ключ; каждая пара маршрутизаторов должна иметь сеансовый ключ, являющийся результатом обмена между ними по Диффи-Хеллману.

  • Механизм шифрования находится либо в Cisco IOS, VIP2 Cisco IOS, либо в аппаратном адаптере служб шифрования (ESA) на VIP2. Без VIP2 механизм шифрования Cisco IOS управляет политикой шифрования на всех портах.На платформах, использующих VIP2, имеется несколько механизмов шифрования: один в Cisco IOS и по одному на каждом VIP2. Механизм шифрования на VIP2 управляет шифрованием на портах, которые находятся на плате.

  • Убедитесь, что трафик настроен на поступление на интерфейс, подготовленный для его шифрования. Если трафик каким-либо образом может поступать на интерфейс, отличный от того, к которому применена криптокарта , он автоматически отбрасывается.

  • Это помогает иметь консольный (или альтернативный) доступ к обоим маршрутизаторам при обмене ключами; можно заставить пассивную сторону зависать в ожидании ключа.

  • cfb-64 более эффективен для обработки, чем cfb-8 с точки зрения загрузки ЦП.

  • На маршрутизаторе должен выполняться алгоритм, который вы хотите использовать с режимом шифр-обратной связи (CFB), который вы хотите использовать; по умолчанию для каждого изображения используется имя изображения (например, «56») с cfb-64 .

  • Рассмотрите возможность изменения тайм-аута ключа. 30-минутный интервал по умолчанию очень короткий. Попробуйте увеличить его до одного дня (1440 минут).

  • IP-трафик отбрасывается во время повторного согласования ключа каждый раз, когда срок действия ключа истекает.

  • Выберите только тот трафик, который вы действительно хотите зашифровать (это экономит циклы ЦП).

  • С маршрутизацией по запросу (DDR) сделайте ICMP интересным, иначе он никогда не будет исходить.

  • Если вы хотите зашифровать трафик, отличный от IP, используйте туннель. С туннелями примените криптокарты как к физическому, так и к туннельному интерфейсам.См. Пример 5: Шифрование IPX-трафика в IP-туннеле для получения дополнительной информации.

  • Два одноранговых маршрутизатора с шифрованием не требуют прямого подключения.

  • Маршрутизатор начального уровня может выдать сообщение «CPU hog». Это можно игнорировать, потому что это говорит вам о том, что шифрование использует много ресурсов ЦП.

  • Не размещайте маршрутизаторы с шифрованием избыточно, чтобы расшифровать и повторно зашифровать трафик и потратить ресурсы ЦП. Просто зашифруйте на двух конечных точках.См. Пример 3: Шифрование до и через маршрутизатор для получения дополнительной информации.

  • В настоящее время шифрование широковещательных и многоадресных пакетов не поддерживается. Если «безопасные» обновления маршрутизации важны для проектирования сети, следует использовать протокол со встроенной аутентификацией, такой как расширенный протокол маршрутизации внутреннего шлюза (EIGRP), сначала открытый кратчайший путь (OSPF) или протокол информации о маршрутизации версии 2 (RIPv2). ) для обеспечения целостности обновления.

Предостережения

Примечание: Все предупреждения, упомянутые ниже, были устранены.

  • Маршрутизатор Cisco 7200, использующий ESA для шифрования, не может расшифровать пакет под одним ключом сеанса, а затем повторно зашифровать его под другим ключом сеанса. См. Идентификатор ошибки Cisco CSCdj82613 (только для зарегистрированных клиентов).

  • Когда два маршрутизатора соединены зашифрованной выделенной линией и резервной линией ISDN, если выделенная линия обрывается, соединение ISDN исправно. Однако, когда выделенная линия снова возвращается в рабочее состояние, маршрутизатор, на котором был выполнен вызов ISDN, дает сбой.См. Идентификатор ошибки Cisco CSCdj00310 (только для зарегистрированных клиентов).

  • Для маршрутизаторов Cisco серии 7500 с несколькими VIP, если криптокарта применяется даже к одному интерфейсу любого VIP, произойдет сбой одного или нескольких VIP. См. Идентификатор ошибки Cisco CSCdi88459 (только для зарегистрированных клиентов).

  • Для маршрутизаторов Cisco серии 7500 с VIP2 и ESA команда show crypto card не отображает выходные данные, если пользователь не находится на консольном порту.См. Идентификатор ошибки Cisco CSCdj89070 (только для зарегистрированных клиентов).

Рабочий образец конфигураций Cisco IOS в этом документе был получен непосредственно от лабораторных маршрутизаторов. Единственным изменением, внесенным в них, было удаление несвязанных конфигураций интерфейса. Все материалы здесь взяты из свободно доступных ресурсов в Интернете или в разделе «Связанная информация» в конце этого документа.

Все примеры конфигураций в этом документе взяты из программного обеспечения Cisco IOS версии 11.3. В состав команд программного обеспечения Cisco IOS версии 11.2 внесено несколько изменений, например добавлены следующие слова:

  • dss в некоторых ключевых командах конфигурации.

  • cisco в некоторых из показывает команды и команды crypto map , чтобы различать проприетарное шифрование Cisco (как в ПО Cisco IOS версии 11.2 и более поздних) и IPSec, которое есть в ПО Cisco IOS версии 11.3 (2) T .

Примечание. IP-адреса, используемые в этих примерах конфигурации, были выбраны случайным образом в лаборатории Cisco и предназначены для использования в качестве универсальных.

Шаг 1. Создание пар ключей DSS вручную

Пару ключей DSS (открытый и закрытый ключ) необходимо вручную сгенерировать на каждом маршрутизаторе, участвующем в сеансе шифрования. Другими словами, каждый маршрутизатор должен иметь свои собственные ключи DSS, чтобы участвовать. Механизм шифрования может иметь только один ключ DSS, который однозначно его идентифицирует.Ключевое слово «dss» было добавлено в Cisco IOS Software Release 11.3, чтобы отличать DSS от ключей RSA. Вы можете указать любое имя для собственных ключей DSS маршрутизатора (хотя рекомендуется использовать имя хоста маршрутизатора). На менее мощном ЦП (таком как Cisco серии 2500) создание пары ключей занимает около 5 секунд или меньше.

Роутер генерирует пару ключей:

  • Открытый ключ (который позже отправляется маршрутизаторам, участвующим в сеансах шифрования).

  • Закрытый ключ (который не виден и не обменивается ни с кем другим; фактически, он хранится в отдельном разделе NVRAM, который нельзя просмотреть).

После того, как пара ключей DSS маршрутизатора была сгенерирована, она однозначно связывается с криптографическим механизмом в этом маршрутизаторе. Генерация пары ключей показана в приведенном ниже примере выходных данных команды.

 dial-5 (config) #  криптоключ генерирует dss dial5 
Генерация ключей DSS ....
 [OK]
 
dial-5 #  показать криптоключ mypubkey dss 
криптографический набор с открытым ключом5 05679919
 160AA490 5B9B1824 24769FCD EE5E0F46 1ABBD343 4C0C4A03 4B279D6B 0EE5F65F
 F64665D4 1036875A 8CF93691 BDF81722 064B51C9 58D72E12 3E1894B6 64B1D145
покидать
 

dial-5 #  показать конфигурацию криптографического движка 
слот: 0
название двигателя: dial5
тип двигателя: программный
серийный номер: 05679919
платформа: крипто-движок rp
версия крипто-библиотеки: 10.0,0
 
Информация о процессе шифрования:
начало очереди ввода: 43
бот очереди ввода: 43
количество входной очереди: 0
 
наберите-5 # 

Поскольку вы можете сгенерировать только одну пару ключей, которая идентифицирует маршрутизатор, вы можете перезаписать свой исходный ключ и вам потребуется повторно отправить свой открытый ключ с каждым маршрутизатором в ассоциации шифрования. Это показано в примере выходных данных команды ниже:

 StHelen (config) #  криптоключ генерирует dss barney 
% Создание новых ключей DSS потребует повторного обмена
   открытые ключи с одноранговыми узлами, у которых уже есть открытый ключ
   по имени Барни!
Сгенерировать новые ключи DSS? [да / нет]:  да 
Генерация ключей DSS....
 [OK]
 

StHelen (конфигурация) #
16 марта 12:13: 12.851: Крипто-движок 0: создать пары ключей. 

Шаг 2. Обмен открытыми ключами DSS с одноранговыми узлами вручную (внеполосный)

Создание собственной пары ключей DSS маршрутизатора является первым шагом в установлении ассоциации сеанса шифрования. Следующим шагом является обмен открытыми ключами со всеми остальными маршрутизаторами. Вы можете ввести эти открытые ключи вручную, сначала введя команду show crypto mypubkey , чтобы отобразить открытый ключ DSS маршрутизатора.Затем вы обмениваетесь этими открытыми ключами (например, по электронной почте) и с помощью команды pubkey-chain dss crypto key вырезаете и вставляете открытый ключ вашего однорангового маршрутизатора в маршрутизатор.

Вы также можете использовать команду crypto key exchange dss , чтобы маршрутизаторы обменивались открытыми ключами автоматически. Если вы используете автоматизированный метод, убедитесь, что на интерфейсах, используемых для обмена ключами, отсутствуют операторы crypto map . Здесь может быть полезен отладочный криптографический ключ .

Примечание: Перед попыткой обмена ключами рекомендуется выполнить эхо-запрос на вашем узле.

 Проигравший #  пинг 19.19.19.20 
 
Для отмены введите escape-последовательность.
Отправка 5 100-байтовых эхо-сообщений ICMP на 19.19.19.20, тайм-аут составляет 2 секунды:
!!!!!

Loser (config) #  обмен криптографическими ключами dss passive 
Введите escape-символ, чтобы прервать соединение, если соединение не установлено.
Дождитесь подключения от однорангового узла [подтвердить]
Ожидающий ....


  StHelen (config) #  обмен криптографическими ключами dss 19.19.19.19 барни 
  Открытый ключ для Барни:
  Серийный номер 05694352
  Отпечаток пальца 309E D1DE B6DA 5145 D034
               
  Подождите, пока одноранговый узел отправит ключ [подтвердить]
 

Открытый ключ для Барни:
   Серийный номер 05694352
   Отпечаток пальца 309E D1DE B6DA 5145 D034
 
Добавить этот публичный ключ в конфигурацию? [да / нет]:  да 


         16 марта 12:16: 55.343: CRYPTO-KE: отправлено 2 байта.
         16 марта 12:16: 55.343: CRYPTO-KE: отправлено 4 байта.
         16 марта 12:16: 55.343: CRYPTO-KE: отправлено 2 байта.16 марта 12:16: 55.347: CRYPTO-KE: отправлено 64 байта.


16 марта 12: 16: 45.099: CRYPTO-KE: Получено 4 байта.
16 марта 12: 16: 45.099: CRYPTO-KE: Получено 2 байта.
16 марта 12: 16: 45.103: CRYPTO-KE: Получено 6 байт.
16 марта 12: 16: 45.103: CRYPTO-KE: Получено 2 байта.
16 марта 12: 16: 45.107: CRYPTO-KE: Получено 50 байт.
16 марта 12: 16: 45.111: CRYPTO-KE: Получено 14 байт.

Отправьте партнеру ключ взамен [подтвердить]
Который из?
 
Фред? [да]:
Открытый ключ для фреда:
   Серийный номер 02802219
   Отпечаток пальца 2963 05F9 ED55 576D CF9D


         Ожидающий ....
         Открытый ключ для фреда:
           Серийный номер 02802219
         Отпечаток пальца 2963 05F9 ED55 576D CF9D
 
         Добавить этот публичный ключ в конфигурацию? [да нет]:

Проигравший (config) #
16 марта 12:16: 55.339: CRYPTO-KE: отправлено 4 байта.
16 марта 12:16: 55.343: CRYPTO-KE: отправлено 2 байта.
16 марта 12:16: 55.343: CRYPTO-KE: отправлено 4 байта.
16 марта 12:16: 55.343: CRYPTO-KE: отправлено 2 байта.
16 марта 12:16: 55.347: CRYPTO-KE: отправлено 64 байта.
Проигравший (config) #

16 марта 12: 16: 56.083: CRYPTO-KE: Получено 4 байта.
16 марта 12:16:56.Z 
StHelen # 

После обмена общедоступными ключами DSS убедитесь, что оба маршрутизатора имеют открытые ключи друг друга и совпадают, как показано в выходных данных команды ниже.

 Loser #  показать криптоключ mypubkey dss 
крипто открытый ключ fred 02802219
 79CED212 AF191D29 702A9301 B3E06602 D4FB26B3 316E58C8 05D4930C CE8
 C0064492 5F6684CD 3FC326E5 679BCA46 BB155402 D443F68D 93487F7E 5ABE182E
покидать
 
Проигравший #  показывает pubkey-chain криптографического ключа dss 
Крипто открытый ключ Барни 05694352
 B407A360 204CBFA3 F9A0C0B0 15D6185D 91FD7D3A 3232EBA2 F2D31D21 53AE24ED
 732EA43D 484DEB22 6E

C 234B4019 38E51D64 04CB9F59 EE357477 341 покидать -------- StHelen # показать криптоключ mypubkey dss Крипто открытый ключ Барни 05694352 B407A360 204CBFA3 F9A0C0B0 15D6185D 91FD7D3A 3232EBA2 F2D31D21 53AE24ED 732EA43D 484DEB22 6E

C 234B4019 38E51D64 04CB9F59 EE357477 341 покидать StHelen # показать криптоключ pubkey-chain dss крипто открытый ключ fred 02802219 79CED212 AF191D29 702A9301 B3E06602 D4FB26B3 316E58C8 05D4930C CE8 C0064492 5F6684CD 3FC326E5 679BCA46 BB155402 D443F68D 93487F7E 5ABE182E бросить

Пример 1: Конфигурация Cisco IOS для выделенного канала

После генерации ключей DSS на каждом маршрутизаторе и обмена открытыми ключами DSS к интерфейсу можно применить команду crypto map .Криптосессия начинается с генерации трафика, который соответствует списку доступа, используемому криптокартами.

 Проигравший #  пишущий терминал 
Конфигурация здания ...
 
Текущая конфигурация:
!
! Последнее изменение конфигурации в 13:01:18 UTC, понедельник, 16 марта 1998 г.
! Конфигурация NVRAM последний раз обновлялась в 13:03:02 UTC, понедельник, 16 марта 1998 г.
!
версия 11.3
сервисные отметки времени отладки datetime мсек
нет сервисного шифрования паролей
!
имя хоста Loser
!
включить секрет 5 $ 1 $ AeuFSMx7O / DhpqjLKc2VQVbeC0
!
IP подсеть-ноль
нет IP-поиска домена
криптокарта oldstyle 10
 установить пэра барни
 сопоставить адрес 133
!
криптографический ключ pubkey-chain dss
 Именованный Ключ Барни
  серийный номер 05694352
  строка ключей
   B407A360 204CBFA3 F9A0C0B0 15D6185D 91FD7D3A 3232EBA2 F2D31D21 53AE24ED
   732EA43D 484DEB22 6E

C 234B4019 38E51D64 04CB9F59 EE357477 341 покидать ! интерфейс Ethernet0 IP-адрес 40.40.40.41 255.255.255.0 нет ip mroute-cache ! интерфейс Serial0 IP-адрес 18.18.18.18 255.255.255.0 инкапсуляция ppp нет ip mroute-cache неисправность ! интерфейс Serial1 IP-адрес 19.19.19.19 255.255.255.0 инкапсуляция ppp нет ip mroute-cache тактовая частота 2400 нет включения cdp криптокарта старого стиля ! IP-шлюз по умолчанию 10.11.19.254 ip бесклассовый IP-маршрут 0.0.0.0 0.0.0.0 19.19.19.20 список доступа 133 разрешение IP 40.40.40.0 0.0.0.255 30.30.30.0 0.0.0.255 ! линия con 0 время ожидания выполнения 0 0 линия aux 0 нет exec транспорт ввод все линия vty 0 4 пароль ww авторизоваться ! конец Неудачник# -------------------------- StHelen # терминал записи Конфигурация здания... Текущая конфигурация: ! ! Последнее изменение конфигурации в 13:03:05 UTC, понедельник, 16 марта 1998 г. ! Конфигурация NVRAM последний раз обновлялась в 13:03:07 UTC, понедельник, 16 марта 1998 г. ! версия 11.3 сервисные отметки времени отладки datetime мсек нет сервисного шифрования паролей ! имя хоста StHelen ! флеш-память системы загрузки c2500-is56-l включить пароль ww ! раздел flash 2 8 8 ! нет IP-поиска домена криптокарта oldstyle 10 установить коллегу Фреда совпадение адреса 144 ! криптографический ключ pubkey-chain dss Именованный ключ Фред серийный номер 02802219 строка ключей 79CED212 AF191D29 702A9301 B3E06602 D4FB26B3 316E58C8 05D4930C CE8 C0064492 5F6684CD 3FC326E5 679BCA46 BB155402 D443F68D 93487F7E 5ABE182E покидать ! ! интерфейс Ethernet0 IP-адрес 30.30.30.31 255.255.255.0 ! интерфейс Ethernet1 нет IP-адреса неисправность ! интерфейс Serial0 нет IP-адреса инкапсуляция x25 нет ip mroute-cache неисправность ! интерфейс Serial1 IP-адрес 19.19.19.20 255.255.255.0 инкапсуляция ppp нет ip mroute-cache интервал нагрузки 30 сжать stac нет включения cdp криптокарта старого стиля ! IP-шлюз по умолчанию 10.11.19.254 ip бесклассовый IP-маршрут 0.0.0.0 0.0.0.0 19.19.19.19 список доступа 144 разрешение IP 30.30.30.0 0.0.0.255 40.40.40.0 0.0.0.255 ! линия con 0 время ожидания выполнения 0 0 линия aux 0 транспорт ввод все линия vty 0 4 пароль ww авторизоваться ! конец StHelen #

Пример 2: Конфигурация Cisco IOS для многоточечной ретрансляции кадров

Следующий пример выходных данных команды был получен с маршрутизатора HUB Router.

 Проигравший #  пишущий терминал 
Конфигурация здания ...
 
Текущая конфигурация:
!
! Последнее изменение конфигурации в 10:45:20 UTC, среда, 11 марта 1998 г.
! Конфигурация NVRAM последний раз обновлялась в 18:28:27 UTC, вторник, 10 марта 1998 г.
!
версия 11.3
сервисные отметки времени отладки datetime мсек
нет сервисного шифрования паролей
!
имя хоста Loser
!
включить секрет 5 $ 1 $ AeuFSMx7O / DhpqjLKc2VQVbeC0
!
IP подсеть-ноль
нет IP-поиска домена
!
криптокарта oldstuff 10
 установить пэра барни
 сопоставить адрес 133
криптокарта oldstuff 20
 установить равный Wilma
 совпадение адреса 144
!
криптографический ключ pubkey-chain dss
 Именованный Ключ Барни
  серийный номер 05694352
  строка ключей
   1D460DC3 BDC73312 93B7E220 1861D55C E00DA5D8 DB2B04CD FABD297C 899D40E7
   D284F07D 6EEC83B8 E3676EC2 D813F7C8 F532DC7F 0A9913E7 8A6CB7E9 BE18790D
  покидать
 Именованный ключ Wilma
  серийный номер 01496536
  строка ключей
   C26CB3DD 2A56DD50 CC2116C9 2697CE93 6DBFD824 1889F791 9BF36E70 7B29279C
   E343C56F 32266443 989B4528 1CF32C2D 9E3F2447 A5DBE054 879487F6 26A55939
  покидать
!
крипто-cisco pregen-dh-пары 5
!
таймаут ключа крипто-Cisco 1440
!
интерфейс Ethernet0
 IP-адрес 190.190.190.190 255.255.255.0
 нет ip mroute-cache
!
интерфейс Serial1
 IP-адрес 19.19.19.19 255.255.255.0
 инкапсуляция Frame Relay
 нет ip mroute-cache
 тактовая частота 500000
 криптокарта oldstuff
!
!
IP-шлюз по умолчанию 10.11.19.254
ip бесклассовый
IP-маршрут 200.200.200.0 255.255.255.0 19.19.19.20
IP-маршрут 210.210.210.0 255.255.255.0 19.19.19.21
список доступа 133 разрешение IP 190.190.190.0 0.0.0.255 200.200.200.0 0.0.0.255
список доступа 144 разрешение IP 190.190.190.0 0.0.0.255 210.210.210.0 0.0.0.255
!
линия con 0
 время ожидания выполнения 0 0
линия aux 0
 нет exec
 транспорт ввод все
линия vty 0 4
 пароль ww
 авторизоваться
!
конец
 
Неудачник №

Следующий пример выходных данных команды был взят с удаленного сайта A.

 WAN-2511a #  терминал записи 
Конфигурация здания ...
 
Текущая конфигурация:
!
версия 11.3
нет сервисного шифрования паролей
!
имя хоста WAN-2511a
!
включить пароль ww
!
нет IP-поиска домена
!
криптокарта mymap 10
 установить коллегу Фреда
 сопоставить адрес 133
!
криптографический ключ pubkey-chain dss
 Именованный ключ Фред
  серийный номер 02802219
  строка ключей
   56841777 4F27A574 5005E0F0 CF3C33F5 C6AAD000 5518A8FF 7422C592 021B295D
   D95AAB73 01235FD8 40D70284 3A63A38E 216582E8 EC1F8B0D 0256EFF5 0EE89436
  покидать
!
интерфейс Ethernet0
 IP-адрес 210.210.210.210 255.255.255.0
 неисправность
!
интерфейс Serial0
 IP-адрес 19.19.19.21 255.255.255.0
 инкапсуляция Frame Relay
 нет очереди
 криптокарта mymap
!
IP-шлюз по умолчанию 10.11.19.254
ip бесклассовый
IP-маршрут 190.190.190.0 255.255.255.0 19.19.19.19
список доступа 133 разрешение ip 210.210.210.0 0.0.0.255 190.190.190.0 0.0.0.255
!
линия con 0
 время ожидания выполнения 0 0
строка 1
 нет exec
 транспорт ввод все
строка 2 16
 нет exec
линия aux 0
линия vty 0 4
 пароль ww
 авторизоваться
!
конец
 
WAN-2511a # 

Следующий пример выходных данных команды был взят с удаленного сайта B.

 StHelen #  терминал записи 
Конфигурация здания ...
 
Текущая конфигурация:
!
! Последнее изменение конфигурации в 19:00:34 UTC, вторник, 10 марта 1998 г.
! Конфигурация NVRAM последний раз обновлялась в 18:48:39 UTC, вторник, 10 марта 1998 г.
!
версия 11.3
сервисные отметки времени отладки datetime мсек
нет сервисного шифрования паролей
!
имя хоста StHelen
!
флеш-память системы загрузки c2500-is56-l
включить пароль ww
!
раздел flash 2 8 8
!
нет IP-поиска домена
!
криптокарта wabba 10
 установить коллегу Фреда
 совпадение адреса 144
!
криптографический ключ pubkey-chain dss
 Именованный ключ Фред
  серийный номер 02802219
  строка ключей
   56841777 4F27A574 5005E0F0 CF3C33F5 C6AAD000 5518A8FF 7422C592 021B295D
   D95AAB73 01235FD8 40D70284 3A63A38E 216582E8 EC1F8B0D 0256EFF5 0EE89436
  покидать
!
интерфейс Ethernet0
 IP-адрес 200.200.200.200 255.255.255.0
!
интерфейс Serial1
 IP-адрес 19.19.19.20 255.255.255.0
 инкапсуляция Frame Relay
 нет ip mroute-cache
 криптокарта wabba
!
IP-шлюз по умолчанию 10.11.19.254
ip бесклассовый
IP-маршрут 190.190.190.0 255.255.255.0 19.19.19.19
список доступа 144 разрешение IP 200.200.200.0 0.0.0.255 190.190.190.0 0.0.0.255
!
линия con 0
 время ожидания выполнения 0 0
линия aux 0
 транспорт ввод все
линия vty 0 4
 пароль ww
 авторизоваться
!
конец
 
StHelen # 

Следующий пример выходных данных команды был взят из коммутатора Frame Relay.

 Текущая конфигурация:
!
версия 11.2
нет сервисного шифрования паролей
нет службы udp-small-servers
нет службы tcp-small-servers
!
имя хоста wan-4700a
!
включить пароль ww
!
нет IP-поиска домена
коммутация Frame Relay
!
интерфейс Serial0
 нет IP-адреса
 инкапсуляция Frame Relay
 тактовая частота 500000
 dce типа intf frame-relay
 frame-relay route 200, интерфейс Serial1 100
!
интерфейс Serial1
 нет IP-адреса
 инкапсуляция Frame Relay
 dce типа intf frame-relay
 frame-relay route 100 интерфейс Serial0 200
 frame-relay route 300, интерфейс Serial2 200
!
интерфейс Serial2
 нет IP-адреса
 инкапсуляция Frame Relay
 тактовая частота 500000
 dce типа intf frame-relay
 frame-relay route 200, интерфейс Serial1 300
! 

Пример 3: Шифрование до и через маршрутизатор

Одноранговые маршрутизаторы не обязательно должны находиться на расстоянии одного перехода.Вы можете создать пиринговый сеанс с удаленным маршрутизатором. В следующем примере цель состоит в том, чтобы зашифровать весь сетевой трафик между 180.180.180.0/24 и 40.40.40.0/24 и между 180.180.180.0/24 и 30.30.30.0/24. Нет никаких проблем с шифрованием трафика между 40.40.40.0/24 и 30.30.30.0/24.

Маршрутизатор wan-4500b имеет ассоциацию сеанса шифрования с Loser, а также с StHelen. Шифрование трафика из сегмента Ethernet wan-4500b в сегмент Ethernet StHelen позволяет избежать ненужного этапа дешифрования в Loser.Проигравший просто передает зашифрованный трафик на последовательный интерфейс StHelen, где он расшифровывается. Это уменьшает задержку трафика для IP-пакетов и циклов ЦП на маршрутизаторе Loser. Что еще более важно, это значительно увеличивает безопасность системы, поскольку перехватчик в Loser не может прочитать трафик. Если бы Loser расшифровывал трафик, была бы вероятность, что расшифрованные данные могут быть перенаправлены.

 [wan-4500b]  - ---  [Loser]  - ----  [StHelen]
             | | |
             | | |
           ----- ------- -------
          180.180.180 / 24 40.40.40 / 24 30.30.30 / 24 
 wan-4500b #  терминал записи 
Конфигурация здания ...
 
Текущая конфигурация:
!
версия 11.3
нет сервисного шифрования паролей
!
имя хоста wan-4500b
!
включить пароль 7 111E0E
!
имя пользователя cse пароль 0 ww
нет IP-поиска домена
!
криптокарта для мира 10
 установить равный проигравший
 сопоставить адрес 133
криптокарта для мира 20
 набор сверстников sthelen
 совпадение адреса 144
!
криптографический ключ pubkey-chain dss
 именованный неудачник
  серийный номер 02802219
  строка ключей
   F0BE2128 752D1A24 F394B355 3216BA9B 7C4E8677 29C176F9 A047B7D9 7D03BDA4
   6B7AFDC2 2DAEF3AB 393EE7C7 802C1A95 B40031D1 4F9 8A33A352 FF19BC24
  покидать
 named-key sthelen
  серийный номер 05694352
  строка ключей
   5C401002 404DC5A9 EAED2360 D7007E51 4A4BB8F8 6F9B1554 51D8ACBB D3964C10
   A23848CA 46003A94 2FC8C7D6 0B57AE07 9EB5EF3A BD71482B 052CF06B 90C3C618
  покидать
 !
интерфейс Ethernet0
 IP-адрес 180.180.180.180 255.255.255.0
!
интерфейс Serial0
 IP-адрес 18.18.18.19 255.255.255.0
 инкапсуляция ppp
 криптокарта мира
!
роутер
 сеть 18.0.0.0
 сеть 180.180.0.0
!
ip бесклассовый
IP-маршрут 0.0.0.0 0.0.0.0 30.30.30.31
IP-маршрут 171.68.118.0 255.255.255.0 10.11.19.254
список доступа 133 разрешение ip 180.180.180.0 0.0.0.255 40.40.40.0 0.0.0.255
список доступа 144 разрешение IP 180.180.180.0 0.0.0.255 30.30.30.0 0.0.0.255
!
линия con 0
 время ожидания выполнения 0 0
линия aux 0
 пароль 7 044C1C
линия vty 0 4
 войти в систему
!
конец
 
wan-4500b #

--------------------

Проигравший #  запись терминала 
Конфигурация здания...
 
Текущая конфигурация:
!
! Последнее изменение конфигурации в 11:01:54 UTC, среда, 18 марта 1998 г.
! Конфигурация NVRAM последний раз обновлялась в 11:09:59 UTC, среда, 18 марта 1998 г.
!
версия 11.3
сервисные отметки времени отладки datetime мсек
нет сервисного шифрования паролей
!
имя хоста Loser
!
включить секрет 5 $ 1 $ AeuFSMx7O / DhpqjLKc2VQVbeC0
!
IP подсеть-ноль
нет IP-поиска домена
ip-хост StHelen.cisco.com 19.19.19.20
ip доменное имя cisco.com
!
криптокарта до 10
 установить одноранговую ванну
 сопоставить адрес 133
!
криптографический ключ pubkey-chain dss
 именованный ключ wan
  серийный номер 07365004
  строка ключей
   A547B701 4312035D 2FC7D0F4 56BC304A 59FA76C3 B9762E4A F86DED86 3830E66F
   2ED5C476 CFF234D3 3842BC98 3CA4A5FB 
  • 56C 7464D2B4 AF7E6AEB 86269A5B покидать ! интерфейс Ethernet0 IP-адрес 40.40.40.40 255.255.255.0 нет ip mroute-cache ! интерфейс Serial0 IP-адрес 18.18.18.18 255.255.255.0 инкапсуляция ppp нет ip mroute-cache тактовая частота 64000 криптокарта Towan ! интерфейс Serial1 IP-адрес 19.19.19.19 255.255.255.0 инкапсуляция ppp нет ip mroute-cache приоритетная группа 1 тактовая частота 64000 ! ! роутер сеть 19.0.0.0 сеть 18.0.0.0 сеть 40.0.0.0 ! IP-шлюз по умолчанию 10.11.19.254 ip бесклассовый список доступа 133 разрешение IP 40.40.40.0 0.0.0.255 180.180.180.0 0.0.0.255 ! линия con 0 время ожидания выполнения 0 0 линия aux 0 нет exec транспорт ввод все линия vty 0 4 пароль ww авторизоваться ! конец Неудачник# ------------------------- StHelen # терминал записи Конфигурация здания... Текущая конфигурация: ! ! Последнее изменение конфигурации в 11:13:18 UTC, среда, 18 марта 1998 г. ! Конфигурация NVRAM последний раз обновлялась в 11:21:30 UTC, среда, 18 марта 1998 г. ! версия 11.3 сервисные отметки времени отладки datetime мсек нет сервисного шифрования паролей ! имя хоста StHelen ! флеш-память системы загрузки c2500-is56-l включить пароль ww ! раздел flash 2 8 8 ! нет IP-поиска домена ! криптокарта до 10 установить одноранговую ванну совпадение адреса 144 ! криптографический ключ pubkey-chain dss именованный ключ wan серийный номер 07365004 строка ключей A547B701 4312035D 2FC7D0F4 56BC304A 59FA76C3 B9762E4A F86DED86 3830E66F 2ED5C476 CFF234D3 3842BC98 3CA4A5FB
  • 56C 7464D2B4 AF7E6AEB 86269A5B покидать ! интерфейс Ethernet0 нет IP-адреса ! интерфейс Ethernet1 IP-адрес 30.30.30.30 255.255.255.0 ! интерфейс Serial1 IP-адрес 19.19.19.20 255.255.255.0 инкапсуляция ppp нет ip mroute-cache интервал нагрузки 30 криптокарта Towan ! роутер сеть 30.0.0.0 сеть 19.0.0.0 ! IP-шлюз по умолчанию 10.11.19.254 ip бесклассовый список доступа 144 разрешение IP 30.30.30.0 0.0.0.255 180.180.180.0 0.0.0.255 ! линия con 0 время ожидания выполнения 0 0 линия aux 0 транспорт ввод все линия vty 0 4 пароль ww авторизоваться ! конец StHelen # -------------------------- wan-4500b # показать алгоритмы шифрования cisco des cfb-64 40-битный файл cfb-64 wan-4500b # показать тайм-аут ключа шифрования cisco Ключи сеанса будут обновляться каждые 30 минут. wan-4500b # показать криптовалюту cisco pregen-dh-pair Количество предварительно сгенерированных пар DH: 0 wan-4500b # показать активные соединения криптографического движка ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка 1 Серийный0 18.18.18.19 набор DES_56_CFB64 1683 1682 5 Serial0 18.18.18.19 установить DES_56_CFB64 1693 1693 wan-4500b # показать сброшенный пакет подключений к крипто-движку Количество отброшенных IP-адресов интерфейса Серийный0 18.18.18.19 52 wan-4500b # показать конфигурацию механизма шифрования слот: 0 название двигателя: wan тип двигателя: программный серийный номер: 07365004 платформа: крипто-движок rp версия крипто-библиотеки: 10.0,0 Информация о процессе шифрования: начало очереди ввода: 303 бот очереди ввода: 303 количество входной очереди: 0 wan-4500b # показать криптоключ mypubkey dss крипто открытый ключ WAN 07365004 A547B701 4312035D 2FC7D0F4 56BC304A 59FA76C3 B9762E4A F86DED86 3830E66F 2ED5C476 CFF234D3 3842BC98 3CA4A5FB
  • 56C 7464D2B4 AF7E6AEB 86269A5B покидать wan-4500b # показать цепочку ключей pubkey dss Крипто-неудачник открытого ключа 02802219 F0BE2128 752D1A24 F394B355 3216BA9B 7C4E8677 29C176F9 A047B7D9 7D03BDA4 6B7AFDC2 2DAEF3AB 393EE7C7 802C1A95 B40031D1 4F9 8A33A352 FF19BC24 покидать крипто открытый ключ sthelen 05694352 5C401002 404DC5A9 EAED2360 D7007E51 4A4BB8F8 6F9B1554 51D8ACBB D3964C10 A23848CA 46003A94 2FC8C7D6 0B57AE07 9EB5EF3A BD71482B 052CF06B 90C3C618 покидать wan-4500b # показать серийный номер интерфейса 1 интерфейса криптокарты Криптокарты не найдены.wan-4500b # показать криптокарту Криптокарта "Toworld" 10 cisco Идентификатор подключения = 1 (1 установлено, 0 не удалось) Peer = проигравший ПЭ = 180,180,180,0 UPE = 40,40,40,0 Расширенный список доступа по IP 133 список доступа 133 разрешение IP источник: addr = 180.180.180.0/0.0.0.255 dest: addr = 40.40.40.0/0.0.0.255 Криптокарта "Toworld" 20 cisco Идентификатор подключения = 5 (1 установлено, 0 не удалось) Peer = sthelen ПЭ = 180.180.180.0 UPE = 30.30.30.0 Расширенный список доступа IP 144 список доступа 144 разрешение IP источник: addr = 180.180.180.0/0.0.0.255 dest: addr = 30.30.30.0/0.0.0.255 wan-4500b # -------------------------- Проигравший # показать алгоритмы шифрования cisco des cfb-64 des cfb-8 40-битный файл cfb-64 40-битный код cfb-8 Проигравший # показывает тайм-аут ключа крипто-cisco Ключи сеанса будут обновляться каждые 30 минут. Проигравший # показать криптовалюту cisco pregen-dh-pair Количество предварительно сгенерированных пар DH: 10 Проигравший № показывает активные соединения криптографического движка ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка 61 Серийный0 18.18.18.18 набор DES_56_CFB64 1683 1682 Проигравший # показывает сброшенный пакет подключений к крипто-движку Количество отброшенных IP-адресов интерфейса Серийный0 18.18.18.18 1 Серийный1 19.19.19.19 90 Проигравший # показать конфигурацию криптодвигателя слот: 0 название двигателя: неудачник тип двигателя: программный серийный номер: 02802219 платформа: крипто-движок rp версия крипто-библиотеки: 10.0.0 Информация о процессе шифрования: начало очереди ввода: 235 входной очереди бота: 235 количество входной очереди: 0 Проигравший # показывает криптоключ mypubkey dss Крипто-неудачник открытого ключа 02802219 F0BE2128 752D1A24 F394B355 3216BA9B 7C4E8677 29C176F9 A047B7D9 7D03BDA4 6B7AFDC2 2DAEF3AB 393EE7C7 802C1A95 B40031D1 4F9 8A33A352 FF19BC24 покидать Проигравший # показывает pubkey-chain криптографического ключа dss крипто открытый ключ WAN 07365004 A547B701 4312035D 2FC7D0F4 56BC304A 59FA76C3 B9762E4A F86DED86 3830E66F 2ED5C476 CFF234D3 3842BC98 3CA4A5FB
  • 56C 7464D2B4 AF7E6AEB 86269A5B покидать Проигравший # показать интерфейс криптокарты серийный 1 Криптокарты не найдены.Проигравший # показать криптокарту Криптокарта "Towan" 10 cisco Идентификатор подключения = 61 (0 установлено, 0 не удалось) Peer = wan ПЭ = 40,40,40,0 UPE = 180.180.180.0 Расширенный список доступа по IP 133 список доступа 133 разрешение IP источник: addr = 40.40.40.0/0.0.0.255 dest: addr = 180.180.180.0/0.0.0.255 Неудачник# ----------------------------------------- StHelen # показать алгоритмы шифрования cisco des cfb-64 StHelen # показать таймаут ключа криптографии cisco Ключи сеанса будут обновляться каждые 30 минут. StHelen # показать крипто-cisco pregen-dh-пары Количество предварительно сгенерированных пар DH: 10 StHelen # показать активные соединения криптографического движка ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка 58 Серийный номер 1 19.19.19.20 набор DES_56_CFB64 1694 1693 StHelen # показывает сброшенный пакет подключений к крипто-ядру Количество отброшенных IP-адресов интерфейса Ethernet 0 0.0.0.0 1 Серийный1 19.19.19.20 80 StHelen # показать конфигурацию криптодвигателя слот: 0 название двигателя: sthelen тип двигателя: программный серийный номер: 05694352 платформа: крипто-движок rp версия крипто-библиотеки: 10.0.0 Информация о процессе шифрования: начало очереди ввода: 220 бот очереди ввода: 220 количество входной очереди: 0 StHelen # показать криптоключ mypubkey dss крипто открытый ключ sthelen 05694352 5C401002 404DC5A9 EAED2360 D7007E51 4A4BB8F8 6F9B1554 51D8ACBB D3964C10 A23848CA 46003A94 2FC8C7D6 0B57AE07 9EB5EF3A BD71482B 052CF06B 90C3C618 покидать StHelen # показать криптоключ pubkey-chain dss крипто открытый ключ WAN 07365004 A547B701 4312035D 2FC7D0F4 56BC304A 59FA76C3 B9762E4A F86DED86 3830E66F 2ED5C476 CFF234D3 3842BC98 3CA4A5FB
  • 56C 7464D2B4 AF7E6AEB 86269A5B покидать StHelen # показать серийный номер интерфейса 1 интерфейса криптокарты Криптокарта "Towan" 10 cisco Идентификатор подключения = 58 (1 установлено, 0 не удалось) Peer = wan ПЭ = 30.30.30.0 UPE = 180.180.180.0 Расширенный список доступа IP 144 список доступа 144 разрешение IP источник: addr = 30.30.30.0/0.0.0.255 dest: addr = 180.180.180.0/0.0.0.255 StHelen # показать криптокарту Криптокарта "Towan" 10 cisco Идентификатор подключения = 58 (1 установлено, 0 не удалось) Peer = wan PE = 30.30.30.0 UPE = 180.180.180.0 Расширенный список доступа IP 144 список доступа 144 разрешение IP источник: addr = 30.30.30.0 / 0.0.0.255 dest: addr = 180.180.180.0/0.0.0.255 StHelen #
  • Пример 4: Крипто с DDR

    Поскольку Cisco IOS полагается на ICMP для установления сеансов шифрования, трафик ICMP должен классифицироваться как «интересный» в списке номеронабирателя при выполнении шифрования по каналу DDR.

    Примечание. Сжатие работает в программном обеспечении Cisco IOS версии 11.3, но не очень удобно для зашифрованных данных. Поскольку зашифрованные данные выглядят довольно случайно, сжатие только замедляет работу.Но вы можете оставить эту функцию включенной для незашифрованного трафика.

    В некоторых ситуациях может потребоваться резервное копирование по телефонной линии на тот же маршрутизатор. Например, это usefuel, когда пользователи хотят защитить себя от отказа определенного канала в своих сетях WAN. Если два интерфейса идут к одному партнеру, на обоих интерфейсах может использоваться одна и та же криптокарта. Для правильной работы этой функции необходимо использовать интерфейс резервного копирования. Если в резервной схеме номер маршрутизатора установлен в другой блок, должны быть созданы другие криптокарты и соответствующие узлы настроены.Опять же, следует использовать команду интерфейса резервного копирования .

     dial-5 #  запись терминала 
    Конфигурация здания ...
     
    Текущая конфигурация:
    !
    версия 11.3
    нет сервисного шифрования паролей
    сервис udp-small-servers
    обслуживание tcp-small-серверов
    !
    имя хоста dial-5
    !
    загрузочная система c1600-sy56-l 171.68.118.83
    включить секрет 5 $ 1 $ oNe1wDbhBdcN6x9Y5gfuMjqh20
    !
    имя пользователя dial-6 пароль 0 cisco
    ISDN типа переключателя basic-ni1
    !
    криптокарта циферблат 6 10
     установить одноранговый набор 6
     сопоставить адрес 133
    !
    криптографический ключ pubkey-chain dss
     именованный набор клавиш6
      серийный номер 05679987
      строка ключей
       753F71AB E5305AD4 3FCDFB6D 47AA2BB5 656BFCAA 53DBE37F 07465189 06E91A82
       2BC 13DC4AA8 7EC5B48C D276E5FE 0D093014 6D3061C5 03158820 B609CA7C
      покидать
    !
    интерфейс Ethernet0
     IP-адрес 20.20.20.20 255.255.255.0
    !
    интерфейс BRI0
     IP-адрес 10.10.10.11 255.255.255.0
     инкапсуляция ppp
     нет ip mroute-cache
     интервал нагрузки 30
     таймаут простоя номеронабирателя 9000
     карта номеронабирателя ip 10.10.10.10 имя dial-6 4724118
     номеронабиратель удерживает очередь 40
     номеронабиратель-группа 1
     isdn spid1 919472417100 4724171
     isdn spid2 919472417201 4724172
     сжать stac
     глава аутентификации ppp
     PPP многоканальный
     криптокарта dial6
    !
    ip бесклассовый
    IP-маршрут 40.40.40.0 255.255.255.0 10.10.10.10
    список доступа 133 разрешение IP 20.20.20.0 0.0.0.255 40.40.40.0 0.0.0.255
    список дозвона 1 разрешение IP протокола
    !
    линия con 0
     время ожидания выполнения 0 0
    линия vty 0 4
     пароль ww
     авторизоваться
    !
    конец
     
    набрать-5 #
    
    -----------------------
    
    наберите-6 #  запись терминала 
    Конфигурация здания ...
     
    Текущая конфигурация:
    !
    версия 11.3
    нет сервисного шифрования паролей
    сервис udp-small-servers
    обслуживание tcp-small-серверов
    !
    имя хоста dial-6
    !
    загрузочная система c1600-sy56-l 171.68.118.83
    включить секрет 5 $ 1 $ VdPYuA / BIVeEm9UAFEm.PPJFc.
    !
    имя пользователя dial-5 пароль 0 cisco
    нет IP-поиска домена
    ISDN типа переключателя basic-ni1
    !
     криптокарта dial5 10
     установить peer dial5
     совпадение адреса 144
    !
    криптографический ключ pubkey-chain dss
     именованный набор клавиш5
      серийный номер 05679919
      строка ключей
       160AA490 5B9B1824 24769FCD EE5E0F46 1ABBD343 4C0C4A03 4B279D6B 0EE5F65F
       F64665D4 1036875A 8CF93691 BDF81722 064B51C9 58D72E12 3E1894B6 64B1D145
      покидать
     !
    !
    интерфейс Ethernet0
     IP-адрес 40.40.40.40 255.255.255.0
    !
    интерфейс BRI0
     IP-адрес 10.10.10.10 255.255.255.0
     инкапсуляция ppp
     нет ip mroute-cache
     таймаут простоя номеронабирателя 9000
     карта номеронабирателя ip 10.10.10.11 имя dial-5 4724171
     номеронабиратель удерживает очередь 40
     номеронабиратель load-threshold 5 исходящий
     номеронабиратель-группа 1
     isdn spid1 919472411800 4724118
     isdn spid2 919472411901 4724119
     сжать stac
     глава аутентификации ppp
     PPP многоканальный
     криптокарта dial5
    !
    ip бесклассовый
    IP-маршрут 20.20.20.0 255.255.255.0 10.10.10.11
    список доступа 144 разрешение IP 40.40.40.0 0.0.0.255 20.20.20.0 0.0.0.255
    список дозвона 1 разрешение IP протокола
    !
    линия con 0
     время ожидания выполнения 0 0
    линия vty 0 4
     пароль ww
     авторизоваться
    !
    конец
     
    наберите-6 # 

    Пример 5: Шифрование IPX-трафика в IP-туннеле

    В этом примере трафик IPX в IP-туннеле зашифрован.

    Примечание: Только трафик в этом туннеле (IPX) зашифрован. Весь остальной IP-трафик остается в покое.

     WAN-2511a #  терминал записи 
    Конфигурация здания...
     
    Текущая конфигурация:
    !
    версия 11.2
    нет сервисного шифрования паролей
    нет службы udp-small-servers
    нет службы tcp-small-servers
    !
    имя хоста WAN-2511a
    !
    включить пароль ww
    !
    нет IP-поиска домена
    маршрутизация ipx 0000.0c34.aa6a
    !
    крипто открытый ключ wan2516 01698232
     B1C127B0 78D79CAA 67ECAD80 03D354B1 9012C80E 0C1266BE 25AEDE60 37A192A2
     B066D299 77174D48 7FBAB5FC 2B60893A 37E5CB7B 62F6D902 9495733B 98046962
     покидать
    !
    криптокарта wan2516 10
     установить одноранговый wan2516
     сопоставить адрес 133
    !
    !
    интерфейс Loopback1
     IP-адрес 50.50.50.50 255.255.255.0
    !
    интерфейс Tunnel1
     нет IP-адреса
     сеть IPX 100
     туннельный источник 50.50.50.50
     пункт назначения туннеля 60.60.60.60
     криптокарта wan2516
    !
    интерфейс Ethernet0
     IP-адрес 40.40.40.40 255.255.255.0
     сеть IPX 600
    !
    интерфейс Serial0
     IP-адрес 20.20.20.21 255.255.255.0
     инкапсуляция ppp
     нет ip mroute-cache
     криптокарта wan2516
    !
    интерфейс Serial1
     нет IP-адреса
     неисправность
    !
    IP-шлюз по умолчанию 10.11.19.254
    ip бесклассовый
    IP-маршрут 0.0.0.0 0.0.0.0 20.20.20.20
    список доступа 133 разрешить IP-хост 50.50.50.50 хост 60.60.60.60
    !
    линия con 0
     время ожидания выполнения 0 0
     пароль ww
     авторизоваться
    строка 1 16
    линия aux 0
     пароль ww
     авторизоваться
    линия vty 0 4
     пароль ww
     авторизоваться
    !
    конец
     
    WAN-2511a #
    
    ------------------------
    
    WAN-2516a #  терминал записи 
    Конфигурация здания ...
     
    Текущая конфигурация:
    !
    версия 11.2
    нет сервисной панели
    нет сервисного шифрования паролей
    сервис udp-small-servers
    обслуживание tcp-small-серверов
    !
    имя хоста WAN-2516a
    !
    включить пароль ww
    !
    нет IP-поиска домена
    маршрутизация ipx 0000.0c3b.cc1e
    !
    крипто открытый ключ wan2511 01496536
     C8EA7C21 DF3E48F5 C6C069DB 3A5E1B08 8B830AD4 4F1DABCE D62F5F46 ED08C81D
     5646DC78 DDC77EFC 823F302A F112AF97 668E39A1 E2FCDC05 545E0529 9B3C9553
     покидать
    !
    криптокарта wan2511 10
     установить одноранговый wan2511
     совпадение адреса 144
    !
    !
    концентратор эфир 0 1
     ссылка-тест
     автополярность
    !
    ! <другие интерфейсы концентратора отключены>
    !
    концентратор эфир 0 14
     ссылка-тест
     автополярность
    !
    интерфейс Loopback1
     IP-адрес 60.60.60.60 255.255.255.0
    !
    интерфейс Tunnel1
     нет IP-адреса
     сеть IPX 100
     туннельный источник 60.60.60.60
     пункт назначения туннеля 50.50.50.50
     криптокарта wan2511
    !
    интерфейс Ethernet0
     IP-адрес 30.30.30.30 255.255.255.0
     сеть IPX 400
    !
    интерфейс Serial0
     IP-адрес 20.20.20.20 255.255.255.0
     инкапсуляция ppp
     тактовая частота 2000000
     криптокарта wan2511
    !
    интерфейс Serial1
     нет IP-адреса
     неисправность
    !
    интерфейс BRI0
     нет IP-адреса
     неисправность
    !
    IP-шлюз по умолчанию 20.20.20.21
    ip бесклассовый
    ip route 0.0.0.0 0.0.0,0 20.20.20.21
    список доступа 144 разрешить IP-хост 60.60.60.60 хост 50.50.50.50
    список доступа 188 разрешить gre любой любой
    !
    линия con 0
     время ожидания выполнения 0 0
     пароль ww
     авторизоваться
    линия aux 0
     пароль ww
     авторизоваться
     модем InOut
     транспорт ввод все
     аппаратное обеспечение управления потоком
    линия vty 0 4
     пароль ww
     авторизоваться
    !
    конец
     
    WAN-2516a #
    -----------------------
    
    WAN-2511a #  показать маршрут ipx 
    Коды: C - подключенная первичная сеть, c - подключенная вторичная сеть.
           S - статический, F - плавающий статический, L - локальный (внутренний), W - IPXWAN
           R - RIP, E - EIGRP, N - NLSP, X - Внешний, A - Совокупный
           s - секунды, u - использует
     
    3 Всего маршрутов IPX.Допускается до 1 параллельного пути и 16 переходов.
     
    Маршрут по умолчанию не известен.
     
    С 100 (ТОННЕЛЬНЫЙ), Вт1
    С 600 (НОВЕЛЛ-ЭФИР), Et0
    400 рэнд [151/01] через 100.0000.0c3b.cc1e, 24s, Tu1
    
    
    WAN-2511a #  показать активные соединения с криптовалютой 
    ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
     1 Serial0 20.20.20.21 набор DES_56_CFB64 207207
     
    
    WAN-2511a #  пинг 400.0000.0c3b.cc1e 
    Перевод "400.0000.0c3b.cc1e "
     
    Для отмены введите escape-последовательность.
    Отправка 5 100-байтовых эхо-сообщений IPX cisco на 400.0000.0c3b.cc1e, время ожидания составляет 2 секунды:
    !!!!!
    Уровень успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда и обратно = 32/35/48 мс.
    
    
    WAN-2511a #  показать активные соединения с криптовалютой 
    ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
     1 Serial0 20.20.20.21 набор DES_56_CFB64 212 212
     
    
    WAN-2511a #  пинг 30.30.30.30 
     
    Для отмены введите escape-последовательность.Отправка 5 100-байтовых эхо-сообщений ICMP на 30.30.30.30, тайм-аут составляет 2 секунды:
    !!!!!
    Показатель успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда-обратно = 4/5/8 мс
    
    
    WAN-2511a #  показать активные соединения с криптовалютой 
    
    ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
     1 Serial0 20.20.20.21 набор DES_56_CFB64 212 212
     
    WAN-2511a # 

    Пример 6: Шифрование туннелей L2F

    В этом примере выполняется попытка шифрования трафика L2F только для пользователей, набирающих номер.Здесь «[email protected]» вызывает локальный сервер доступа к сети (NAS) с именем «DEMO2» в своем городе и туннелируется на компакт-диск домашнего шлюза. Весь трафик DEMO2 (вместе с трафиком других вызывающих L2F) зашифрован. Поскольку L2F использует порт UDP 1701, именно так строится список доступа, определяющий, какой трафик зашифрован.

    Примечание: Если ассоциация шифрования еще не настроена, то есть вызывающий является первым человеком, который звонит и создает туннель L2F, вызывающий может быть сброшен из-за задержки в настройке ассоциации шифрования.Этого может не произойти на маршрутизаторах с достаточно мощным процессором. Кроме того, вы можете увеличить время ожидания ключа до , чтобы установка и отключение шифрования происходили только в непиковые часы.

    Следующий пример выходных данных команды был получен с удаленного NAS.

     DEMO2 #  терминал записи 
    Конфигурация здания ...
     
    Текущая конфигурация:
    !
    версия 11.2
    нет сервисного шифрования паролей
    нет службы udp-small-servers
    нет службы tcp-small-servers
    !
    имя хоста DEMO2
    !
    включить пароль ww
    !
    имя пользователя NAS1 пароль 0 СЕКРЕТНО
    имя пользователя Пароль HomeGateway 0 СЕКРЕТНО
    нет IP-поиска домена
    vpdn включить
    vpdn исходящий cisco.com NAS1 ip 20.20.20.20
    !
    крипто открытый ключ wan2516 01698232
     B1C127B0 78D79CAA 67ECAD80 03D354B1 9012C80E 0C1266BE 25AEDE60 37A192A2
     B066D299 77174D48 7FBAB5FC 2B60893A 37E5CB7B 62F6D902 9495733B 98046962
     покидать
    !
    криптокарта vpdn 10
     установить одноранговый wan2516
     сопоставить адрес 133
    !
    таймаут криптографического ключа 1440
    !
    интерфейс Ethernet0
     IP-адрес 40.40.40.40 255.255.255.0
    !
    интерфейс Serial0
     IP-адрес 20.20.20.21 255.255.255.0
     инкапсуляция ppp
     нет ip mroute-cache
     криптокарта vpdn
    !
    интерфейс Serial1
     нет IP-адреса
     неисправность
    !
    интерфейс Group-Async1
     нет IP-адреса
     инкапсуляция ppp
     выделенный асинхронный режим
     нет однорангового IP-адреса по умолчанию
     нет включения cdp
     ppp аутентификация парень pap
     группа-диапазон 1 16
    !
    IP-шлюз по умолчанию 10.19.11.254
    ip бесклассовый
    IP-маршрут 0.0.0.0 0.0.0.0 20.20.20.20
    список доступа 133 разрешить хост udp 20.20.20.21 eq 1701
     хост 20.20.20.20 экв 1701
    !
    !
    линия con 0
     время ожидания выполнения 0 0
     пароль ww
     авторизоваться
    строка 1 16
     модем InOut
     транспорт ввод все
     скорость 115200
     аппаратное обеспечение управления потоком
    линия aux 0
     войти в систему
     модем InOut
     транспорт ввод все
     аппаратное обеспечение управления потоком
    линия vty 0 4
     пароль ww
     авторизоваться
    !
    конец
     
    DEMO2 # 

    Следующий пример выходных данных команды был взят с домашнего шлюза.

     CD #  терминал записи 
    Конфигурация здания...
     
    Текущая конфигурация:
    !
    версия 11.2
    нет сервисной панели
    нет сервисного шифрования паролей
    сервис udp-small-servers
    обслуживание tcp-small-серверов
    !
    имя хоста CD
    !
    включить пароль ww
    !
    имя пользователя NAS1 пароль 0 СЕКРЕТНО
    имя пользователя Пароль HomeGateway 0 СЕКРЕТНО
    имя пользователя [email protected] пароль 0 cisco
    нет IP-поиска домена
    vpdn включить
    vpdn входящий NAS1 виртуальный шаблон HomeGateway 1
    !
    крипто открытый ключ wan2511 01496536
     C8EA7C21 DF3E48F5 C6C069DB 3A5E1B08 8B830AD4 4F1DABCE D62F5F46 ED08C81D
     5646DC78 DDC77EFC 823F302A F112AF97 668E39A1 E2FCDC05 545E0529 9B3C9553
     покидать
    !
    таймаут криптографического ключа 1440
    !
    криптокарта vpdn 10
     установить одноранговый wan2511
     совпадение адреса 144
    !
    !
    концентратор эфир 0 1
     ссылка-тест
     автополярность
    !
    интерфейс Loopback0
     IP-адрес 70.70.70.1 255.255.255.0
    !
    интерфейс Ethernet0
     IP-адрес 30.30.30.30 255.255.255.0
    !
    интерфейс Virtual-Template1
     ip ненумерованный Loopback0
     нет ip mroute-cache
     одноранговый пул IP-адресов по умолчанию по умолчанию
     глава аутентификации ppp
    !
    интерфейс Serial0
     IP-адрес 20.20.20.20 255.255.255.0
     инкапсуляция ppp
     тактовая частота 2000000
     криптокарта vpdn
    !
    интерфейс Serial1
     нет IP-адреса
     неисправность
    !
    интерфейс BRI0
     нет IP-адреса
     неисправность
    !
    IP локальный пул по умолчанию 70.70.70.2 70.70.70.77
    IP-шлюз по умолчанию 20.20.20.21
    ip бесклассовый
    IP-маршрут 0.0.0.0 0.0.0.0 20.20.20.21
    список доступа 144 разрешить хост udp 20.20.20.20 eq 1701 host 20.20.20.21 eq 1701
    !
    линия con 0
     время ожидания выполнения 0 0
     пароль ww
     авторизоваться
    линия aux 0
     пароль ww
     авторизоваться
     модем InOut
     транспорт ввод все
     аппаратное обеспечение управления потоком
    линия vty 0 4
     пароль ww
     авторизоваться
    !
    конец 

    Поиск и устранение неисправностей

    Обычно лучше начинать каждый сеанс устранения неполадок со сбора информации с помощью следующих команд show . Звездочка (*) указывает на особенно полезную команду.См. Также раздел «Устранение неполадок IP-безопасности — понимание и использование команд отладки» для получения дополнительной информации.

    Некоторые команды show поддерживаются средством интерпретации выходных данных (только для зарегистрированных клиентов), которое позволяет просматривать анализ выходных данных команды show .

    Примечание: Перед вводом команд отладки см. Раздел Важная информация о командах отладки.

    Команды
    показать алгоритмы шифрования cisco показать таймаут криптографического ключа Cisco
    показать пары криптографии cisco pregen-dh * показать активные соединения криптографического движка
    показать отброшенный пакет подключений к криптосистеме показать конфигурацию криптовалюты
    показать криптоключ mypubkey dss * показать криптоключ pubkey-chain dss
    показать серийный номер интерфейса криптокарты 1 * показать криптокарту
    отладка криптодвигателя * отладка криптографической сессии
    ключ отладки cry чистое криптосоединение
    криптографическое обнуление без открытого криптографического ключа
    • показать алгоритмы шифрования cisco

      — необходимо включить все алгоритмы стандарта шифрования данных (DES), которые используются для связи с любым другим одноранговым маршрутизатором шифрования.Если вы не включите алгоритм DES, вы не сможете использовать этот алгоритм, даже если попытаетесь назначить алгоритм криптокарте позже.

      Если ваш маршрутизатор пытается установить зашифрованный сеанс связи с одноранговым маршрутизатором, а на обоих маршрутизаторах не включен один и тот же алгоритм DES на обоих концах, зашифрованный сеанс завершается ошибкой. Если на обоих концах включен хотя бы один общий алгоритм DES, зашифрованный сеанс может продолжаться.

      Примечание: Дополнительное слово cisco появляется в программном обеспечении Cisco IOS версии 11.3 и необходим, чтобы различать IPSec и проприетарное шифрование Cisco, обнаруженное в программном обеспечении Cisco IOS версии 11.2.

       Проигравший #  показать алгоритмы шифрования cisco 
        des cfb-64
        des cfb-8
        40-битный файл cfb-64
        40-битный код cfb-8 
    • показать таймаут ключа шифрования cisco — После того, как сеанс зашифрованной связи установлен, он действителен в течение определенного периода времени. По истечении этого времени сеанс истекает.Необходимо согласовать новый сеанс и создать новый ключ DES (сеансовый) для продолжения зашифрованной связи. Используйте эту команду, чтобы изменить время, в течение которого сеанс зашифрованной связи длится до его истечения (тайм-аут).

       Проигравший #  показать таймаут крипто-ключа Cisco 
      Ключи сеанса будут обновляться каждые 30 минут 

      Используйте эти команды для определения промежутка времени до повторного согласования ключей DES.

       StHelen #  показать crypto conn 
      Таблица подключений
      PE UPE Conn_id New_id Время алгоритма
      0.0.0.1 0.0.0.1 4 0 DES_56_CFB64 01 марта 1993 г. 03:16:09
                      флаги: TIME_KEYS
       
       
      StHelen #  показать криптоключ 
      Ключи сеанса будут обновляться каждые 30 минут.
       
      StHelen #  показать часы 
      * 03: 21: 23.031 UTC, понедельник, 1 марта 1993 г., 
    • показать пары криптографии cisco pregen-dh — Каждый зашифрованный сеанс использует уникальную пару номеров DH. Каждый раз, когда устанавливается новый сеанс, должны создаваться новые пары номеров DH.Когда сеанс завершается, эти числа отбрасываются. Создание новых пар номеров DH требует интенсивной работы ЦП, что может замедлить установку сеанса, особенно для маршрутизаторов начального уровня.

      Чтобы ускорить настройку сеанса, вы можете выбрать, чтобы определенное количество пар номеров DH было предварительно сгенерировано и сохранено в резерве. Затем, когда устанавливается зашифрованный сеанс связи, из этого резерва предоставляется пара номеров DH. После использования пары номеров DH резерв автоматически пополняется новой парой номеров DH, так что всегда есть пара номеров DH, готовая к использованию.

      Обычно не требуется предварительно сгенерировать более одной или двух пар номеров DH, если только ваш маршрутизатор не устанавливает несколько зашифрованных сеансов так часто, что предварительно сгенерированный резерв из одной или двух пар номеров DH истощается слишком быстро.

       Проигравший #  показать крипто-cisco pregen-dh-пары 
      Количество предварительно сгенерированных пар DH: 10 
    • показать активные криптографические соединения Cisco

      Ниже приведен пример выходных данных команды.

       Проигравший #  показывает активные соединения с криптовалютой 
      ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
       16 Serial1 19.19.19.19 установить DES_56_CFB64 376 884 
    • показать сброшенный пакет подключений к ядру шифрования cisco

      Ниже приведен пример выходных данных команды.

       Проигравший #  показать потерянный пакет подключений к криптографическому движку 
      Количество отброшенных IP-адресов интерфейса
       
      Серийный номер 1 19.19.19.19 39 
    • показать конфигурацию механизма шифрования (было показать краткое описание механизма шифрования в программном обеспечении Cisco IOS версии 11.2.)

      Ниже приведен пример выходных данных команды.

       Проигравший #  показать конфигурацию криптографического движка 
      слот: 0
      название двигателя: fred
      тип двигателя: программный
      серийный номер: 02802219
      платформа: крипто-движок rp
      версия крипто-библиотеки: 10.0,0
       
      Информация о процессе шифрования:
      начало очереди ввода: 465
      бот очереди ввода: 465
      количество входных очередей: 0 
    • показать криптоключ mypubkey dss

      Ниже приведен пример выходных данных команды.

       Loser #  показать криптоключ mypubkey dss 
      крипто открытый ключ fred 02802219
       79CED212 AF191D29 702A9301 B3E06602 D4FB26B3 316E58C8 05D4930C CE8
       C0064492 5F6684CD 3FC326E5 679BCA46 BB155402 D443F68D 93487F7E 5ABE182E
      бросить 
    • show crypto key pubkey-chain dss

      Ниже приведен пример выходных данных команды.

       Проигравший #  показать криптоключ pubkey-chain dss 
      Крипто открытый ключ Барни 05694352
       B407A360 204CBFA3 F9A0C0B0 15D6185D 91FD7D3A 3232EBA2 F2D31D21 53AE24ED
       732EA43D 484DEB22 6E

      C 234B4019 38E51D64 04CB9F59 EE357477 341 бросить
    • показать последовательный интерфейс 1 интерфейса криптокарты

      Ниже приведен пример выходных данных команды.

       Проигравший #  показать серийный номер интерфейса 1 интерфейса криптокарты 
      Криптокарта "oldstyle" 10 cisco
              Идентификатор подключения = 16 (8 установлено, 0 не удалось)
              Peer = barney
              ПЭ = 40.40,40,0
              UPE = 30.30.30.0
              Расширенный список доступа по IP 133
                  список доступа 133 разрешение IP
                      источник: addr = 40.40.40.0/0.0.0.255
                      dest: addr = 30.30.30.0/0.0.0.255 

      Обратите внимание на разницу во времени при использовании команды ping .

       wan-5200b #  пинг 30.30.30.30 
       
      Для отмены введите escape-последовательность.
      Отправка 5 100-байтовых эхо-сообщений ICMP на 30.30.30.30, тайм-аут составляет 2 секунды:
      !!!!!
      Показатель успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда-обратно = 52/54/56 мс.
      wan-5200b #
      -----------
      wan-5200b #  пинг 30.30.30.31 
       
      Для отмены введите escape-последовательность.
      Отправка 5 100-байтовых эхо-сообщений ICMP на 30.30.30.31, тайм-аут составляет 2 секунды:
      !!!!!
      Показатель успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда-обратно = 52/53/56 мс.
      -----------------
      
      wan-5200b #  пинг 19.19.19.20 
       
      Для отмены введите escape-последовательность.
      Отправка 5 100-байтовых эхо-сообщений ICMP на 19.19.19.20, тайм-аут составляет 2 секунды:
      !!!!!
      Показатель успеха составляет 100 процентов (5/5), мин. / Сред. / Макс. Туда-обратно = 20/21/24 мс
      ------------ 
    • показать последовательный интерфейс 1 интерфейса криптокарты

      Ниже приведен пример выходных данных команды.

       Проигравший #  показать криптокарту 
      Криптокарта "oldstyle" 10 cisco
              Идентификатор подключения = 16 (8 установлено, 0 не удалось)
              Peer = barney
              ПЭ = 40,40,40,0
              UPE = 30.30.30.0
              Расширенный список доступа по IP 133
                  список доступа 133 разрешение IP
                      источник: addr = 40.40.40.0/0.0.0.255
                      dest: addr = 30.30.30.0/0.0.0.255 
    • криптографический механизм отладки

      Ниже приведен пример выходных данных команды.

       Loser #  отладка криптографического движка 
      17 марта 11:49: 07.902: Крипто-движок 0: сгенерировать параметр alg
       
      17 марта 11:49: 07.906: CRYPTO_ENGINE: Dh, фаза 1, статус: 0
      17 марта 11: 49: 07.910: криптографический движок 0: подписать сообщение с помощью криптографического движка
      17 марта 11:49: 09.894: CRYPTO_ENGINE: пакеты отброшены: State = 0
      17 марта 11:49: 11.758: Крипто-движок 0: сгенерировать параметр alg
       
      17 марта 11:49: 12.246: CRYPTO_ENGINE: пакеты отброшены: State = 0
      17 марта 11:49: 13.342: CRYPTO ENGINE 0: синдром получения для conn id 25
      17 марта, 11:49:13.346: Механизм шифрования 0: проверить подпись
      17 марта 11:49: 14.054: CRYPTO_ENGINE: пакеты отброшены: State = 0
      17 марта 11:49: 14.402: Crypto Engine 0: подписать сообщение с помощью Crypto Engine
      17 марта 11:49: 14.934: Crypto Engine 0: создать сеанс для conn id 25
      17 марта 11:49: 14.942: CRYPTO ENGINE 0: очистить номер dh для conn id 25
      17 марта 11:49: 24.946: Crypto Engine 0: сгенерировать alg param 
    • debug crypto sessmgmt

      Ниже приведен пример выходных данных команды.

       StHelen #  отладка крипто-сессий MGMT 
       
      17 марта 11:49: 08.918: IP: s = 40.40.40.40 (Serial1), d = 30.30.30.30, len 328,
                    Обнаружено сообщение о подключении ICMP.
       
      17 марта 11:49: 08.922: CRYPTO: сообщение удалено из очереди: CIM
      17 марта 11:49: 08.926: CRYPTO-SDU: тайм-аут ключа, повторный обмен криптографическими ключами
      17 марта 11: 49: 09.978: КРИПТО: Подтверждение выполнено. Статус = ОК
      17 марта 11: 49: 09.994: CRYPTO: состояние фазы 1 генерации DH для conn_id 22 слот 0: ОК
      17 марта 11:49: 11.594: CRYPTO: Состояние фазы 2 генерации DH для conn_id 22 слот 0: OK
      17 марта, 11:49:11.598: CRYPTO: статус генерации синдрома для conn_id 22 слот 0: ОК
      17 марта 11:49: 12.134: КРИПТО: Подпись готова. Статус = ОК
      17 марта 11:49: 12.142: CRYPTO: сообщение ICMP отправлено: s = 19.19.19.20, d = 19.19.19.19
      17 марта 11:49: 12.146: CRYPTO-SDU: act_on_nnc_req: NNC Echo Ответ отправлен
      17 марта 11:49: 12.154: CRYPTO: создать ключ шифрования для conn_id 22 слот 0: ОК
      17 марта 11:49: 15.366: CRYPTO: сообщение удалено из очереди: CCM
      17 марта 11:49: 15.370: CRYPTO: Статус генерации синдрома для conn_id 22 слот 0: ОК
      17 марта 11: 49: 16.430: КРИПТО: Подтверждение выполнено. Статус = ОК
      17 марта, 11:49:16.434: CRYPTO: замена -23 в криптокартах на 22 (слот 0)
      17 марта 11:49: 26.438: CRYPTO: необходимо предварительно сгенерировать 1 пару для слота 0.
      17 марта 11:49: 26.438: CRYPTO: предварительная генерация DH для conn_id 32 слот 0
      17 марта 11:49: 28.050: CRYPTO: состояние фазы 1 DH для conn_id 32 слот 0: ОК
                                   ~~ <---------- Это хорошо ----------> ~~ 

      Если на криптокарте установлен неправильный одноранговый узел, вы получите это сообщение об ошибке.

       2 марта 12:19: 12.639: CRYPTO-SDU: Ошибка аутентификации на дальнем конце:
                Ошибка проверки сообщения подключения 

      Если алгоритмы шифрования не совпадают, вы получаете это сообщение об ошибке.

       2 марта 12:26: 51.091: CRYPTO-SDU: подключение
      сбой из-за несовместимой политики 

      Если ключ DSS отсутствует или недействителен, вы получаете это сообщение об ошибке.

       16 марта 13: 33: 15.703: CRYPTO-SDU: Ошибка аутентификации на дальнем конце:
                 Ошибка проверки сообщения подключения 
    • криптографический ключ отладки

      Ниже приведен пример выходных данных команды.

       StHelen #  отладочный криптоключ 
      16 марта 12:16:45.795: КРИПТО-КЕ: отправлено 4 байта.
      16 марта 12:16: 45.795: CRYPTO-KE: отправлено 2 байта.
      16 марта 12:16: 45.799: CRYPTO-KE: отправлено 6 байт.
      16 марта 12:16: 45.799: CRYPTO-KE: отправлено 2 байта.
      16 марта 12:16:45. 803: CRYPTO-KE: отправлено 64 байта.
      
      16 марта 12: 16: 56.083: CRYPTO-KE: Получено 4 байта.
      16 марта 12: 16: 56.087: CRYPTO-KE: Получено 2 байта.
      16 марта 12: 16: 56.087: CRYPTO-KE: Получено 4 байта.
      16 марта 12: 16: 56.091: CRYPTO-KE: Получено 2 байта.
      16 марта 12: 16: 56.091: CRYPTO-KE: Получено 52 байта.
      16 марта 12: 16: 56.095: CRYPTO-KE: Получено 12 байт.
    • очистить криптосоединение

      Ниже приведен пример выходных данных команды.

       wan-2511 #  показать закон о соединениях с криптографическим движком 
      ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
       9 Serial0 20.20.20.21 установить DES_56_CFB64 29 28
       
      wan-2511 #  очистить криптосоединение 9 
      wan-2511 #
      * 5 марта 04:58: 20.690: CRYPTO: замена 9 в криптокартах на 0 (слот 0)
      * 5 марта, 04:58:20.694: Crypto Engine 0: удалить соединение 9
      * 5 марта, 04:58: 20.694: CRYPTO: Crypto Engine очистить conn_id 9 слот 0: ОК
      wan-2511 #
      wan-2511 #  показать подключения к криптографическому движку, акт 
      ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
       
      wan-2511 # 
    • криптографическое обнуление

      Ниже приведен пример выходных данных команды.

       wan-2511 #  показать крипто mypubkey 
      крипто открытый ключ wan2511 01496536
       11F43C02 70C0ADB7 5DD50600 A0219E04 C867A5AF C40A4FE5 CE99CCAB A8ECA840
       EB95FBEE D727ED5B F0A6F042 BDB5529B DBB0698D DB0B2756 F6CABE8F 05E4B27F
      покидать
       
      wan-2511 #  настроить терминал 
      Введите команды конфигурации, по одной в каждой строке.Z 
      wan-2511 #
      wan-2511 # показать крипто mypubkey
      wan-2511 # 
    • без открытого криптографического ключа

      Ниже приведен пример выходных данных команды.

       wan-2511 #  показать крипто pubkey 
      крипто открытый ключ wan2516 01698232
       B1C127B0 78D79CAA 67ECAD80 03D354B1 9012C80E 0C1266BE 25AEDE60 37A192A2
       B066D299 77174D48 7FBAB5FC 2B60893A 37E5CB7B 62F6D902 9495733B 98046962
      покидать
       
      wan-2511 #  настроить терминал 
      Введите команды конфигурации, по одной в каждой строке.Z 
      wan-2511 #
      wan-2511 #  показать crypto pubkey 
      wan-2511 # 

    Устранение неполадок Cisco 7200 с помощью ESA

    Cisco также предоставляет возможность аппаратной поддержки для шифрования маршрутизаторов Cisco серии 7200, которая называется ESA. ESA имеет форму адаптера порта для карты VIP2-40 или автономного адаптера порта для Cisco 7200. Такая компоновка позволяет использовать либо аппаратный адаптер, либо программный механизм VIP2 для шифрования и дешифрования данных, которые поступают в или уходит через интерфейсы на карте Cisco 7500 VIP2.Cisco 7200 позволяет аппаратным средствам шифровать трафик для любых интерфейсов на шасси Cisco 7200. Использование помощника шифрования позволяет сэкономить драгоценные циклы ЦП, которые можно использовать для других целей, таких как маршрутизация или любые другие функции Cisco IOS.

    На Cisco 7200 адаптер автономного порта настроен точно так же, как программный механизм шифрования Cisco IOS, но имеет несколько дополнительных команд, которые используются только для оборудования и для определения того, какой механизм (программный или аппаратный) будет выполнять шифрование.

    Сначала подготовьте маршрутизатор к аппаратному шифрованию:

     wan-7206a (конфигурация) #
    % OIR-6-REMCARD: карта удалена из слота 3, интерфейсы отключены
    * 2 марта 08: 17: 16.739: ... переход на криптографический движок SW
     
    wan-7206a #  показать криптокарту 3 
     
    Криптокарта в слоте: 3
     
    Подделано: Нет
    Xtracted: Да
    Пароль установлен: Да
    Набор ключей DSS: Да
    Версия прошивки 0x5049702
    wan-7206a #
    
    wan-7206a (конфигурация) #
    
    wan-7206a (config) #  обнуление криптографии 3 
    Предупреждение! Обнуление удалит ваши ключи подписи DSS.Вы хотите продолжить? [да / нет]:  да 
    % Ключи, подлежащие удалению, имеют жесткие имена.
    Вы действительно хотите удалить эти ключи? [да / нет]:  да 
    [ОК] 

    Включите или отключите аппаратное шифрование, как показано ниже:

     wan-7206a (config) #  crypto esa shutdown 3 
    ... переход на криптографический движок SW
     
    
    wan-7206a (config) #  включение криптографии esa 3 
    На ESA в слоте 3 нет ключей - ESA не активирован. 

    Затем сгенерируйте ключи для ESA, прежде чем включить его.

     wan-7206a (config) #  аппаратные ключи криптографической подписи 
    % Инициализировать пароль криптокарты. Тебе понадобится
       этот пароль для создания новой подписи
       ключей или снимите защелку извлечения криптокарты.
     
    Пароль:
    Повторно введите пароль:
    Генерация ключей DSS ....
     [OK]
     
    wan-7206a (конфигурация) #
    wan-7206a #  показать крипто mypubkey 
    крипто открытый ключ жесткий 00000052
     EE691A1F BD013874 5BA26DC4 91F17595 C8C06F4E F7F736F1 AD0CACEC 74AB8905
     DF426171 29257F8E B26D49B3 A8E11FB0 A3501B13 D3F19623 DCCE7322 3D97B804
    покидать
     
    wan-7206a #
    wan-7206a (config) #  включение криптографии esa 3 
    ...переключение на аппаратный криптографический движок
     
    wan-7206a #  показать криптографический движок brie 
    имя криптодвигателя: жесткий
    Тип криптодвигателя: ESA
    серийный номер: 00000052
    состояние криптодвигателя: установлено
    версия криптографической прошивки: 5049702
    криптодвигатель в слоте: 3
     
    wan-7206a # 

    Устранение неполадок VIP2 с помощью ESA

    Адаптер аппаратного порта ESA на карте VIP2 используется для шифрования и дешифрования данных, которые поступают или уходят через интерфейсы на карте VIP2. Как и в случае с Cisco 7200, использование помощника шифрования позволяет сэкономить драгоценные циклы ЦП.В этом случае команда crypto esa enable не существует, потому что адаптер порта ESA выполняет шифрование портов на карте VIP2, если ESA подключен. К этому слоту необходимо применить криптографическую защелку если адаптер порта ESA был только что установлен в первый раз или удален, а затем переустановлен.

      Маршрутизатор # показать криптокарту 11 
     
    Криптокарта в слоте: 11
     
    Подделано: Нет
    Xtracted: Да
    Пароль установлен: Да
    Набор ключей DSS: Да
    Версия прошивки 0x5049702
    Маршрутизатор # 

    Поскольку модуль шифрования ESA был извлечен, вы будете получать следующее сообщение об ошибке, пока не выполните команду crypto clear-latch для этого слота, как показано ниже.Z

    Если вы забыли ранее назначенный пароль, используйте команду crypto zeroize вместо команды crypto clear-latch для сброса ESA. После выполнения команды crypto zeroize необходимо повторно сгенерировать и повторно обменять ключи DSS. При повторном создании ключей DSS вам будет предложено создать новый пароль. Пример показан ниже.

     Маршрутизатор #
    % SYS-5-CONFIG_I: настраивается с консоли с помощью консоли
    Маршрутизатор № показать криптокарту 11 
     
    Криптокарта в слоте: 11
     
    Подделано: Нет
    Xtracted: Нет
    Пароль установлен: Да
    Набор ключей DSS: Да
    Версия прошивки 0x5049702
    Маршрутизатор №
    
    -------------------------------------------------- -
    
     
    Маршрутизатор №  показать краткую информацию о криптографическом движке 
    название криптодвигателя: TERT
    Тип криптодвигателя: программное обеспечение
    серийный номер: 0459FC8C
    состояние криптодвигателя: сгенерирован ключ dss
    версия крипто-библиотеки: 5.0,0
    криптодвигатель в слоте: 6
     
    имя криптодвигателя: WAAA
    Тип криптодвигателя: ESA
    серийный номер: 00000078
    состояние криптодвигателя: сгенерирован ключ dss
    версия криптографической прошивки: 5049702
    криптодвигатель в слоте: 11
     
    Маршрутизатор №
    -----------
    Маршрутизатор (конфигурация) #  крипто-обнуление 
    Предупреждение! Обнуление удалит ваши ключи подписи DSS.
    Вы хотите продолжить? [да / нет]:  да 
    % Удаляемые ключи называются TERT.
    Вы действительно хотите удалить эти ключи? [да / нет]:  да 
    % Обнуление выполнено.Z 
    Маршрутизатор №  показать краткую информацию о криптографическом движке 
    имя криптодвигателя: неизвестно
    Тип криптодвигателя: программное обеспечение
    серийный номер: 0459FC8C
    состояние криптодвигателя: установлено
    версия крипто-библиотеки: 5.0.0
    криптодвигатель в слоте: 6
     
    имя криптодвигателя: неизвестно
    Тип криптодвигателя: ESA
    серийный номер: 00000078
    состояние криптодвигателя: установлено
    версия криптографической прошивки: 5049702
    криптодвигатель в слоте: 11
     
    Маршрутизатор №
    --------------
    Маршрутизатор (конфигурация) #  криптографическая подпись-ключи VIPESA 11 
    % Инициализировать пароль криптокарты.Z
    Маршрутизатор №
    ------
    Маршрутизатор №  показать краткую информацию о криптографическом движке 
    имя криптодвигателя: неизвестно
    Тип криптодвигателя: программное обеспечение
    серийный номер: 0459FC8C
    состояние криптодвигателя: установлено
    версия крипто-библиотеки: 5.0.0
    криптодвигатель в слоте: 6
     
    имя криптодвигателя: VIPESA
    Тип криптодвигателя: ESA
    серийный номер: 00000078
    состояние криптодвигателя: сгенерирован ключ dss
    версия криптографической прошивки: 5049702
    криптодвигатель в слоте: 11
     
    Маршрутизатор №
    ----------
    Маршрутизатор №  показывает активные соединения с крипто-ядром 11 
    ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
     2 Серийный номер 11/0/0 20.20.20.21 установить DES_56_CFB64 9996 9996
     
    Маршрутизатор №
    Маршрутизатор #  очистить криптосоединение 2 11 
    Маршрутизатор №
    * 24 января 01: 41: 04.611: CRYPTO: замена 2 в криптокартах на 0 (слот 11)
    * 24 января 01: 41: 04.611: Crypto Engine 11: удалить соединение 2
    * 24 января 01: 41: 04.611: CRYPTO: Crypto Engine очистить conn_id 2 слот 11: OK
    Маршрутизатор №  показывает активные соединения с крипто-ядром 11 
    Никаких связей.
     
    Маршрутизатор №
    * 24 января 01: 41: 29.355: CRYPTO ENGINE: количество записей о подключении
    получено от VIP 0
    ------------
    
    Маршрутизатор #  показывает крипто mypub 
    % Клавиша для слота 11:
    крипто открытый ключ VIPESA 00000078
     CF33BA60 56FCEE01 2D4E32A2 5D7ADE70 6AF361EE 2964F3ED A7CE08BD A87BF7FE
     90A39F1C DF96143A 9B7B9C78 5F59445C 27860F1E 4CD92B6C FBC4CBCC 32D64508
    покидать
     
    Маршрутизатор #  show crypto pub 
    крипто открытый ключ wan2516 01698232
     C5DE8C46 8A69932C 70C92A2C 729449B3 FD10AC4D 1773A997 7F6BA37D 61997AC3
     DBEDBEA7 51BF3ADD 2BB35CB5 B9126B4D 13ACF93E 0DF0CD22 CFAAC1A8 9CE82985
    покидать
     
    Маршрутизатор №
    ----------
    интерфейс Serial11 / 0/0
     IP-адрес 20.20.20.21 255.255.255.0
     инкапсуляция ppp
     IP route-cache распределен
     нет очереди
     нет включения cdp
     криптокарта тест
    !
    ----------
    Маршрутизатор №  show crypto eng conn act 11 
    ID Интерфейс IP-адрес Состояние Алгоритм Шифрование Расшифровка
     3 Serial11 / 0/0 20.20.20.21 установить DES_56_CFB64 761760
     
    Маршрутизатор №
    * 24 января 01:50: 43.555: CRYPTO ENGINE: количество подключений
    заявок, полученных от VIP 1
     
    Маршрутизатор # 

    Шифрование подвергается критике в Европе, поскольку Франция и Германия призывают к принятию закона о дешифровании — TechCrunch

    Похоже, что новая глава криптовалютных войн откроется в Европе после того, как вчера министры внутренних дел Франции и Германии вышли на трибуну, чтобы лоббировать изменение закона, которое позволит судам требовать от интернет-компаний расшифровывать данные для содействия дальнейшим уголовным расследованиям. .

    Другими словами, чтобы добиться того, чтобы сквозное шифрование было объявлено вне закона. Да, мы были здесь раньше — много раз.

    Вчера на совместной пресс-конференции в Париже с президентом Германии Томасом де Мезьером министр внутренних дел Франции Бернар Казенев призвал Европейскую комиссию изменить закон, чтобы предоставить агентствам безопасности возможность доступа к зашифрованным данным.

    Они хотят, чтобы их предложения обсуждались Европейской Комиссией на встрече в следующем месяце.

    Контекст здесь таков, что Франция и Германия пострадали от серии террористических атак за последний год, включая скоординированное нападение в Париже в ноябре 2015 года, в результате которого погибли 130 человек; нападение в июле 2016 года в Ницце, когда водитель грузовика врезался в толпу, празднующую День взятия Бастилии; и ножевое ранение в церкви в Северной Франции, убившее пожилого священника.

    За тот же период в Германии произошла серия нападений с ножом и террорист-смертник, предположительно совершенный исламистскими террористами.Хотя значение зашифрованных сообщений для осуществления любого из этих террористических заговоров остается неясным.

    FT цитирует Патрика Кальвара, начальника внутренней безопасности Франции, о том, что «гигабайты» данных были собраны после ноябрьских массовых расстрелов в Париже — и что они «часто зашифрованы и их невозможно расшифровать». В документе также отмечается, что ячейка Isis, ответственная за атаку в Париже, использовала WhatsApp и Telegram — два коммуникационных приложения, которые предлагают сквозное шифрование. Однако сообщалось, что та же самая ячейка Isis использовала незашифрованные SMS в своих сообщениях.

    Вчерашняя речь Казенева затронула различные аспекты внутренней безопасности, включая призыв к усилению пограничного контроля в Европе и улучшению обмена информацией между странами-членами ЕС. Но в отношении шифрования он сформулировал проблему для европейских демократий как необходимость «вооружиться» против использования террористами шифрования с законодательной властью, чтобы предоставить органам безопасности доступ к зашифрованным коммуникационным приложениям, которые, по его словам, террористы используют для общения.

    Ссылаясь на важность шифрования для законной деятельности, такой как защита финансовых транзакций, Казенев выделил определенные приложения для обмена данными, которые используют сквозное шифрование, как проблемные для служб безопасности — в частности, проверка имени приложения Telegram.(Хотя стоит отметить, что Telegram использует шифрование e2e только для функции «секретных чатов»; другие приложения для обмена сообщениями, такие как WhatsApp, развернули шифрование e2e по умолчанию для всех коммуникаций.)

    «Однако мы говорим о том, что обмены, более систематические, управляемые через некоторые приложения, такие как Telegram, должны иметь возможность в рамках судебных разбирательств — и я подчеркиваю это — быть идентифицированными и использоваться в качестве доказательства следствием и магистратами. сервисы », — сказал Казенев [через Google Translate].

    Он отметил, что некоторые интернет-компании сотрудничают с европейскими службами безопасности, которые запрашивают доступ к их пользовательским данным, но отметили Telegram как компанию, с которой органы государственной безопасности «не контактируют».

    Оба министра призывают ЕС принять законодательные акты, чтобы обеспечить одинаковые права и обязанности для операторов любых телекоммуникационных или интернет-услуг, предлагаемых пользователям в Европе, независимо от того, находятся ли они в Европе со штаб-квартирой.

    И в отношении новых обязательств операторов, которые не будут сотрудничать — i.е. когда дело доходит до удаления незаконного контента или расшифровки сообщений для служб безопасности по запросу.

    «Если бы такой закон был принят, это позволило бы нам на европейском уровне налагать обязательства на операторов, которые отказываются раскрывать такие сообщения, для удаления незаконного контента или расшифровки сообщений исключительно в контексте уголовных расследований», — добавил Казенев.

    Перетягивание каната из-за сквозного шифрования

    Призыв к расшифровке по запросу перекликается с политической траекторией в Великобритании за последние несколько лет, где консервативное правительство настаивало на расширении законодательства о слежке и укреплении юридических полномочий, требующих расшифровки с помощью законного ордера.

    Законопроект Великобритании о полномочиях расследований, который сейчас проходит через верхнюю палату парламента, включает ограничения на использование сквозного шифрования, которое может быть использовано для того, чтобы потребовать от компании удалить шифрование. Или даже заставить поставщика услуг связи не использовать сквозное шифрование для защиты будущей услуги, которую они разрабатывают.

    Конечно, основная идея сквозного шифрования заключается в том, что оператор не хранит ключи шифрования, поэтому не может сам расшифровать данные. Но когда политики принимают законы о расшифровке по требованию, законность шифрования e2e становится подорванной — и его использование подвергается опасности.

    И, как продолжают указывать мириады экспертов по безопасности, технических организаций и защитников данных, шифрование с бэкдором неизбежно влечет за собой риски безопасности для всех пользователей, а не только для подозреваемых агентств безопасности. «Золотого ключа» только для силовых структур не существует.

    Выражая озабоченность по поводу последних франко-германских предложений, например, директор Европейской ассоциации компьютерной и коммуникационной индустрии Кристиан Борггрин сказал следующее: «Мы обеспокоены тем, что предложения ЕС могут позволить правительствам оспаривать сквозную — закончить шифрование и тем самым поставить под угрозу безопасность и конфиденциальность сообщений европейцев.

    «Конечно, понятно, что некоторые отреагировали на недавние трагедии с помощью лазейки и большего доступа правительства. Но ослабленная безопасность в конечном итоге делает онлайн-системы более уязвимыми для всех типов атак, от террористов до хакеров. Это должно быть время для повышения безопасности, а не для ее ослабления ».

    Между тем, только в прошлом месяце надзорный орган ЕС по защите данных Джованни Буттарелли опубликовал официальное мнение о пересмотре региональной директивы ePrivacy — следующей в очереди на обновление после того, как Европейский парламент принял GDPR в начале этого года, в котором он, в частности, призывает к защите сквозного шифрования.

    Добавить комментарий

    Ваш адрес email не будет опубликован.