33650

Протокол IPSec

Доклад

Информатика, кибернетика и программирование

Протокол IPSec Шифрование данных на сетевом уровне представлено группой протоколов IPSec основанных на современных технологиях электронной цифровой подписи и шифрования данных. Протокол IPSec включает в себя: протокол аутентификации uthentiction Heder АН который привязывает данные в составе пакета к своеобразной подписи позволяющей удостовериться как в подлинности отправителя так и в целостности принятых от него данных; протокол Encpsulted Security Pylod ESP отвечающий за шифрование содержимого отдельных пакетов и даже...

Русский

2013-09-06

43.5 KB

16 чел.

15.  Протокол IPSec

Шифрование данных на сетевом уровне представлено группой протоколов IPSec, основанных на современных технологиях электронной цифровой подписи и шифрования данных.

Протокол IPSec включает в себя:

  •  протокол аутентификации (Authentication Header, АН), который «привязывает» данные в составе пакета к своеобразной подписи, позволяющей удостовериться как в подлинности отправителя, так и в целостности принятых от него данных;
  •  протокол Encapsulated Security Payload (ESP), отвечающий за шифрование содержимого отдельных пакетов (и даже некоторых IP-адресов, передаваемых в их составе). Кроме того, протокол ESP обеспечивает также аутентификацию и целостность;
  •  протокол обмена ключами (Internet Key Exchange, IKE), который предназначен для согласования используемых алгоритмов аутентификации и шифрования, ключей и продолжительности их действия, а также для защищенного обмена ключами.

Совместное использование этих протоколов осуществляется следующим образом: между узлами устанавливается защищённый канал с помощью протокола IKE. В рамках установленного канала работает протокол АН или ESP.

Протоколы аутентифицирующего заголовка (АН) и инкапсулирующей защиты содержимого (ESP) поддерживают работу в двух режимах:

- туннельном, при котором IP-пакеты защищаются целиком, включая их

заголовки;

- транспортном, обеспечивающим полную защиту только содержимого IP-пакетов.

Основным режимом является туннельный. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот, в свою очередь инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Между такими шлюзами и формируются защищенные туннели IPSec. Перед передачей по такому туннелю исходные IP-пакеты передающей локальной сети инкапсулируются по протоколу IPSec в защищенные IP-пакеты. После передачи на другую сторону туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты и передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный режим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено программное обеспечение, реализующее туннельный режим IPSec.

В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Соответственно в транспортном режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Данный режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Кроме того, транспортный режим может применяться на шлюзах для защиты внутренних связей между одноранговыми шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами АТМ, межсетевыми экранами и другими ключевыми компонентами инфраструктуры сети. Работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах и в большинстве случаев требуется перепрограммирование сетевых приложений.

3.1.2. Протокол Authentication Header (АН)

Протокол аутентифицирующего заголовка (Authentication Header — АН) обеспечивает целостность IP-пакетов и аутентификацию источника данных, а также защиту от воспроизведения ранее посланных IP-пакетов. Этот протокол полностью защищает от подлога и случайного искажения содержимое IP-пакетов, включая данные протоколов более высоких уровней. Полнота защиты полей IP-заголовков зависит от используемого режима работы— туннельного или транспортного.

Протокол Authentication Header (АН) создает конверт, обеспечивающий аутентификацию источника данных, их целостность и защиту от навязывания повторных сообщений (рис. 3.1). Состав и назначение полей заголовка АН:

Следующий заголовок - указывает тип протокола вышележащего уровня (TCP, UDP, ESP, ICMP)

Длина - указывает длину заголовка в 32-битных словах

SPI (Security Parameter Index) – 32-битный индекс параметров безопасности, определяющий структуру SA (Security Association), содержащую все параметры тунеля IPSec, включая типы криптографических алгоритмов и ключи шифрования.

Порядковый номер - последовательно наращиваемое поле, используется для защиты от ложного воспроизведения

Аутентификационные данные - хэш-функция, вычисленная на основе содержимого пакета с использованием алгоритмов MD5 или SAH1. Симметричный секретный ключ шифрования устанавливается вручную или по протоколу IKE.

Формат заголовка АН

Рис 3.1

Независимо от режима работы, протокол АН предоставляет меры защиты от атак, ориентированных на нарушение целостности и подлинности пакетов сообщений. С помощью этого протокола аутентифицируется каждый пакет, что делает программы, пытающиеся перехватить управление сеансом, неэффективными. Несмотря на нахождение IP-заголовков за пределами защищенного IPSec конверта, протокол АН обеспечивает аутентификацию не только содержимого, но и заголовков IP-пакетов. Но следует иметь в виду, что аутентификация по протоколу АН не допускает манипулирование основными полями IP-заголовка во время прохождения пакета По этой причине данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов (Network Address Translation - NAT), так как манипулирование IP-заголовками необходимо для его работы.


 

А также другие работы, которые могут Вас заинтересовать

71713. Программирование линейных алгоритмов. Работа с отладчиком 1.58 MB
  Линейная программа Если в программе все операторы выполняются последовательно, один за другим, такая программа называется линейной. Рассмотрим в качестве примера программу, вычисляющую результат по заданной формуле.
71714. Предварительная обработка статистических данных 111 KB
  Предварительная обработка статистических данный включает в себя: Сортировку данных по величине представление их в виде вариационного ряда; Вычисление основных числовых характеристик выборки: выборочного среднего выборочной дисперсии исправленной выборочной дисперсии и дополнительных...
71715. Оценка параметров распределения и проверка статистических гипотез о виде распределения 133 KB
  Сравнить эмпирические и теоретические частоты с помощью критерия Пирсона. Для этого составляют расчетную таблицу по которой находят наблюдаемое значение критерия Пирсона, затем по таблице критических точек распределения, по заданному уровню значимости и числу степеней свободы...
71716. ОБРАБОТКА АНКЕТЫ 94.5 KB
  Провести оценку по второму вопросу выбор профессии по 3х градусной односторонней шкале: мечта о психологии 10 баллов; желание где-то учиться 5 баллов; все равно где учиться 1 балл. Провести оценку по третьему вопросу жизненная цель по 4 градусной односторонней шкале...
71717. ОПРЕДЕЛЕНИЕ ГРАНУЛОМЕТРИЧЕСКОГО СОСТАВА ГРУНТА 55.5 KB
  Гранулометрическим составом грунта называется содержание в массе грунта частиц (фракций) различной крупности по отношению к общей массе сухого грунта. Определение гранулометрического состава состоит в разделении частиц, составляющих грунт, на отдельные группы (фракции), приведенные...
71718. ОПРЕДЕЛЕНИЕ ПЛОТНОСТИ ГРУНТА ЕСТЕСТВЕННОЙ (НЕНАРУШЕННОЙ) СТРУКТУРЫ И ЕГО ВЕСОВОЙ ВЛАЖНОСТИ 60.5 KB
  Эта характеристика используется при проектировании фундаментов для определения расчетного давления на основание напряжений от собственного веса грунта давления на ограждающие конструкции при расчете устойчивости откосов и т.
71719. ОПРЕДЕЛЕНИЕ ПОКАЗАТЕЛЕЙ ПЛАСТИЧНОСТИ 179 KB
  В качестве показателей пластичности используется два предела: нижний влажность грунта на границе раскатывания WP когда в грунте такое количество воды что он находится на границе перехода из пластичного состояния в твердого; верхний влажность грунта на границе текучести WL на границе...
71720. ОПРЕДЕЛЕНИЯ ПЛОТНОСТИ СЛОЖЕНИЯ И ВОДОПРОНИЦАЕМОСТИ ПЕСЧАНЫХ ГРУНТОВ 150.5 KB
  От плотности сложения песка зависят его строительные свойства, в том числе статическая и динамическая устойчивость, деформативность, водопроницаемость и т.д. Так, например, если песок в рыхлом состоянии, то он может быть использован в качестве основания только после его уплотнения или скрепления.
71721. Физические основы низкочастотной электротерапии 203 KB
  Раздражение электрическим током определенного характера и силы у большей части органов и тканей вызывает такую же реакцию, как и естественное возбуждение. Кроме того, это воздействие можно строго дозировать как по силе, так и по времени. Это широко используется в физиологии и медицине.