33650

Протокол IPSec

Доклад

Информатика, кибернетика и программирование

Протокол IPSec Шифрование данных на сетевом уровне представлено группой протоколов IPSec основанных на современных технологиях электронной цифровой подписи и шифрования данных. Протокол IPSec включает в себя: протокол аутентификации uthentiction Heder АН который привязывает данные в составе пакета к своеобразной подписи позволяющей удостовериться как в подлинности отправителя так и в целостности принятых от него данных; протокол Encpsulted Security Pylod ESP отвечающий за шифрование содержимого отдельных пакетов и даже...

Русский

2013-09-06

43.5 KB

16 чел.

15.  Протокол IPSec

Шифрование данных на сетевом уровне представлено группой протоколов IPSec, основанных на современных технологиях электронной цифровой подписи и шифрования данных.

Протокол IPSec включает в себя:

  •  протокол аутентификации (Authentication Header, АН), который «привязывает» данные в составе пакета к своеобразной подписи, позволяющей удостовериться как в подлинности отправителя, так и в целостности принятых от него данных;
  •  протокол Encapsulated Security Payload (ESP), отвечающий за шифрование содержимого отдельных пакетов (и даже некоторых IP-адресов, передаваемых в их составе). Кроме того, протокол ESP обеспечивает также аутентификацию и целостность;
  •  протокол обмена ключами (Internet Key Exchange, IKE), который предназначен для согласования используемых алгоритмов аутентификации и шифрования, ключей и продолжительности их действия, а также для защищенного обмена ключами.

Совместное использование этих протоколов осуществляется следующим образом: между узлами устанавливается защищённый канал с помощью протокола IKE. В рамках установленного канала работает протокол АН или ESP.

Протоколы аутентифицирующего заголовка (АН) и инкапсулирующей защиты содержимого (ESP) поддерживают работу в двух режимах:

- туннельном, при котором IP-пакеты защищаются целиком, включая их

заголовки;

- транспортном, обеспечивающим полную защиту только содержимого IP-пакетов.

Основным режимом является туннельный. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот, в свою очередь инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Между такими шлюзами и формируются защищенные туннели IPSec. Перед передачей по такому туннелю исходные IP-пакеты передающей локальной сети инкапсулируются по протоколу IPSec в защищенные IP-пакеты. После передачи на другую сторону туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты и передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный режим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено программное обеспечение, реализующее туннельный режим IPSec.

В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Соответственно в транспортном режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Данный режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Кроме того, транспортный режим может применяться на шлюзах для защиты внутренних связей между одноранговыми шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами АТМ, межсетевыми экранами и другими ключевыми компонентами инфраструктуры сети. Работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах и в большинстве случаев требуется перепрограммирование сетевых приложений.

3.1.2. Протокол Authentication Header (АН)

Протокол аутентифицирующего заголовка (Authentication Header — АН) обеспечивает целостность IP-пакетов и аутентификацию источника данных, а также защиту от воспроизведения ранее посланных IP-пакетов. Этот протокол полностью защищает от подлога и случайного искажения содержимое IP-пакетов, включая данные протоколов более высоких уровней. Полнота защиты полей IP-заголовков зависит от используемого режима работы— туннельного или транспортного.

Протокол Authentication Header (АН) создает конверт, обеспечивающий аутентификацию источника данных, их целостность и защиту от навязывания повторных сообщений (рис. 3.1). Состав и назначение полей заголовка АН:

Следующий заголовок - указывает тип протокола вышележащего уровня (TCP, UDP, ESP, ICMP)

Длина - указывает длину заголовка в 32-битных словах

SPI (Security Parameter Index) – 32-битный индекс параметров безопасности, определяющий структуру SA (Security Association), содержащую все параметры тунеля IPSec, включая типы криптографических алгоритмов и ключи шифрования.

Порядковый номер - последовательно наращиваемое поле, используется для защиты от ложного воспроизведения

Аутентификационные данные - хэш-функция, вычисленная на основе содержимого пакета с использованием алгоритмов MD5 или SAH1. Симметричный секретный ключ шифрования устанавливается вручную или по протоколу IKE.

Формат заголовка АН

Рис 3.1

Независимо от режима работы, протокол АН предоставляет меры защиты от атак, ориентированных на нарушение целостности и подлинности пакетов сообщений. С помощью этого протокола аутентифицируется каждый пакет, что делает программы, пытающиеся перехватить управление сеансом, неэффективными. Несмотря на нахождение IP-заголовков за пределами защищенного IPSec конверта, протокол АН обеспечивает аутентификацию не только содержимого, но и заголовков IP-пакетов. Но следует иметь в виду, что аутентификация по протоколу АН не допускает манипулирование основными полями IP-заголовка во время прохождения пакета По этой причине данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов (Network Address Translation - NAT), так как манипулирование IP-заголовками необходимо для его работы.


 

А также другие работы, которые могут Вас заинтересовать

73842. Технико-экономические показатели разрабатываемых ТП 72 KB
  На завершающим этапе разработки ТП проводят полную оценку вариантов путем сравнения себестоимости обработки заготовок отражающей затраты живого и овеществленного труда. Существует два основных метода определения себестоимости: бухгалтерский и метод прямого калькулирования поэлементный. Цеховые расходы при калькулировании себестоимости определяют в процентах от заработной платы основных рабочих цеха: тогда себестоимость текущие затраты можно выразить так: где ц – процент цеховых накладных расходов. Его можно использовать при приближенном...
73843. РОЗВИТОК СВІДОМОСТІ У ФІЛОГЕНЕЗІ 215 KB
  Сприймання – це відображення у свідомості людини цілісних предметів та явищ об’єктивного світу при їх безпосередньому впливі у дану мить на органи відчуттів. Його суттєва відмінність від відчуттів полягає в тому що в процесах сприймання формується образ цілісного предмету за допомогою відображення всієї сукупності його якостей. Однак образ сприймання не зводиться до простої суми відчуттів хоча й вносить їх до свого складу. Сприймання – результат діяльності системи аналізаторів.
73844. ПСИХІЧНІ ПРОЦЕСИ: ПАМ’ЯТЬ, УЯВА, МИСЛЕННЯ, УВАГА 84 KB
  Особливості пам’яті та уява. ІІ Пам’ять – форма психічного відображення яка заклечається в закріпленні збереженні і послідуючому відтворенні минулого досвіду. Пам’ять пов’язує минуле суб’єкта с його дійсністю і майбутнім і є найважливішою пізнавальною функцією яка лежить в основі розвитку і навчання.
73845. ЕМОЦІЙНО-ВОЛЬОВА СФЕРА ОСОБИСТОСТІ 112.5 KB
  Рису характеру розуміють як схильність до нервової поведінки яка склалася в силу наявності певних потреб мотивів чи інтересів мотиваційні риси або в силу наявності певних звичок установок сталевих особливостей поведінки. Окремі властивості характеру залежать одне від одного та тісно пов’язані між собою вони створюють цілісну організацію яку називають структурою характеру. В структурі характеру виділяють дві групи рис. Під рисою характеру розуміють ті чи інші особливості особистості людини які систематично проявляються в різних видах...
73846. Діяльність та особистість 148.5 KB
  Діяльність в житті людини: види структура предмет. ДІЯЛЬНІСТЬ – можна визначити як специфічний вид активності людини спрямований на пізнання і творче перетворення навколишнього світу включаючи самого себе й умови свого існування. Навчання являє собою прогресивне відтворення людини як свідомої особистості на основі засвоєння ним практичного та теоретичного досвіду людства. Особливе місце в житті людини займає ПРАЦЯ.
73847. ПСИХОЛОГІЯ СПІЛКУВАННЯ 132.5 KB
  Спілкування: його структура, рівні, функції, основні способи впливу, види. Мова і спілкування. Механізм сприйняття людини людиною під час спілкування. Бар’єри спілкування. Конфлікт: поняття, види, структура, форми, засоби вирішення.
73848. ОСОБЛІВОСТІ ПСИХОЛОГІЇ УПРАВЛІННЯ 90.5 KB
  Суб’єкт і об’єкт психології управління. Управлінська діяльність та стилі управління. І ПСИХОЛОГІЯ УПРАВЛІННЯ – напрямок в психологічній науці що вивчає управлінську діяльність властивості та якості особистості що необхідні для її успішної реалізації.
73849. Суздальская земля X – XIII вв. 78.5 KB
  Одновременно с новгородскими делами Андрей решал и южные дела. В конце 1168 г. было собрано внушительное войско для похода на Киев. Во главе войска был поставлен сын Андрея Мстислав и боярин Борис Жидиславич.
73850. ПРОИСХОЖДЕНИЕ И ЭВОЛЮЦИЯ ЧЕЛОВЕКА 332 KB
  От примитивных приматов в середине палеогена возникли антропоиды – человекообразные обезьяны. Их древнейшие остатки относятся к нижнему олигоцену, а появление относят к позднему эоцену – 40 млн.