33650

Протокол IPSec

Доклад

Информатика, кибернетика и программирование

Протокол IPSec Шифрование данных на сетевом уровне представлено группой протоколов IPSec основанных на современных технологиях электронной цифровой подписи и шифрования данных. Протокол IPSec включает в себя: протокол аутентификации uthentiction Heder АН который привязывает данные в составе пакета к своеобразной подписи позволяющей удостовериться как в подлинности отправителя так и в целостности принятых от него данных; протокол Encpsulted Security Pylod ESP отвечающий за шифрование содержимого отдельных пакетов и даже...

Русский

2013-09-06

43.5 KB

18 чел.

15.  Протокол IPSec

Шифрование данных на сетевом уровне представлено группой протоколов IPSec, основанных на современных технологиях электронной цифровой подписи и шифрования данных.

Протокол IPSec включает в себя:

  •  протокол аутентификации (Authentication Header, АН), который «привязывает» данные в составе пакета к своеобразной подписи, позволяющей удостовериться как в подлинности отправителя, так и в целостности принятых от него данных;
  •  протокол Encapsulated Security Payload (ESP), отвечающий за шифрование содержимого отдельных пакетов (и даже некоторых IP-адресов, передаваемых в их составе). Кроме того, протокол ESP обеспечивает также аутентификацию и целостность;
  •  протокол обмена ключами (Internet Key Exchange, IKE), который предназначен для согласования используемых алгоритмов аутентификации и шифрования, ключей и продолжительности их действия, а также для защищенного обмена ключами.

Совместное использование этих протоколов осуществляется следующим образом: между узлами устанавливается защищённый канал с помощью протокола IKE. В рамках установленного канала работает протокол АН или ESP.

Протоколы аутентифицирующего заголовка (АН) и инкапсулирующей защиты содержимого (ESP) поддерживают работу в двух режимах:

- туннельном, при котором IP-пакеты защищаются целиком, включая их

заголовки;

- транспортном, обеспечивающим полную защиту только содержимого IP-пакетов.

Основным режимом является туннельный. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот, в свою очередь инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Между такими шлюзами и формируются защищенные туннели IPSec. Перед передачей по такому туннелю исходные IP-пакеты передающей локальной сети инкапсулируются по протоколу IPSec в защищенные IP-пакеты. После передачи на другую сторону туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты и передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный режим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено программное обеспечение, реализующее туннельный режим IPSec.

В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Соответственно в транспортном режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Данный режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Кроме того, транспортный режим может применяться на шлюзах для защиты внутренних связей между одноранговыми шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами АТМ, межсетевыми экранами и другими ключевыми компонентами инфраструктуры сети. Работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах и в большинстве случаев требуется перепрограммирование сетевых приложений.

3.1.2. Протокол Authentication Header (АН)

Протокол аутентифицирующего заголовка (Authentication Header — АН) обеспечивает целостность IP-пакетов и аутентификацию источника данных, а также защиту от воспроизведения ранее посланных IP-пакетов. Этот протокол полностью защищает от подлога и случайного искажения содержимое IP-пакетов, включая данные протоколов более высоких уровней. Полнота защиты полей IP-заголовков зависит от используемого режима работы— туннельного или транспортного.

Протокол Authentication Header (АН) создает конверт, обеспечивающий аутентификацию источника данных, их целостность и защиту от навязывания повторных сообщений (рис. 3.1). Состав и назначение полей заголовка АН:

Следующий заголовок - указывает тип протокола вышележащего уровня (TCP, UDP, ESP, ICMP)

Длина - указывает длину заголовка в 32-битных словах

SPI (Security Parameter Index) – 32-битный индекс параметров безопасности, определяющий структуру SA (Security Association), содержащую все параметры тунеля IPSec, включая типы криптографических алгоритмов и ключи шифрования.

Порядковый номер - последовательно наращиваемое поле, используется для защиты от ложного воспроизведения

Аутентификационные данные - хэш-функция, вычисленная на основе содержимого пакета с использованием алгоритмов MD5 или SAH1. Симметричный секретный ключ шифрования устанавливается вручную или по протоколу IKE.

Формат заголовка АН

Рис 3.1

Независимо от режима работы, протокол АН предоставляет меры защиты от атак, ориентированных на нарушение целостности и подлинности пакетов сообщений. С помощью этого протокола аутентифицируется каждый пакет, что делает программы, пытающиеся перехватить управление сеансом, неэффективными. Несмотря на нахождение IP-заголовков за пределами защищенного IPSec конверта, протокол АН обеспечивает аутентификацию не только содержимого, но и заголовков IP-пакетов. Но следует иметь в виду, что аутентификация по протоколу АН не допускает манипулирование основными полями IP-заголовка во время прохождения пакета По этой причине данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов (Network Address Translation - NAT), так как манипулирование IP-заголовками необходимо для его работы.


 

А также другие работы, которые могут Вас заинтересовать

75304. Отечественная историография о происхождении средневекового города 42.5 KB
  Отечественная историография о происхождении средневекового города. Впервые проблема происхождения городского строя в Западной Европе была поставлена в отечественной медиевистике в начале XX в.Впервые в России обращение к городской истории произошло именно в историографическом аспекте. Интересуясь прежде всего проблемами аграрного развития Европы эпохи Средневековья и формируя общую концепцию генезиса феодализма Петрушевский не мог пройти мимо такого интересного сюжета европейской истории как возникновение городов.
75305. Характер, формы и основные этапы социальной борьбы в средневековом городе 35.5 KB
  Средневековые города возникали на земле королей а также светских и духовных феодалов. Они начали борьбу за свое освобождение добиваясь превращения сеньориального города в вольный а его жителей в свободных горожан. Позднее города стали бороться за политические привилегии: право на самоуправление и собственную юрисдикцию. Но это было по силам только очень богатым городам французским английским.
75306. Средневековое цеховое ремесло и его характер 39 KB
  Средневековое цеховое ремесло и его характер. Характерной особенностью средневекового ремесла в Европе была его цеховая организация объединение ремесленников определённой профессии в пределах данного города в особые союзы цехи. Цехи появились почти одновременно с возникновением городов. хотя окончательное оформление цехов получение специальных хартий от королей запись цеховых уставов и т.
75307. Производительные силы Западной Европы в V-XV веков 43.5 KB
  Производительные силы средневекового общества это люди с присущими им особенностями сознания трудовыми навыками природная среда их обитания и созданные ими в процессе жизнедеятельности орудия технологии и формы организации труда. Его характеризовали ручные орудия и низкая производительность труда отсутствие скольконибудь значительных материальных ресурсов простое нерасширенное воспроизводство. Даже крупные владения феодалов чаще всего представляли собой конгломерат более или менее значительных усадеб деревень или их групп...
75308. Культура Западной Европы в V-XI веках 43 KB
  Культура Западной Европы в VXI вв. Искусство Западной Европы в средние века. Книга представляет собой очерки истории искусства стран Западной Европы в средние века. Сюда были приглашены наиболее образованные люди тогдашней Европы.
75309. Международные связи в Западной Европе в XI-XV веков 40.5 KB
  Однако международные отношения этого периода не приняли еще достаточно регулярного характера: не было постоянных послов и дипломатических представительств не сложилось еще и международное право; само это понятие в целом едва ли применимо к этому времени развивались лишь отдельные его элементы и прежде всего право войны и морское право например Барселонское морское право оформившееся в XII в. Однако неожиданно монголотатары основательно истощенные к этому времени героическим сопротивлением Руси повернули в степи Причерноморья и...
75310. Возникновение, сущность и эволюция средневекового государства 34.5 KB
  Возникновение сущность и эволюция средневекового государства. Процесс образования централизованного феодального государства в России имел в своей основе те же общие закономерности исторического развития что и процесс образования централизованных феодальных государств в странах Западной Европы. Формы феодального государства были различными но классовая его сущность оставалась одна и та же. Характеризуя основные черты государства в средние века В.
75311. Происхождение термина «средние века» 28 KB
  Происхождение термина средние века. Термин средние века перевод с латинского выражения medium evum средний век 1 был впервые введен итальянскими гуманистами. С позиций высоких достижений культуры Возрождения средние века им виделись как период одичания и варваризации античного мира как время испорченной кухонной латыни. Келлер ввел термин средние века в общую периодизацию всемирной истории разделив ее на античность средневековье и новое время.