33650

Протокол IPSec

Доклад

Информатика, кибернетика и программирование

Протокол IPSec Шифрование данных на сетевом уровне представлено группой протоколов IPSec основанных на современных технологиях электронной цифровой подписи и шифрования данных. Протокол IPSec включает в себя: протокол аутентификации uthentiction Heder АН который привязывает данные в составе пакета к своеобразной подписи позволяющей удостовериться как в подлинности отправителя так и в целостности принятых от него данных; протокол Encpsulted Security Pylod ESP отвечающий за шифрование содержимого отдельных пакетов и даже...

Русский

2013-09-06

43.5 KB

16 чел.

15.  Протокол IPSec

Шифрование данных на сетевом уровне представлено группой протоколов IPSec, основанных на современных технологиях электронной цифровой подписи и шифрования данных.

Протокол IPSec включает в себя:

  •  протокол аутентификации (Authentication Header, АН), который «привязывает» данные в составе пакета к своеобразной подписи, позволяющей удостовериться как в подлинности отправителя, так и в целостности принятых от него данных;
  •  протокол Encapsulated Security Payload (ESP), отвечающий за шифрование содержимого отдельных пакетов (и даже некоторых IP-адресов, передаваемых в их составе). Кроме того, протокол ESP обеспечивает также аутентификацию и целостность;
  •  протокол обмена ключами (Internet Key Exchange, IKE), который предназначен для согласования используемых алгоритмов аутентификации и шифрования, ключей и продолжительности их действия, а также для защищенного обмена ключами.

Совместное использование этих протоколов осуществляется следующим образом: между узлами устанавливается защищённый канал с помощью протокола IKE. В рамках установленного канала работает протокол АН или ESP.

Протоколы аутентифицирующего заголовка (АН) и инкапсулирующей защиты содержимого (ESP) поддерживают работу в двух режимах:

- туннельном, при котором IP-пакеты защищаются целиком, включая их

заголовки;

- транспортном, обеспечивающим полную защиту только содержимого IP-пакетов.

Основным режимом является туннельный. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот, в свою очередь инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Между такими шлюзами и формируются защищенные туннели IPSec. Перед передачей по такому туннелю исходные IP-пакеты передающей локальной сети инкапсулируются по протоколу IPSec в защищенные IP-пакеты. После передачи на другую сторону туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты и передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный режим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено программное обеспечение, реализующее туннельный режим IPSec.

В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Соответственно в транспортном режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Данный режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Кроме того, транспортный режим может применяться на шлюзах для защиты внутренних связей между одноранговыми шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами АТМ, межсетевыми экранами и другими ключевыми компонентами инфраструктуры сети. Работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах и в большинстве случаев требуется перепрограммирование сетевых приложений.

3.1.2. Протокол Authentication Header (АН)

Протокол аутентифицирующего заголовка (Authentication Header — АН) обеспечивает целостность IP-пакетов и аутентификацию источника данных, а также защиту от воспроизведения ранее посланных IP-пакетов. Этот протокол полностью защищает от подлога и случайного искажения содержимое IP-пакетов, включая данные протоколов более высоких уровней. Полнота защиты полей IP-заголовков зависит от используемого режима работы— туннельного или транспортного.

Протокол Authentication Header (АН) создает конверт, обеспечивающий аутентификацию источника данных, их целостность и защиту от навязывания повторных сообщений (рис. 3.1). Состав и назначение полей заголовка АН:

Следующий заголовок - указывает тип протокола вышележащего уровня (TCP, UDP, ESP, ICMP)

Длина - указывает длину заголовка в 32-битных словах

SPI (Security Parameter Index) – 32-битный индекс параметров безопасности, определяющий структуру SA (Security Association), содержащую все параметры тунеля IPSec, включая типы криптографических алгоритмов и ключи шифрования.

Порядковый номер - последовательно наращиваемое поле, используется для защиты от ложного воспроизведения

Аутентификационные данные - хэш-функция, вычисленная на основе содержимого пакета с использованием алгоритмов MD5 или SAH1. Симметричный секретный ключ шифрования устанавливается вручную или по протоколу IKE.

Формат заголовка АН

Рис 3.1

Независимо от режима работы, протокол АН предоставляет меры защиты от атак, ориентированных на нарушение целостности и подлинности пакетов сообщений. С помощью этого протокола аутентифицируется каждый пакет, что делает программы, пытающиеся перехватить управление сеансом, неэффективными. Несмотря на нахождение IP-заголовков за пределами защищенного IPSec конверта, протокол АН обеспечивает аутентификацию не только содержимого, но и заголовков IP-пакетов. Но следует иметь в виду, что аутентификация по протоколу АН не допускает манипулирование основными полями IP-заголовка во время прохождения пакета По этой причине данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов (Network Address Translation - NAT), так как манипулирование IP-заголовками необходимо для его работы.


 

А также другие работы, которые могут Вас заинтересовать

3311. Разработка алгоритмов диагностирования 146.5 KB
  Задание: разработка алгоритмов диагностирования. Функционально-логическая модель объекта контроля представлена в бланке задания. Таблицу функций неисправностей принимаем из первой расчетно-графической работы. Которая представлена в Таблице 1. Таблиц...
3312. Теплотехнической система газотурбинной установки 490.5 KB
  В данном курсовом проекте в качестве теплотехнической системы исследуется газотурбинная установка. Топливом для ГТУ является природный газ. Выполнение курсового проекта производится в определенной последовательности, которая характерна методике мате...
3313. Кроектирование мостового грейферного крана 237 KB
  Введение Мостовые краны относятся к кранам пролётного типа. Данные краны широко применяются на судоремонтных заводах, закрытых и открытых складах, в мастерских, производственных цехах, на монтажных и ремонтных площадках, а также на всех промышленных...
3314. Обработка результатов измерений. Лабораторные работы 3.8 MB
  Обработка результатов измерений 1. Прямые и косвенные измерения Изучение физических явлений и их закономерностей, а также использование этих закономерностей на практике связано с измерением физических величин. По способу получения результатов физиче...
3315. Измерение длин штангенциркулем и микрометром 432 KB
  Измерение длин штангенциркулем и микрометром Цель работы: овладение навыками измерения линейных размеров тел с помощью штангенциркуля и микрометра, определение погрешности прямых измерений, определение объема и площади образца. Приборы и принадлежно...
3316. Кино Италии (1896 - 1929) 341 KB
  Кино Италии (1896 - 1929) В начале XIX века Италия, под руководством Джузеппе Гарибальди объединилась в единое государство. Для нового государства нужны были колонии, поэтому начались захватнические войны. Первая Абессинская компания (1896) закончил...
3317. Изготовление скрин-фильма 2.3 MB
  Изготовление скрин-фильма Скрин-фильм – это видеофильм, созданный на основе книжных иллюстраций к небольшим рассказам, сказкам, стихотворениям и сопровождаемый фонограммой, записанной с микрофона или скачанной из сети Интернет. Т.е. это видео и...
3318. Расчет плазмотрона и определение его характеристик 203.5 KB
  Пояснительная записка к курсовой работе: 24 с., 4 рис., 1 таблица, 5 источников. Объект исследования – электродуговой плазмотрон постоянного тока косвенного действия. Цель работы – определение основных характеристик плазмотрона. Метод иссл...
3319. Чрезвычайные ситуации в мирное и военное время. 1.17 MB
  Краткая характеристика чрезвычайных ситуаций мирного и военного времени Введение. Понятие о хирургии, травмах.  Чрезвычайные ситуации мирного времени.  Возможные аварии, катастрофы и стихийные бедствия в г. Воронеже и области...