33650

Протокол IPSec

Доклад

Информатика, кибернетика и программирование

Протокол IPSec Шифрование данных на сетевом уровне представлено группой протоколов IPSec основанных на современных технологиях электронной цифровой подписи и шифрования данных. Протокол IPSec включает в себя: протокол аутентификации uthentiction Heder АН который привязывает данные в составе пакета к своеобразной подписи позволяющей удостовериться как в подлинности отправителя так и в целостности принятых от него данных; протокол Encpsulted Security Pylod ESP отвечающий за шифрование содержимого отдельных пакетов и даже...

Русский

2013-09-06

43.5 KB

16 чел.

15.  Протокол IPSec

Шифрование данных на сетевом уровне представлено группой протоколов IPSec, основанных на современных технологиях электронной цифровой подписи и шифрования данных.

Протокол IPSec включает в себя:

  •  протокол аутентификации (Authentication Header, АН), который «привязывает» данные в составе пакета к своеобразной подписи, позволяющей удостовериться как в подлинности отправителя, так и в целостности принятых от него данных;
  •  протокол Encapsulated Security Payload (ESP), отвечающий за шифрование содержимого отдельных пакетов (и даже некоторых IP-адресов, передаваемых в их составе). Кроме того, протокол ESP обеспечивает также аутентификацию и целостность;
  •  протокол обмена ключами (Internet Key Exchange, IKE), который предназначен для согласования используемых алгоритмов аутентификации и шифрования, ключей и продолжительности их действия, а также для защищенного обмена ключами.

Совместное использование этих протоколов осуществляется следующим образом: между узлами устанавливается защищённый канал с помощью протокола IKE. В рамках установленного канала работает протокол АН или ESP.

Протоколы аутентифицирующего заголовка (АН) и инкапсулирующей защиты содержимого (ESP) поддерживают работу в двух режимах:

- туннельном, при котором IP-пакеты защищаются целиком, включая их

заголовки;

- транспортном, обеспечивающим полную защиту только содержимого IP-пакетов.

Основным режимом является туннельный. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот, в свою очередь инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах, в роли которых могут выступать маршрутизаторы или межсетевые экраны. Между такими шлюзами и формируются защищенные туннели IPSec. Перед передачей по такому туннелю исходные IP-пакеты передающей локальной сети инкапсулируются по протоколу IPSec в защищенные IP-пакеты. После передачи на другую сторону туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты и передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный режим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено программное обеспечение, реализующее туннельный режим IPSec.

В транспортном режиме в конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Соответственно в транспортном режиме заголовок IPSec размещается между сетевым (IP) и транспортным (TCP или UDP) заголовками обычного IP-пакета. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Данный режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Кроме того, транспортный режим может применяться на шлюзах для защиты внутренних связей между одноранговыми шлюзами. Это обеспечивает эффективную защиту процесса удаленного управления маршрутизаторами, коммутаторами АТМ, межсетевыми экранами и другими ключевыми компонентами инфраструктуры сети. Работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах и в большинстве случаев требуется перепрограммирование сетевых приложений.

3.1.2. Протокол Authentication Header (АН)

Протокол аутентифицирующего заголовка (Authentication Header — АН) обеспечивает целостность IP-пакетов и аутентификацию источника данных, а также защиту от воспроизведения ранее посланных IP-пакетов. Этот протокол полностью защищает от подлога и случайного искажения содержимое IP-пакетов, включая данные протоколов более высоких уровней. Полнота защиты полей IP-заголовков зависит от используемого режима работы— туннельного или транспортного.

Протокол Authentication Header (АН) создает конверт, обеспечивающий аутентификацию источника данных, их целостность и защиту от навязывания повторных сообщений (рис. 3.1). Состав и назначение полей заголовка АН:

Следующий заголовок - указывает тип протокола вышележащего уровня (TCP, UDP, ESP, ICMP)

Длина - указывает длину заголовка в 32-битных словах

SPI (Security Parameter Index) – 32-битный индекс параметров безопасности, определяющий структуру SA (Security Association), содержащую все параметры тунеля IPSec, включая типы криптографических алгоритмов и ключи шифрования.

Порядковый номер - последовательно наращиваемое поле, используется для защиты от ложного воспроизведения

Аутентификационные данные - хэш-функция, вычисленная на основе содержимого пакета с использованием алгоритмов MD5 или SAH1. Симметричный секретный ключ шифрования устанавливается вручную или по протоколу IKE.

Формат заголовка АН

Рис 3.1

Независимо от режима работы, протокол АН предоставляет меры защиты от атак, ориентированных на нарушение целостности и подлинности пакетов сообщений. С помощью этого протокола аутентифицируется каждый пакет, что делает программы, пытающиеся перехватить управление сеансом, неэффективными. Несмотря на нахождение IP-заголовков за пределами защищенного IPSec конверта, протокол АН обеспечивает аутентификацию не только содержимого, но и заголовков IP-пакетов. Но следует иметь в виду, что аутентификация по протоколу АН не допускает манипулирование основными полями IP-заголовка во время прохождения пакета По этой причине данный протокол нельзя применять в среде, где используется механизм трансляции сетевых адресов (Network Address Translation - NAT), так как манипулирование IP-заголовками необходимо для его работы.


 

А также другие работы, которые могут Вас заинтересовать

5212. Загальні відомості про табличний процесор MS Excel 39.39 KB
  Загальні відомості про табличний процесор MSExcel 1. Основні можливості електронних таблиць Таблиці є одним із найпоширеніших різновидів документів, які використовуються у фінансово-економічній діяльності, в тому числі, у банківській справі, у...
5213. Робота з формулами в MS Excel 151.21 KB
  Робота з формулами Будова формули Будь-яка формула обов'язково починається зі знака Якщо про цей знак забути, то введене буде сприйнято як звичайний текст. Зрозуміло, що така формула працювати не буде. У загальному випадку ф...
5214. Побудова діаграм та графіків в MS Excel 33.33 KB
  Побудова діаграм та графіків 1. Робота з майстром діаграм Табличний процесор надає широкі можливості для подання даних в графічній формі.Серед них найбільш поширені діаграми. Діаграми використовуються для виявлення тенденцій зміни якогось пара...
5215. Розв’язування типових математичних задач засобами табличного процесора 55.23 KB
  Розв’язування типових математичних задачзасобами табличного процесора Задача підбору параметрів Означення.Задачею підбору параметра називається знаходження такого значення аргумента даної функції, при якому ця функція на...
5216. Робота з базами даних в MS Excel 152.64 KB
  Робота з базами даних в MSExcel Загальні положення Табличний процесор Excel забезпечує, поряд із власне обробленням електронних таблиць-аркушів, формування ділової графіки, створення, оброблення і підтримку нескладних, але великих баз та...
5217. Перетворення друкованих документів в електронну форму 31.47 KB
  Перетворення друкованих документів в електронну форму Способи подання інформації Основні різновиди природних даних, які здатний зберігати та обробляти комп'ютер, наступні: десяткові числа текст зображення звук. З м...
5218. Застосування мультимедійних технологій в процесі створення презентацій 31.83 KB
  Застосування мультимедійних технологій в процесі створення презентацій 1. Загальні відомості про презентації та пакет демонстраційної графіки PowerPoint Сучасний фахівець повинен вміти готувати і проводити публічні виступи як у межах своєї установи,...
5219. Комп’ютерні мережі та способи їх організації 33.82 KB
  Комп’ютерні мережі. Загальні відомості про комп’ютерні мережі В наш час велике значення має використання комп’ютерів для створення мереж, які формують єдиний інформаційний простір. Комп’ютерна мережа - сукупність взаємозв...