8788

IP-Security (IPSec)

Доклад

Информатика, кибернетика и программирование

IPSec IP-Security (IPSec) - набор протоколов сетевого уровня для защищенного обмена данными в TCP/IP сетях. Актуальная версия датируется осенью 1998 г. Допустимы два режима работы - транспортный и туннельный. Первый режим х...

Русский

2013-02-17

66 KB

10 чел.

IPSec

IP-Security (IPSec) – набор протоколов сетевого уровня для защищённого обмена данными в TCP/IP сетях [8, с. 427-436]. Актуальная версия датируется осенью 1998 г.

Допустимы два режима работы - транспортный и туннельный. Первый режим характерен для локальных сетей, а второй – глобальных. Организация соединения в этих режимах иллюстрирует рисунок 1., на котором аббревиатурой SG (Security Gateway) обозначены шлюзы защиты.

Рис. 1. Соединения IPSec.

В IPSec используется два механизма защиты – защита заголовка IP пакета и шифрование содержимого IP пакета. В первом случае к заголовку пакета добавляется заголовок идентификации, позволяющий проверить целостность и подлинность данных, а также обеспечить защиту от повторений. Во втором случае данные шифруются, обеспечивая их конфиденциальность, и с помощью дополнительного заголовка - защищаются от подмены и повторения.

Таблица 1 иллюстрирует положение заголовка идентификации АН (Authentication Header) в IP пакете в транспортном и туннельном режимах.

Таблица 1. Положение заголовка идентификации АН.

Исх.IP заголов.

ТСР заголовок и Данные

← Оригинальный IP пакет

Исх.IP заголов.

АН

ТСР заголовок и Данные

← Транспортный режим

←−−Идентификация (кроме изменяемых полей)−−−−−−−−→

Нов.IP заголов.

АН

Исх.IP заголов.

ТСР заголовок и Данные

← Тунн.р.

←−−−−−−−−−−−−−Идентификация (кроме изменяемых полей)−−−−−−−−−−−→

Согласно протоколу формирования заголовка АН данные идентификации вычисляются по всему пакету без учета изменяемых в процессе передачи по сети полей IP пакета. Формат заголовка АН приведён в таблице 2.

Таблица 2. Формат заголовка АН.

32 бита (4 байта)

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

1

2

3

4

5

6

7

8

Следующий заголовок

Длина значимых данных

Зарезервировано

Индекс параметра безопасности

Последовательный номер

Данные идентификации

В таблице 2 использованы следующие обозначения:

  •  Следующий заголовок (Next header) - указывает тип данных за заголовком АН. Поле регламентировано IANA (Internet Assigned Numbers Authority)
  •  Длина значимых данных (Payload length) – длина заголовка АН в 32битовых словах – 2
  •  Зарезервированное поле заполняется нулями
  •  Индекс параметра безопасности (Security parameters index) – идентификатор способа защиты (0 – защиты нет)
  •  Последовательный номер (Sequence number) – порядковый (с 0) номер пакета
  •  Данные идентификации (Authentication data) – например, хэш-функция неизменяемых или предсказуемых полей заголовка пакета.

В случае шифрования содержимого пакета к заголовку добавляется ESP (Encapsulated Security Payload) как это показано в таблице 3.

Таблица 3. Размещение ESP в IP пакте.

Исх.IP заголов.

ТСР заголовок и Данные

← Оригинальный IP пакет

Исх.IP заголов.

Загол.ESP

ТСР заголовок и Данные

Хв.

Иден

← Трансп.режим

                                                ←−−−−−−−Шифрование−−−−−−−−−−→

                           ←−−−−−−−−−−−−Идентификация −−−−−−−−−−−−→

         Туннельный режим

Нов.IP заголов.

Загол.ESP

Исх.IP заголов.

ТСР заголовок и Данные

Хв.

Аут

                                               ←−−−−−−−−−−−−−−−−−−−−−Шифрование−−−−−−−−−−→

                          ←−−−−−−−−−−−−−−−−−−−−−−−−−−Идентификация −−−−−−−−−−−−→

Загол(овок) ESP содержит 2 32-битных слова - индекс параметра безопасности (Security parameters index) и последовательный номер (Sequence number) (см. заголовок АН).

Хв(ост) ESP состоит из заполнителя (Padding), дополняющего блок шифруемых данных до требуемого размера и скрывающего истинный размер этих данных; 8-битового поля длины заполнителя (Pad length) и 8-битового поля следующего заголовка (Next header).

Иден(тификационные) данные (Authentication data) представляют собой «цифровую подпись» содержимого пакета.

Для защиты как IP заголовков, так и содержимого пакета следует использовать оба механизма.

 IPSec – мощный метод защиты в TCP/IP сетях, однако его широкому распространению мешает сложность и, следовательно, стоимость реализации. Так, при использовании обычных сетевых адаптеров, вычислительные процедуры настолько загружают процессор, что скорость обмена данными может уменьшиться вдвое. Специальные сетевые адаптеры, берущие на себя основные вычислительные операции, имеют примерно на порядок большую стоимость.


LAN

1

SG1

SG2

IP сеть

Транспортный режим IPSec

Internet

Туннельный режим IPSec

LAN

2

LAN

1


 

А также другие работы, которые могут Вас заинтересовать

75105. История военной авиации в марках 637.5 KB
  Несколько лет назад я увидел у дедушки в шкафу несколько альбомов. Я подумал, что там хранятся фотографии и хотел их посмотреть. Но, дедушка засмеялся и открыл альбом. Там лежали маленькие кусочки бумаги. И я спросил, что это? И дедушка Слава начал рассказ.
75106. Мое родословие. История пяти поколений моей семьи в фотографиях, воспоминаниях и семейных преданиях 551 KB
  У них одна дочь - Светлана - моя мама. Шевчук Ананина Светлана Борисовна - моя мама. Моя мама - Шевчук Светлана Борисовна родилась 12 января 1971 года в г. И это правда бабушка работала до позднего вечера в дежурном магазине поэтому мама выросла в школе.
75108. История названия улицы Каюкова 117 KB
  Многим жителям посёлка Фабрика №2 известна улица Каюкова но мало кто знает что названа она в честь Каюкова Владимира Александровича. Каюкова Евдокия Петровна и Каюков Александр Андреевич Родился Каюков в Сухом Логу его родители вскоре переехали в село Курьи на улицу Путилова в домишко деда...
75109. Functional Stylistics 238 KB
  The subject of stylistics has so far not been definitely outlined. This is due to a number of reasons. First of all there is confusion between the terms style and stylistics. The first concept is so broad that it is hardly possible to regard it as a term.
75110. Лидерство и власть. Управление поведением: подкрепление, наказание, гашение 19.12 KB
  Лидерство и власть. Власть означает способность возможность влиять на поведение других людей людей с целью подчинить их своей воле. Власть позволяет руководителю распоряжаться действиями подчиненных направлять их в русло интересов организации побуждать сотрудников и более эффективной работе предотвращать возникающие в коллективе конфликты. Определение власти как организационного процесса подразумевает следующее: Власть существует у того кто может ее использовать потенциально т.
75111. Цели и миссии организации 14.55 KB
  В условиях административного управления цели организации во многом задавались вышестоящими уровнями управления например по управлению объёмами производства затратами: в виде заданий по снижению себестоимости товарной продукции и др. Цели это: желаемый будущий результат будущее состояние объекта модель желаемого будущего которые стремится достичь организация и на достижение которых направлена её деятельность в ближайшей перспективе; некоторая область значений отдельных характеристик организации в пространстве возможных состояний...
75112. Конкурентная стратегия 15.62 KB
  Конкурентная стратегия организации нацелена на достижение конкурентных преимуществ рис. Стратегия лидерства по издержкам низких издержек производство продукции сравнимого товара с минимальными издержками с затратами меньшими чем у конкурентов при осуществлении ценовой конкуренции. Конкурентные базовые стратегии Стратегия наиболее успешна если: на рынке доминирует ценовая конкуренция покупателей много конкурентная борьба на рынке идет в основном вокруг цены; производимый товар стандартен недифференцирован его использование...