Стек протоколів IPSec

IPsec створено для безпечної взаємодії на основі криптографії для IPv4 та IPv6. Набір сервісів безпеки включає управління доступом, цілісність з'єднання, аутентифікацію вихідних даних, захист від replay-атак (цілісність послідовності), конфіденційність (шифрування) і конфіденційний потік трафіку. Ці сервіси надаються на рівні IP, забезпечуючи захист для IP і/або протоколів більш високого рівня.

IPsec підтримує дві форми цілісності: цілісність з'єднання і часткову цілісність послідовності. Цілісність з'єднання є сервісом безпеки, який визначає модифікацію конкретної IP датаграми, безвідносно послідовності датаграмм в потоці трафіку. Часткова цілісність послідовності є anti-reply сервісом, за допомогою якого визначається отримання дублікатів IP датаграм.

Ці сервіси реалізуються з використанням двох протоколів забезпечення безпечного трафіку, Authentication Header (AH) і Encapsulating Security Payload (ESP), і за допомогою процедур та протоколів управління криптографічним ключем. Безліч застосовуваних IPsec протоколів і метод їх використання визначаються вимогами безпеки.

Коли дані механізми встановлені коректно, вони не заважають користувачам, хостів і інших компонентів Інтернет, що не застосовують дані механізми безпеки для захисту свого трафіку. Ці механізми є алгоритмонезалежними. Це означає можливість вибору різного набору алгоритмів без впливу на інші частини реалізації. Наприклад, різні групи користувачів можуть вибрати при необхідності різні набори алгоритмів.

Визначено стандартний набір алгоритмів за замовчуванням для забезпечення інтероперабельності. Використання цих алгоритмів спільно із захистом трафіку на основі IPsec і протоколами управління ключа дозволяє забезпечити високу ступінь криптографічного безпеки.

Безпека, що забезпечується IPsec, залежить від багатьох факторів операційного оточення, в якому IPsec виконується. Наприклад, від безпеки ОС, джерела випадкових чисел, поганих протоколів управління системою і т.д.

Опишемо функціонування IPsec, компоненти системи і те, як вони взаємодіють один з одним для забезпечення сервісів безпеки.



IPsec виконується на хості або шлюзі безпеки, забезпечуючи захист IP-трафіку. Термін "шлюз безпеки" використовується для позначення проміжної системи, яка реалізує IPsec-протоколи. Захист заснована на вимогах, визначених у Базі Даних Політики Безпеки (Security Policy Database-SPD), обумовленою і підтримуваної системним адміністратором. Пакети обробляються одним з трьох способів на підставі відповідності інформації заголовка IP або транспортного рівня записам у SPD. Кожен пакет або відкидається сервісом безпеки IPsec, або пропускається без зміни, або обробляється сервісом IPsec на основі застосування певної політики.

IPsec забезпечує сервіси безпеки на IP-рівні, вибираючи потрібні протоколи безпеки, визначаючи алгоритми, використовувані сервісами, і надаючи всі криптографічні ключі потрібним сервісам. IPsec може використовуватися для захисту одного або кількох "шляхів" між парою хостів, між парою шлюзів безпеки або між шлюзом безпеки і хостом.

IPsec використовує два протоколи для забезпечення безпеки трафіку - Authentication Header (AH) і Encapsulating Security Payload (ESP).

- Authentication Header (AH) забезпечує цілісність з'єднання, аутентифікацію вихідних даних і додатково може забезпечувати anti-replay сервіс.

- Encapsulating Security Payload (ESP) протокол може забезпечувати конфіденційність (шифрування) трафіку. ESP також може забезпечувати цілісність з'єднання, аутентифікацію вихідних даних і додатково anti-replay сервіс. Цілісність забезпечується тільки для протоколів більш високого рівня. Хоча б один з цих сервісів має бути задіяний при використанні ESP.

Ці протоколи можуть застосовуватися як окремо так і в комбінації з один одним для забезпечення необхідного набору сервісів безпеки в IPv4 та IPv6. Кожен протокол підтримує два режими використання: режим транспорту і режим тунелювання. У транспортному режимі протоколи забезпечують захист головним чином для протоколів більш високого рівня; в режимі тунелювання протоколи застосовуються для приховування IP-заголовків вихідних пакетів. Різниця між двома режимами розглядається далі.

IPsec дозволяє системному адміністратору керувати деталізацією, з якою надається сервіс безпеки. Наприклад, можна створити єдиний зашифрований тунель між двома безпечними шлюзами, або для кожного ТСР з'єднання може бути створений зашифрований тунель між парою хостів. IPsec дозволяє вказувати наступні параметри:

- Які сервіси використовуються і в якій комбінації.

- Необхідний рівень деталізації застосовуваної захисту.

- Алгоритми, що використовуються для забезпечення безпеки на основі криптографії.

Існує кілька способів реалізації IPsec на хості або в з'єднанні з маршрутизатором або firewall (для створення безпечного шлюзу). Наведемо кілька загальних прикладів:

1. Інтеграція IPsec в конкретну реалізацію IP. Це вимагає доступу до вихідного коду IP і застосування як до хостів, так і до шлюзів безпеки.

2. Bump-in-the-stack (BITS) реалізації, де IPsec реалізований "внизу" існуючої реалізації стека протоколів IP, між звичайним IP і локальними мережевими драйверами. Доступу до вихідного коду стека IP в даному контексті не потрібно, що робить такий підхід придатним для вбудовування в існуючі системи. Даний підхід зазвичай реалізується на хостах.

3. Використання зовнішнього кріптопроцессора (зазвичай у військових і в деяких комерційних системах). Як правило, це є Bump-in-the-stack (BITS) реалізацією. Такі реалізації можуть використовуватися як на хостах, так і на шлюзах. Зазвичай BITS-пристрої є IP-адресованими.

Базисные теоретические подходы
На ЭКГ- зубец Р не дифференцируется, желудочковый комплекс расширен
Складові ряди.
Криміналістична характеристикапротидії законній господарській діяльності
HEALTHY EATING
Классификация лекарственных поражений печени
Финансовая реформа царя Алексея и ее последствия. Медный бунт
ИММУНОДЕФИЦИТЫ И ИММУНОДЕФИЦИТНЫЕ СОСТОЯНИЯ
Техническое описание алюминиевой купольной крыши
Зелена книга України
Вопрос 47. Порядок и условия заключения брака (ст. 15, 16, 17 КоБС)
РАЗВИТИЕ НАВЫКОВ УСТНОЙ РЕЧИ НА АНГЛИЙСКОМ ЯЗЫКЕ
Прибыль, налоги и рентабельность в промышленности и энергетике
Задача № 78
Сравнительная характеристика SMART-карт и карт с магнитной полосой
Завдання на СРС
НАЦИОНАЛЬНО-ГОСУДАРСТВЕННОЕ СТРОИТЕЛЬСТВО ПО КОНСТИТУЦИИ СССР 1936 г. (30-50-е гг.)
Лексико-синтаксичний спосіб словотвору
Укр. економічна умка у 2 пол.19ст.,Народництво.
Тема 7. Развитие каналов рекламной коммуникации в России.
Принцип функционирования ретранслятора ДМЕ
Пріоритети сучасної соціально-економічної стратегії демократичних держав
Визначення термінів та мета складання Звіту про рух грошових коштів
Главная Страница