Студопедия
Новини освіти і науки:
МАРК РЕГНЕРУС ДОСЛІДЖЕННЯ: Наскільки відрізняються діти, які виросли в одностатевих союзах


РЕЗОЛЮЦІЯ: Громадського обговорення навчальної програми статевого виховання


ЧОМУ ФОНД ОЛЕНИ ПІНЧУК І МОЗ УКРАЇНИ ПРОПАГУЮТЬ "СЕКСУАЛЬНІ УРОКИ"


ЕКЗИСТЕНЦІЙНО-ПСИХОЛОГІЧНІ ОСНОВИ ПОРУШЕННЯ СТАТЕВОЇ ІДЕНТИЧНОСТІ ПІДЛІТКІВ


Батьківський, громадянський рух в Україні закликає МОН зупинити тотальну сексуалізацію дітей і підлітків


Відкрите звернення Міністру освіти й науки України - Гриневич Лілії Михайлівні


Представництво українського жіноцтва в ООН: низький рівень культури спілкування в соціальних мережах


Гендерна антидискримінаційна експертиза може зробити нас моральними рабами


ЛІВИЙ МАРКСИЗМ У НОВИХ ПІДРУЧНИКАХ ДЛЯ ШКОЛЯРІВ


ВІДКРИТА ЗАЯВА на підтримку позиції Ганни Турчинової та права кожної людини на свободу думки, світогляду та вираження поглядів



Стек протоколів IPSec

IPsec створено для безпечної взаємодії на основі криптографії для IPv4 та IPv6. Набір сервісів безпеки включає управління доступом, цілісність з'єднання, аутентифікацію вихідних даних, захист від replay-атак (цілісність послідовності), конфіденційність (шифрування) і конфіденційний потік трафіку. Ці сервіси надаються на рівні IP, забезпечуючи захист для IP і/або протоколів більш високого рівня.

IPsec підтримує дві форми цілісності: цілісність з'єднання і часткову цілісність послідовності. Цілісність з'єднання є сервісом безпеки, який визначає модифікацію конкретної IP датаграми, безвідносно послідовності датаграмм в потоці трафіку. Часткова цілісність послідовності є anti-reply сервісом, за допомогою якого визначається отримання дублікатів IP датаграм.

Ці сервіси реалізуються з використанням двох протоколів забезпечення безпечного трафіку, Authentication Header (AH) і Encapsulating Security Payload (ESP), і за допомогою процедур та протоколів управління криптографічним ключем. Безліч застосовуваних IPsec протоколів і метод їх використання визначаються вимогами безпеки.

Коли дані механізми встановлені коректно, вони не заважають користувачам, хостів і інших компонентів Інтернет, що не застосовують дані механізми безпеки для захисту свого трафіку. Ці механізми є алгоритмонезалежними. Це означає можливість вибору різного набору алгоритмів без впливу на інші частини реалізації. Наприклад, різні групи користувачів можуть вибрати при необхідності різні набори алгоритмів.

Визначено стандартний набір алгоритмів за замовчуванням для забезпечення інтероперабельності. Використання цих алгоритмів спільно із захистом трафіку на основі IPsec і протоколами управління ключа дозволяє забезпечити високу ступінь криптографічного безпеки.

Безпека, що забезпечується IPsec, залежить від багатьох факторів операційного оточення, в якому IPsec виконується. Наприклад, від безпеки ОС, джерела випадкових чисел, поганих протоколів управління системою і т.д.

Опишемо функціонування IPsec, компоненти системи і те, як вони взаємодіють один з одним для забезпечення сервісів безпеки.

IPsec виконується на хості або шлюзі безпеки, забезпечуючи захист IP-трафіку. Термін "шлюз безпеки" використовується для позначення проміжної системи, яка реалізує IPsec-протоколи. Захист заснована на вимогах, визначених у Базі Даних Політики Безпеки (Security Policy Database-SPD), обумовленою і підтримуваної системним адміністратором. Пакети обробляються одним з трьох способів на підставі відповідності інформації заголовка IP або транспортного рівня записам у SPD. Кожен пакет або відкидається сервісом безпеки IPsec, або пропускається без зміни, або обробляється сервісом IPsec на основі застосування певної політики.

IPsec забезпечує сервіси безпеки на IP-рівні, вибираючи потрібні протоколи безпеки, визначаючи алгоритми, використовувані сервісами, і надаючи всі криптографічні ключі потрібним сервісам. IPsec може використовуватися для захисту одного або кількох "шляхів" між парою хостів, між парою шлюзів безпеки або між шлюзом безпеки і хостом.

IPsec використовує два протоколи для забезпечення безпеки трафіку - Authentication Header (AH) і Encapsulating Security Payload (ESP).

- Authentication Header (AH) забезпечує цілісність з'єднання, аутентифікацію вихідних даних і додатково може забезпечувати anti-replay сервіс.

- Encapsulating Security Payload (ESP) протокол може забезпечувати конфіденційність (шифрування) трафіку. ESP також може забезпечувати цілісність з'єднання, аутентифікацію вихідних даних і додатково anti-replay сервіс. Цілісність забезпечується тільки для протоколів більш високого рівня. Хоча б один з цих сервісів має бути задіяний при використанні ESP.

Ці протоколи можуть застосовуватися як окремо так і в комбінації з один одним для забезпечення необхідного набору сервісів безпеки в IPv4 та IPv6. Кожен протокол підтримує два режими використання: режим транспорту і режим тунелювання. У транспортному режимі протоколи забезпечують захист головним чином для протоколів більш високого рівня; в режимі тунелювання протоколи застосовуються для приховування IP-заголовків вихідних пакетів. Різниця між двома режимами розглядається далі.

IPsec дозволяє системному адміністратору керувати деталізацією, з якою надається сервіс безпеки. Наприклад, можна створити єдиний зашифрований тунель між двома безпечними шлюзами, або для кожного ТСР з'єднання може бути створений зашифрований тунель між парою хостів. IPsec дозволяє вказувати наступні параметри:

- Які сервіси використовуються і в якій комбінації.

- Необхідний рівень деталізації застосовуваної захисту.

- Алгоритми, що використовуються для забезпечення безпеки на основі криптографії.

Існує кілька способів реалізації IPsec на хості або в з'єднанні з маршрутизатором або firewall (для створення безпечного шлюзу). Наведемо кілька загальних прикладів:

1. Інтеграція IPsec в конкретну реалізацію IP. Це вимагає доступу до вихідного коду IP і застосування як до хостів, так і до шлюзів безпеки.

2. Bump-in-the-stack (BITS) реалізації, де IPsec реалізований "внизу" існуючої реалізації стека протоколів IP, між звичайним IP і локальними мережевими драйверами. Доступу до вихідного коду стека IP в даному контексті не потрібно, що робить такий підхід придатним для вбудовування в існуючі системи. Даний підхід зазвичай реалізується на хостах.

3. Використання зовнішнього кріптопроцессора (зазвичай у військових і в деяких комерційних системах). Як правило, це є Bump-in-the-stack (BITS) реалізацією. Такі реалізації можуть використовуватися як на хостах, так і на шлюзах. Зазвичай BITS-пристрої є IP-адресованими.

 


Читайте також:

  1. Багаторівневий підхід. Протокол. Інтерфейс. Стек протоколів.
  2. Етапи еволюції поштових протоколів
  3. Задачі протоколів обміну файлами
  4. Класифікація протоколів
  5. Лекція 6. Протоколи транспортного рівня: TCP, UDP, стек протоколів TCP/IP. Управління TCP з’єднанням.
  6. Поняття про протоколи, інтерфейси, стеки протоколів
  7. Рівень протоколів маршрутизації
  8. ХАРАКТЕРИСТИКА ПРОТОКОЛІВ ЄВРОПЕЙСЬКОЇ КОНВЕНЦІЇ ПРО ЗАХИСТ ПРАВ ЛЮДИНИ ТА ОСНОВОПОЛОЖНИХ СВОБОД, ЩО РАТИФІКОВАНІ УКРАЇНОЮ




Переглядів: 967

<== попередня сторінка | наступна сторінка ==>
Алгоритми симетричного і асиметричного шифрування | Протокол обміну ключами в Інтернет IKE

Не знайшли потрібну інформацію? Скористайтесь пошуком google:

  

© studopedia.com.ua При використанні або копіюванні матеріалів пряме посилання на сайт обов'язкове.


Генерація сторінки за: 0.006 сек.