Сетевой протокол безопасности IPSec
IPsec (сокращение от IP Security) – протокол для обеспечения защиты данных, передаваемых по межсетевому протоколу IP, позволяющий осуществлять подтверждение подлинности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищенного обмена ключами в сети Интернет.
IPsec является неотъемлемой частью IPv6 и необязательным расширением IPv4.
Протоколы IPsec работают на сетевом уровне модели OSI. Другие широко распространенные протоколы безопасности, такие как SSL и TLS, работают на транспортном уровне. Это делает IPsec более гибким, поскольку IPsec может использоваться для защиты любых протоколов, базирующихся на TCP и UDP. В то же время увеличивается его сложность из-за невозможности использовать протокол TCP для обеспечения надежной передачи данных.
IPsec может быть работать как на отдельном хосте, так и на шлюзе, защищающем локальную сеть. Заголовок любого пакета, проходящего через границу, анализируется на соответствие политикам безопасности, далее пакет может быть либо передан дальше без изменений, либо уничтожен, либо обработан с помощью протоколов защиты данных. Для защиты данных создаются так называемые SA (Security Associations) – безопасные соединения, представляющие собой виртуальные однонаправленные каналы для передачи данных. Для двунаправленной связи требуется два SA.
Параметры политик безопасности и безопасных соединений хранятся в двух таблицах: базе данных политик безопасности (SPD – Security Policy Database) и базе данных безопасных соединений (SAD – Security Association Database). Записи в SPD определяют в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего SA, реализация IPsec по протоколу IKE согласовывает с другой стороной создание нового SA и его параметры.
В IPSec может быть определена и третья таблица – база данных для авторизации узлов (Peer Authorization Database ‑ PAD), предназначенная для хранения сведений об узлах, которым разрешено создавать SA с данным узлом, и о допустимых параметрах этих SA.
Существует два режима работы IPsec: транспортный и туннельный режим.
В транспортном режимешифруется (или подписывается) только информативная часть IP-пакета. Маршрутизация не затрагивается, так как заголовок IP пакета не изменяется (не шифруется). Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (например IP tunnel).
В туннельном режиме IP-пакет шифруется целиком. Для того, чтобы его можно было передать по сети, он помещается в другой IP-пакет. По существу, это защищенный IP-туннель. Туннельный режим может использоваться для подключения удаленных компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например Интернет) между шлюзами для объединения разных частей виртуальной частной сети.
Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.
Дата добавления: 2018-05-10; просмотров: 1327;