Архитектура безопасности для IP (часть 1)

Введение

Рассмотрим архитектуру семейства протоколов IPsec. Цель данного семейства протоколов состоит в том, чтобы обеспечить различные сервисы безопасности на уровне IP в окружении как IPv4, так и IPv6. Кроме того, будут представлены сервисы безопасности, предоставляемые протоколами IPsec, и применение этих сервисов в IP окружении. Затем мы обсудим следующие компоненты архитектуры безопасности IPsec:

1. Протоколы безопасности – Authentication Header ( AH ) и Encapsulating Security Payload ( ESP ).
2. Безопасные Ассоциации – что это такое, как они работают и как ими управлять.
3. Управление ключом – ручное и автоматическое (Internet Key Exchange – IKE).
4. Алгоритмы, используемые для аутентификации и шифрования.

Цели разработки

IPsec предназначен для безопасного взаимодействия на основе криптографии для IPv4 и IPv6. Набор сервисов безопасности включает управление доступом, целостность соединения, аутентификацию исходных данных, защиту от replay-атак (целостность последовательности), конфиденциальность (шифрование) и конфиденциальный поток трафика. Эти сервисы предоставляются на уровне IP, обеспечивая защиту для IP и/или протоколов более высокого уровня.

IPsec поддерживает две формы целостности: целостность соединения и частичную целостность последовательности. Целостность соединения является сервисом безопасности, который определяет модификацию конкретной IP датаграммы, безотносительно последовательности датаграмм в потоке трафика. Частичная целостность последовательности является anti-reply сервисом, с помощью которого определяется получение дубликатов IP датаграмм.

Эти сервисы реализуются с использованием двух протоколов обеспечения безопасного трафика, Authentication Header ( AH ) и Encapsulating Security Payload ( ESP ), и с помощью процедур и протоколов управления криптографическим ключом. Множество применяемых IPsec протоколов и метод их использования определяются требованиями безопасности.

Когда данные механизмы установлены корректно, они не мешают пользователям, хостам и другим компонентам Internet, которые не применяют данные механизмы безопасности для защиты своего трафика. Эти механизмы являются алгоритмонезависимыми. Это означает возможность выбора различного набора алгоритмов без воздействия на другие части реализации. Например, различные группы пользователей могут выбрать при необходимости различные наборы алгоритмов.

Определен стандартный набор алгоритмов по умолчанию для обеспечения интероперабельности. Использование этих алгоритмов совместно с защитой трафика на основе IPsec и протоколами управления ключа позволяет обеспечить высокую степень криптографической безопасности.

Безопасность, обеспечиваемая IPsec, зависит от многих факторов операционного окружения, в котором IPsec выполняется. Например, от безопасности ОС, источника случайных чисел, плохих протоколов управления системой и т.д.

Обзор системы

Опишем функционирование IPsec, компоненты системы и то, как они взаимодействуют друг с другом для обеспечения сервисов безопасности.

IPsec выполняется на хосте или шлюзе безопасности, обеспечивая защиту IP- трафика. Термин "шлюз безопасности" используется для обозначения промежуточной системы, которая реализует IPsec -протоколы. Защита основана на требованиях, определенных в Базе Данных Политики Безопасности (Security Policy Database- SPD ), определяемой и поддерживаемой системным администратором. Пакеты обрабатываются одним из трех способов на основании соответствия информации заголовка IP или транспортного уровня записям в SPD. Каждый пакет либо отбрасывается сервисом безопасности IPsec, либо пропускается без изменения, либо обрабатывается сервисом IPsec на основе применения определенной политики.

IPsec обеспечивает сервисы безопасности на IP-уровне, выбирая нужные протоколы безопасности, определяя алгоритмы, используемые сервисами, и предоставляя все криптографические ключи требуемым сервисам. IPsec может использоваться для защиты одного или нескольких "путей" между парой хостов, между парой шлюзов безопасности или между шлюзом безопасности и хостом.

Как работает IPsec

IPsec использует два протокола для обеспечения безопасности трафика – Authentication Header ( AH ) и Encapsulating Security Payload ( ESP ).

• Authentication Header ( AH ) обеспечивает целостность соединения, аутентификацию исходных данных и дополнительно может обеспечивать anti-replay сервис.
• Encapsulating Security Payload ( ESP ) протокол может обеспечивать конфиденциальность (шифрование) трафика. ESP также может обеспечивать целостность соединения, аутентификацию исходных данных и дополнительно anti-replay сервис. Целостность обеспечивается только для протоколов более высокого уровня. Хотя бы один из этих сервисов должен быть задействован при использовании ESP.

Эти протоколы могут применяться как по отдельности так и в комбинации с друг другом для обеспечения необходимого набора сервисов безопасности в IPv4 и IPv6. Каждый протокол поддерживает два режима использования: режим транспорта и режим туннелирования. В транспортном режиме протоколы обеспечивают защиту главным образом для протоколов более высокого уровня; в режиме туннелирования протоколы применяются для скрытия IP-заголовков исходных пакетов. Разница между двумя режимами рассматривается дальше.

IPsec позволяет системному администратору управлять детализацией, с которой предоставляется сервис безопасности. Например, можно создать единственный зашифрованный туннель между двумя безопасными шлюзами, или для каждого ТСР соединения может быть создан зашифрованный туннель между парой хостов. IPsec позволяет указывать следующие параметры:

• Какие сервисы используются и в какой комбинации.
• Необходимый уровень детализации применяемой защиты.
• Алгоритмы, используемые для обеспечения безопасности на основе криптографии.

Где может размещаться IPsec

Существует несколько способов реализации IPsec на хосте или в соединении с роутером или firewall (для создания безопасного шлюза). Приведем несколько общих примеров:

1. Интеграция IPsec в конкретную реализацию IP. Это требует доступа к исходному коду IP и применимо как к хостам, так и к шлюзам безопасности.
2. Bump-in-the-stack (BITS) реализации, где IPsec реализован "внизу" существующей реализации стека протоколов IP, между обычным IP и локальными сетевыми драйверами. Доступа к исходному коду стека IP в данном контексте не требуется, что делает такой подход пригодным для встраивания в существующие системы. Данный подход обычно реализуется на хостах.
3. Использование внешнего криптопроцессора (обычно в военных и в некоторых коммерческих системах). Как правило, это является Bump-in-the-stack (BITS) реализацией. Такие реализации могут использоваться как на хостах, так и на шлюзах. Обычно BITS-устройства являются IP-адресуемыми.