Безопасность на сетевом уровне: IP SEC

8.7. Рекомендованная литература

Для более детального изучения положений, обсужденных в этой лекции, мы рекомендуем нижеследующие книги и сайты. Пункты, указанные в скобках, показаны в списке ссылок в конце.

Книги

[ DH03], [ FraOl], [ KPS02], [ Res0l], [ Sta06], [ Rhe03] полностью рассматривают IPSec.

Сайты

Нижеследующие сайты дают больше информации о темах, обсужденных в этой лекции.

• http://www.unixwiz.net/techtips/iguide-ipsec.html
• http://www.ietf.org/rfc/rfc2401.txt
• http://rfc.net/rfc240l.html

8.8. Итоги

• Безопасность IP ( IPSec ) - совокупность протоколов, разработанных IETF (Группа Инженерной поддержки сети Интернет) для того, чтобы обеспечить безопасность передачи пакетов на сетевом уровне.
• IPSec работает в транспортном или туннельном режиме. В транспортном режиме IPSec защищает информацию, доставляемую от транспортного уровня к сетевому уровню, но не защищает заголовок IP. В туннельном режиме IPSec защищает весь пакет IP, включая первоначальный заголовок IP.
• IPSec определяет два протокола: протокол заголовка аутентификации (AH) и полезную нагрузку со встроенной защитой (ESP). Эти протоколы обеспечивают аутентификацию, шифрование или и то и другое для пакетов на уровне IP. Протокол заголовка аутентификации (AH) подтверждает подлинность хоста источника и гарантирует целостность полезной нагрузки, которую несет пакет IP. Протокол " полезная нагрузка со встроенной защитой " ( ESP ) обеспечивает исходную аутентификацию, целостность и секретность. ESP добавляет к формату заголовок и конечную метку.
• IPSec косвенно обеспечивает управление доступом, используя базу данных услуг обеспечения безопасности (SAD).
• В IPSec стратегия безопасности (SP) определяет, какая безопасность должна быть обеспечена пакету в передатчике или в приемнике. IPSec использует множество стратегий безопасности, называемых базой данных стратегии безопасности (SPD).
• Смена ключей в Интернете ( IKE ) - протокол, предназначенный для создания услуг обеспечения безопасности (SA) для входящих и исходящих соединений. IKE создает SA 's для IPSec.
• IKE - сложный протокол, который базируется на трех других протоколах: Oakley, SKEME и ISAKMP.
• IKE работает в двух фазах: фаза I и фаза II. Фаза I создает SA 's для фазы II; фаза II создает SA 's для протокола обмена данными, такого как IPSec.
• ISAKMP -протокол разработан для того, чтобы доставить сообщение для протокола IKE.

8.9. Набор для практики

Обзорные вопросы

1. Покажите различия между двумя режимами IPSec.
2. Определите протокол AH и услуги безопасности, которые он обеспечивает.
3. Определите протокол ESP и услуги безопасности, которые он обеспечивает.
4. Определите услуги обеспечения безопасности (SA) и объясните их цель.
5. Определите SAD и объясните его отношение к услугам обеспечения безопасности.
6. Определите стратегию безопасности и объясните ее цель в отношении к IPSec.
7. Определите IKE и объясните, почему этот протокол необходим в IPSec.
8. Определите фазы IKE и цели каждой фазы.
9. Определите ISAKMP и его отношение к IKE.
10. Перечислите типы полезной нагрузки ISAKMP и цель каждого типа.

Упражнения

1. Хост получает аутентифицированный пакет с порядковым номером 181. Окно ответа имеет промежуток от 200 до 263. Что хост сделает с пакетом? Каков будет промежуток окна после этого события?
2. Хост получает аутентифицированный пакет с порядковым номером 208. Окно ответа имеет промежуток от 200 до 263. Что хост сделает с пакетом? Каков будет промежуток окна после этого события?
3. Хост получает аутентифицированный пакет с порядковым номером 331. Окно ответа имеет промежуток от 200 до 263. Что хост сделает с пакетом? Каков будет промежуток окна после этого события?
4. Диаграмма для вычисления SKEYID при методе предварительного совместного ключа показана на рис. 8.44. Обратите внимание, что ключ к функции prf в этом случае - предварительный совместный ключ.
   

   
   Рис. 8.44. Упражнение 14
   • нарисуйте подобную диаграмму SKEYID для метода открытого ключа.
   • нарисуйте подобную диаграмму SKEYID для метода цифровой подписи.
5. Нарисуйте диаграмму, подобную рис. 8.44, для приводимых ниже случаев; ключ в каждом случае - SKEYID.
   • SKEYID_a
   • SKEYID_d
   • SKEYID_e
6. Нарисуйте диаграмму, подобную рис. 8.44, для приводимых ниже случаев, ключ в каждом случае - SKEYID.
   • HASH1
   • HASH-R
7. Нарисуйте диаграмму, подобную рис. 8.44, для следующего случая; ключ в каждом случае - SKEYID_d.
   • HASH1
   • HASH2
   • HASH3
8. Нарисуйте диаграмму, подобную рис. 8.44, для следующего случая; ключ в каждом случае - SKEYID _d.
   • K для случая без PFS
   • K для случая с PFS
9. Повторите упражнение для случая, в котором длина K - слишком мала.
10. Начертите диаграмму и покажите ISAKMP -пакеты, которыми обменялись инициатор и респондент, использующие метод предварительного совместного ключа в главном режиме (см. рис. 8.20). Используйте по крайней мере два пакета предложения с двумя пакетами преобразования для каждого предложения.
11. Повторите упражнение 10, используя метод первоначального открытого ключа в главном режиме (см. рис. 8.21).
12. Повторите упражнение 10, используя пересмотренный метод открытого ключа в главном режиме (см. рис. 8.22).
13. Повторите упражнение 10, используя метод цифровой подписи в главном режиме (см. рис. 8.23).
14. Повторите упражнение 10 в энергичном режиме (см. рис. 8.24).
15. Повторите упражнение 11 в энергичном режиме (см. рис. 8.25).
16. Повторите упражнение 12 в энергичном режиме (см. рис. 8.26).
17. Повторить упражнение 13 в энергичном режиме (см. рис. 8.27).
18. Нарисуйте диаграмму и покажите фактические ISAKMP -пакеты, которыми обменялись инициатор и респондент в быстром режиме (см. рис. 8.28).
19. Сравните методы предварительного совместного ключа в главном и энергичном режимах. Что сделано в энергичном режиме для безопасности? Каково увеличение эффективности?
20. Сравните общие методы открытого ключа в главном и энергичном режимах. Что сделано в агрессивном режиме относительно безопасности? Каково увеличение эффективности?
21. Сравните пересмотренные методы открытого ключа в главном и агрессивном режимах. Что сделано в агрессивном режиме относительно безопасности? Каково увеличение эффективности?
22. Сравните метод цифровой подписи в главном и агрессивном режимах. Что сделано в агрессивном режиме относительно безопасности? Каково увеличение эффективности?
23. В главном и агрессивном режиме - мы предполагаем, что злоумышленник не может вычислить SKEYID. Приведите доводы в пользу этого предположения.
24. В фазе I IKE идентификатор обычно определяется как адрес IP. В предварительном общедоступном методе предварительный совместный ключ - также функция адреса IP. Покажите, как это может создать порочный круг.
25. Сравните методы для главного режима и покажите, какой метод позволяет обменяться защищенными ID.
26. Повторите упражнение для энергичных методов.
27. Покажите, как IKE реагирует на атаку воспроизведения в главном режиме, - то есть покажите, как IKE отвечает нападающему, который пытается воспроизвести одно или более сообщений в главном режиме
28. Покажите, как IKE реагирует на атаку воспроизведения в энергичном режиме, - то есть покажите, как IKE отвечает нападающему, который пытается воспроизвести одно или более сообщений в энергичном режиме.
29. Покажите, как IKE реагирует на атаку воспроизведения в быстром режиме, - то есть покажите, как IKE отвечает нападающему, который пытается воспроизвести одно или более сообщений в быстром режиме.
30. Покажите, как IPSec реагирует на атаку грубой силы. Если злоумышленник может сделать исчерпывающий компьютерный поиск, сможет ли он найти ключ шифрования для IPSec?