Опубликован: 19.01.2010 | Уровень: специалист | Доступ: платный
Лекция 8:

Безопасность на сетевом уровне: IP SEC

Аннотация: В двух предыдущих лекциях мы обсудили безопасность на прикладном и транспортном уровнях. Однако такая безопасность в некоторых случаях не может быть достаточной. Во-первых, не все программы "клиент-сервер" защищены на прикладном уровне; например, PGP и S/MIME защищают только электронную почту. Во-вторых, не все программы "клиент-сервер" на прикладном уровне используют протокол TCP, который может быть защищен SSL или TLS; некоторые программы применяют обслуживание UDP. В-третьих, много приложений, таких как протоколы маршрутизации, непосредственно работают с протоколом IP; они нуждаются в службах безопасности на уровне IP.
Ключевые слова: Протокол безопасной передачи IP-пакетов (IPSec), транспортный режим, туннельный режим, услуги обеспечения безопасности (SA), протокол обмена ключами в Интернете, Интернет, IETF, Internet, engineering, task force, безопасность, сетевой уровень, protocol, IP, клиент-сервер, электронная почта, HTTP, маршрутизация, метка, хост, туннель, протокол заголовка аутентификации (AH), полезная нагрузка со встроенной защитой , ESP, encapsulating security payload, шифрование, дайджест сообщения, аутентификация данных, алгоритмы хэширования, протокол заголовка аутентификации (AH), полезная нагрузка со встр оенной защитой , message authentication, установление подлинности объекта, authentication data, non-confidential, атака воспроизведения, replay attack, база данных услуг обеспечения безопасности (SAD), скользящее окно, SA, security, association, база данных услуг обеспечения безопасности (SAD), стратегия безопасности (SP), база данных стратегии безопасности (SPD), протокол обмена ключами в Интернете (IKE), oakley, SKEME, протокол услуг обеспечения безопасности Интернета и управления ключами (ISAKMP), шифрование открытым ключом, NSA, обмен сообщениями, протокол Диффи-Хеллмана, ключ сеанса, засоряющая атака, cookies, nonce, Протокол безопасной передачи IP-пакетов (IPSec), главный режим, энергичный режим, PRF, псевдослучайная функция, фазы переговоров, MsgId, идеальная прямая безопасность (PFS), Протокол безопа сной передачи IP-пакетов (IPSec), PFS, эллиптические кривые, CBC, blowfish, RC5, vendor, индекс параметров безопасности, домен интерпретации, DOI, список аннулированных сертификатов, сертификат SPKI, payload, situational, unsupported, unavailability

Цели и содержание

Эта лекция имеет несколько целей:

  • Определить архитектуру IPSec.
  • Обсудить приложение IPSec в транспортном и туннельном режимах.
  • Обсудить, как IPSec может использоваться, чтобы обеспечить только установление подлинности.
  • Обсудить, как IPSec может использоваться, чтобы обеспечить и конфиденциальность, и установление подлинности.
  • Определить службы обеспечения безопасности (SA - Security Association) и объяснить, как они реализованы для IPSec.
  • Определить протокол обмена ключами (IKE - Internet Key Exchange) и объяснить, как он используется в IPSec.

Безопасный IP (IPSec) - совокупность протоколов, разработанных Группой Инженерной Поддержки сети Интернет (IETF Internet Engineering Task Force), чтобы обеспечить безопасность передачи пакетов на сетевом уровне. Сетевой уровень в Интернете упоминается часто как Интернет-протокол - Internet Protocol (IP). Протокол IPSec помогает создавать заверенные и конфиденциальные пакеты для уровня IP, как это показано на рис. 8.1.

Набор протоколов TCP/IP и IPSec

Рис. 8.1. Набор протоколов TCP/IP и IPSec

IPSec может быть полезен в нескольких областях. Во-первых, он может увеличить безопасность программ "клиент-сервер", таких как электронная почта, которая использует свои собственные протоколы безопасности. Во-вторых, он может увеличить безопасность программ "клиент-сервер", которые применяют службы безопасности на транспортном уровне, - например, HTTP. Он может обеспечить безопасность программ "клиент-сервер", которые не пользуются службами безопасности транспортного уровня. Он может обеспечить безопасность для программ установления связи "от-узла-к-узлу", таких как маршрутизация.

8.1. Два режима

IPSec работает в двух различных режимах - транспортном и туннельном.

Транспортный режим

В транспортном режиме IPSec защищает информацию, доставляемую от транспортного уровня к сетевому уровню. Другими словами, транспортный режим защищает полезную нагрузку сетевого уровня, и полезная нагрузка должна быть инкапсулирована в сетевой уровень, как это показано на рис. 8.2.

Транспортный режим IPSec

Рис. 8.2. Транспортный режим IPSec

Обратите внимание, что транспортный режим не защищает заголовок IP. Другими словами, транспортный режим не защищает весь пакет IP, а только пакет транспортного уровня (полезная нагрузка P-уровня). В этом режиме IPSec -заголовок (и конечная метка) добавляется к информации, прибывающей от транспортного уровня. Заголовок IP добавляется позже.

IPSec в транспортном режиме не защищает заголовок IP, а только информацию, прибывающую от транспортного уровня.

Транспортный режим обычно применяется, когда мы нуждаемся в защите данных на участке "хост-хост" ("из конца в конец"). Передающий хост использует IPSec, чтобы подтвердить подлинность и/или зашифровать полезную нагрузку, освобожденную от информации транспортного уровня. Приемный хост использует IPSec, чтобы проверить установление подлинности и/или расшифровать пакет IP и доставить его транспортному уровню. рис. 8.3 иллюстрирует эту концепцию.

Действия транспортного режима

Рис. 8.3. Действия транспортного режима

Туннельный режим

В туннельном режиме IPSec защищает весь пакет IP. Он обрабатывает пакет IP (включая заголовок), применяя методы безопасности IPSec к полному пакету, и затем добавляет новый заголовок IP, как это показано на рис. 8.4.

Туннельный режим IPSec

Рис. 8.4. Туннельный режим IPSec

Новый заголовок IP, как мы увидим, содержит иную информацию, нежели первоначальный заголовок IP. Туннельный режим обычно используется между двумя маршрутизаторами, между хостом и маршрутизатором или между маршрутизатором и хостом, как это показано на рис. 8.5. Другими словами, туннельный режим используется, когда либо передатчик, либо приемник не является хостом.

Действия туннельного режима

Рис. 8.5. Действия туннельного режима

Весь первоначальный пакет защищен от вмешательства между передатчиком и приемником, как будто весь пакет проходит мнимый туннель.

IPSec в туннельном режиме защищает первоначальный заголовок IP.

Сравнение

В транспортном режиме уровень IPSec располагается между транспортным уровнем и сетевым уровнем. В туннельном режиме поток проходит от сетевого уровня до уровня IPSec, а затем снова возвращается назад к сетевому уровню. рис. 8.6 сравнивает эти два режима.

Сравнение транспортного и туннельного режимов

Рис. 8.6. Сравнение транспортного и туннельного режимов
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Денис Сафронов
Денис Сафронов
Россия
жылдыз насырбекова
жылдыз насырбекова
Киргизия, бишкек