Опубликован: 10.10.2007 | Уровень: специалист | Доступ: платный
Лекция 17:

Технология IPsec

Аннотация: Данная лекция полностью посвящена технологии IPsec. Рассматриваются принципы ее применения, основные понятия и определения, связанные с данной технологией

IPsec представляет собой набор протоколов для обеспечения безопасности сетевого соединения. Протоколы IPsec разработаны IETF (Internet Engineering Task Force). Под безопасностью здесь подразумевается: контроль доступа, обеспечение сохранности данных, идентификация отправителя, защита от атак воспроизведения и секретность обмена. Первые документы, регламентирующие IPsec, были приняты в 1998-99 годах (RFC-2401-02, -2406, -2408 и -2709). Существуют версии IPsec для IPv4 и IPv6. Важной особенностью этой технологии является то, что пользователь может даже не знать, что он пользуется IPsec и, как правило, нет необходимости адаптировать для работы с IPsec уже существующие приложения. И, тем не менее, дебаты и обсуждения области и способов применения этой технологии продолжаются. Связано это с тем, что если, например, комбинация WEB-сервера/клиента поддерживает эту функцию, разработчик должен гарантировать, что данная услуга будет доступна на всех платформах, где данное приложение может работать.

В IPsec используются две базы данных: SPD (Security Policy Database, куда записываются правила обеспечения безопасности) и SADB (Security Association Database, где хранятся данные об активных ассоциациях безопасности).

Система IPsec предлагает многовариантный механизм реализации безопасности для обоих концов соединения. Эта техника пригодна для отдельного пользователя, особенно если он работает на выезде, и для виртуальных субсетей организаций, работающих с данными, которые требуют секретности.

При использовании совместно с Firewall IPsec предоставляет высокий уровень безопасности. При этом нужно иметь в виду, что для реализации IPsec оба партнера должны иметь оборудование и/или программы, которые поддерживают эти протоколы.

IPsec предусматривает процедуры аутентификации и шифрования. Формирование и удаления заголовка IPsec может осуществляться в машине клиента или в сетевом шлюзе (маршрутизаторе).

Протокол IPsec предоставляет три вида услуг: аутентификацию ( АН ), шифрование ( ESP ) и безопасную пересылку ключей. Обычно желательны обе первые услуги, так как неавторизованный клиент не сможет проникнуть в VPN (Virtual Private Network — виртуальная частная сеть), а шифрование не позволит злоумышленникам прочитать, исказить или подменить сообщения. По этой причине протокол ESP предпочтительнее, так как он позволяет совместить обе эти услуги. Схема транспортировки данных в рамках IPsec показана на рис. 17.1. Это типичный пример IPsec -туннеля.

Общая схема преобразования данных в IPsec

Рис. 17.1. Общая схема преобразования данных в IPsec

Из рисунка видно, что IPsec -заголовки и шифрование данных присутствуют до тех пор, пока пакет транспортируется через среду, где не гарантирована безопасность.

AH и ESP

Заголовок аутентификации ( AH ) и Encapsulating Security Payload ( ESP ) являются двумя протоколами нижнего уровня, применяемыми IPsec, именно они осуществляют аутентификацию и шифрование+аутентификацию данных, передаваемых через соединение. Эти механизмы обычно используются независимо, хотя возможно (но не типично) их совместное применение.

Режим туннеля и транспортный режим

Транспортный режим обеспечивает безопасное соединение двух терминалов путем инкапсуляции содержимого IP-данных, в то время как туннельный режим инкапсулирует весь IP-пакет на участке между шлюзами. Последний вариант используется для формирования традиционной VPN, где туннель создает безопасный путь через полный опасностей Интернет.

Установление IPsec -соединения подразумевает любые варианты крипто-алгоритмов, но ситуация существенно упрощается благодаря тому, что обычно допустимо применение двух, максимум трех вариантов.

На фазе аутентификации вычисляется контрольная сумма ICV (Integrity Check Value) пакета с привлечением алгоритмов MD5 или SHA-1. При этом предполагается, что оба партнера знают секретный ключ, который позволяет получателю вычислить ICV и сравнить с результатом, присланным отправителем. Если сравнение ICV прошло успешно, считается, что отправитель пакета аутентифицирован. Протокол AH всегда осуществляет аутентификацию, а ESP выполняет ее опционно.

Шифрование использует секретный ключ для кодирования данных перед их транспортировкой, что исключает доступ к содержимому со стороны злоумышленников. В системе IPsec могут применяться следующие алгоритмы: DES, 3DES, Blowfish, CAST, IDEA, RC5 и AES. Но, в принципе, разрешены и другие алгоритмы.

Так как обе стороны диалога должны знать секретный ключ, используемый при хэшировании или шифровании, существует проблема транспортировки этих ключей. Возможен ввод ключей вручную, когда эти коды вводятся при конфигурации системы с помощью клавиатуры обоими партнерами. При этом предполагается, что доставка этих кодов осуществлена каким-то достаточно безопасным методом, алгоритм же IKE (Internet Key Exchange – обмен ключами по Интернет) является безопасным механизмом пересылки ключей в реальном масштабе времени, например, через Интернет.

Основной и агрессивный режимы

Эти режимы служат для управления балансом эффективности и безопасности при исходном обмене ключами IKE. "Основной режим" требует шести пакетов в обоих направлениях, но обеспечивает полную безопасность при установлении соединения IPsec. В агрессивном режиме используется вдвое меньше обменов, но безопасность в этом случае ниже, так как часть информации передается открытым текстом.

Пакеты IPsec транспортируются IP-дейтограммами. Заголовки IPsec (AH и ESP) размещаются сразу после IP-заголовка (описание формата IP-дейтограмм смотри в http://book.itep.ru/4/44/ip_441.htm). Тип вложенного пакета в IP идентифицируется содержимым поля протокол.

Некоторые коды поля протокол в IP-дейтограммах представлены в таблице ниже.

Код протокола Назначение
6 Протокол TCP (Transmission Control Protocol)
17 Протокол UDP (User Datagram Protocol)
41 Протокол IPv6
50 IPsec: Протокол ESP (Инкапсулированное поле данных безопасности)
51 IPsec: Протокол AH (Заголовок аутентификации)

Эти коды поля протокол определены IANA (Internet Assigned Numbers Authority). Далее будут более подробно рассмотрены два последних протокола (AH и ESP).

Наталья Шульга
Наталья Шульга

Курс "информационная безопасность" .

Можно ли на него записаться на ПЕРЕПОДГОТОВКУ по данному курсу? Выдается ли диплом в бумажном варианте и высылается ли он по почте?

Нияз Сабиров
Нияз Сабиров

Здравствуйте. А уточните, пожалуйста, по какой причине стоимость изменилась? Была стоимость в 1 рубль, стала в 9900 рублей.

Антон Шавергин
Антон Шавергин
Россия
Степан Крупа
Степан Крупа
Украина, Львів, СЗШ №65, 2012