Опубликован: 19.01.2010 | Уровень: специалист | Доступ: платный
Лекция 8:

Безопасность на сетевом уровне: IP SEC

8.3. Услуги обеспечения безопасности трафика

Услуги обеспечения безопасности трафика - очень важный аспект IPSec. IPSec требует между двумя хостами логических отношений, называемых услуги обеспечения безопасности трафика (SA - Security Association). В этом разделе вначале рассмотрим идею, а затем покажем, как она используется в IPSec.

Идея услуг обеспечения безопасности трафика

Услуга обеспечения безопасности трафика(SA -Security Association) - соглашение между двумя сторонами для создания безопасного канала между ними. Предположим, что Алиса должна однонаправленно связаться с Бобом. Если Алиса и Боб интересуются только аспектом конфиденциальности и безопасности, они могут получить общедоступный ключ засекречивания для связи между собой. Мы можем сказать, что это есть две услуги обеспечения безопасности трафика ( SA 's) между Алисой и Бобом: одна SA - исходящая и одна SA - входящая. Каждый из них хранит значение ключа и имя алгоритма шифрования/дешифрования. Алиса использует алгоритм и ключ, чтобы зашифровать сообщение Бобу; Боб использует алгоритм и ключ, когда он должен расшифровать сообщение, полученное от Алисы. рис. 8.10 показывает эти простые услуги SA.

Услуги обеспечения безопасности трафика могут быть расширены, если наши две стороны нуждаются в гарантии целостности сообщения и установлении подлинности. Тогда каждое такое сообщество нуждается в дополнительных данных, например, таких как алгоритм для целостности сообщения, ключ и другие параметры. Все может быть намного сложнее, если стороны использовали различные протоколы, которые имеют разные алгоритмы и параметры - например, IPSec AH или IPSec ESP.

Простые услуги обеспечения безопасности (SA)

Рис. 8.10. Простые услуги обеспечения безопасности (SA)

База данных услуг обеспечения безопасности

Услуги обеспечения безопасности могут быть организованы очень сложно. Это особенно справедливо, если Алиса хочет передавать сообщения многим людям, а Боб должен получать сообщения от многих людей. Кроме того, каждая сторона должна иметь и входящие, и исходящие SA 's, чтобы позволить осуществлять двунаправленную связь. Другими словами, мы нуждаемся во множестве SA 's, которые могут быть собраны в базу данных. Эта база данных называется Базой данных Услуг обеспечения безопасности (SAD - Security Association Database). Базу данных можно представлять как двумерную таблицу с каждой строкой, определяющей единственную SA. Обычно есть две SAD 's: одна - входящая и одна - исходящая. рис. 8.11 показывает концепцию исходящих и входящих SAD 's для одного объекта.

 База данных услуг обеспечения безопасности

Рис. 8.11. База данных услуг обеспечения безопасности

Когда хост должен передать пакет, который должен доставить IPSec -заголовок, хост должен найти соответствующий исходящий SAD и найти информацию для того, чтобы применить услуги безопасности к пакету. Точно так же, когда хост получает пакет, который должен доставить IPSec -заголовок, хост должен найти соответствующий вход во входящем SAD, найти нужную информацию для проверки безопасности пакета. Этот поиск должен быть задан так: приемный хост должен убедиться, что для обработки пакета используется правильная информация, чтобы обработать пакет. Каждый вход во входящем SAD выбирается, используя тройной индекс: индекс параметра обеспечения безопасности, адрес пункта назначения и протокол.

  • Индекс параметра обеспечения безопасности. Индекс параметра обеспечения безопасности (SPI) - число на 32 бита, которое определяет SA в пункте назначения. Как мы увидим позже, SPI определен в течение SA -переговоров. Тот же самый SPI включен во все IPSec -пакеты, принадлежащие одному и тому же входящему SA.
  • Адрес пункта назначения. Второй индекс - адрес пункта назначения хоста. Мы должны помнить, что хост в Интернете обычно имеет один индивидуальный адрес пункта назначения, но он может иметь несколько адресов групповой рассылки. IPSec требует, чтобы SA был уникален для каждого адреса пункта назначения.
  • Протокол. IPSec имеет два различных протокола безопасности: AH и ESP. Чтобы отделить параметры и информацию, используемую для каждого протокола, IPSec требует, чтобы пункт назначения определял различный SA для каждого протокола.

Входы для каждой строки называются параметрами SA. Типичные параметры показаны в табл. 8.2.

Таблица 8.2. Типичные параметры SA
Счетчик порядкового номера Sequence Number Counter Это значение на 32 бита, которое используется, чтобы генерировать порядковые номера для AH - или ESP -заголовка
Переполнение порядкового номера Sequence Number Overflow Это флажок, который определяет варианты состояния в случае переполнения порядкового номера .
Окно антивоспроизведения Anti-Replay Window Оно обнаруживает входящий воспроизведенный пакет AH или пакет ESP
Информация AH AH Information Эта секция содержит информацию для протокола AH:
  1. Алгоритм аутентификации
  2. Ключи
  3. Время жизни ключа
  4. Другие связанные параметры
Информация ESP ESP Information Эта секция содержит информацию для протокола ESP:
  1. Алгоритм шифрования
  2. Алгоритм аутентификации
  3. Ключи
  4. Время жизни ключа
  5. Вектор инициализации
  6. Другие связанные параметры
Время жизни SA Lifetime Определяет время жизни для SA.
Режим IPSec IPSec Mode Определяет режим, транспортный или туннельный
Путь MTU Path MTU Определяет путь МАКСИМАЛЬНЫЙ ПЕРЕДАВАЕМЫЙ БЛОК (фрагментацию). This defines the path MTU (fragmentation).

8.4. Стратегия безопасности

Другой аспект импорта IPSec - Стратегия безопасности (SP - Security Policy), которая определяет тип безопасности, предоставляемой пакету, когда его нужно передать или когда его нужно принять. Перед тем как использовать SAD, рассмотренный в предыдущем разделе, хост должен определить заранее заданную стратегию обслуживания этого пакета.

База данных стратегии безопасности

Каждый хост, который использует IPSec -протокол, должен хранить Базу данных стратегии безопасности (SPD - Security Policy Database). При этом, как и раньше, необходимо иметь входящую SPD и исходящую SPD. К каждому входу в SPD можно обратиться, используя индекс из шести позиций: исходный адрес, адрес пункта назначения, название, протокола, исходный порт и порт пункта назначения, как показано на рис. 8.12.

 База данных Стратегии Безопасности (SPD)

Рис. 8.12. База данных Стратегии Безопасности (SPD)

Источник и адреса пункта назначения могут быть индивидуальные, групповой рассылки или групповой символ (wildcard1) - их имя обычно определяет в Интернете объект доменной системы имен (DNS). Протокол является или AH, или ESP. Источник и порты пункта назначения - адреса порта для процесса, функционирующего в хостах пункта назначения и источнике.

Исходящий SPD

Когда пакет нужно передать, то работают с исходящим SPD. рис. 8.13 показывает обработку пакета передатчиком.

Вход исходящего SPD состоит из шестизначного индекса; выход содержит один из трех результатов:

  1. Скинуть. Это означает, что пакет, определенный этим индексом, нельзя передать; он отбрасывается.
  2. Обход. Это означает, что нет никакой стратегии для пакета с этим индексом стратегии; пакет передают в обход, не применяя действий с заголовком безопасности.
     Исходящий процесс

    Рис. 8.13. Исходящий процесс
  3. Применить. В этом случае применяется работа с заголовком безопасности. При этом могут возникнуть две ситуации:
    • Если исходящую SA уже установили, возвращается тройной индекс SA, который выбирается соответствующей SA из исходящего SAD. Формируется AH или заголовок ESP ; шифрование, установление подлинности или оба этих действия применяются в соответствии с выбранной SA. Пакет передается.
    • Если исходящая SA еще не установлена, то вызывается протокол Интернет обмена ключами (IKE - Internet Key Exchange) (см. следующую секцию), чтобы создать исходящую и входящую SA для этого трафика. Исходящая SA добавляется источником к исходящей SAD ; входящая SA добавляется пунктом назначения к входящей SAD.

Входящий SPD

Когда пакет прибывает, то проводится работа с входящей SPD. К каждому входу во входящей SPD также обращаются, используя тот же самый шестикратный индекс. рис. 8.14 показывает обработку пакета приемником.

Вход к входящему SPD - шестикратный индекс; выход - один из трех результатов:

  1. Сбросить. Это означает, что пакет, определенный стратегией, должен быть отброшен.
  2. Обход. Это означает, что нет никакой стратегии для пакета с этим индексом стратегии; пакет обрабатывается, игнорируя информацию от AH или заголовок ESP. Пакет доставляют транспортному уровню.
  3. Применить.В этом случае заголовок безопасности должен быть обработан. Здесь могут возникнуть две ситуации:
    • если входящая SA уже установлена, возвращается тройной индекс SA, который выбирается соответствующей SA из входящего SAD. Применяются дешифрование, установление подлинности или оба этих действия. Если пакет передает критерии безопасности, AH или заголовок ESP забракован, и пакет доставляют транспортному уровню;
    • если SA еще не установлена, то пакет должен быть забракован.
 Входящий процесс

Рис. 8.14. Входящий процесс
Евгений Виноградов
Евгений Виноградов

Прошел экстерном экзамен по курсу перепордготовки "Информационная безопасность". Хочу получить диплом, но не вижу где оплатить? Ну и соответственно , как с получением бумажного документа?

Илья Сидоркин
Илья Сидоркин

Добрый день! Подскажите пожалуйста как и когда получить диплом, после сдичи и оплаты?????

Дмитрий Хитров
Дмитрий Хитров
Россия
Юрий Докучаев
Юрий Докучаев
Россия, ПГТ Яблоновский