IPsec

Aktuální verze stránky ještě nebyla zkontrolována zkušenými přispěvateli a může se výrazně lišit od verze recenzované 4. dubna 2019; kontroly vyžadují 22 úprav .

IPsec (zkratka pro IP security ) je sada protokolů pro zajištění ochrany dat přenášených přes internetový protokol IP . Umožňuje autentizaci ( autentizaci ), kontrolu integrity a/nebo šifrování IP paketů. IPsec také zahrnuje protokoly pro bezpečnou výměnu klíčů na internetu . Používá se hlavně k organizaci VPN připojení.

Historie

Zpočátku byl internet vytvořen jako bezpečné médium pro přenos dat mezi armádou. Vzhledem k tomu, že s tím pracoval jen určitý okruh lidí, lidé vzdělaní a měli představu o bezpečnostní politice, nebylo zřejmé, že je potřeba budovat bezpečné protokoly. Zabezpečení bylo organizováno na úrovni fyzické izolace objektů od neoprávněných osob, což bylo oprávněné, když do sítě měl přístup omezený počet strojů. Když se však internet stal veřejným a začal se aktivně rozvíjet a růst, objevila se taková potřeba [1] .

A v roce 1994 vydala rada Internet Architecture Board (IAB) zprávu „Internet Architectural Security“. Věnoval se především metodám ochrany před neoprávněným sledováním, packet spoofingu a řízení toku dat. K vyřešení tohoto problému byl zapotřebí nějaký standard nebo koncept. V důsledku toho se objevily standardy bezpečných protokolů, včetně IPsec. Zpočátku obsahoval tři základní specifikace popsané v dokumentech (RFC1825, 1826 a 1827), následně je pracovní skupina IETF IP Security Protocol revidovala a navrhla nové standardy (RFC2401 - RFC2412), které se používají dodnes.

Normy

Architektura IPsec

Konstrukce zabezpečeného komunikačního kanálu může být implementována na různých úrovních modelu OSI . IPsec je implementován na síťové vrstvě . Existuje několik protichůdných argumentů ohledně výběru úrovně implementace zabezpečeného kanálu: na jedné straně je výběr vyšších úrovní podporován jejich nezávislostí na typu přenosu (volba protokolů síťové a spojové vrstvy), na straně druhé každá aplikace vyžaduje samostatné nastavení a konfiguraci. Výhodou při volbě nižších vrstev je jejich univerzálnost a viditelnost pro aplikace, nevýhodou závislost na volbě konkrétního protokolu (například PPP nebo Ethernet ). Skutečnost, že IPsec sídlí na síťové vrstvě, je kompromisem při výběru vrstvy OSI. IPsec používá nejběžnější protokol síťové vrstvy - IP , díky čemuž je použití IPsec flexibilní - lze jej použít k ochraně všech protokolů založených na IP ( TCP , UDP a další). Zároveň je transparentní pro většinu aplikací [2] .

IPsec je soubor internetových standardů a jakýsi „doplněk“ protokolu IP. Jeho jádro tvoří tři protokoly [3] :

Jedním z klíčových konceptů je také Security Association (SA). SA je ve skutečnosti sada parametrů, které charakterizují připojení. Například použitý šifrovací algoritmus a hashovací funkce , tajné klíče, číslo balíčku atd.

Tunel a způsoby dopravy

IPsec může fungovat ve dvou režimech: transport a tunel.

V transportním režimu jsou šifrována nebo podepsána pouze data IP paketu, původní hlavička je zachována. Transportní režim se obvykle používá k navázání spojení mezi hostiteli. Lze jej také použít mezi bránami k zabezpečení tunelů organizovaných jiným způsobem (viz například L2TP ).

V tunelovém režimu se zašifruje celý původní IP paket: data, hlavička, směrovací informace a následně se vloží do datového pole nového paketu, tedy dojde k zapouzdření [4] . Tunelový režim lze použít k připojení vzdálených počítačů k virtuální privátní síti nebo k organizaci zabezpečeného přenosu dat prostřednictvím otevřených komunikačních kanálů (například Internetu) mezi bránami za účelem kombinace různých částí virtuální privátní sítě .

Režimy IPsec se vzájemně nevylučují. Na stejném hostiteli mohou některé SA používat transportní režim, zatímco jiné mohou používat tunelový režim.

Security Association

Chcete-li zahájit výměnu dat mezi dvěma stranami, musíte vytvořit spojení, které se nazývá SA (Security Association). Koncept SA je pro IPsec zásadní, ve skutečnosti je jeho podstatou. Popisuje, jak budou strany využívat služby k poskytování zabezpečené komunikace. Spojení SA je simplexní (jednosměrné), takže je třeba vytvořit dvě spojení, aby strany mohly komunikovat. Za zmínku také stojí, že standardy IPsec umožňují koncovým bodům zabezpečeného kanálu používat jak jeden SA pro přenos provozu všech hostitelů interagujících tímto kanálem , tak pro tento účel vytvořit libovolný počet zabezpečených přidružení, například jedno pro každé připojení TCP. . To umožňuje zvolit požadovanou úroveň detailů ochrany. [2] Navázání spojení začíná vzájemnou autentizací stran. Dále se zvolí parametry (zda se bude provádět autentizace, šifrování, kontrola integrity dat) a požadovaný protokol (AH nebo ESP) pro přenos dat. Poté se z několika možných schémat vyberou konkrétní algoritmy (například šifrování, hašovací funkce), z nichž některá jsou definována standardem (pro šifrování - DES , pro hašovací funkce - MD5 nebo SHA-1 ), jiná jsou doplněna výrobci produktů využívajících IPsec (např. Triple DES , Blowfish , CAST ) [5] .

Databáze bezpečnostních asociací

Všechny SA jsou uloženy v SAD (Security Associations Database) modulu IPsec. Každá SA má jedinečný marker sestávající ze tří prvků [6] :

Modul IPsec s ohledem na tyto tři parametry může vyhledat konkrétní záznam SA v SAD. Seznam komponent SA obsahuje [7] :

Sériové číslo 32bitová hodnota, která se používá k vytvoření pole pořadového čísla v záhlaví AH a ESP. Přetečení sekvenčního čítače Příznak, který signalizuje přetečení čítače pořadových čísel. Znovu přehrát okno potlačení útoku Používá se k určení opakovaného přenosu paketů. Pokud hodnota v poli Sekvenční číslo nespadá do zadaného rozsahu, paket je zničen. Informace AH použitý ověřovací algoritmus, požadované klíče, životnost klíčů a další parametry. Informace o ESP šifrovací a autentizační algoritmy, požadované klíče, inicializační parametry (například IV), životnost klíče a další parametry Provozní režim IPsec tunel nebo doprava SA životnost Udává se v sekundách nebo bajtech informací procházejících tunelem. Určuje dobu trvání existence SA, při dosažení této hodnoty musí aktuální SA ukončit, v případě potřeby pokračovat ve spojení, naváže se nový SA. MTU Maximální velikost paketu, který lze odeslat přes virtuální okruh bez fragmentace.

Každý protokol (ESP/AH) musí mít vlastní SA pro každý směr, takže AH+ESP vyžaduje čtyři SA pro duplexní spojení. Všechny tyto údaje jsou uloženy v JSD.

SAD obsahuje:

Databáze bezpečnostních politik

Kromě databáze SAD podporují implementace IPsec také databázi bezpečnostních politik (SPD). SPD se používá ke korelaci příchozích IP paketů s pravidly pro jejich zpracování. Záznamy v SPD se skládají ze dvou polí. [8] V první jsou uloženy charakteristické znaky balíčků, podle kterých lze rozlišit ten či onen tok informací. Tato pole se nazývají selektory. Příklady selektorů, které jsou obsaženy v SPD [6] :

Druhé pole v SPD obsahuje bezpečnostní politiku spojenou s tímto tokem paketů. Selektory se používají k filtrování odchozích paketů, aby se každý paket přiřadil ke konkrétnímu SA. Když paket dorazí, hodnoty odpovídajících polí v paketu (pole selektoru) se porovnají s hodnotami obsaženými v SPD. Když je nalezena shoda, pole bezpečnostní politiky obsahuje informace o tom, jak naložit s tímto paketem: předat jej beze změny, zahodit nebo zpracovat. V případě zpracování je ve stejném poli odkaz na odpovídající záznam v JSD. Poté se určí SA pro paket a jeho přidružený index bezpečnostních parametrů (SPI), načež se provedou operace IPsec (operace protokolu AH nebo ESP). Pokud je paket příchozí, pak okamžitě obsahuje SPI - je provedeno odpovídající zpracování.

Authentication Header

Formát autentizační hlavičky
ofsety 16. října 0 jeden 2 3
16. října bit 10 0 jeden 2 3 čtyři 5 6 7 osm 9 deset jedenáct 12 13 čtrnáct patnáct 16 17 osmnáct 19 dvacet 21 22 23 24 25 26 27 28 29 třicet 31
0 0 Další záhlaví Užitná zátěž Len Rezervováno
čtyři 32 Index bezpečnostních parametrů (SPI)
osm 64 pořadové číslo
C 96 Hodnota kontroly integrity (ICV)
Další typ záhlaví (8 bitů) Typ záhlaví protokolu, který následuje po záhlaví AH. Pomocí tohoto pole se přijímající modul IP-sec dozví o chráněném protokolu horní vrstvy. Význam tohoto pole pro různé protokoly naleznete v RFC 1700 . Délka obsahu (8 bitů) Toto pole udává celkovou velikost hlavičky AH ve 32bitových slovech mínus 2. Při použití IPv6 však musí být délka hlavičky násobkem 8 bajtů. Rezervováno (16 bitů) Rezervováno. Vyplněno nulami. Index nastavení zabezpečení (32 bitů) Index nastavení zabezpečení. Hodnota tohoto pole spolu s cílovou IP adresou a bezpečnostním protokolem (AH protokol) jednoznačně identifikuje zabezpečené virtuální připojení (SA) pro tento paket. Rozsah hodnot SPI 1…255 je vyhrazen IANA . pořadové číslo (32 bitů) Sériové číslo. Slouží k ochraně proti opětovnému přenosu. Pole obsahuje monotónně rostoucí hodnotu parametru. Přestože se příjemce může odhlásit ze služby ochrany opětovného přenosu paketů, je to povinné a je vždy přítomno v hlavičce AH. Vysílací modul IPsec toto pole vždy používá, ale přijímač je NEMUSÍ zpracovat. Autentizační údaje Digitální podpis. Používá se k ověření a ověření integrity balíčku. Musí být doplněno na násobek 8 bajtů pro IPv6 a 4 bajty pro IPv4.

Protokol AH se používá k autentizaci, tedy k potvrzení toho, že komunikujeme přesně s tím, kdo si myslíme, že jsme, a že data, která přijímáme, nejsou při přenosu manipulována [9] .

Zpracování výstupních IP paketů

Pokud vysílající modul IPsec určí, že paket je spojen s SA, která vyžaduje zpracování AH, zahájí zpracování. V závislosti na režimu (režim transportu nebo tunelu) vkládá do IP paketu různě hlavičku AH. V transportním režimu se hlavička AH objevuje za hlavičkou protokolu IP a před hlavičkami protokolu horní vrstvy (typicky TCP nebo UDP ). V tunelovém režimu je celý zdrojový IP paket orámován nejprve hlavičkou AH a poté hlavičkou protokolu IP. Taková hlavička se nazývá vnější a hlavička původního IP paketu se nazývá vnitřní. Poté musí vysílající modul IPsec vygenerovat pořadové číslo a zapsat ho do pole Sequence Number . Po vytvoření SA je pořadové číslo nastaveno na 0 a před odesláním každého paketu IPsec se zvýší o jedničku. Kromě toho je zde kontrola, zda počítadlo prošlo v cyklech. Pokud dosáhl své maximální hodnoty, pak se nastaví zpět na 0. Pokud je použita služba prevence opětovného přenosu, pak když čítač dosáhne své maximální hodnoty, vysílací modul IPsec resetuje SA. To poskytuje ochranu proti opětovnému odeslání paketů – přijímající modul IPsec zkontroluje pole Sequence Number a ignoruje znovu příchozí pakety. Dále se vypočítá kontrolní součet ICV. Je třeba poznamenat, že zde se kontrolní součet vypočítá pomocí tajného klíče, bez kterého bude útočník schopen přepočítat hash, ale bez znalosti klíče nebude schopen vytvořit správný kontrolní součet. Specifické algoritmy používané k výpočtu ICV lze nalézt v RFC 4305 . V současné době lze použít například algoritmy HMAC-SHA1-96 nebo AES-XCBC-MAC-96. Protokol AH vypočítá kontrolní součet (ICV) z následujících polí paketu IPsec [10] :

Zpracování příchozích IP paketů

Po přijetí paketu obsahujícího zprávu protokolu AH přijímající modul IPsec vyhledá příslušné zabezpečené virtuální připojení (SA) SAD (Security Associations Database) pomocí cílové IP adresy, bezpečnostního protokolu (AH) a indexu SPI. Pokud není nalezen žádný odpovídající SA, paket je zahozen. Nalezené zabezpečené virtuální připojení (SA) udává, zda je služba využívána k zabránění opakovaného přenosu paketů, tedy nutnosti kontroly pole Sequence Number . Pokud je služba používána, je pole zaškrtnuto. To používá metodu posuvného okna k omezení vyrovnávací paměti potřebné pro fungování protokolu. Přijímací modul IPsec tvoří okno o šířce W (obvykle se W volí na 32 nebo 64 paketů). Levý okraj okna odpovídá minimálnímu pořadovému číslu ( Sequence Number ) N správně přijatého paketu. Paket s polem Sekvenční číslo obsahující hodnotu od N+1 do N+W je přijat správně. Pokud je přijatý paket na levém okraji okna, je zničen. Přijímající modul IPsec pak vypočítá ICV z příslušných polí přijatého paketu pomocí autentizačního algoritmu, který se dozví ze záznamu SA, a porovná výsledek s hodnotou ICV umístěnou v poli "Hodnota kontroly integrity". Pokud se vypočtená hodnota ICV shoduje s přijatou, pak je příchozí paket považován za platný a je přijat k dalšímu zpracování IP. Pokud kontrola selže, přijatý paket je zničen [10] .

Encapsulation Security Payload

Formát zapouzdření Security Payload
ofsety 16. října 0 jeden 2 3
16. října bit 10 0 jeden 2 3 čtyři 5 6 7 osm 9 deset jedenáct 12 13 čtrnáct patnáct 16 17 osmnáct 19 dvacet 21 22 23 24 25 26 27 28 29 třicet 31
0 0 Index bezpečnostních parametrů (SPI)
čtyři 32 pořadové číslo
osm 64 údaje o užitečné zátěži
   
  Výplň (0–255 oktetů)  
  Délka podložky Další záhlaví
Hodnota kontroly integrity (ICV)
Index parametrů zabezpečení (32 bitů) Index nastavení zabezpečení (podobný odpovídajícímu poli AH). Hodnota tohoto pole spolu s cílovou IP adresou a bezpečnostním protokolem (ESP) jednoznačně identifikuje zabezpečené virtuální připojení (SA) pro tento paket. Rozsah hodnot SPI 1…255 je vyhrazen IANA pro budoucí použití. pořadové číslo (32 bitů) Pořadové číslo (podobné odpovídajícímu poli AH). Slouží k ochraně proti opětovnému přenosu. Pole obsahuje monotónně rostoucí hodnotu parametru. Přestože se příjemce může odhlásit ze služby ochrany opětovného přenosu paketů, je vždy přítomen v hlavičce ESP. Odesílatel (vysílací modul IPsec) MUSÍ vždy použít toto pole, ale příjemce jej nemusí zpracovávat. údaje o užitečné zátěži (proměnné) Toto pole obsahuje data (v závislosti na volbě režimu - tunel nebo transport zde může být buď celý původní zapouzdřený paket nebo pouze jeho data) v souladu s polem "Další záhlaví". Toto pole je povinné a skládá se z celého čísla bajtů. Pokud algoritmus, který se používá k šifrování tohoto pole, vyžaduje data pro synchronizaci kryptoprocesů (například inicializační vektor - "Inicializační vektor" ), pak toto pole může obsahovat tato data explicitně. Výplň (0–255 oktetů) Přidání. Nezbytné například pro algoritmy, které vyžadují, aby otevřený text byl násobkem určitého počtu bajtů, jako je velikost bloku pro blokovou šifru. Délka podložky (8 bitů) Velikost výplně (v bajtech). Další záhlaví (8 bitů) Toto pole určuje typ dat obsažených v poli "Údaje o užitečné zátěži". Hodnota kontroly integrity Kontrolní součet. Používá se k ověření a ověření integrity balíčku. Musí být násobkem 8 bajtů pro IPv6 a 4 bajtů pro IPv4 [11] .

Zpracování výstupních paketů IPsec

Pokud vysílající modul IPsec určí, že paket je přidružen k SA, která vyžaduje zpracování ESP, zahájí zpracování. V závislosti na režimu (přepravní nebo tunelový režim) je původní IP paket zpracován odlišně. V transportním režimu provádí vysílací modul IPsec rámcovou proceduru pro protokol horní vrstvy (například TCP nebo UDP) pomocí hlavičky ESP (pole Security Parameters Index a Sekvenční číslo v hlavičce) a přívěsu ESP (zbývající pole hlavičky následující za datovým polem) pro toto: - Data užitečného zatížení), aniž by to ovlivnilo hlavičku původního IP paketu. V tunelovém režimu je IP paket orámován hlavičkou ESP a upoutávkou ESP ( encapsulation ), načež je orámován externí hlavičkou IP (která se nemusí shodovat s původní - například pokud je modul IPsec nainstalován na brána ) [8 ] . Dále se provádí šifrování - v transportním režimu je zašifrována pouze zpráva protokolu horní vrstvy (tedy vše, co bylo za IP hlavičkou ve zdrojovém paketu), v tunelovém režimu - celý zdrojový IP paket. Vysílající modul IPsec ze záznamu SA určuje šifrovací algoritmus a tajný klíč . Standardy IPsec umožňují použití šifrovacích algoritmů Triple DES , AES a Blowfish , pokud je obě strany podporují. Jinak se použije DES, jak je specifikováno v RFC 2405 . Protože velikost prostého textu musí být násobkem určitého počtu bajtů, například velikost bloku pro blokové algoritmy , před šifrováním se také provede nezbytné přidání zašifrované zprávy. Zašifrovaná zpráva je umístěna do pole Payload Data . Pole Délka podložky obsahuje délku podložky . Poté, stejně jako v AH, se vypočítá sekvenční číslo, po kterém se vypočítá kontrolní součet (ICV). Kontrolní součet, na rozdíl od protokolu AH, kde se při výpočtu zohledňují i ​​některá pole hlavičky IP, se v ESP počítá pouze podle polí paketu ESP mínus pole ICV. Před výpočtem kontrolního součtu je vyplněn nulami. Algoritmus výpočtu ICV, stejně jako v protokolu AH, se vysílající modul IPsec ze záznamu dozví o SA, ke kterému je zpracovaný paket přidružen.

Zpracování příchozích paketů IPsec

Po přijetí paketu obsahujícího zprávu protokolu ESP přijímající modul IPsec vyhledá vhodné zabezpečené virtuální připojení (SA) v SAD pomocí cílové IP adresy, bezpečnostního protokolu (ESP) a indexu SPI [8] . Pokud není nalezen žádný odpovídající SA, paket je zahozen. Nalezené zabezpečené virtuální připojení (SA) indikuje, zda je používána služba prevence opětovného přenosu paketů, tedy nutnost zkontrolovat pole Sekvenční číslo. Pokud je služba používána, je pole zaškrtnuto. K tomu se stejně jako v AH používá metoda posuvného okna. Přijímací modul IPsec tvoří okno o šířce W. Levý okraj okna odpovídá minimálnímu pořadovému číslu (Sequence Number) N správně přijatého paketu. Paket s polem Sekvenční číslo obsahující hodnotu od N+1 do N+W je přijat správně. Pokud je přijatý paket na levém okraji okna, je zničen. Poté, pokud je použita autentizační služba, přijímající modul IPsec vypočítá ICV z odpovídajících polí přijatého paketu pomocí autentizačního algoritmu, který se dozví ze záznamu SA, a porovná výsledek s hodnotou ICV umístěnou v "Hodnotě kontroly integrity" pole. Pokud se vypočtená hodnota ICV shoduje s přijatou, pak je příchozí paket považován za platný. Pokud kontrola selže, přijímající paket je zahozen. Dále je balíček dešifrován. Přijímající modul IPsec zjistí ze záznamu SA, který šifrovací algoritmus je použit, a tajný klíč. Je třeba poznamenat, že kontrolu kontrolního součtu a postup dešifrování lze provádět nejen postupně, ale také paralelně. V druhém případě musí procedura ověření kontrolního součtu skončit před procedurou dešifrování, a pokud selže kontrola ICV, musí být ukončena také procedura dešifrování. To umožňuje rychlejší detekci poškozených paketů, což zase zvyšuje úroveň ochrany proti útokům odmítnutí služby (útoky DOS ). Dále je dešifrovaná zpráva podle pole Next Header přenesena pro další zpracování.

ike

IKE (vyslovováno haik , zkratka pro Internet Key Exchange) je protokol, který spojuje všechny komponenty IPsec do fungujícího celku. Konkrétně IKE zajišťuje počáteční autentizaci stran a také výměnu sdílených tajemství .

Je možné ručně nastavit klíč relace (nezaměňovat s předsdíleným klíčem [PSK] pro autentizaci). V tomto případě se IKE nepoužívá. Tato možnost se však nedoporučuje a používá se jen zřídka. IKE tradičně pracuje na portu 500 UDP .

Existuje IKE a novější verze protokolu: IKEv2. Existují určité rozdíly ve specifikacích a fungování těchto protokolů. IKEv2 nastavuje parametry připojení v jedné fázi sestávající z několika kroků. Proces IKE lze rozdělit do dvou fází.

První fáze

IKE vytváří zabezpečený kanál mezi dvěma uzly nazývaný přidružení zabezpečení IKE (IKE SA). Také v této fázi se dva uzly dohodnou na klíči relace pomocí algoritmu Diffie-Hellman . První fáze IKE může probíhat v jednom ze dvou režimů [12] :

Z bezpečnostního hlediska je agresivní režim slabší, protože účastníci si začnou vyměňovat informace před vytvořením zabezpečeného kanálu, takže je možné neoprávněné zachycení dat. Tento režim je však rychlejší než ten hlavní. Podle standardu IKE je pro podporu hlavního režimu vyžadována jakákoli implementace a je vysoce žádoucí podporovat agresivní režim .

Druhá fáze

Ve druhé fázi IKE existuje pouze jeden, rychlý režim. Rychlý režim se provádí pouze po vytvoření zabezpečeného kanálu během první fáze. Vyjednává společnou politiku IPsec, získává sdílená tajemství pro algoritmy protokolu IPsec (AH nebo ESP), vytváří IPsec SA. Použití sekvenčních čísel poskytuje ochranu před útoky opakovaného přehrávání. Rychlý režim se také používá ke kontrole aktuálního přidružení zabezpečení IPsec a výběru nového při vypršení platnosti přidružení zabezpečení. Ve výchozím nastavení rychlý režim aktualizuje sdílené tajné klíče pomocí algoritmu Diffie-Hellman z první fáze.

Jak funguje IPsec

Protokoly IPsec lze rozdělit do pěti stupňů [13] :

  1. První krok začíná vytvořením bezpečnostní politiky na každém uzlu, který podporuje standard IPsec. V této fázi je určeno, který provoz má být šifrován, jaké funkce a algoritmy lze použít.
  2. Druhá fáze je v podstatě první fází IKE. Jeho účelem je zorganizovat bezpečný kanál mezi stranami pro druhou fázi IKE. Ve druhé fázi se provádějí následující:
    • Autentizace a ochrana identit uzlů
    • Kontrola zásad Node IKE SA pro zabezpečenou výměnu klíčů
    • Výměna Diffie-Hellman , přičemž každý uzel bude mít sdílený tajný klíč
    • Vytvoření zabezpečeného kanálu pro druhou fázi IKE
  3. Třetí fáze je druhou fází IKE. Jeho úkolem je vytvořit IPsec tunel. Ve třetí fázi se provádějí následující funkce:
    • Vyjednávání parametrů IPsec SA přes kanál chráněný IKE SA vytvořený v první fázi IKE
    • IPsec SA je nastaveno
    • IPsec SA je pravidelně kontrolován, aby se ujistil, že je bezpečný.
    • (Volitelně) je provedena dodatečná výměna Diffie-Hellman
  4. Pracovní fáze. Po vytvoření IPsec SA začíná výměna informací mezi uzly přes IPsec tunel pomocí protokolů a parametrů nastavených v SA.
  5. Aktuální přidružení zabezpečení IPsec jsou ukončeny. K tomu dochází, když jsou odstraněny nebo když vyprší doba životnosti (definovaná v SA v bajtech informací přenášených přes kanál nebo v sekundách), jejíž hodnota je obsažena v SAD na každém uzlu. Pokud je nutné pokračovat v přenosu, spustí se fáze IKE dvě (a první fáze, pokud je to nutné) a poté se vytvoří nové přidružení zabezpečení IPsec. Proces vytváření nových SA může nastat i před koncem těch stávajících, pokud je vyžadován nepřetržitý přenos dat.

Použití

Protokol IPsec se používá hlavně k organizaci VPN tunelů . V tomto případě protokoly ESP a AH pracují v tunelovém režimu. Kromě toho, konfigurací bezpečnostních politik určitým způsobem lze protokol použít k vytvoření firewallu . Firewall má smysl v tom, že řídí a filtruje procházející pakety v souladu s danými pravidly. Je nastavena sada pravidel a obrazovka sleduje všechny pakety, které jí procházejí. Pokud se na přenášené pakety vztahují tato pravidla, firewall je podle toho zpracuje [14] . Může například odmítnout určité pakety, čímž ukončí nezabezpečená spojení. Odpovídajícím nastavením bezpečnostní politiky můžete například zakázat webový provoz. K tomu stačí zakázat odesílání paketů, které obsahují zprávy protokolů HTTP a HTTPS . IPsec lze také použít k ochraně serverů - za tímto účelem jsou všechny pakety zahozeny, kromě paketů nezbytných pro správný výkon funkcí serveru. Například pro webový server můžete blokovat veškerý provoz kromě připojení na portu TCP 80 nebo na portu TCP 443 v případech, kdy se používá HTTPS .

Příklad [15] :

IPsec poskytuje bezpečný uživatelský přístup k serveru. Při použití protokolu ESP jsou všechna volání na server a jeho odpovědi šifrovány. Jasné zprávy jsou však odesílány za bránou VPN (v šifrovací doméně).

Další příklady použití IPsec [16] :

Viz také

Odkazy

Poznámky

  1. Stanislav Korotygin , IPSec - protokol pro ochranu síťového provozu na úrovni IP Archivováno 28. ledna 2012 na Wayback Machine .
  2. 1 2 Olifer, 2010 , str. 890.
  3. Oliver, 2010 , str. 891.
  4. Cryptographic Terminology 101 Archived 13. března 2013 na Wayback Machine , Dru Lavigne, 2002.
  5. Oliver, 2010 , str. 892.
  6. 1 2 Olifer, 2010 , str. 898.
  7. Andrew Mason, Přehled IPSec, 2002 , Část pátá: Asociace zabezpečení.
  8. 1 2 3 Olifer, 2010 , str. 896.
  9. RFC 2402 .
  10. 1 2 Olifer, 2010 , str. 895.
  11. RFC 2406 .
  12. Andrew Mason, IPSec Overview, 2002 , Část čtvrtá: Internet Key Exchange (IKE).
  13. Andrew Mason, Přehled IPSec, 2002 , Jak funguje IPSec.
  14. VPN a IPSec Demystified Archived 5. ledna 2011 na Wayback Machine , Dru Lavigne, 2002.
  15. VPN a IPSec na prstech Archivováno 12. července 2013 na Wayback Machine , opennet.ru
  16. Roman Lukovnikov , Praktická aplikace IPSec Archivováno 8. března 2013 na Wayback Machine , časopis Hacker

Literatura

 Virtuální privátní sítě (VPN)
Technika
Software
Služby VPN