Ipsec - це

IPSec (скорочення від IP Security) - набір протоколів для забезпечення захисту даних, що передаються по межсетевому протоколу IP. дозволяє здійснювати підтвердження автентичності та / або шифрування IP-пакетів. IPsec також включає в себе протоколи для захищеного обміну ключами в мережі Інтернет. В основному, застосовується для організації vpn-з'єднання.

  • RFC 2401 (Security Architecture for the Internet Protocol) - Архітектура захисту для протоколу IP.
  • RFC 2402 (IP Authentication header) - Аутентифікаційні заголовок IP.
  • RFC 2403 (The Use of HMAC-MD5-96 within ESP and AH) - Використання алгоритму хешування MD-5 для створення аутентификационного заголовка.
  • RFC 2404 (The Use of HMAC-SHA-1-96 within ESP and AH) - Використання алгоритму хешування SHA-1 для створення аутентификационного заголовка.
  • RFC 2405 (The ESP DES-CBC Cipher Algorithm With Explicit IV) - Використання алгоритму шифрування DES.
  • RFC 2406 (IP Encapsulating Security Payload (ESP)) - Шифрування даних.
  • RFC 2407 (The Internet IP Security Domain of Interpretation for ISAKMP) - Область застосування протоколу управління ключами.
  • RFC 2408 (Internet Security Association and Key Management Protocol (ISAKMP)) - Управління ключами і аутентифікатор захищених з'єднань.
  • RFC 2409 (The Internet Key Exchange (IKE)) - Обмін ключами.
  • RFC 2410 (The NULL Encryption Algorithm and Its Use With IPsec) - Нульовий алгоритм шифрування і його використання.
  • RFC 2411 (IP Security Document Roadmap) - Подальший розвиток стандарту.
  • RFC 2412 (The OAKLEY Key Determination Protocol) - Перевірка відповідності ключа.

архітектура IPsec

Протоколи IPsec, на відміну від інших добре відомих протоколів SSL і TLS. працюють на мережному рівні (рівень 3 моделі OSI). Це робить IPsec гнучкішим, так що він може використовуватися для захисту будь-яких протоколів, що базуються на TCP і UDP. IPsec може використовуватися для забезпечення безпеки між двома IP-вузлами. між двома шлюзами безпеки або між IP-вузлом і шлюзом безпеки. Протокол є "надбудовою" над IP-протоколом, і обробляє сформовані IP-пакети описаним нижче способом. IPsec може забезпечувати цілісність і / або конфіденційність даних переданих по мережі.

IPsec використовує такі протоколи для виконання різних функцій:

  • Authentication Header (АН) забезпечує цілісність віртуального з'єднання (переданих даних), аутентифікацію джерела інформації та додаткову функцію щодо запобігання повторної передачі пакетів
  • Encapsulating Security Payload (ESP) може забезпечити конфіденційність (шифрування) переданої інформації, обмеження потоку конфіденційного трафіку. Крім цього, він може забезпечити цілісність віртуального з'єднання (переданих даних), аутентифікацію джерела інформації та додаткову функцію щодо запобігання повторної передачі пакетів (Всякий раз, коли застосовується ESP, в обов'язковому порядку повинен використовуватися той чи інший набір даних послуг із забезпечення безпеки)
  • Security Association (SA) забезпечують зв'язку алгоритмів і даних, які надають параметри, необхідні для роботи AH і / або ESP. Internet Security Association and Key Management Protocol (ISAKMP) забезпечує основу для аутентифікації і обміну ключами, перевірки автентичності ключів.

Security Association

Концепція "захищеного віртуального з'єднання" (SA, "Security Association") є фундаментальною в архітектурі IPsec. SA є симплексному з'єднання. яке формується для транспортування по ньому відповідного трафіку. При реалізації послуг безпеки формується SA на основі використання протоколів AH або ESP (або обох одночасно). SA визначено відповідно до концепції межтермінального з'єднання (point-to-point) і може функціонувати в двох режимах: транспортний режим (РТР) і режим тунелювання (РТУ). Транспортний режим реалізується при SA між двома IP-вузлами. У режимі тунелювання SA формує IP-тунель.

Все SA зберігаються в базі даних SADB (Security Associations Database) IPsec-модуля. Кожне SA має унікальний маркер, що складається з трьох елементів:

IPsec-модуль, маючи ці три параметри, може відшукати в SADB запис про конкретний SA. У список компонентів SA входять:

Послідовний номер 32-бітове значення, яке використовується для формування поля Sequence Number в заголовках АН і ESP. Переповнення лічильника порядкового номера Прапор, який сигналізує про переповнення лічильника послідовного номера. Вікно для придушення атак відтворення Використовується для визначення повторної передачі пакетів. Якщо значення в поле Sequence Number не влучає у заданий діапазон, то пакет знищується. Інформація AH використовуваний алгоритм аутентифікації, необхідні ключі, час життя ключів та інші параметри. Інформація ESP алгоритми шифрування і аутентифікації, необхідні ключі, параметри ініціалізації (наприклад, IV), час життя ключів та інші параметри Режим роботи IPsec тунельний або транспортний MTU Максимальний розмір пакета, який можна передати по віртуальному каналу без фрагментації.

Так як захищені віртуальні з'єднання (SA) є симплексними. то для організації дуплексного каналу, як мінімум, потрібні два SA. Крім цього, кожен протокол (ESP / AH) повинен мати свою власну SA для кожного напрямку, тобто, зв'язка AH + ESP вимагає наявності чотирьох SA. Всі ці дані розташовуються в SADB.

У SADB містяться:

  • AH: алгоритм аутентифікації.
  • AH: секретний ключ для аутентифікації
  • ESP: алгоритм шифрування.
  • ESP: секретний ключ шифрування.
  • ESP: використання аутентифікації (так / ні).
  • Параметри для обміну ключами
  • обмеження маршрутизації
  • IP політика фільтрації

Крім бази даних SADB, реалізації IPsec підтримують базу даних SPD (Security Policy Database- База даних політик безпеки). Запис в SPD складається з набору значень полів IP-заголовка і полів заголовка протоколу верхнього рівня. Ці поля називаються селекторами. Селектори використовуються для фільтрації вихідних пакетів, з метою поставити кожен пакет у відповідність з певним SA. Коли формується пакет, порівнюються значення відповідних полів в пакеті (селекторні поля) з тими, які містяться SPD. Знаходяться відповідні SA. Потім визначається SA (в разі, якщо воно є) для пакета і пов'язаний з нею індекс параметрів безпеки (SPI). Після чого виконуються операції IPsec (операції протоколу AH або ESP).

Приклади селектор, які містяться в SPD:

Authentication Header

Authentication Header format

Протокол AH використовується для аутентифікації, тобто для підтвердження того, що ми зв'язуємося саме з тим, з ким припускаємо, і що дані, які ми отримуємо, не перекручені при передачі.

Обробка вихідних IP-пакетів

Якщо передавальний IPsec-модуль визначає, що пакет пов'язаний з SA, яке передбачає AH-обробку, то він починає обробку. Залежно від режиму (транспортний або режим тунелювання) він по-різному вставляє AH-заголовок в IP-пакет. У транспортному режимі AH-заголовок розташовується після заголовка протоколу IP і перед заголовками протоколів верхнього рівня (Зазвичай, TCP або UDP). У режимі тунелювання весь вихідний IP-пакет обрамляється спочатку заголовком AH, потім заголовком IP-протоколу. Такий заголовок називається зовнішнім, а заголовок вихідного IP-пакета- внутрішнім. Після цього передавальний IPsec-модуль повинен згенерувати послідовний номер і записати його в поле Sequence Number. При встановленні SA послідовний номер встановлюється в 0, і перед відправкою кожного IPsec-пакета збільшується на одиницю. Крім того, відбувається проверка- не зациклений чи лічильник. Якщо він досяг свого максимального значення, то він знову встановлюється в 0. Якщо використовується послуга щодо запобігання повторної передачі, то при досягненні лічильника свого максимального значення, що передає IPsec-модуль переустановлює SA. Таким чином забезпечується захист від повторної посилки пакета - приймальний IPsec-модуль буде перевіряти поле Sequence Number. і ігнорувати повторно приходять пакети. Далі відбувається обчислення контрольної суми ICV. Треба зауважити, що тут контрольна сума обчислюється із застосуванням секретного ключа, без якого зловмисник зможе заново обчислити хеш, але не знаючи ключа, не зможе сформувати правильну контрольну суму. Конкретні алгоритми, що використовуються для обчислення ICV, можна дізнатися з RFC 4305. В даний час можуть застосовуватися, наприклад, алгоритми HMAC-SHA1-96 або AES-XCBC-MAC-96. Протокол АН обчислює контрольну суму (ICV) за наступними полями IPsec-пакета:

Обробка вхідних IP-пакетів

Encapsulating Security Payload

Encapsulating Security Payload format

Обробка вихідних IPsec-пакетів

Якщо передавальний IPsec-модуль визначає, що пакет пов'язаний з SA, яке передбачає ESP-обробку, то він починає обробку. Залежно від режиму (транспортний або режим тунелювання) вихідний IP-пакет обробляється по-різному. У транспортному режимі передає IPsec-модуль здійснює процедуру обрамлення (інкапсуляції) протоколу верхнього рівня (наприклад, TCP або UDP), використовуючи для цього ESP-заголовок і ESP-кінцевик, не зачіпаючи при цьому заголовок вихідного IP-пакета. У режимі тунелювання IP-пакет обрамляється ESP-заголовком і ESP-кінцевиком, після чого обрамляється зовнішнім IP-заголовком. Далі проводиться шіфрованіе- в транспортному режимі шифрується тільки повідомлення протоколу вище лежачого рівня (тобто все, що знаходилося після IP-заголовка у вихідному пакеті), в режимі туннелірованія- весь вихідний IP-пакет. Передавальний IPsec-модуль із запису про SA визначає алгоритм шифрування і секретний ключ. Стандарти IPsec дозволяють використання алгоритмів шифрування triple-DES, AES і Blowfish. Так як розмір відкритого тексту повинен бути кратний певному числу байт, наприклад, розміром блоку для блокових алгоритмів, перед шифруванням проводиться ще й необхідне доповнення шифруемого повідомлення. Защіфрованное повідомлення поміщається в поле Payload Data. В поле Pad Length поміщається довжина доповнення. Потім, як і в AH, обчислюється Sequence Number. Після чого вважається контрольна сума (ICV). Контрольна сума, на відміну від протоколу AH, де при її обчисленні враховуються також і деякі поля IP-заголовка, в ESP обчислюється тільки по полях ESP-пакета за вирахуванням поля ICV. Перед обчисленням контрольної суми воно заповнюється нулями. Алгоритм обчислення ICV, як і в протоколі AH, передає IPsec-модуль дізнається із запису про SA, з яким пов'язаний опрацьований пакет.

Обробка вхідних IPsec-пакетів

Використання

Протокол IPsec використовується, в основному, для організації VPN-тунелів. У цьому випадку протоколи ESP і AH працюють в режимі тунелювання. Крім того, налаштовуючи політики безпеки певним чином, протокол можна використовувати для створення мережевого доступу. Сенс брандмауера полягає в тому, що він контролює і фільтрує проходять через нього пакети відповідно до заданих правил. Встановлюється набір правил, і екран переглядає всі, хто проходить через нього пакети. Якщо передані пакети потрапляють під дію цих правил, міжмережевий екран обробляє їх відповідним чином. Наприклад, він може відхиляти певні пакети, тим самим припиняючи небезпечні сполуки. Налаштувавши політику безпеки відповідним чином, можна, наприклад, заборонити інтернет-трафік. Для цього достатньо заборонити відсилання пакетів, в які вкладаються повідомлення протоколів HTTP і HTTPS. IPsec можна застосовувати і для захисту серверів - для цього відкидаються всі пакети, окрім пакетів, необхідних для коректного виконання функцій сервера. Наприклад, для Web-сервера можна блокувати весь трафік, за винятком з'єднань через 80-й порт протоколу TCP, або через порт TCP 443 в випадках, коли застосовується HTTPS.

Дивитися що таке "IPsec" в інших словниках:

IPSec - im TCP / IP-Protokollstapel: Anwendung HTTP IMAP SMTP DNS ... Transport TCP UDP ... Deutsch Wikipedia

IPsec - im TCP / IP-Protokollstapel: Anwendung HTTP IMAP SMTP DNS ... Transport TCP UDP Internet IPsec Netzzugang ... Deutsch Wikipedia

Ipsec - im TCP / IP-Protokollstapel: Anwendung HTTP IMAP SMTP DNS ... Transport TCP UDP ... Deutsch Wikipedia

IPsec - (abreviatura de Internet Protocol security) es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre el Protocolo de Internet (IP) autenticando y / o cifrando cada paquete IP en un flujo de datos. IPsec también incluye ... ... Wikipedia Español

IPSEC - (Internet Protocol Security), défini par l IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l utilisation des services de sécurité cryptographiques [1], est un ensemble de ... ... Wikipédia en Français

IPSec - (Internet Protocol Security), défini par l IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l utilisation des services de sécurité cryptographiques [1], est un ensemble de ... ... Wikipédia en Français

IPsec - (Internet Protocol Security), défini par l IETF comme un cadre de standards ouverts pour assurer des communications privées et protégées sur des réseaux IP, par l utilisation des services de sécurité cryptographiques [1], est un ensemble de ... ... Wikipédia en Français

IPsec - (la abreviatura de Internet Protocol security) es una extensión al protocolo IP que añade cifrado fuerte para permitir servicios de autenticación y cifrado y, de esta manera, asegurar las comunicaciones a través de dicho protocolo. Inicialmente ... ... Enciclopedia Universal

IPsec - Internet Protocol Security (IPsec) is a suite of protocols for securing Internet Protocol (IP) communications by authenticating and / or encrypting each in a data stream. IPsec also includes protocols for cryptographic key establishment. ... ... Wikipedia

IPSec - A suite of protocols under development by the Internet Engineering Task Force (IETF) designed to add security provisions to the Internet Protocol (IP). Also known as IP Security. The Authentication Header (AH) ensures that the datagram has ... ... Dictionary of networking