Личный блог Suvan`a.

Работая и играя с Linux... И что из этого иногда получается.

Основные понятия IPsec.

Рубрика: Безопасность -> Топология сети
Метки: | | |
Четверг, 26 февраля 2009 г.
Просмотров: 6837

IPsec (IP Security) - это расширение существующего протокола IP, которое обеспечивает целостность заголовка пакета и/или его данных. Вначале IPsec делался для новой версии IP - IPv6, но потом был импортирован и на версию IP - IPv4. Известно, что переход на IPv6 будет еще не скоро выполнен.

     В IPsec есть два расширения: АН (Authentication Header, Аутентификационный заголовок) и ESP (Encapsulation Security Payload, Защищенная инкапсуляция).


     АН обеспечивает целостность всего пакета, включая заголовок (основное внимание IP-адресу получателя и отправителя). Это самый безопасный метод аутентификации заголовка и обеспечивания его целостнос­ти, но, АН несовместим с NAT, так как NAT - это процесс, который перезаписывает адреса отправителя или получателя.

     Расширение ESP защищает только содержимое пакета и не защищает заголовки пакета. ESP обычно берется для обеспечения целостности содержимого пакета и его шифрования. Так как ESP не работает с заголовком, то данный метод можно применять сообща с NAT. В следующей таблице описаны некоторые функции АН и ESP:

Механизм безопасности

AH

ESP

Шифрование данных

Нет

Да

Защита от Replay-атак (атака повтора)

Опция

Опция

Обеспечение целостности данных

Да

Да

Целостность заголовка

Да

Нет

NAT-совместимость

Нет

В режиме туннелирования

     Транспортирование и туннелирование.

     В IPsec есть два режима обмена данными между машинами: транспортирование и туннелирование. Режим транспортирования, как правило применяется для связи клиент-клиент, где началом безопасного канала является одна машина (к примеру, отправитель данных), а концом - другая.

     В этом режиме оба узла обязательно должны поддерживать IPsec на уровне ядра, и на них должно быть запущено соответствующее программное обеспечение. Транспортный режим IPsec применяется определенными протоколами удаленного доступа, к примеру, Microsoft L2TP (Layer 2 Tunneling Protocol).

     Режим туннеля применяется для связи сеть-сеть, где шлюзы всех сетей гарантируют безопасную передачу трафика между сетями. Еще режим туннеля применяется в сценариях удаленного доступа, если, например, какой-то удаленный узел захочет получить доступ к VPN через шлюз данной сети. В этих случаях безопасность гарантируется шлюзами.

     Режим туннеля обычно применяется, если в сети не все машины поддерживают IPsec, следовательно, туннель строится только между пограничными маршрутизаторами сети, а оставшиеся машины работают в обычном режиме.

     На рисунке данные посылаются в зашифрованном виде только между позициями А и В (А и В держат IPsec). В первом случае данные посылаются в зашифрованном виде от получателя к отправителю. Во втором случае данные шифруются только между пограничными шлюзами сетей. От узла Y до шлюза данные посылаются по сети в открытом (незашифрованном) виде. Шлюз А шифрует данные и передает их шлюзу В, тот расшифровывает данные и посылает их в открытом виде узлу Z.

     Защищенное туннелирование, которое дает IPsec, применяют для реализации VPN. Можно использовать граничные маршрутизаторы сетей как конечные точки туннеля. Этим обеспечивается шифрование данных, посылаемых по небезопасной сети (например, по Интернету).

     Трафик внутри локальных сетей посылается без шифровки, что дает возможность не настраивать IPsec на всех машинах сети. Только на двух граничных шлюзах нужна поддержка IPsec.