61. Протокол ipSec.
IP Security - это комплект протоколов, касающихся вопросов шифрования, аутентификации и обеспечения защиты при транспортировке IP-пакетов; в его состав сейчас входят почти 20 предложений по стандартам и 18 RFC.
Спецификация IP Security (известная сегодня как IPsec) разрабатывается рабочей группой IP Security Protocol IETF. Первоначально IPsec включал в себя 3 алгоритмо-независимые базовые спецификации, опубликованные в качестве RFC-документов "Архитектура безопасности IP", "Аутентифицирующий заголовок (AH)", "Инкапсуляция зашифрованных данных (ESP)" (RFC1825, 1826 и 1827).
Ядро IPSec составляют три протокола: протокол аутентификации (Authenti-cation Header, AH), протокол шифрования (Encapsulation Security Payload, ESP) и протокол обмена ключами (Internet Key Exchange, IKE). Функции по поддержанию защищенного канала распределяются между этими протоколами следующим образом:
протокол AH гарантирует целостность и аутентичность данных;
протокол ESP шифрует передаваемые данные, гарантируя конфиденциальность, но он может также поддерживать аутентификацию и целостность данных;
протокол IKE решает вспомогательную задачу автоматического предоставления конечным точкам канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.
62. Транспортные и тунельные режимы. Пртокол ah в ipSec.
Режим транспорта
Режим транспорта применяется для связи между сторонами подключения (например, для связи клиента и сервера) и является режимом по умолчанию для IPSec. В режиме транспорта зашифровываются только полезные данные IP. Режим транспорта обеспечивает защиту полезных данных IP с помощью заголовков AH или ESP. Типичными полезными данными IP являются TCP-сегменты (содержащие заголовок TCP и данные TCP-сегмента), сообщение UDP (содержащее заголовок UDP и данные сообщения UDP) и сообщение ICMP (содержащее заголовок ICMP и данные сообщения ICMP).
Режим транспорта AH
AH (Authentication Header — заголовок проверки подлинности) обеспечивает проверку подлинности, целостность и защиту от повторов для всего пакета (заголовка IP и полезных данных). Конфиденциальность при этом не обеспечивается, то есть данные не шифруются. Данные доступны для чтения, но защищены от изменения. Для подписания пакетов AH использует алгоритмы хеширования с ключами.
Проверка целостности и подлинности обеспечивается путем вставки заголовка AH между заголовком IP и полезными данными IP.
Туннельный режим
При использовании туннельного режима IPSec зашифровывает заголовок IP и полезные данные, тогда как в режиме транспорта зашифровываются только полезные данные IP. Туннельный режим обеспечивает защиту всего пакета IP, рассматривая его как полезные данные AH или ESP. При использовании туннельного режима весь пакет IP инкапсулируется в заголовок AH или ESP и в дополнительный заголовок IP. IP-адреса внешнего заголовка IP указывают конечные точки туннеля, а IP-адреса инкапсулированного заголовка IP указывают исходную точку и точку назначения пакета.
Туннельный режим IPSEC полезен для защиты трафика между различными сетями в случае, когда трафик проходит через промежуточную сеть, не имеющую доверительных отношений. Однако туннельный режим используется главным образом для обеспечения взаимодействия со шлюзами или конечными системами, которые не поддерживают туннелирование L2TP/IPSec или PPTP. Используются следующие конфигурации туннельного режима:
шлюз — шлюз;
сервер — шлюз;
сервер — сервер.
Туннельный режим AH
Туннельный режим ESP инкапсулирует пакет IP в заголовки ESP и IP и в трейлер проверки подлинности ESP.