Файловый архив студентов. Файловый архив студентов.
1298 вузов, 5039 предметов.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Национальный университет кораблестроения им. адм. Макарова
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
Турти_Зах__нф_в комп_мер_ч2_new.doc
Скачиваний:
61
Добавлен:
14.02.2015
Размер:
1.76 Mб
Скачать
►Содержание►

Принцип работы ipsec

Для наглядности в данном примере рассматривается использование IPSEC для компьютеров одного домена. Пользователь 1, работающий с приложением на компьютере A, отправляет сообщение пользователю 2, работающему на компьютере В.

Рис. 7.1. Принцип работы IPSEC

  1. Драйвер IPSEC на компьютере A проверяет список фильтров IP в активной политике на наличие совпадающего адреса или типа трафика исходящих пакетов.

  2. Драйвер IPSEC предоставляет ISAKMP сведения для начала согласования безопасности с компьютером B.

  3. Служба ISAKMP на компьютере B получает запрос для согласования безопасности.

  4. Два компьютера выполняют обмен ключами, устанавливают соответствие безопасности ISAKMP и создают общий секретный ключ.

  5. Затем компьютеры согласовывают уровень безопасности для передачи данных, устанавливая пару соответствий безопасности IPSEC и ключей для защиты пакетов IP.

  6. Используя сопоставление безопасности IPSEC для исходящего трафика и ключ, драйвер IPSEC на компьютере A подписывает пакеты для проверки целостности и зашифровывает пакеты, если было согласовано шифрование.

  7. Драйвер IPSEC на компьютере A отправляет пакеты на соответствующий тип подключения для передачи на компьютер B.

  8. Компьютер B получает защищенные пакеты и передает их драйверу IPSEC.

  9. Используя сопоставление безопасности IPSEC для входящего трафика и ключ, драйвер IPSEC на компьютере B проверяет подпись целостности и, при необходимости, расшифровывает пакеты.

  10. Драйвер IPSEC на компьютере B передает расшифрованные пакеты драйверу TCP/IP, который передает их в принимающее приложение.

Для пользователей все эти процессы не видны. Стандартные маршрутизаторы и коммутаторы, передающие данные между сторонами подключения, не требуют использования IPSEC. Они автоматически пересылают зашифрованные пакеты IP в место назначения. Однако, если маршрутизатор функционирует как брандмауэр, шлюз безопасности или прокси-сервер, для прохождения безопасных пакетов IP необходимо включить специальную фильтрацию.

Протоколы безопасности ipsec

Протоколы безопасности обеспечивают защиту данных и подлинности для каждого пакета IP. Служба IPSEC в Windows 2000 использует протоколы AH и EPS.

  • AH (Authentication Header)

Протокол AH обеспечивает проверку подлинности, целостность и отсутствие повторов для всего пакета (заголовка IP и полезных данных); AH подписывает весь пакет. Данные не шифруются, поэтому конфиденциальность не обеспечивается. Данные доступны для чтения, но защищены от изменения. Протокол AH использует для подписания пакетов алгоритмы HMAC.

Например, пользователь 1, работающий на компьютере A, отправляет данные пользователю 2 на компьютер B. Заголовок IP, заголовок AH и данные защищены от изменения подписью. Это позволяет получателю быть уверенным в том, что данные были отправлены именно пользователем 1 и не были изменены (рис. 7.2).

Рис. 7.2. Принцип работы протокола AH

Проверка целостности и подлинности обеспечивается путем вставки заголовка AH между заголовком IP и заголовком транспортного протокола (TCP или UDP).

  • ESP (Encapsulating Security Payload)

ESP помимо проверки подлинности, целостности и отсутствия повторов обеспечивает также конфиденциальность.

ESP обычно не подписывает пакеты, если не используется туннель. Обычно обеспечивается только защита данных, но не заголовка IP.

Например, пользователь 1, работающий на компьютере A, отправляет данные пользователю 2 на компьютер B. Данные шифруются, поскольку ESP обеспечивает конфиденциальность. При получении, после завершения процесса проверки, данные пакета расшифровываются. Пользователь 2 может быть уверен в том, что данные отправлены именно пользователем 1, что они не были изменены, а также в том, что никто другой не сможет их прочесть (рис. 7.3).

Рис. 7.3. Принцип работы протокола ESP

Безопасность обеспечивается путем вставки заголовка ESP между заголовком IP и заголовком транспортного протокола (TCP или UDP).

Опытные пользователи могут выбрать протокол для связи путем настройки методов безопасности в политике IPSEC.

Множество документов посвящают огромное количество времени и энергии на объяснение внутренних процессов, которые IPSec выполняет для реализации безопасности. При этом, однако, очень легко увязнуть в деталях, и упустить суть механизма IPSec. По существу, если два компьютера хотят использовать IPSec для целей безопасного взаимодействия между ними, они оба должны быть настроены на использование политики IPSec. Эти политики настраиваются при помощи локальных или групповых политик Windows 2000 и будут обсуждены в этой статье немного позднее.

Политики IPSec должны определять такие необходимые детали соединения, как протоколы, которые нужно защищать, использование ключей, механизмы аутентификации и т.д. Недостатком политики IPSec является наличие многих мест, где ваши настройки могут быть установлены неправильно. Однако если все будет спланировано заблаговременно, фактическая настройка может оказаться достаточно простой.

Небольшое замечание – вы должны знать, что трафик ESP использует IP-порт 50, в то время как протокол АН – порт 51. Это очень важно в случае, если вы хотите, чтобы данный вид трафика проходил через брандмауэр или прибор фильтрации. Заметьте также, что IPSec требует, чтобы трафик мог проходить через порт 500, через который осуществляются передачи протокола ISAKMP/Oakley.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности