IPSec –
Internet Protocol Security
Средства защищенной передачи данных TCP/IP
Прикладной |
|
HTTPS, SFTP, SSH и др. |
|
|
|
|
|
|
Транспортный |
|
SSL, TLS |
|
|
|
|
|
|
Сетевой |
|
IP Sec |
|
|
|
|
|
|
Доступ к среде |
|
Аппаратные средства |
|
|
|
Предпосылки создания средств защиты данных на сетевом уровне
Необходима защита от:
•несанкционированного мониторинга
•подмены пакетов
•стороннего управления потоками данных
Важная и первоочередная задача - обеспечение целостности и конфиденциальности потоков данных.
Изменение протоколов TCP/IP => перестройка сети Интернет – не вариант => разработка дополнений
Наличие средств обеспечения безопасности в базовых протоколах семейства TCP/IP позволит осуществлять информационный обмен между широким спектром различных приложений и сервисных служб.
Архитектура IPSec
RFC1825, 1826 и 1827
новые:
RFC2401 - RFC2412
Средства защиты данных
•IKE (Internet Key Exhange protocol)
•ISAKMP (Internet Security Association and Key Management Protocol)
•AH (Authentication Header protocol)
•ESP (Encapsulating Security Payload protocol)
•STS (Station-to-Station protocol)
•HMAC (Hash Message Authentication Code)
•MD5 (Message Digest 5)
•SHA-1 (Security Hash Algorithm)
•3DES (Triple Data Encryption Standard)
•XAUTH (Extended Authentication)
•AES (Advanced Encryption Standard)
Основные составляющие IPSec
Authentication Header |
Encapsulating Security |
(AH) |
Payload (ESP) |
• аутентификация |
• шифрование данных |
|
отправителя |
• подлинность и |
|
• целостность данных |
||
целостность данных |
Заголовок AH
Заголовок ESP
Режимы работы IPSec
Транспортный
шифрование поля данных IP пакета
Тунельный
шифрование всего пакета, включая заголовок сетевого уровня.
