Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4605 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Калининградский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
4 курс / ЗащИнф / дополн.работы / 5.БЕЗОПАСНОСТЬ ПРИ РАБОТЕ В ПРОТОКОЛЕ IP.doc
Скачиваний:
58
Добавлен:
27.04.2015
Размер:
356.35 Кб
Скачать
►Содержание►

3.2 Типы протокола ipSec и компоненты ipSec

Протоколы IPSec обеспечивают защиту данных и подлинности для каждого пакета IP, добавляя в каждый пакет собственные заголовки.

Сведения об использовании протоколов AH и ESP в транспортном и туннельном режимах см. в следующих разделах:

  • Режим транспорта

  • Туннельный режим

Компонентами IPSec являются

  • Служба агента политики IPSec

  • Обмен ключами в Интернете

  • Защита ключа

  • Драйвер IPSec

3.3 Работы ipSec

  1. Пользователь A, отправляет сообщение пользователю B.

  2. Драйвер IPSec на компьютере A проверяет свои списки фильтров IP, чтобы определить, требуется ли обеспечение безопасности этих пакетов.

  3. Драйвер IPSec уведомляет IKE о необходимости начать согласование.

  4. Служба IKE на компьютере B получает сообщение, запрашивающее согласование безопасности.

  5. Два компьютера устанавливают сопоставление безопасности основного режима и общий основной ключ.

  6. Пара сопоставлений безопасности быстрого режима согласована. Одно сопоставление безопасности является входящим, а другое — исходящим. Сопоставления безопасности включают индекс параметров безопасности и ключи, используемые для защиты информации.

  7. Драйвер IPSec на компьютере A использует исходящее сопоставление безопасности для подписания и, если требуется, шифрования пакетов.

  8. Драйвер передает пакеты на уровень IP, который пересылает их на компьютер B.

  9. Драйвер сетевого адаптера на компьютере B принимает зашифрованные пакеты и передает их в драйвер IPSec.

  10. Драйвер IPSec на компьютере B использует входящее сопоставление безопасности для проверки подлинности и целостности и, если требуется, расшифровки пакетов.

  11. Драйвер передает проверенные и расшифрованные пакеты драйверу TCP/IP, который передает их в принимающее приложение на компьютере B.

Любые маршрутизаторы или коммутаторы между компьютерами, обменивающимися данными, просто пересылают зашифрованные пакеты IP к месту их назначения. Однако при наличии на пути данных брандмауэра, маршрутизатора безопасности или прокси-сервера пересылка трафика IPSec и IKE может быть не выполнена.

Передача согласований безопасности через преобразователи сетевых адресов (NAT) невозможна. Сообщения согласования IKE содержат IP-адреса в зашифрованной или подписанной части сообщения. Эти адреса не могут быть преобразованы NAT, поскольку NAT не имеет общего секретного ключа, позволяющего изменить зашифрованный адрес в сообщении или изменить незашифрованный адрес без нарушения значения проверки целостности.

4. Виртуальные частные сети и ipSec

Туннелирование — это процесс инкапсуляции, маршрутизации и деинкапсуляции. При туннелировании исходный пакет помещается (инкапсулируется) внутрь нового пакета. Этот новый пакет может обладать новыми сведениями адресации и маршрутизации, что позволяет передавать его через сеть. Когда туннелирование сочетается с конфиденциальностью данных, данные исходного пакета (а также исходные адреса источника и назначения) не раскрываются для прослушивающих трафик в сети. Сеть при этом может быть любая: как частная интрасеть, так и Интернет. Когда инкапсулированные пакеты достигают места назначения, инкапсуляция удаляется, а для маршрутизации пакета к конечной точке используется заголовок исходного пакета.

Туннель представляет собой логический путь данных, по которому передаются инкапсулированные пакеты. Для исходных сторон подключения (источника и места назначения) туннель обычно прозрачен и выглядит как еще одна связь от точки к точке в сетевом пути. Для них маршрутизаторы, коммутаторы, прокси-серверы или другие шлюзы безопасности между начальной и конечной точками туннеля незаметны и не имеют значения. В сочетании с конфиденциальностью данных туннелирование может использоваться для виртуальных частных сетей (VPN).

В Windows XP предоставляются два типа туннелирования с использованием IPSec.

  1. Сочетание протокола L2TP (Layer Two Tunneling Protocol) и IPSec (L2TP/IPSec). L2TP используется для туннелирования данных через общие или частные сети, такие как Интернет, и IPSec Encapsulating Security Payload (ESP) используется для шифрования данных. L2TP/IPSec может использоваться для туннелирования трафика IP или IPX (Internetwork Packet Exchange).

  2. Туннельный режим IPSec, при котором собственно IPSec выполняет инкапсуляцию только для трафика IP.

Инкапсулированные пакеты проходят через сеть по туннелю. В данном примере сеть представляет собой Интернет. Шлюз может находиться между Интернетом и частной сетью. В качестве шлюза может использоваться маршрутизатор, брандмауэр, прокси-сервер или другой шлюз безопасности. Кроме того, два шлюза могут использоваться в пределах частной сети для защиты трафика между частями сети, не имеющими доверительных отношений.

Соседние файлы в папке дополн.работы
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности