Протокол IPsec

МИНИСТЕРСТВО  ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Федеральное государственное автономное образовательное учреждение

высшего профессионального образования

«Дальневосточный федеральный  университет»

 

 

 

ШКОЛА ЕСТЕСТВЕННЫХ НАУК

 

Кафедра информационных систем управления

 

 

 

 

 

РЕФЕРАТ

 

на тему «Протокол IPsec»

 

 

 

 

 

 

Выполнил  студент гр. С-8427            _______________ Дышеков Р. А.

Проверил  профессор _______________  Пашин С. С.   _______________________                       (оценка)

 

 

 

 

 

 

 

г. Владивосток

2013

 

  IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.

Способ  взаимодействия лиц, использующих технологию IPSec, принято определять термином «защищенная ассоциация» – Security Association (SA). Защищенная ассоциация функционирует на основе соглашения, заключенного сторонами, которые пользуются средствами IPSec для защиты передаваемой друг другу информации. Это соглашение регулирует несколько параметров: IP-адреса отправителя и получателя, криптографический алгоритм, порядок обмена ключами, размеры ключей, срок службы ключей, алгоритм аутентификации.

IPSec – это согласованный набор открытых стандартов, имеющий ядро, которое может быть достаточно просто дополнено новыми функциями и протоколами. Ядро IPSec составляют три протокола:

• АН или Authentication Header – заголовок аутентификации – гарантирует целостность и аутентичность данных. Основное назначение протокола АН – он позволяет приемной стороне убедиться, что:

1. пакет был отправлен стороной, с которой установлена безопасная ассоциация;

2. содержимое пакета не было искажено в процессе его передачи по сети;

3.   пакет не является дубликатом уже полученного пакета.

Две первые функции обязательны для протокола  АН, а последняя выбирается при  установлении ассоциации по желанию. Для  выполнения этих функций протокол АН использует специальный заголовок. Его структура рассматривается  по следующей схеме:

1. В поле следующего заголовка (next header) указывается код протокола более высокого уровня, то есть протокола, сообщение которого размещено в поле данных IP-пакета.
2. В поле длины полезной нагрузки (payload length) содержится длина заголовка АН.
3. Индекс параметров безопасности (Security Parameters Index, SPI) используется для связи пакета с предусмотренной для него безопасной ассоциацией.
4. Поле порядкового номера (Sequence Number, SN) указывает на порядковый номер пакета и применяется для защиты от его ложного воспроизведения (когда третья сторона пытается повторно использовать перехваченные защищенные пакеты, отправленные реально аутентифицированным отправителем).
5. Поле данных аутентификации (authentication data), которое содержит так называемое значение проверки целостности (Integrity Check Value, ICV), используется для аутентификации и проверки целостности пакета. Это значение, называемое также дайджестом, вычисляется с помощью одной из двух обязательно поддерживаемых протоколом АН вычислительно необратимых функций MD5 или SAH-1, но может использоваться и любая другая функция.

• ESP или Encapsulating Security Payload – инкапсуляция зашифрованных данных – шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных;

Протокол ESP решает две группы задач.

1. К первой относятся задачи, аналогичные задачам протокола АН, – это обеспечение аутентификации и целостности данных на основе дайджеста,
2. Ко второй – защита передаваемых данных путем их шифрования от несанкционированного просмотра.

 

Заголовок делится на две части, разделяемые полем данных.

1. Первая часть, называемая собственно заголовком ESP, образуется двумя полями (SPI и SN), назначение которых аналогично одноименным полям протокола АН, и размещается перед полем данных.
2. Остальные служебные поля протокола ESP, называемые концевиком ESP, расположены в конце пакета.

Два поля концевика – следующего заголовка и данных аутентификации – аналогичны полям заголовка АН. Поле данных аутентификации отсутствует, если при установлении безопасной ассоциации принято решение не использовать возможностей протокола ESP по обеспечению целостности. Помимо этих полей концевик содержит два дополнительных поля – заполнителя и длины заполнителя.

Протоколы AH и ESP могут защищать данные в двух режимах:

1. в транспортном – передача ведется с оригинальными IP-заголовками;
2. в туннельном – исходный пакет помещается в новый IP-пакет и передача ведется с новыми заголовками.

Применение  того или иного режима зависит  от требований, предъявляемых к защите данных, а также от роли, которую  играет в сети узел, завершающий  защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом). Соответственно, имеются три схемы применения протокола IPSec:

1. хост–хост;
2. шлюз–шлюз;
3. хост–шлюз.

Возможности протоколов АН и ESP частично перекрываются: протокол АН отвечает только за обеспечение целостности и аутентификации данных, протокол ESP может шифровать данные и, кроме того, выполнять функции протокола АН (в урезанном виде). ESP может поддерживать функции шифрования и аутентификации / целостности в любых комбинациях, то есть либо всю группу функций, либо только аутентификацию / целостность, либо только шифрование.

• IKE или Internet Key Exchange – обмен ключами Интернета – — протокол, связывающий все компоненты IPsec в работающее целое. Решает задачу автоматического предоставления конечным точкам защищенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных. Разделяется на две фазы.

 

Туннельный и транспортный режимы

IPsec может функционировать в  двух режимах: транспортном и  туннельном.

В транспортном режиме шифруются (или подписываются) только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим как правило используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом.

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется  в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.

 

 

Как работает IPsec.

В работе протоколов IPsec можно выделить пять этапов:

1. Первый этап начинается с создания на каждом узле, поддерживающим стандарт IPsec, политики безопасности. На этом этапе определяется какой трафик подлежит шифрованию, какие функции и алгоритмы могут быть использованы.
2. Второй этап является по сути первой фазой IKE. Ее цель — организовать безопасный канал между сторонами для второй фазы IKE. На втором этапе выполняются:
1. Аутентификация и защита идентификационной информации узлов
2. Проверка соответствий политик IKE SA узлов для безопасного обмена ключами
3. Обмен Диффи-Хеллмана, в результате которого у каждого узла будет общий секретный ключ
4. Создание безопасного канала для второй фазы IKE
3. Третий этап — является второй фазой IKE. Его задачей является создание IPsec туннеля. На третьем этапе выполняются следующие функции:
1. Согласуются параметры IPsec SA по защищаемому IKE SA каналу, созданному в первой фазе IKE
2. Устанавливается IPsec SA
3. Периодически осуществляется пересмотр IPsec SA, чтобы убедиться в ее безопасности
4. (Опционально) выполняется дополнительный обмен Диффи-Хеллмана
4. Рабочий этап. После создания IPsec SA начинается обмен информацией между узлами через IPsec-туннель, используются протоколы и параметры, установленные в SA.
5. Прекращают действовать текущие IPsec SA. Это происходит при их удалении или при истечении времени жизни (определенное в SA в байтах информации, передаваемой через канал, или в секундах), значение которого содержится в SAD на каждом узле. Если требуется продолжить передачу, запускается фаза два IKE (если требуется, то и первая фаза) и далее создаются новые IPsec SA. Процесс создания новых SA может происходить и до завершения действия текущих, если требуется непрерывная передача данных.

 

Использование

Протокол IPsec используется, в основном, для  организации VPN-туннелей. В этом случае протоколы ESP и AH работают в режиме туннелирования. Кроме того, настраивая политики безопасности определенным образом, протокол можно использовать для создания межсетевого экрана. Смысл межсетевого экрана заключается в том, что он контролирует и фильтрует проходящие через него пакеты в соответствии с заданными правилами. Устанавливается набор правил, и экран просматривает все проходящие через него пакеты. Если передаваемые пакеты попадают под действие этих правил, межсетевой экран обрабатывает их соответствующим образом. Например, он может отклонять определенные пакеты, тем самым прекращая небезопасные соединения. Настроив политику безопасности соответствующим образом, можно, например, запретить веб-трафик. Для этого достаточно запретить отсылку пакетов, в которые вкладываются сообщения протоколов HTTP и HTTPS. IPsec можно применять и для защиты серверов — для этого отбрасываются все пакеты, кроме пакетов, необходимых для корректного выполнения функций сервера.

Другие примеры использования IPsec :

• шифрование трафика между файловым сервером и компьютерами в локальной сети, используя IPsec в транспортном режиме.
• соединение двух офисов с использованием IPsec в туннельном режиме.