134
согласовании сторонами информационного обмена т.н. "контекста безопасности" –
применяемых криптографических алгоритмов, алгоритмов управления ключевой
информацией и их параметров. Спецификация IPsec предусматривает возможность
поддержки сторонами информационного обмена
различных протоколов и
параметров аутентификации и шифрования пакетов данных, а также различных
схем распределения ключей. При этом результатом согласования контекста
безопасности является установление индекса параметров безопасности (SPI),
представляющего собой указатель на определенный элемент внутренней структуры
стороны информационного обмена, описывающей возможные наборы параметров
безопасности.
По сути, IPSec,
работает на третьем уровне, т. е. на сетевом уровне. В
результате передаваемые IP-пакеты защищены прозрачным для сетевых
приложений и инфраструктуры образом. В отличие от SSL (Secure Socket Layer),
который работает на четвертом (т. е. транспортном) уровне и теснее связан с более
высокими уровнями модели OSI, IPSec призван обеспечить низкоуровневую
защиту.
К IP-данным, готовым к передаче по виртуальной частной сети, IPSec
добавляет заголовок для идентификации защищенных пакетов. Перед передачей по
Internet эти пакеты инкапсулируются в другие IP-пакеты.
IPSec поддерживает
несколько типов шифрования, в том числе Data Encryption Standard (DES) и Message
Digest 5 (MD5).
Чтобы установить защищенное соединение, оба участника сеанса должны
иметь возможность быстро согласовать параметры защиты, такие как алгоритмы
аутентификации и ключи. IPSec поддерживает два типа схем управления ключами,
с помощью которых участники могут согласовать параметры сеанса.
С
текущей версией IP, IPv4, могут быть использованы или Internet Secure
Association Key Management Protocol (ISAKMP), или Simple Key Management for
Internet Protocol. С версией IPv6, придется использовать ISAKMP.
135
Заголовок AH
Аутентифицирующий заголовок (AH) является обычным опциональным
заголовком и, как правило, располагается между основным заголовком пакета IP и
полем данных. Наличие AH никак не влияет на процесс передачи информации
транспортного и более высокого уровней. Основным и единственным назначением
AH является обеспечение защиты от атак, связанных с несанкционированным
изменением
содержимого пакета, и в том числе от подмены исходного адреса
сетевого уровня. Протоколы более высокого уровня должны быть модифицированы
в целях осуществления проверки аутентичности полученных данных.
Формат AH достаточно прост и состоит из 96-битового заголовка и данных
переменной длины, состоящих из 32-битовых слов. Названия полей достаточно
ясно отражают их содержимое: Next Header указывает на следующий заголовок,
Payload Len представляет длину пакета, SPI является
указателем на контекст
безопасности и Sequence Number Field содержит последовательный номер пакета.
Рис.
Достарыңызбен бөлісу: