Поиск
Категории
Случайные новости
Архив
Статистика
Интересное
Безопасность на сетевом уровне
Автор: adm
Безопасность на сетевом уровне обеспечивает протокол IPsec (IP security — безопасный протокол IP), по сути представляющий собой набор протоколов. Протокол IPsec довольно сложен, различные его аспекты описывают более десятка документов RFC. В этом разделе мы обсудим протокол IPsec в весьма специфическом контексте, а именно исходя из предположения, что его поддерживают все хосты Интернета. Хотя реальная ситуация уже много лет иная, данный контекст упростит наше обсуждение и поможет понять ключевые особенности протокола IPsec. Основные документы, описывающие протокол IPsec, — это RFC 2401, в котором описывается общая архитектура протокола IPsec, и RFC 2411, содержащий обзор составляющих IPsec протоколов и перечень документов, их описывающих.
Прежде чем перейти к особенностям протокола IPsec, поговорим о том, что означает обеспечивать безопасность на сетевом уровне. Начнем с вопроса конфиденциальности. Конфиденциальность на сетевом уровне можно обеспечить, если зашифровывать все данные, переносимые в IP-дейтаграммах. То есть каждый раз, прежде чем отправить дейтаграмму в сеть, хост должен зашифровывать ее поле данных. В принципе шифрование может осуществляться алгоритмом с симметричными ключами, алгоритмом с открытым ключом или с помощью ключа сеанса, о котором стороны договариваются по алгоритму с открытым ключом. Поле данных может быть ТСР-сегментом, UDP-сегментом, ICMP-сообщением и т. д. Если бы подобная сетевая служба была реализована, то все данные, пересылаемые между хостами, включая электронную почту, web-страницы, управляющие сообщения (такие как ICMP и SNMP), были бы скрыты от всех посторонних, «прослушивающих» сеть. Таким образом, подобная служба обеспечила бы определенный уровень общей защиты Интернет-трафика, существенно повысив безопасность сетей.
Помимо конфиденциальности было бы неплохо, если бы сеть обеспечивала аутентификацию источника. Когда хост-получатель принимает IP-дейтаграмму с определенным IP-адресом отправителя, он должен быть уверен, что указанный адрес является истинным. Подобная служба могла бы поставить заслон многим разновидностям сетевых атак.
В набор протоколов IPsec входят два основных протокола: протокол АН (Authentication Header — заголовок аутентификации) и протокол ESP (Encapsulation Security Payload — безопасная инкапсуляция полезной нагрузки). Когда хост-отправитель посылает дейтаграмму хосту-получателю, он использует либо протокол АН, либо протокол ESP. Протокол АН обеспечивает аутентификацию источника и целостность данных, но не обеспечивает конфиденциальности. Протокол ESP обеспечивает аутентификацию источника, целостность данных и конфиденциальность. Этот протокол предоставляет больше возможностей и, разумеется, является более сложным и требует больших усилий по обработке, чем протокол АН. Ниже мы обсудим оба протокола.
В обоих протоколах, прежде чем отправить безопасные дейтаграммы от хоста-отправителя хосту-получателю, отправитель обменивается рукопожатиями с сетевыми хостами и создает логическое соединение сетевого уровня. Этот логический канал называется безопасным соединением (Security Association, SA). Таким образом, протокол IPsec превращает сетевой уровень Интернета, традиционно функционирующий без установления соединений, в уровень с логическими соединениями! Логическое SA-соединение является симплексным, то есть однонаправленным. Если оба хоста хотят пересылать друг другу безопасные дейтаграммы, то необходимо установить два SА-соединения по одному в каждом направлении. SA-соединение уникальным образом определяется тремя параметрами:
Q идентификатором протокола безопасности (АН или ESP); □ IP-адресом источника симплексного соединения;
а 32-разрядным идентификатором соединения, называемым индексом параметра безопасности (Security Parameter Index, SPI).
Для данного SA-соединения (то есть логического соединения между хостом-источником и хостом-получателем) в каждой IP-дейтаграмме содержится специальное поле для SPI, одинаковое для всех дейтаграмм.
Прежде чем перейти к особенностям протокола IPsec, поговорим о том, что означает обеспечивать безопасность на сетевом уровне. Начнем с вопроса конфиденциальности. Конфиденциальность на сетевом уровне можно обеспечить, если зашифровывать все данные, переносимые в IP-дейтаграммах. То есть каждый раз, прежде чем отправить дейтаграмму в сеть, хост должен зашифровывать ее поле данных. В принципе шифрование может осуществляться алгоритмом с симметричными ключами, алгоритмом с открытым ключом или с помощью ключа сеанса, о котором стороны договариваются по алгоритму с открытым ключом. Поле данных может быть ТСР-сегментом, UDP-сегментом, ICMP-сообщением и т. д. Если бы подобная сетевая служба была реализована, то все данные, пересылаемые между хостами, включая электронную почту, web-страницы, управляющие сообщения (такие как ICMP и SNMP), были бы скрыты от всех посторонних, «прослушивающих» сеть. Таким образом, подобная служба обеспечила бы определенный уровень общей защиты Интернет-трафика, существенно повысив безопасность сетей.
Помимо конфиденциальности было бы неплохо, если бы сеть обеспечивала аутентификацию источника. Когда хост-получатель принимает IP-дейтаграмму с определенным IP-адресом отправителя, он должен быть уверен, что указанный адрес является истинным. Подобная служба могла бы поставить заслон многим разновидностям сетевых атак.
В набор протоколов IPsec входят два основных протокола: протокол АН (Authentication Header — заголовок аутентификации) и протокол ESP (Encapsulation Security Payload — безопасная инкапсуляция полезной нагрузки). Когда хост-отправитель посылает дейтаграмму хосту-получателю, он использует либо протокол АН, либо протокол ESP. Протокол АН обеспечивает аутентификацию источника и целостность данных, но не обеспечивает конфиденциальности. Протокол ESP обеспечивает аутентификацию источника, целостность данных и конфиденциальность. Этот протокол предоставляет больше возможностей и, разумеется, является более сложным и требует больших усилий по обработке, чем протокол АН. Ниже мы обсудим оба протокола.
В обоих протоколах, прежде чем отправить безопасные дейтаграммы от хоста-отправителя хосту-получателю, отправитель обменивается рукопожатиями с сетевыми хостами и создает логическое соединение сетевого уровня. Этот логический канал называется безопасным соединением (Security Association, SA). Таким образом, протокол IPsec превращает сетевой уровень Интернета, традиционно функционирующий без установления соединений, в уровень с логическими соединениями! Логическое SA-соединение является симплексным, то есть однонаправленным. Если оба хоста хотят пересылать друг другу безопасные дейтаграммы, то необходимо установить два SА-соединения по одному в каждом направлении. SA-соединение уникальным образом определяется тремя параметрами:
Q идентификатором протокола безопасности (АН или ESP); □ IP-адресом источника симплексного соединения;
а 32-разрядным идентификатором соединения, называемым индексом параметра безопасности (Security Parameter Index, SPI).
Для данного SA-соединения (то есть логического соединения между хостом-источником и хостом-получателем) в каждой IP-дейтаграмме содержится специальное поле для SPI, одинаковое для всех дейтаграмм.
Комментарии
Нет комментариев. Вы можете быть первым!