IPSec (prescurtarea de la IP Security) - un set de protocoale pentru a proteja datele transmise pe IP a gateway. Acesta permite autentificarea și / sau criptarea IP-pachete. IPsec include, de asemenea, protocoale pentru un schimb de cheie de securitate pe Internet. În principal utilizate pentru -compounds organizația RVP.
- RFC 2401 (arhitectura de securitate pentru Internet Protocol) - arhitectura de securitate pentru IP.
- RFC 2402 (Autentificare IP header) - autentificare antet IP.
- RFC 2403 (Utilizarea HMAC-MD5-96 în cadrul ESP și AH) - Folosind un algoritm hash MD-5, pentru a crea autentificarea antet.
- RFC 2404 (Utilizarea HMAC-SHA-1-96 în cadrul ESP și AH) - Utilizarea unui algoritm hash SHA-1 pentru a genera antet autentificare.
- RFC 2405 (ESP DES-CBC Cifru Algorithm Cu IV Explicit) - Folosind un algoritm de criptare DES.
- RFC 2406 (IP Security Payload încapsulare (ESP)) - criptarea datelor.
- RFC 2407 (domeniul de securitate Internet IP de interpretare pentru ISAKMP) - Domeniul de aplicare a protocolului de gestionare a cheilor.
- RFC 2408 (Asociația Internet Security și Key Management Protocol (ISAKMP)) - Gestionarea cheilor și autentificatori pentru conexiuni securizate.
- RFC 2409 (Internet Key Exchange (IKE)) - Key Exchange.
- RFC 2410 (nulul algoritm de criptare și utilizarea sa cu IPSec) - algoritm de criptare Nul și utilizarea acestuia.
- RFC 2411 (IP Document Security Foaia de parcurs) - Dezvoltarea în continuare a standardului.
- RFC 2412 (Oakley Determinarea Key Protocol) - Verificarea conformității cu cheia.
Arhitectura IPsec
protocoale IPsec, spre deosebire de alte SSL bine-cunoscute și protocoalele TLS. Acestea funcționează la nivelul rețea (modelul OSI strat 3). Acest lucru face ca IPsec mai flexibilă, astfel încât să poată fi folosit pentru a proteja orice protocol, bazat pe TCP și UDP. IPSec poate fi utilizat pentru securitatea între două IP-gazde. între două gateway-uri de securitate, sau între IP-nod și gateway-ul de securitate. Protocolul este o „suprastructură“ peste IP-protocol și procesează IP pachetele formate prin metoda descrisă mai jos. IPSec poate asigura integritatea și / sau confidențialitatea datelor transmise prin rețea.
IPsec utilizează următoarele protocoale pentru a efectua diferite funcții:
- Autentificare Antet (AH) asigură conectarea integritatea virtuală (date transmise), datele de autentificare și furnizează funcția suplimentară pentru a preveni re-transmiterea de pachete
- Încapsularea Security Payload (ESP) poate asigura confidențialitatea (criptare) a informațiilor transmise, confidențiale restricționarea fluxului de trafic. În plus, se poate asigura integritatea conexiunii (transferul de date) virtuale, autentificarea sursa de informații și funcția suplimentară de a preveni retransmisia pachetelor (Ori de câte ori este cazul ESP, în mod obligatoriu ar trebui să fie utilizat unul sau celălalt set de servicii de securitate a datelor)
- Security Association (SA) oferă o mulțime de algoritmi și date care furnizează parametrii necesari pentru AH și / sau ESP. Asociația Internet Security și Protocol Key Management (ISAKMP) oferă un cadru pentru autentificare și schimbul de chei, chei de autentificare.
Asociația de Securitate
Conceptul de „conexiuni securizate virtuale“ (SA, „Security Association“) este fundamentală pentru arhitectura IPsec. SA este o conexiune simplex. este format pe acesta pentru transportul traficului respectiv. Atunci când serviciile de securitate de punere în aplicare SA este format prin utilizarea de protocoale, AH sau ESP (sau ambele simultan). SA este determinată în conformitate cu conexiunile interterminal conceptul (punct-la-punct) și poate funcționa în două moduri: un mod de transport (PTP) și un mod de tunelare (RTU). Modul de transport este implementat cu SA între cele două IP-noduri. Modul tunel SA genereaza IP-tunel.
Toate SA stocate în SADB de date (asociații de securitate Baza de date) IPsec-modul. Fiecare SA are un simbol unic, care constă din trei elemente:
IPsec-modul, cu acești trei parametri pot fi găsite în înregistrarea de SA SADB particular. Lista de componente SA include:
Serial Number valoare pe 32 de biți, care este folosit pentru a forma câmpul Număr de ordine în anteturi AH și ESP. Contor secvență de preaplin de pavilion număr, care indică numărul de ordine contra preaplin. Fereastra de a inhiba atacurilor de reluare este utilizată pentru a determina pachete de retransmisie. În cazul în care valoarea în câmpul Număr de ordine nu se încadrează într-un interval dat, pachetul este aruncat. Informații AH algoritm de autentificare este utilizat, cheile necesare, timp-cheie de viață și de alți parametri. criptare și autentificare algoritmi de informare ESP, cheile necesare, parametrii de inițializare (de exemplu, IV), durata de viață a cheilor și alte aspecte ale funcționării modul tunel IPsec sau transportul MTU Mărimea maximă care poate fi trimis prin intermediul link-ul virtuale fără fragmentare.
conexiuni virtuale Deoarece protejate (SA) sunt simplex. Organizația pentru canal duplex, cel puțin două SA este necesar. În plus, fiecare protocol (ESP / AH) ar trebui să aibă propria SA pentru fiecare direcție, adică, o grămadă de AH + ESP SA necesită patru. Toate aceste date sunt în SADB.
În SADB conține:
- AH: Algoritmul de autentificare.
- AH: o cheie secretă pentru autentificare
- ESP: algoritm de criptare.
- ESP: cheia de criptare secretă.
- ESP: utilizarea de autentificare (da / nu).
- Parametrii pentru schimbul de chei
- restricţii de rutare
- Politica de filtrare IP
În plus față de datele de bază SADB, IPsec baze de date suport implementari SPD (date de politică de securitate a bazei de date politica de securitate Database-). O intrare în SPD constă dintr-un set de valori ale câmpurilor de nivel superior de IP-header și un câmpurile de antet de protocol. Aceste câmpuri sunt numite selectoare. Selectoare sunt utilizate pentru a filtra pachetele trimise, în scopul de a plasa fiecare pachet în conformitate cu un anumit SA. Atunci când se formează pachetul, compară valorile câmpurilor corespunzătoare din (câmpul selector) pachet cu cele SPD conținute. Sunt adecvate SA. În continuare, SA (dacă este cazul) pentru pachetul și cuplat cu Parametru Index său de securitate (SPI). Apoi IPsec efectuate operații (protocol AH sau ESP).
Exemple de selectorii, care sunt cuprinse în SPD:
autentificare Antet
Formatul de autentificare antet
protocolul AH este folosit pentru autentificare, care este, pentru a confirma că l-am asociat cu cei cu care presupunem, și că datele pe care le primim, nu distorsionat în timpul transmisiei.
Procesarea de ieșire IP-pachete
În cazul în care trimiterea IPsec-modulul determină faptul că pachetul este asociat cu SA, care presupune procesarea-AH, începe prelucrarea. În funcție de modul (transport sau modul tunel), este o diferite inserții AH-antet în IP-pachet. În modul de transport, AH-antet este plasat după antetul IP protocol și înainte superior antetele de protocol layer (De obicei, TCP sau UDP). In modul tunel, întregul original, IP-pachet este încadrată primul antet AH, apoi antetul IP-protocol. Acest antet se numește extern, iar sursa de antet internă IP-paketa-. Transmițătoare IPsec-modulul ar trebui să genereze un număr de serie, și înregistrați-l în numărul de ordine. La stabilirea numărului de serie SA este setat la 0, și este incrementat înainte de a trimite fiecare IPsec-pachet. Mai mult decât atât, există proverka- dacă contorul nu este fixated. În cazul în care a atins valoarea sa maximă, este resetat la 0. În cazul în care serviciul este utilizat pentru a preveni retransmiterea, atunci când contorul atinge valoarea sa maximă, modulul de transmisie resetează IPsec-SA. Aceasta oferă protecție împotriva pachetului de retransmisie - modulul IPsec-recepție va verifica numărul de câmp de ordine. și să ignorați din nou pachetele primite. În continuare există un calcul de control ICV. Trebuie remarcat aici faptul că suma de control este calculată utilizând o cheie secretă, fără de care atacatorul poate re-calcula hash, dar fără să știe cheia, nu se poate forma o sumă de control corect. algoritmi specifici sunt utilizate pentru a calcula ICV, poate fi găsit în RFC 4305. In acest moment se poate aplica, de exemplu, algoritmi HMAC-SHA1-96 sau AES-XCBC-MAC-96. Protocol AN calculează o sumă de control (ICV) în următoarele domenii IPsec-pachete:
Prelucrarea de intrare IP-pachete
Payload capsulare de securitate
Încapsularea format de securitate Payload
Procesarea de ieșire IPsec-pachet
În cazul în care trimiterea IPsec-modulul determină faptul că pachetul este asociat cu SA, care presupune ESP-procesare, începe prelucrarea. În funcție de modul (transport sau modul tunel), pachetul IP-sursă este tratată în mod diferit. În modul de transport, modulul de transmisie efectuează proceduri IPsec-încadrare (încapsulare) a protocolului stratului superior (de exemplu, TCP sau UDP), folosind ESP-antet și ESP-remorcă, fără a afecta original pachet IP-antet. In modul tunel, IP-pachetul este încadrat de ESP-antet și ESP-remorcă, apoi încadrată IP-header extern. În continuare shifrovanie- efectuate în mesajul de protocol modul de transport este criptat numai situată deasupra nivelului (adică, tot ceea ce a fost după IP-antet la pachet original) modul tunnelirovaniya- întreg original, IP-pachet. unitate de înregistrare a SA IPsec-transmitere definește algoritmul de criptare și o cheie secretă. standarde IPsec permite utilizarea de algoritm de criptare triplu-DES, AES si Blowfish. Deoarece dimensiunea plaintext- să fie un multiplu al unui anumit număr de octeți, de exemplu, dimensiunea blocului pentru algoritmii de criptare bloc înainte de a se face, de asemenea, este un complement necesar de mesaje criptate. Mesajul Zaschifrovannoe este plasat în câmpul de date Nutzlast. In lungimea adăugări Pad Lungime plasat. Apoi, la fel ca în AH, calculat numărul de ordine. Apoi, suma de control a considerat (ICV). Checksum, spre deosebire de protocolul AH, în cazul în care calculul său, de asemenea, ia în considerare unele dintre câmpuri și IP antetul ESP este calculată numai pe domeniile ESP-pachete minus câmpul ICV. Înainte de calcularea sumei de control, acesta este umplut cu zerouri. un algoritm de calcul ICV, la fel ca în protocolul AH, modulul IPsec-transmitere învață din registrul SA, cu care este asociat pachetului.
Prelucrarea de intrare IPsec-pachete
utilizarea
IPsec este folosit în principal pentru organizarea VPN-tuneluri. În acest caz, protocoalele ESP și AH sunt de lucru în modul de tunel. În plus, instituirea unei politici de securitate într-un anumit fel, protocolul poate fi folosit pentru a crea un paravan de protecție. Sensul unui paravan de protecție este că acesta controlează și filtrează pachetele care trec prin ea, în conformitate cu normele prescrise. Un set de reguli, iar ecranul arată toate pachetele care trec prin ea. În cazul în care pachetele transmise intră în domeniul de aplicare al acestor norme, firewall-ul le tratează în mod corespunzător. De exemplu, aceasta poate respinge anumite pachete, oprindu-se astfel compusul nesigur. Configurarea politicilor de securitate în consecință, este posibil, de exemplu, să interzică traficul pe Internet. Este suficient pentru a interzice trimiterea de pachete, care sunt investite în HTTP și HTTPS comunicare. IPSec poate fi de asemenea folosite pentru a proteja serverele - scade toate pachetele cu excepția pachetelor necesare pentru executarea corectă a funcțiilor de server. De exemplu, pentru web-server, puteți bloca tot traficul, cu excepția conexiuni prin portul 80 protocolul TCP sau portul TCP 443 atunci când este utilizat HTTPS.
Vezi ce „IPsec“ în alte dicționare:
IPSec - TCP im / IP-Protokollstapel: Anwendung HTTP DNS IMAP SMTP ... transport TCP UDP ... Deutsch Wikipedia
IPsec - TCP im / IP-Protokollstapel: Anwendung HTTP IMAP SMTP DNS ... transport TCP UDP Internet IPSec Netzzugang ... Deutsch Wikipedia
IPSec - TCP im / IP-Protokollstapel: Anwendung HTTP DNS IMAP SMTP ... transport TCP UDP ... Deutsch Wikipedia
IPsec - (abreviatura de Internet Protocol de securitate) es onu Conjunto de protocolos cuya funcion es asegurar las Comunicaciones sobre el Protocolo de Internet (IP) autenticando y / o cifrando Paquete IP en Cada onu flujo de datos. IPsec también incluye ... ... Wikipedia Español
IPSEC - (Internet Protocol Security), défini par l Comme IETF cadre onu de standardele ouverts pour asigurătorului des comunicații privées et protejatele sur des réseaux IP, par l utilizare des serviciile de sécurité cryptographiques [1], est un ansamblu de ... ... Wikipédia ro Français
IPSec - (Internet Protocol Security), défini par l Comme IETF cadre onu de standardele ouverts pour asigurătorului des comunicații privées et protejatele sur des réseaux IP, par l utilizare des serviciile de sécurité cryptographiques [1], est un ansamblu de ... ... Wikipédia ro Français
IPsec - (Internet Protocol Security), défini par l Comme IETF cadre onu de standardele ouverts pour asigurătorului des comunicații privées et protejatele sur des réseaux IP, par l utilizare des serviciile de sécurité cryptographiques [1], est un ansamblu de ... ... Wikipédia ro Français
IPsec - (la abreviatura de Internet Protocol de securitate) es una Extensión al protocolo IP que añade cifrado Fuerte para permitir Servicios de autenticación y cifrado y, de esta Manera, asegurar las Comunicaciones o Traves de dicho protocolo. Inicialmente ... ... Enciclopediei universal
IPsec - Internet Protocol Security (IPSec) este o suită de protocoale pentru securizarea Internet Protocol (IP) comunicațiile prin autentificare și / sau criptare fiecare într-un flux de date. IPsec include, de asemenea, protocoale pentru stabilirea de chei criptografice. ... ... Wikipedia
IPSec - O suită de protocoale în curs de dezvoltare de către Internet Engineering Task Force (IETF), conceput pentru a adăuga dispoziții de securitate la Internet Protocol (IP). De asemenea, cunoscut sub numele de securitate IP. Autentificarea Header (AH) se asigură că datagrama are ... ... Dicționar de rețea