Помощь в написании студенческих работ
Антистрессовый сервис

IpSecurity (IPsec). Организация защищенного канала связи для предприятия ООО "Энергосервис"

Реферат: IpSecurity (IPsec). Организация защищенного канала связи для предприятия ООО "Энергосервис"
РефератПомощь в написанииУзнать стоимостьмоей работы

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для… Читать ещё >

IpSecurity (IPsec). Организация защищенного канала связи для предприятия ООО "Энергосервис" (реферат, курсовая, диплом, контрольная)

Hабор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. 5].

Стандарты:

  • · RFC 2401(Security Architecture for the Internet Protocol) — архитектура защиты для протокола IP;
  • · RFC 2402(IP Authentication header) -аутентификационный заголовок IP;
  • · RFC 2403(TheUseofHMAC-MD5−96 withinESPandAH) — использование алгоритма хэширования MD-5 для создания аутентификационного заголовка;
  • · RFC 2404(TheUseofHMAC-SHA-1−96 withinESPandAH) — использование алгоритма хэширования SHA-1 для создания аутентификационного заголовка;
  • · RFC 2405(The ESP DES-CBC Cipher Algorithm With Explicit IV) — использование алгоритма шифрования DES;
  • · RFC 4303(ранееRFC 2406) (IP Encapsulating Security Payload [ESP]) — шифрованиеданных;
  • · RFC 2407(The Internet IP Security Domain of Interpretation for ISAKMP) — область применения протокола управления ключами;
  • · RFC 2408(Internet Security Association and Key Management Protocol [ISAKMP]) — управление ключами и аутентификаторами защищённых соединений;
  • · RFC 2409(The Internet Key Exchange [IKE]) — обмен ключами;
  • · RFC 2410(The NULL Encryption Algorithm and Its Use With IPsec) — нулевой алгоритм шифрования и его использование;
  • · RFC 2411(IP Security Document Roadmap) — дальнейшее развитие стандарта;
  • · RFC 2412(The OAKLEY Key Determination Protocol) — проверка соответствия ключа.

Первоначально сеть Интернет была создана как безопасная среда передачи данных между военными. Так как с ней работал только определённый круг лиц, людей, образованных и имеющих представления о политике безопасности, то явной нужды построения защищённых протоколов не было. Безопасность организовывалась на уровне физической изоляции объектов от посторонних лиц, и это было оправдано, когда к сети имело доступ ограниченное число машин. Однако, когда Интернет стал публичным и начал активно развиваться и разрастаться, такая потребность появилась.

И в 1994 году Совет по архитектуре Интернет (IAB) выпустил отчёт «Безопасность архитектуры Интернет». Он посвящался в основном способам защиты от несанкционированного мониторинга, подмены пакетов и управлению потоками данных. Требовалась разработка некоторого стандарта или концепции, способной решить эту проблему. В результате, появились стандарты защищённых протоколов, в числе которых и IPsec. Первоначально он включал в себя три базовые спецификации, описанные в документах (RFC1825, 1826 и 1827), однако впоследствии рабочая группа IP Security Protocol IETF пересмотрела их и предложила новые стандарты (RFC2401 — RFC2412), используемые и в настоящее время.

IPsec является набором стандартов Интернет и своего рода «надстройкой» над IP-протоколом. Его ядро составляют три протокола:

  • · Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов;
  • · Encapsulating Security Payload (ESP) обеспечивает конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может исполнять функции AH: обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и функцию по предотвращению повторной передачи пакетов. При применении ESP в обязательном порядке должен указываться набор услуг по обеспечению безопасности: каждая из его функций может включаться опционально;
  • · Internet Security Association and Key Management Protocol (ISAKMP) — протокол, используемый для первичной настройки соединения, взаимной аутентификации конечными узлами друг друга и обмена секретными ключами. Протокол предусматривает использование различных механизмов обмена ключами, включая задание фиксированных ключей, использование таких протоколов, как Internet Key Exchange, Kerberized Internet Negotiation of Keys (RFC 4430) или записей DNS типа IPSECKEY (RFC 4025).

IPsec может функционировать в двух режимах: транспортном и туннельном.

В транспортном режиме шифруются (или подписываются) только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами для защиты туннелей, организованных каким-нибудь другим способом (см., например, L2TP).

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Режимы IPsec не являются взаимоисключающими. На одном и том же узле некоторые SA могут использовать транспортный режим, а другие — туннельный.

IKE — протокол, связывающий все компоненты IPsec в работающее целое. В частности, IKE обеспечивает первоначальную аутентификацию сторон, а также их обмен общими секретными ключами.

Существует возможность вручную установить ключ для сессии (не путать с pre-shared key [PSK] для аутентификации). В этом случае IKE не используется. Однако этот вариант не рекомендуется и используется редко. Традиционно, IKE работает через порт 500UDP.

В спецификациях и функционировании этих протоколов есть некоторые различия. IKEv2 устанавливает параметры соединения за одну фазу, состоящую из нескольких шагов. Процесс работы IKE можно разбить на две фазы:

Первая фаза — IKE создает безопасный канал между двумя узлами, называемый IKE security association (IKE SA). Также, в этой фазе два узла согласуют сессионный ключ по алгоритму Диффи-Хеллмана.

Первая фаза IKE может проходить в одном из двух режимов:

  • 1) основной режим — состоит из трёх двусторонних обменов между отправителем и получателем:
    • · во время первого обмена согласуются алгоритмы и хэш-функции, которые будут использоваться для защиты IKE соединения, посредством сопоставления IKE SA каждого узла;
    • · используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путём передачи и подтверждения последовательности псевдослучайных чисел;
    • · по зашифрованному IP-адресу проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для последующего ISAKMP — обмена (этот протокол определяет порядок действий для аутентификации соединения узлов, создания и управления SA, генерации ключей, а также уменьшения угроз, таких как DoS-атака или атака повторного воспроизведения).
  • 2) агрессивный режим — этот режим обходится меньшим числом обменов и, соответственно, числом пакетов. В первом сообщении помещается практически вся нужная для установления IKE SA информация: открытый ключ Диффи-Хеллмана, для синхронизации пакетов, подтверждаемое другим участником, идентификатор пакета. Получатель посылает в ответ все, что надо для завершения обмена. Первому узлу требуется только подтвердить соединение.

С точки зрения безопасности агрессивный режим слабее, так как участники начинают обмениваться информацией до установления безопасного канала, поэтому возможен несанкционированный перехват данных. Однако, этот режим быстрее, чем основной. По стандарту IKE любая реализация обязана поддерживать основной режим, а агрессивный режим поддерживать крайне желательно.

Вторая фаза — в фазе два IKE существует только один, быстрый, режим. Быстрый режим выполняется только после создания безопасного канала в ходе первой фазы. Он согласует общую политику IPsec, получает общие секретные ключи для алгоритмов протоколов IPsec (AH или ESP), устанавливает IPsec SA. Использование последовательных номеров обеспечивает защиту от атак повторной передачи. Также быстрый режим используется для пересмотра текущей IPsec SA и выбора новой, когда время жизни SA истекает. Стандартно быстрый режим проводит обновление общих секретных ключей, используя алгоритм Диффи-Хеллмана из первой фазы. 13].

Существует IKE и более новая версия протокола: IKEv2, в которой реализованы и обновлены следующие параметры:

  • · режимы обмена устарели;
  • · упрощенный обмен, всего 4 сообщения;
  • · PSK и RSA-Sig аутентификация;
  • · асимметричная аутентификация;
  • · сужение селектора трафика разрешено;
  • · Lifetime не нужны;
  • · Rekey — определен;
  • · NAT-T: Поддерживается по умолчанию;
  • · DPD: Поддерживается по умолчанию;
  • · RoadWarrior: поддерживается EAP и config payload (CP);
  • · сопротивление ДОС улучшено (не устанавливается соединение пока точка не верифицирована).

В работе протоколов IPsec можно выделить пять этапов.

Первый этап начинается с создания на каждом узле, поддерживающим стандарт IPsec, политики безопасности. На этом этапе определяется, какой трафик подлежит шифрованию, какие функции и алгоритмы могут быть использованы;

Второй этап является, по сути, первой фазой IKE. Её цель — организовать безопасный канал между сторонами для второй фазы IKE. На втором этапе выполняются:

  • · аутентификация и защита идентификационной информации узлов;
  • · проверка соответствий политик IKE SA узлов для безопасного обмена ключами;
  • · обмен Диффи-Хеллмана, в результате которого у каждого узла будет общий секретный ключ;
  • · создание безопасного канала для второй фазы IKE;

Третий этап является второй фазой IKE. Его задачей является создание IPsec-туннеля. На третьем этапе выполняются следующие функции:

  • · согласуются параметры IPsec SA по защищаемому IKE SA каналу, созданному в первой фазе IKE;
  • · устанавливается IPsec SA;
  • · периодически осуществляется пересмотр IPsec SA, чтобы убедиться в её безопасности;
  • · опционально выполняется дополнительный обмен Диффи-Хеллмана;

Рабочий этап. После создания IPsec SA начинается обмен информацией между узлами через IPsec-туннель, используются протоколы и параметры, установленные в SA;

Прекращают действовать текущие IPsec SA. Это происходит при их удалении или при истечении времени жизни (определенное в SA в байтах информации, передаваемой через канал, или в секундах), значение которого содержится в SAD на каждом узле. Если требуется продолжить передачу, запускается фаза два IKE (если требуется, то и первая фаза) и далее создаются новые IPsec SA. Процесс создания новых SA может происходить и до завершения действия текущих, если требуется непрерывная передача данных. [6].

Показать весь текст
Заполнить форму текущей работой

Сессия? Спокойно!