2015-06-28
764
Протокол IP Security (IPSec) является базовым для построения систем безопасности сетевого уровня, представляет собой набор открытых международных стандартов и поддерживается большинством производителей решений по защите сетевой инфраструктуры.
Протокол IPSec позволяет организовать на сетевом уровне потоки защищенных и аутентичных данных (IP-пакетов) между различными взаимодействующими принципалами, включая компьютеры, межсетевые экраны, маршрутизаторы, и обеспечивает:
· аутентификацию, шифрование и целостность передаваемых данных (IP- пакетов);
· защиту от повторной передачи пакетов (replay attack);
· создание, автоматическое обновление и защищенное распространение криптографических ключей;
· использование широкого набора алгоритмов шифрования (DES, 3DES, AES) и механизмов контроля целостности данных (MD5, SHA-1). Существуют программные реализации протокола IPSec, использующие российские алгоритмы шифрования (ГОСТ 28147-89), хеширования (ГОСТ Р 34.11-94), электронной цифровой подписи (ГОСТ Р 34.10-94);
|
|
|
· аутентификацию объектов сетевого взаимодействия на базе цифровых сертификатов.
Текущий набор стандартов IPSec включает в себя базовые спецификации, определенные в документах RFC (RFC 2401-2412, 2451). Request for Comments (RFC) – серия документов группы Internet Engineering Task Force (IETF), начатая в 1969 году и содержащая описания набора протоколов Internet. Архитектура системы определена в RFC 2401 «Security Architecture for Internet Protocol», а спецификации основных протоколов в следующих RFC:
· RFC 2402 «IP Authentication Header» - спецификация протокола AH, обеспечивающего целостность и аутентификацию источника передаваемых IP-пакетов;
· RFC 2406 «IP Encapsulating Security Payload» - спецификация протокола ESP, обеспечивающая конфиденциальность (шифрование), целостность и аутентификацию источника передаваемых IP-пакетов;
· RFC 2408 «Internet Security Association and Key Management Protocol» - спецификация протокола ISAKMP, обеспечивающего согласование параметров, создание, изменение, уничтожение защищенных виртуальных каналов (Security Association – SA) и управление необходимыми ключами;
· RFC 2409 «The Internet Key Exchange» - спецификация протокола IKE (включает в себя ISAKMP), обеспечивающего согласование параметров, создание, изменение и уничтожение SA, согласование, генерацию и распространение ключевого материала, необходимого для создания SA.
Протоколы AH и ESP могут использоваться как совместно, так и отдельно. Протокол IPSec для обеспечения безопасного сетевого взаимодействия использует симметричные алгоритмы шифрования и соответствующие ключи. Механизмы генерации и распространения таких ключей предоставляет протокол IKE.
Защищенный виртуальный канал (SA) – важное понятие в технологии IPSec. SA – направленное логическое соединение между двумя системами, поддерживающими протокол IPSec, которое однозначно идентифицируется следующими тремя параметрами:
|
|
|
· индексом защищенного соединения (Security Parameter Index, SPI – 32- битная константа, используемая для идентификации различных SA c одинаковыми IP- адресом получателя и протоколом безопасности);
· IP-адресом получателя IP-пакетов (IP Destination Address);
· протоколом безопасности (Security Protocol – один из AH или ESP протоколов).
В качестве примера, на рис.2 приводится решение удаленного доступа по защищенному каналу компании Cisco Systems на базе протокола IPSec.
На компьютер удаленного пользователя устанавливается специальное программное обеспечение Cisco VPN Client. Существуют версии данного программного обеспечения для различных операционных систем – MS Windows, Linux, Solaris.
Рис.2 Удаленный доступ по защищенному каналу с использованием VPN-концентратора
Cisco VPN Client взаимодействует с Cisco VPN Series 3000 Concentrator и создает защищенное соединение, которое называется IPSec-туннелем, между компьютером пользователя и частной сетью, находящейся за VPN-концентратором.
VPN-концентратор представляет собой устройство, которое терминирует IPSec-туннели от удаленных пользователей и управляет процессами установки защищенных соединений с VPN-клиентами, установленными на компьютерах пользователей.
К недостаткам такого решения можно отнести отсутствие поддержки компанией Cisco Systems российских алгоритмов шифрования, хеширования и электронной цифровой подписи.
