Security Association

date image 2014-02-02
views image 1162
Поделись с друзьями: 
2345678

Архитектура IPsec

Протоколы IPsec, в отличие от других хорошо известных протоколов SSL и TLS, работают на сетевом уровне (уровень 3 модели OSI). Это делает IPsec более гибким, так что он может использоваться для защиты любых протоколов, базирующихся на TCP и UDP. IPsec может использоваться для обеспечения безопасности между двумя IP-узлами, между двумя шлюзами безопасности или между IP-узлом и шлюзом безопасности. Протокол является "надстройкой" над IP-протоколом, и обрабатывает сформированные IP-пакеты описанным ниже способом. IPsec может обеспечивать целостность и/или конфиденциальность данных передаваемых по сети.

IPsec использует следующие протоколы для выполнения различных функций:

§ Authentication Header (АН) обеспечивает целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и дополнительную функцию по предотвращению повторной передачи пакетов

§ Encapsulating Security Payload (ESP) может обеспечить конфиденциальность (шифрование) передаваемой информации, ограничение потока конфиденциального трафика. Кроме этого, он может обеспечить целостность виртуального соединения (передаваемых данных), аутентификацию источника информации и дополнительную функцию по предотвращению повторной передачи пакетов (Всякий раз, когда применяется ESP, в обязательном порядке должен использоваться тот или иной набор данных услуг по обеспечению безопасности)

§ Security Association (SA) обеспечивают связку алгоритмов и данных, которые предоставляют параметры, необходимые для работы AH и/или ESP. Internet security association and key management protocol (ISAKMP) обеспечивает основу для аутентификации и обмена ключами, проверки подлинности ключей.

Концепция "Защищенного виртуального соединения" (SA, "Security Association") является фундаментальной в архитектуре IPsec. SA представляет собой симплексное соединение, которое формируется для транспортирования по нему соответствующего трафика. При реализации услуг безопасности формируется SA на основе использования протоколов AH или ESP (либо обоих одновременно). SA определен в соответствии с концепцией межтерминального соединения (point-to-point) и может функционировать в двух режимах: транспортный режим (РТР) и режим тунелирования (РТУ). Транспортный режим реализуется при SA между двумя IP-узлами. В режиме туннелирования SA формирует IP-туннель.

Все SA хранятся в базе данных SADB (Security Associations Database) IPsec-модуля. Каждое SA имеет уникальный маркер, состоящий из трех элементов:

§ индекса параметра безопасности (SPI)

§ IP-адреса назначения

§ идентификатора протокола безопасности (ESP или AH)

IPsec-модуль, имея эти три параметра, может отыскать в SADB запись об конкретном SA. В список компонентов SA входят:

Последовательный номер

32-битовое значение, которое используется для формирования поля Sequence Number в заголовках АН и ESP.

Переполнение счетчика порядкового номера

Флаг, который сигнализирует о переполнении счетчика последовательного номера.

Окно для подавления атак воспроизведения

Используется для определения повторной передачи пакетов. Если значение в поле Sequence Number не попадает в заданный диапазон, то пакет уничтожается.

Информация AH

используемый алгоритм аутентификации, необходимые ключи, время жизни ключей и другие параметры.

Информация ESP

алгоритмы шифрования и аутентификации, необходимые ключи, параметры инициализации (например, IV), время жизни ключей и другие параметры

Режим работы IPsec

туннельный или транспортный

MTU

Максимальный размер пакета, который можно передать по виртуальному каналу без фрагментации.

Так как защищенные виртуальные соединения(SA) симплексные соединения, то для организации дуплексного канала, как минимум, нужны два SA. Помимо этого, каждый протокол (ESP/AH) должен иметь свою собственную SA для каждого направления, то есть, связка AH+ESP требует наличия четырех SA. Все эти данные располагаются в SADB.

В SADB содержатся:

§ AH: алгоритм аутентификации.

§ AH: секретный ключ для аутентификации

§ ESP: алгоритм шифрования.

§ ESP: секретный ключ шифрования.

§ ESP: использование аутентификации (да/нет).

§ Параметры для обмена ключами

§ Ограничения маршрутизации

§ IP политика фильтрации

Помимо базы данных SADB, реализации IPsec поддерживают базу данных SPD (Security Policy Database- База данных политик безопасности). Запись в SPD состоит из набора значений полей IP-заголовка и полей заголовка протокола верхнего уровня. Эти поля называются селекторами. Селекторы используются для фильтрации исходящих пакетов, с целью поставить каждый пакет в соответствие с определенным SA. Когда формируется пакет, сравниваются значения соответствующих полей в пакете (селекторные поля) с теми, которые содержатся SPD. Находятся соответствующие SA. Затем определяется SA (в случае, если оно имеется) для пакета и сопряженный с ней индекс параметров безопасности(SPI). После чего выполняются операции IPsec(операции протокола AH или ESP).

Примеры селекторов, которые содержатся в SPD:

§ IP-адрес места назначения

§ IP-адрес отправителя

§ Протокол IPsec (AH, ESP или AH+ESP)

§ Порты отправителя и получателя

Понравилась статья? Добавь ее в закладку (CTRL+D) и не забудь поделиться с друзьями:  

2345678

double arrow
Сейчас читают про:
article image
Культура Древней Руси 9-12 вв. Значение принятия Русью православия в формировании культуры и ментальности русского народа
article image
Определение конфигурации сердца, размеров поперечника сердца и сосудистого пучка
article image
Причины чеченской войны
article image
Взаимодействие аллельных и неаллельных генов. Явление плейотропии
article image
Общая экономико-географическая характеристика США
article image
Внутренние и внешние функции государства
article image
Самый сильный аргумент, почему эволюция человека не могла быть

Знание только тогда знание, когда оно приобретено усилиями своей мысли, а не памятью. © Лев Толстой ==> читать все изречения...
like icon 6001
like icon 5865
Понравился сайт? Поделись им с друзьями: