Скачать ZIP архив | Скачать RAR архив
IPsec (сокращение от IP Security) — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP. Позволяет осуществлять подтверждение подлинности (аутентификацию), проверку целостности и/или шифрование IP-пакетов. IPsec также включает в себя протоколы для защищённого обмена ключами в сети Интернет. В основном, применяется для организации vpn-соединений.
IKE (Internet Key Exchange) — протокол, связывающий все компоненты IPsec в работающее целое. В частности, IKE обеспечивает первоначальную аутентификацию сторон, а также их обмен общими секретными ключами.
IKE создает безопасный канал между двумя узлами, называемый IKE security association (IKE SA). Также, в этой фазе два узла согласуют сессионный ключ по алгоритму Диффи-Хеллман.
Состоит из трех двусторонних обменов между отправителем и получателем:
1 Во время первого обмена согласуются алгоритмы и хэш-функции, которые будут использоваться для защиты IKE соединения, посредством сопоставления IKE SA каждого узла.
2 Используя алгоритм Диффи-Хеллмана, стороны обмениваются общим секретным ключом. Также узлы проверяют идентификацию друг друга путем передачи и подтверждения последовательности псевдослучайных чисел.
3 По зашифрованному IP-адресу проверяется идентичность противоположной стороны. В результате выполнения основного режима создается безопасный канал для последующего ISAKMP — обмена.
Группа протоколов IKE (Internet Key Exhchande)
Протокол ISAKMP (Internet Security Associations and Key Management Protocol — RFC 2408) позволяет согласовывать алгоритмы и мат.структуры для процедуры обмена ключами Диффи-Хеллмана, а также процессов аутентификции.
Протокол Oakley (RFC 2412, основан на Диффи-Хеллмана) служит для организации непосредственного обмена ключами:
— осуществляют аутентификацию взаимодействующих сторон;
— обеспечивают создание, управление ключевой информации соединения, непосредственный обмен ключами;
— управляют параметрами соединения и защитой от некоторых типов атак, контролируют выполнение всех достигнутых соглашений.
Установление безопасной ассоциации SA (Security Accociations). Для выполнения аутентификации сторон в IKE применяются два основных способа.
Первый способ основан на исполозовании разделяемого секрета.
Второй способ основан на использовании технологии цифровой подписи и цифровых сертификатов стандарта Х.509. Каждая из сторон подписывает свой цифровой сертификат своим закрытым ключом и передает эти данные противолположной стороне. Если подписанный сертификат расшифровавается от крытым ключом отправителя, то это удостоверяет тот факт, что отправитель, предоставивший данные, действительно обладает ответной частью данного открытного ключа — соответствующим закрытым ключом.
Для удостоверения аутентичности стороны должны убедиться в аутентичности самого сертификата, и для этого сертификат должен быть подписан не только его владельцем, но и некоторой третьей стороной, выдавшей сертификат и вызывающей доверие. В архитектуре IPSec эта третья сторона именуется органом сертификации CA (Certification Authority).
После проведения взаимной аутентификации взаимодействующие стороны могут непосрдественно перейти к согласованию параметров защищенного канала. Параметры SA должнф устраивать обе конечные точки защищенного канала. Поэтому при использовании автоматической процедуры установелния SA протоколы IKE работающие по разные стороны канала выбирают параметры в ходе переговорного процесса.
Для автоматического установления ассоциации необходим соответствующий протокол, в качестве которого в стандартах IPSec определен протокол IKE. Он является комбинацией протоколов ISAKMP, Oakley и SKEME.
Базы данных SAD и SPD. IPsec предлагает различные методы защиты трафика. В каждом узле, поддерживающем IPsec испгользуются БД двух типов:
— база данных безопасных ассоциаций SAD
— база данных политики безопасности SPD
Применение структур SA открывает путь к построению множества виртуальных частных сетей, различающихся своими параметрами.
Каждый узел IPsec поддерживает две базы SAD — одну для исходящих ассоциаций, другую для входящих.
SPD задает соответствие между IP-пакетами и установленными для них правилами обработки. При обработке пакетов БД SPD используются совместимо с БД SAD. SPD представляет собой упорядоченный набор правил, каждое из которых включает совокупность селекторов и допустимых политик безопасности. Такая БД формируется и поддерживает на каждом узле, где установлено ПО IPsec.