Содержание
• История создания• IPsec• IKE
Подходы к защите каналов связи
Особенности TCP/IP
• Протокол предназначен для коммуникации;
• Адаптации нагрузки;• Маршрутизации;
• Безопасность не предусмотрена.
IPsec история создания и требования
• Рабочая группа - BOF- IETF 1992 • Цели:
– конфиденциальность, целостность, доступность;
– нейтральность по отношению к криптографии;
– различные варианты сетевого взаимодействия.
Ipsec требования к криптографии
• Независимость сеансового ключа от мастер-ключа;
• Контроль целостности пакетов;• Симметричность протокола относительно
ключей;• Управление ключами;• Создание новых сеансов по:
– Факту обработки определенного объема трафика;
– Компрометации ключей;
IPsec• Два режима работы:
- туннельный –взаимодействие подсетей (защищается весь IP пакет);
- транспортный – взаимодействие хостов (защищаются только данные);
• Два подпротокола защиты информации: AH – аутентификация пакетов и отправителей по SA;
• ESP – шифрование пакетов, аутентификация отправителя по SA;
• Два протокола установления соединения – IKE и ISAKMP;
Пакет протокола AH
Пакет протокола ESP
Совместное использование AH+ESP
Транспортный режим для AH+ESP
Туннельный режим AH +ESP
Ipsec – распределение ключей
• Предварительная установка с съемных носителей;
• Использование инфраструктуры PKI для распределения ключей.
IKE процедура установления соединения
Узел А
5
Узел БЗаявка на подключение, алгоритмы и режимы шифрования1
Результат выбора 2
Часть ключа DH, случайное число nonce3
4Часть ключа DH, случайное число nonce
Общий ключ, случайное число, подпись
Общий ключ, случайное число, подпись 6
IKE• Создается контекст безопасности SA-
таблица параметров, устанавливается вручную перед началом сеанса или при помощи PKI;
• Аутентификация пакетов по заголовку AH;
Требования к ключам
• Ключи создаются и используются согласно стандарта NIST SP 800-133