Протокол IPSec
advertisement
Протокол IPSec (RFC 2401) Семейство протоколов IPSec Протокол Authentication Header (AH) Аутентификация Контроль целостности Протокол Encapsulated Security Payload (ESP) Аутентификация Контроль целостности Шифрование Протокол Internet Key Exchange (IKE) Согласование алгоритмов шифрования Обмен ключами Защищённый канал IPSec Узел А Конфиденциальная информация Узел В Безопасная ассоциация IPSec 32-разрядный индекс (SPI) Узел А SA IP- адрес узла назначения Идентификатор протокола защиты (АН или ESP) Узел В SA Безопасная ассоциация IPSec Узел В Узел А SAD SAD SAD SAD Базы данных SA Схемы применения IPSec Узел А Узел В Internet/ Intranet Схема узел-узел (точка-точка) Схемы применения IPSec Узел А Узел В Internet/ Intranet Схема шлюз-шлюз Схемы применения IPSec Узел А Узел В Internet/ Intranet Смешанная схема (вариант 1) Схемы применения IPSec Узел А Узел В Internet Intranet Смешанная схема (вариант 2) Режимы работы IPSec Транспортный режим Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Туннельный режим Новый Заголовки Заголовок IP Заголовок IP AH или ESP Заголовки верхних уровней Базы данных IPSec SPD Узел А SPD SAD SAD Базы данных SAD и SPD База данных SPD SPD Узел А SPD Селектор Политика Селектор Политика База данных SPD SPD Узел А SPD IP-пакет может быть: • отброшен • пропущен с применением IPSec • пропущен без применения IPSec Селектор Политика Селектор Политика База данных SPD SPD Узел А SPD Селектор • IP-адрес получателя • IP-адрес отправителя • Протокол (TCP или UDP) • Имя FQDN или X.500 • Порт отправителя • Порт получателя Селектор Политика Селектор Политика База данных SAD SAD Узел А SAD Параметры SA1 Параметры SA2 Текущие безопасные ассоциации (SA) Пример работы IPSec Сеть 1 Сеть 2 Internet/ Intranet SA1 Отправитель Получатель Пример работы IPSec Сеть 1 SA1 IP-датаграмма SPD (исходящая) Селектор Политика Селектор Политика SAD (исходящая) Параметры SA1 Параметры SA2 Отправитель Отправка пакета Пример работы IPSec Сеть 2 SA1 SAD (входящая) Параметры SA1 Параметры SA2 SPD (входящая) Селектор Политика Селектор Политика Получение пакета Получатель Протокол АН Заголовок IP Заголовок AH Заголовок ТСP Next Header Данные Зарезервировано Payload Len Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 31 Протокол АН Заголовок IP Заголовок AH Заголовок ТСP Next Header Данные Зарезервировано Payload Len Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 Поле Next Header 31 Протокол АН Длина Next Header Зарезервировано Payload Len Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 Поле Payload Len 31 Протокол АН Метка безопасной ассоциации Next Header Зарезервировано Payload Len Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 Поле SPI 31 Протокол АН Наращивается для каждого следующего пакета Next Header Зарезервировано Payload Len Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 Поле SN 31 Протокол АН Next Header Зарезервировано Payload Len Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 хэш-функция (содержимое пакета, симметричный секретный ключ) Поле Authentication Data 31 Протокол ESP Зашифровано Заголовок IP Заголовок ESP Заголовок ESP Заголовок ТСP Данные часть 1 часть 2 Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Длина заполнителя Next Header Authentication Data (переменная длина) 0 8 16 31 Протокол ESP Метка безопасной ассоциации Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Длина заполнителя Next Header Authentication Data (переменная длина) 0 8 16 Поле SPI 31 Протокол ESP Наращивается для каждого следующего пакета Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Длина заполнителя Next Header Authentication Data (переменная длина) 0 8 16 Поле SN 31 Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Длина заполнителя Next Header Authentication Data (переменная длина) 0 8 16 31 Для правильной работы алгоритмов шифрования Для намеренного искажения размера пакета Поле заполнителя Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Длина заполнителя Next Header Authentication Data (переменная длина) 0 8 16 Длина заполнителя в байтах Поле длины заполнителя 31 Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Длина заполнителя Next Header Authentication Data (переменная длина) 0 8 Заголовок IP 16 31 Заголовок ESP Заголовок ESP Заголовок ТСP Данные часть 1 часть 2 Поле Next Header Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Длина заполнителя Next Header Authentication Data (переменная длина) 0 8 16 31 хэш-функция (содержимое пакета, симметричный секретный ключ) Поле Authentication Data Протокол IKE Безопасная ассоциация Security Association 32-разрядный индекс SPI IP- адрес узла назначения идентификатор протокола защиты (АН или ESP) Безопасная ассоциация Протокол IKE Фаза 1 Установление защищенного соединения для процедуры обмена (IKE SA) Фаза 2 Согласование всех параметров, ассоциируемых с общим каналом SA Этапы функционирования протокола IKE Протокол IKE (фаза 1) 2 3 4 5 6 Заголовок 1 SA Заголовок Отвечающая сторона Ключ Nonce Заголовок Sig [Cert] ID Заголовок Nonce Ключ Заголовок SA Заголовок Инициирующая сторона ID [Cert] Sig Основной режим установления канала IKE SA Практическая работа 7 Настройка IPSec Настройка IPSec средствами ОС Windows 2000
