„Проектиране на корпоративна vpn мрежа
Изводът, който може да се направи е, че Виртуалните частни мрежи
Изтегляне 2.17 Mb.
|
- Навигация на страницата:
- II. Протокол IPSec
- 1. Характеристики на протокол IPSec
| Изводът, който може да се направи е, че Виртуалните частни мрежи (VPN) са много мощен и основен инструмент, който може да бъде използван да криптира цялата комуникация между участващите компютри. VPN може да бъде използван, за да подобри поверителността и сигурността на протоколите, които не са криптирани (или не са сигурно криптирани) по подразбиране.
Неудобство при използването на VPN е, че всички участващи компютри трябва да използват един и същи VPN софтуер и да бъдат правилно настроени да комуникират един с друг. По принцип това означава, че разполагането на VPN не е лесна задача и изисква да й бъде отделено значително време от системния администратор. II. Протокол IPSec При разглеждането на въпроса за управляемостта и технологичната зрялост трябва да се вземе предвид, че в момента на практика индустриален стандарт при VPN мрежите е IPSес технологията, която е добре имплементирана в продуктовата гама на водещите производители на мрежово оборудване. Това позволява на големи организации да изградят мрежите си изцяло стандартизирани и удобни за администриране и поддръжка. 1. Характеристики на протокол IPSec Целта на IPSec е да осигури стандартни криптографски механизми за сигурност между IPv4 и IPv6 обекти. Между основните услуги са контрол на достъпа, гарантиране на цялост на данните (integrity) по пътя им от източника до местоназначението, както и удостоверяване за произхода им, разпознаване и отхвърляне на подвеждащи атаки (replays), поверителност (чрез криптиране) и мерки за поверителност на потоците от трафик. Всички тези услуги се предоставят на ниво IP. В този смисъл може да се каже, че IPSec включва минимални функционални характеристики на една “защитна стена” (firewall). Те се подсилват и от криптографски-базираните удостоверявания и проверки за цялост на данните, наложени на целия IPSec трафик. IPSec се реализира върху хост компютър или като “защитен шлюз” (security gateway - SG) – защитна стена или маршрутизатор с IPSec възможности. Защитата, предлaгана от IPSec, се базира на изискванията, дефинирани в базата от данни на политиката за сигурност (Security Policy Database - SPD) от страна на потребителя/ администратора или приложна програма. Въз основа на тях IP пакетът се защитава (PROTECT) с помощта на IPSec услугите, отхвърля (DISCARD) или се пропуска без обработване от IPSec (BYPASS). В основата на архитектурата на IPsec лежи (Security Association - SA). Протоколите, чрез които се реализират услугите на IPSec VPN - AH (добавяне на удостоверително заглавие, хедър, към IP пакета) и ESP (опаковане на полезните данни в IP пакета), използват SA. Същото важи и за протокола за обмен на ключове Internet Key Exchange (IKE). Security Association възникват в резултат от прилагането на политика, която дефинира криптирането, създаването на ключове, удостоверяването и всички процеси, които ще бъдат прилагани към данните. SA представлява еднопосочно съединение, което предлага услуги за сигурност на трафика, който носи, чрез AH или ESP (например: DES , 3DES, AES протокол за криптиране и MD5 или SHA-1 протокол за удостоверяване). За всеки един от протоколите, който се поддържа, AH или ESP, или и двата, трябва да се създаде отделна SA. Ако искаме да имаме двупoсoчни комуникации между две IPSec системи, ще са ни необходими две SA (по една за всяка от посоките). В този смисъл IKE по подразбиране създава двойки SA. Така че в IPSec VPN съществуват две форми на SA: ISAKMP (Internet Security Association Key Management Protocol), известни и като IKE. IKE SA е двупосочна и предоставя сигурен комуникационен канал между двете страни, който може да се използва за договаряне на по-нататъшните комуникации. IPSec SA е еднопосочна и се използва за действителната комуникация между устройствата. За двупосочна комуникация трябва да има поне две IPSec SAs – по една за всяка посока предаване и приемане. IPSec SA могат да се дефинират еднозначно чрез три компонента: 1. Security parameter index (SPI) – 32-битово число, служещо за идентификация на SA. 2. IP адреса на получателя. 3. Идентификатор на протокола за сигурност, който дефинира дали SA е AH или ESP. Информацията за всички SA се съдържа в Security Association Database (SAD). Изтегляне 2.17 Mb. Сподели с приятели:
|