„Проектиране на корпоративна vpn мрежа

New Group Mode e предназначен да позволи на страните, участващи в IKE, да предоговорят Diffie-Hellman групата, установена във Фаза 1. Обменът се базира на заявка и отговор, подобно на договарянето, което използва SA payload. Инициаторът изпраща една или повече заявки за използване на “нова група” от параметри на Diffie-Hellman, а отсрещната страна отговаря с приетата версия.

3. 
   Ограничения на IPSec
   

IPSec е предназначен да осигури IP връзки между устройства. Той изпълнява функцията си много добре, но съществуват някои ограничения, най-важните от които са:

• 
  IPseс не може да бъде сигурен, ако системата не е сигурна. Сигурността на системата, на която е инсталиран IPseс и която служи за шлюз, е задължително изискване. От друга страна IPseс може да бъде средство за подобряване на сигурността на системата и мрежата.
  
• 
  IPseс не е от типа „край към край”(end-to-end). Той не може да предостави същата сигурност, както системите работещи на по-високо ниво. IPseс криптира една IP връзка между две машини, което е нещо различно в сравнение с криптирането на съобщения между потребителите или приложенията. Например IPseс криптира пакети на машина, използвана за шлюз за сигурност, когато те напускат машината на подателя, и ги декриптира при пристигане при шлюза на машината на получателя. Това не предоставя полезна услуга за сигурност – само криптирани данни се предават през Интернет – но дори не се доближава до осигуряването на услуга от типа „край към край”. По-специално всеки, който притежава привилегии на някоя от страните на LAN може да засече съобщение в некриптирана форма.
  
• 
  IPseс не може да прави всичко. Той не предоставя всички функции на системите, работещи на по-високо ниво. Ако е необходимо един документ да бъде подписан електронно от определено лице, тогава се използва цифров подпис и криптографска система на публичен ключ, с който подписът да бъде проверен. IPseс удостоверяване на основна комуникация може значително да затрудни атаките на протоколи от по-горно ниво. В частност то предотвратява атаки от типа „man-in-the-middle”.
  
• 
  IPseс удостоверява машини, а не потребители. IPseс използва силни удостоверяващи механизми за контрол на съобщенията, но не притежава концепцията на ID на потребителя, която е от важно значение за много други механизми и политики за сигурност. IPseс контролира кои машини се свързват към сървъра и може да гарантира, че трансферът на данни до тези машини е осъществен сигурно, но това е всичко. В този случай или самите машини трябва да контролират достъпа на потребителите, или трябва да има форма на удостоверяване на потребителите към базата данни, независима от IPseс.
  
• 
  IPseс не спира анализа на трафика (traffic analysis). Анализът на трафика представлява опит за извличане на информация от съобщения без значение от тяхното съдържание. В случая на IPseс това ще означава анализ на данни, видими в некриптираните хедъри на криптираните пакети – размерът на пакетите на адресите на gateway на източника и местоназначението и др.
  

Изводът, който може да се направи, е че IPSec се е превърнал в стандарт заради възможностите относно сигурността, които предлага, както и заради съвместимостта си с повечето съществуващи VPN софтуер и хардуерни устройства. IPSec изисква от клиентите много малко познание, поради факта, че авторизацията не е потребителски базирана, което означава, че не се изисква специален знак (какъвто е Secure ID или Crypto Card). Вместо това сигурността идва от IP адреса на работната станция или нейния сертификат, който установява идентичността на потребителя и осигурява идентичността на мрежата.