New Group Mode
New Group Mode e предназначен да позволи на страните, участващи в IKE, да предоговорят Diffie-Hellman групата, установена във Фаза 1. Обменът се базира на заявка и отговор, подобно на договарянето, което използва SA payload. Инициаторът изпраща една или повече заявки за използване на “нова група” от параметри на Diffie-Hellman, а отсрещната страна отговаря с приетата версия.
На схемата са показани съобщенията, разменяни в режима New Group.Те се състоят от ISAKMP хедър, хеш и SA payload, cъдържащ детайлите на Diffie-Hellman групата. HASH(NG1) и HASH(NG2) се базират на SKEYID_a, генериран във Фаза 1 и както беше казано по-рано се използват за удостоверяване на всички IKE съобщения
HASH(NG1) = prf ( SKEYID_a, Message ID | Entire SA proposal, header and payload)
HASH(NG2) = prf ( SKEYID_a, Message ID | SA reply)
Ограничения на IPSec
IPSec е предназначен да осигури IP връзки между устройства. Той изпълнява функцията си много добре, но съществуват някои ограничения, най-важните от които са:
IPseс не може да бъде сигурен, ако системата не е сигурна. Сигурността на системата, на която е инсталиран IPseс и която служи за шлюз, е задължително изискване. От друга страна IPseс може да бъде средство за подобряване на сигурността на системата и мрежата.
IPseс не е от типа „край към край”(end-to-end). Той не може да предостави същата сигурност, както системите работещи на по-високо ниво. IPseс криптира една IP връзка между две машини, което е нещо различно в сравнение с криптирането на съобщения между потребителите или приложенията. Например IPseс криптира пакети на машина, използвана за шлюз за сигурност, когато те напускат машината на подателя, и ги декриптира при пристигане при шлюза на машината на получателя. Това не предоставя полезна услуга за сигурност – само криптирани данни се предават през Интернет – но дори не се доближава до осигуряването на услуга от типа „край към край”. По-специално всеки, който притежава привилегии на някоя от страните на LAN може да засече съобщение в некриптирана форма.
IPseс не може да прави всичко. Той не предоставя всички функции на системите, работещи на по-високо ниво. Ако е необходимо един документ да бъде подписан електронно от определено лице, тогава се използва цифров подпис и криптографска система на публичен ключ, с който подписът да бъде проверен. IPseс удостоверяване на основна комуникация може значително да затрудни атаките на протоколи от по-горно ниво. В частност то предотвратява атаки от типа „man-in-the-middle”.
IPseс удостоверява машини, а не потребители. IPseс използва силни удостоверяващи механизми за контрол на съобщенията, но не притежава концепцията на ID на потребителя, която е от важно значение за много други механизми и политики за сигурност. IPseс контролира кои машини се свързват към сървъра и може да гарантира, че трансферът на данни до тези машини е осъществен сигурно, но това е всичко. В този случай или самите машини трябва да контролират достъпа на потребителите, или трябва да има форма на удостоверяване на потребителите към базата данни, независима от IPseс.
IPseс не спира анализа на трафика (traffic analysis). Анализът на трафика представлява опит за извличане на информация от съобщения без значение от тяхното съдържание. В случая на IPseс това ще означава анализ на данни, видими в некриптираните хедъри на криптираните пакети – размерът на пакетите на адресите на gateway на източника и местоназначението и др.
Изводът, който може да се направи, е че IPSec се е превърнал в стандарт заради възможностите относно сигурността, които предлага, както и заради съвместимостта си с повечето съществуващи VPN софтуер и хардуерни устройства. IPSec изисква от клиентите много малко познание, поради факта, че авторизацията не е потребителски базирана, което означава, че не се изисква специален знак (какъвто е Secure ID или Crypto Card). Вместо това сигурността идва от IP адреса на работната станция или нейния сертификат, който установява идентичността на потребителя и осигурява идентичността на мрежата.
Сподели с приятели: |