Глава II. VPN Технологии
IPSec
IPSec е предназначен да осигури IP връзки между устройства. Той е единствения стандартизиран протокол, който отговаря на всички изисквания към виртуалните частни мрежи.
Реализацията на VPN на трети (мрежов) слой според модела на ISO става именно с помощта на протокола IPSec. Целта е да осигури стандартни криптографски механизми за сигурност между IPv4 и IPv6 обекти. Между основните услуги са контрол на достъпа, гарантиране на целостта на данните (integrity) по пътя им от източника до местоназначението, както и удостоверяване на произхода им, разпознаване и отхвърляне на подвеждащи атаки (replays), поверителност (чрез криптиране) и мерки за поверителност на потоците от трафик. Всички тези услуги се предоставят на ниво IP.
IPSec е утвърден стандарт за сигурност на протокола IP, разработен за негова защита. IP (Internet Protocol) протокола не предоставя такива защитни възможности. IPSec добавя допълнителни услуги, липсващи в IP, които предоставят следващите възможности:
Тези услуги се осъществяват чрез трите протокола, от които се състои IPSec:
AH (Authentication Header) – предоставя удостоверяване на IP пакетите;
ESP (Encapsulating Security Payload) – предоставя криптиране и удостоверяване на IP пакетите.
IKE (Internet Key Exchange) – договаря параметрите на връзката, включително ключовете.
IPSec е проектиран да работи, както в тунелен режим (за защита на комуникацията между отделни мрежи), така и в транспортен режим ( за защита на комуникациите между два участника), поради което се използва за изграждане на виртуални частни мрежи.
Транспортен режим на работа
При транспортния режим на работа, се шифрира дял от IP пакетът с данни, докато заглавието остава в оригиналния облик. Това означава че потенциалния хакер може да види адреса на компютъра от който пакетите идват, а също и адреса на компютъра за когото са предназначени пакетите. Предимството на този начин на работа е че на всеки пакет се добавят само няколко октета. Този начин на работа е предназначен при комуникация директно между два компютъра (със собствени IP адреси), което означава че по този начин не могат да комуникират два компютъра, които са свързани към Интернет чрез рутери или подобни устройства.
Адрес на изпращач
Адрес на получател
Шифрирани данни
Сподели с приятели: |