1.1 Архитектура
Базовата архитектура на IPSec се описва от стандарта RFC 4301. Върху нея се градят всички реализации. Там се дефинират услугите, които IPSec предлага, как и къде се използват и как пакетите се конструират и обработват.
Повечето от услугите за сигурност на IPSec се осигуряват чрез един от двата протокола за защита на трафика. Authentication Header (RFC 4302) защитава целия IP пакет, а Encapsulating Security Payload (RFC 4303) - само на полезните данни, които носи IP пакетът, т.е. на по-горните слоеве. В тази схема участват и процедурите и протоколите за управление на криптографските ключове.
Всеки един от протоколите AH и ESP, поддържа два режима на работа – транспортен и тунелен. Транспортният осигурява защита главно за протоколите на по-горните слоеве. IPSec хедърът се вмъква между IP хедъра и горните слоеве. В тунелен режим целият IP пакет се вмъква в нова дейтаграма, като IPsec хедърът се вмъква между външния и вътрешния хедър.
1.2 Транспортен режим
Концепцията на VPN решенията се основава главно на тунелите. Тунел възниква, в случаите когато оригиналните данни са енкапсулирани в нов пакет и препратени въз основа на атрибутите на протокола на новия пакет. Целта е да се осигури прозрачна връзка за основния протокол. Транспортният режим на IPSec е уникален с това, че не се осъществява енкапсулиране в нов пакет. Използва се оригиналният IP хедър и данните се препращат въз основа на оригиналните атрибути, заложени от протокола. Тъй като дейтаграмите се предават от TCP/IP протокола към мрежовия слой, те са снабдени със съответната хедър информация от всеки слой. В края на операциите в мрежовия слой, IPSec премахва оригиналния IP хедър и криптира хедъра и данните на горния протокол. След това IPSec добавя избрания хедър на протокола за сигурност преди отново да приложи оригиналния хедър.
В транспортния режим оригиналният пакет остава същият с изключение на две важни промени: данните са криптирани и в пакета е добавен удостоверяващ протокол. По този начин пакетът получава интегритет, за да се гарантира, че данните не са променяни по време на пренос. Главното ограничение се състои в това, че в рамките на транспортния режим не могат да се предоставят шлюзови услуги. Ако две системи комуникират в транспортен режим, комуникацията не може да бъде осъществена отвъд крайните точки на VPN. Транспортният режим е запазен за комуникация от типа “точка към точка”. Ако при неговото използване е установен VPN с VPN шлюз, отдалечената система има възможност да комуникира само с шлюза, като не може да обменя данни с вътрешната мрежа. Съществуват няколко случая, при които използването на транспортния режим е необходимо. VPN чрез транспортен режим пряко към шлюз може да осигури защитено администриране без да съществува безпокойство относно достъпа до вътрешната мрежа. В ситуациите, при които VPN шлюз се управлява отдалечено от трета страна, достъпът й до вътрешната мрежа може да бъде нежелан. Способността за вмъкване на транспортен режим SA в тунелен режим SA осигурява разширена защита отвъд шлюза във вътрешната мрежа.
Сподели с приятели: |