|
IPSec komponentlari
AH (Autentifikatsiya sarlavhasi) protokoli sarlavhani identifikatsiya qilish protokoli. Uzatish vaqtida paketning himoyalangan qismidagi bitlar o‘zgartirilmaganligini tekshirish orqali butunlikni ta’minlaydi. Ammo AH dan foydalanish, masalan, paket NAT qurilmasi orqali o'tganda muammolarga olib kelishi mumkin. NAT xususiy mahalliy manzildan Internetga kirishga ruxsat berish uchun paketning IP manzilini o'zgartiradi. Chunki bu holda paket o'zgaradi, keyin AH nazorat summasi noto'g'ri bo'ladi (bu muammoni bartaraf etish uchun UDP orqali ESP uzatishni ta'minlaydigan va o'z ishida UDP 4500 portidan foydalanadigan NAT-Traversal (NAT-T) protokoli ishlab chiqilgan). Shuni ham ta'kidlash kerakki, AH faqat yaxlitlik uchun yaratilgan. U paket mazmunini shifrlash orqali maxfiylikni kafolatlamaydi.
ESP (Encapsulation Security Payload) protokoli nafaqat uzatilgan ma'lumotlarning yaxlitligi va autentifikatsiyasini, balki ma'lumotlarni shifrlashni, shuningdek, paketlarni buzishdan himoya qilishni ham
.
Protokol ID 51 IP sarlavhasida AH va ESP uchun 50 mavjudligini ko'rsatish uchun o'rnatiladi.
DIQQAT: Protokol identifikatori port raqami bilan bir xil emas.
IKE (Internet Key Exchange) protokoli virtual xususiy tarmoqlarda aloqani himoyalash uchun foydalaniladigan standart IPsec protokolidir. IKE maqsadi xavfsiz muzokaralar olib borish va aniqlangan materialni xavfsizlik uyushmasiga (SA) yetkazib berishdir.
(Security Parameter Index) yoki Xavfsizlik Parametri indeksi deb ataladi.
SA ma'lumotlar bazasida (DB) saqlanadi SAD(Xavfsizlik uyushmasi ma'lumotlar bazasi).
Har bir IPSec tugunida ikkinchi JB - mavjud SPD(Security Policy Database) - Xavfsizlik siyosati maʼlumotlar bazasi. Unda sozlangan xost siyosati mavjud. Aksariyat VPN yechimlari siz ulanishni xohlagan har bir xost uchun mos algoritmlar kombinatsiyasi bilan bir nechta siyosatlarni yaratishga imkon beradi.
IPSec-ning moslashuvchanligi shundan iboratki, har bir vazifa uchun uni hal qilishning bir necha usullari mavjud va bitta vazifa uchun tanlangan usullar odatda boshqa vazifalarni bajarish usullaridan mustaqildir. Biroq, IETF ishchi guruhi barcha IPSec-ni qo'llab-quvvatlaydigan mahsulotlarda bir xil tarzda amalga oshirilishi kerak bo'lgan qo'llab-quvvatlanadigan xususiyatlar va algoritmlarning asosiy to'plamini aniqladi. AH va ESP mexanizmlari turli xil autentifikatsiya va shifrlash sxemalari bilan ishlatilishi mumkin, ulardan ba'zilari majburiydir. Masalan, IPSec paketlar MD5 bir tomonlama funksiyasi yoki SHA-1 bir tomonlama funksiyasi yordamida autentifikatsiya qilinishini belgilaydi va shifrlash DES algoritmi yordamida amalga oshiriladi. IPSec bilan ishlaydigan mahsulotlar ishlab chiqaruvchilari boshqa autentifikatsiya va shifrlash algoritmlarini qo'shishlari mumkin. Masalan, ba'zi mahsulotlar 3DES, Blowfish, Cast, RC5 va boshqalar kabi shifrlash algoritmlarini qo'llab-quvvatlaydi.
IPSec-da ma'lumotlarni shifrlash uchun maxfiy kalitlardan foydalanadigan har qanday nosimmetrik shifrlash algoritmidan foydalanish mumkin.
Oqimni himoya qilish protokollari (AH va ESP) ikkita rejimda ishlashi mumkin - ichida transport rejimi va ichida tunnel rejimi. Transport rejimida ishlaganda, IPsec faqat transport qatlami ma'lumotlari bilan shug'ullanadi; faqat TCP / UDP protokollarini o'z ichiga olgan paketning ma'lumotlar maydoni shifrlangan (IP-paketning sarlavhasi o'zgartirilmagan (shifrlanmagan)). Transport rejimi odatda xostlar o'rtasida aloqa o'rnatish uchun ishlatiladi.
Tunnel rejimi butun IP-paketni, shu jumladan tarmoq sathi sarlavhasini shifrlaydi. Tarmoq orqali uzatilishi uchun u boshqa IP-paketga joylashtiriladi. Aslida, bu xavfsiz IP tunnel. Tunnel rejimidan masofaviy kompyuterlarni virtual xususiy tarmoqqa ulash ("xost-tarmoq" ulanish sxemasi) yoki virtual shaxsiy tarmoqning turli qismlarini birlashtirish uchun shlyuzlar o'rtasida ochiq aloqa kanallari (masalan, Internet) orqali xavfsiz ma'lumotlarni uzatishni tashkil qilish uchun foydalanish mumkin. tarmoq ("tarmoqqa ulanish sxemasi"). -tarmoq").
IPsec rejimlari bir-birini istisno qilmaydi. Xuddi shu xostda ba'zi SAlar transport rejimidan foydalanishi mumkin, boshqalari esa tunnel rejimidan foydalanishi mumkin.
Autentifikatsiya bosqichida paketning ICV nazorat summasi (Integrity Check Value) hisoblanadi. Ikkala tugun ham biladi deb taxmin qilinadi Yashirin kalit, bu qabul qiluvchiga ICVni hisoblash va uni jo'natuvchi tomonidan yuborilgan natija bilan solishtirish imkonini beradi. Agar ICV taqqoslash muvaffaqiyatli bo'lsa, paket jo'natuvchisi autentifikatsiya qilingan hisoblanadi.
Rejimda transportAH
tranzitda o'zgartirilishi mumkin bo'lgan IP sarlavhasidagi ba'zi maydonlar bundan mustasno, butun IP paketi. ICVni hisoblash uchun qiymatlari 0 ga teng bo'lgan ushbu maydonlar xizmatning bir qismi bo'lishi mumkin (Xizmat turi, TOS), bayroqlar, fragment ofset, yashash vaqti (TTL), shuningdek nazorat summasi sarlavhasi;
AHdagi barcha maydonlar;
IP-paketlarning foydali yuki.
Transport rejimida AH IP sarlavhasini (o'zgartirishga ruxsat berilgan maydonlardan tashqari) va original IP paketidagi foydali yukni himoya qiladi (3.39-rasm).
Tunnel rejimida asl paket yangi IP-paketga joylashtiriladi va ma'lumotlarni uzatish yangi IP-paketning sarlavhasi asosida amalga oshiriladi.
Uchun tunnel rejimiAH Hisoblashda quyidagi komponentlar ICV nazorat summasiga kiritiladi:
uzatish paytida o'zgartirilishi mumkin bo'lgan IP sarlavhasidagi ba'zi maydonlar bundan mustasno, tashqi IP sarlavhasidagi barcha maydonlar. ICVni hisoblash uchun qiymatlari 0 ga teng bo'lgan ushbu maydonlar xizmatning bir qismi bo'lishi mumkin (Xizmat turi, TOS), bayroqlar, fragment ofset, yashash vaqti (TTL), shuningdek nazorat summasi sarlavhasi;
barcha maydonlar AH;
original IP-paket.
Quyidagi rasmda ko'rib turganingizdek, AH tunnel rejimi butun manba IP paketini AH transport rejimi ishlatmaydigan qo'shimcha tashqi sarlavha bilan himoya qiladi:
Do'stlaringiz bilan baham: |
