ГЛАВА 13. IP-сети. Межсетевой уровень. Протоколы безопасности 


Мы поможем в написании ваших работ!



ЗНАЕТЕ ЛИ ВЫ?

ГЛАВА 13. IP-сети. Межсетевой уровень. Протоколы безопасности



ГЛАВА 13. IP-сети. Межсетевой уровень. Протоколы безопасности

Протоколы межсетевого уровня

Формат IP-пакета

 

Основным протоколом межсетевого уровня является протокол IP (Internet Protocol). IP - протокол выполняет функцию продвижения пакета между подсетями. Формат IP-пакета включает поле заголовка этого пакета и поле полезного груза. Под полезным грузом понимается поле, включающее заголовок сообщения транспортного уровня и данные прикладного уровня. В отличие от протоколов прикладного и транспортного уровней протокол IP устанавливается не только на оконечных станциях, но и на всех маршрутизаторах сети. IP - протокол является дейтаграммным ненадежным (без подтверждения) протоколом без установления соединений, т.е. дейтаграммным (гл. 2, разд. 2.2). Термин “ненадежный” отражает тот факт, что протокол IP не делает ничего, чтобы гарантировать доставку пакета, гарантировать последовательность доставленных пакетов, нет подтверждений, нет контроля ошибок и управления потоками данных. Если пакеты потеряны, то оконечному пункту (хосту) об этом не сообщается, а решением этой проблемы должны заниматься более высокие уровни.

Протокол IP реализует сеть передачи дейтаграмм. Дейтаграмма – это общее название для единиц данных, которыми оперируют протоколы без установления соединения. Дейтаграмму протокола IP называют также пакетом. Для доставки пакета протокол IP использует иерархическое структурирование IP – адресов, контроль за временем жизни пакетов в сети и проверку целостности заголовка IP – пакета. Как протокол без установления соединения, протокол IP обрабатывает каждую дейтаграмму индивидуально, т.е. каждый пакет маршрутизируется индивидуально. Узлы сети не устанавливают логическое соединение перед обменом IP – пакетами.

IP-пакет состоит из заголовка и инкапсулированного сегмента транспортного уровня. Приведём некоторые поля заголовка пакета IP.

Поле протокола верхнего уровня содержит идентификатор, указывающий какому протоколу верхнего уровня принадлежит информация, размещенная в поле данных пакета. Например, 6 означает, что в пакете находится заголовок протокола TCP, 17 - протокола UDP.

Поле IP - адресов источника и приемника имеют одинаковую длину 4 байта. IP-адреса представляются в формате десятичного представления с разделительными точками, где каждый байт представляется своим десятичным эквивалентом. Эти четыре десятичных числа разделяются точкой (например, 128.67.38.255). Каждый IP-адреса состоит из двух частей: идентификатора сети (подсети) NETID (network identifier) и идентификатора хоста HOSTID (host identifier). NETID идентифицирует определенную сеть, к которой подключен хост. Маршрутизаторы используют только NETID, который иногда называют префиксом сети. IP-адрес 128.67.38.255 имеет идентификатор сети 128.67 (в двоичном виде третий и четвертый байты – 10000000 и 01000011) и идентификатор хоста 38.255 (в двоичном виде первый и второй байты – 00100110 11111111). В протоколе IP для извлечения идентификатора сети NETID используется маска с использованием флэша (/). В маске каждый бит, которой является частью идентификатора сети NETID, равен 1, а биты, являющиеся частью идентификатора хоста HOSTID, равны 0. Например, 128.67.38.255/16 означает, что первые 16 битов этого адреса – это идентификатор NETID 128.67.0.0. За счет управления битами в маске группа IP-адресов может быть разбита на меньшие сети. Например, добавив 3 бита к 24 разрядной маске сети 3 бита, добавляется 8 новых сетей, каждая из которых содержит меньшее количество идентификаторов хостов.

Для идентификации компьютеров в IP-сетях используют IP-адреса. Однако пользователи пользуются более удобными символьными именами компьютеров. Символьные идентификаторы строятся по иерархическому принципу. Составляющие символьного (или доменного) имени разделяется точкой и перечисляются в следующем порядке: сначала простое имя хоста, затем имя группы хостов (например, имя организации), потом имя более крупной группы (домена) и так далее до имени домена самого высокого уровня (например, домена объединяющего организации по географическому принципу: RU – Россия, UK – Великобритания). Вместо отправки электронной почты на адрес Alla@128.67.38.255 удобнее выглядит адрес: Alla@art.edu.ru. Для преобразования текстовых имен была разработана служба имен доменов DNS (Domain Name System). Для преобразования имени в IP-адрес программа прикладного уровня обращается к процедуре распознавателя, который посылает UDP-пакет DNS-серверу. Этот сервер находит имя в базе данных и возвращает соответствующий IP-адрес вызвавшей его программе прикладного уровня.

· Поле общей длины IP - пакета (т.е. заголовка и данных).

· Поле время жизни. Определяет, как долго дейтаграмма может оставаться в сети. Каждый маршрутизатор уменьшает значение поля, как минимум, на единицу. Поэтому поле является механизмом самоуничтожения пакета.

· Контрольная сумма циклического кода заголовка (контрольно-проверочная комбинация КПК) занимает 2 байта и рассчитывается только по заголовку.

Поскольку некоторые поля заголовка могут изменяться (например, время жизни), это поле проверяется на каждом маршрутизаторе. Если контрольная сумма неверна, то пакет отбрасывается, как только обнаруживается ошибка.

Принцип маршрутизации

Важнейшей задачей сетевого уровня является маршрутизация — передача пакетов между двумя конечными узлами в составной сети Интернет. Каждую из этих сетей часто называют подсетью. Рассмотрим принципы маршрутизации на примере небольшого фрагмента составной сети (рис. 13.1). В этой части сети несколько маршрутизаторов (М7, М9, М10, М14) объединяют несколько подсетей (S2, S3, S5, S8, S6). Маршрутизатор имеет несколько (минимум два) интерфейсов (портов), к которым присоединяются подсети. Каждый интерфейс маршрутизатора можно рассматривать как отдельный узел сети: он имеет собственный сетевой адрес и собственный локальный адрес в той подсети, которая к нему подключена. Например, маршрутизатор под номером 14 имеет два интерфейса, к которым подключены подсети S2 и S5. Сетевые адреса этих портов обозначены как М14(1) и М14(2). Порт М14(1) имеет локальный адрес в подсети с номером S2, порт М14(2) - в подсети S5. Таким образом, маршрутизатор можно рассматривать как совокупность нескольких узлов, каждый из которых входит в свою сеть.

 

 


 

Рис. 13.1. Маршрутизация в сети Интернет

 

В сложных составных сетях почти всегда существует несколько маршрутов для передачи пакетов между двумя конечными узлами. Маршрут - это последовательность маршрутизаторов, которые должен пройти пакет от отправителя до получателя. Задачу выбора маршрута из нескольких возможных решают маршрутизаторы, а также конечные узлы. Маршрут выбирается на основании имеющейся у этих устройств информации о текущей конфигурации сети, а также на основании указанного критерия выбора маршрута (метрики). Примером такой метрики может быть количество пройденных в маршруте промежуточных маршрутизаторов (хопов). Чтобы по адресу сети назначения можно было выбрать рациональный маршрут дальнейшего следования пакета, каждый конечный узел и маршрутизатор анализируют специальную информационную структуру, которая называется таблицей маршрутизации.

Посмотрим, как могла бы выглядеть таблица маршрутизации, например, в маршрутизаторе 14 (табл. 13.1).


 

Таблица 13.1. Таблица маршрутизации в М14

Номер сети назначения Сетевой адрес следующего маршрутизатора Сетевой адрес выходного интерфейса Расстояние до сети назначения
S2 - M14(1)  
S3 M7(2) M14(1)  
S5 - M14(2)  
S6 M9(1) M14(2)  

 

В первом столбце таблицы перечисляются номера сетей, входящих в интерсеть и которые являются сетями назначения данного IP-пакета. В каждой строке таблицы следом за номером подсети указывается сетевой адрес следующего маршрутизатора (более точно, сетевой адрес соответствующего интерфейса следующего маршрутизатора), на который надо направить пакет, чтобы тот передвигался по направлению к сети с данным номером по рациональному маршруту. Когда на маршрутизатор поступает новый пакет, номер сети назначения (профиль сети), извлеченный из поступившего кадра, последовательно сравнивается с номерами сетей в строках таблицы. Строка с совпавшим номером сети указывает, на какой ближайший маршрутизатор следует направить пакет. Например, если на интерфейс маршрутизатора 14 поступает пакет, адресованный в сеть S6, то из таблицы маршрутизации маршрутизатора 14 следует, что сетевой адрес следующего маршрутизатора — М9(1), то есть очередным этапом движения данного пакета будет движение к интерфейсу 1 маршрутизатора 9. Сетевой адрес выходного порта – М14(2). Из приведенной таблицы следует, что IP-пакет поступает в подсеть назначения S6 через подсеть S5. В четвёртом столбце таблицы маршрутизации маршрутизатора 14 указано расстояние до подсети назначения в хопах (число промежуточных маршрутизаторов), которое равно 2. Если на порт маршрутизатора 14 поступает пакет, адресованный в сеть S3, то из таблицы маршрутизации маршрутизатора 14 следует, что сетевой адрес следующего маршрутизатора — М7(2), то есть очередным этапом движения данного пакета будет движение к интерфейсу 2 маршрутизатора 7. Сетевой адрес выходного порта – М14(1). Из приведенной таблицы следует, что IP-пакет поступает в подсеть назначения S3 через сеть S2. В четвёртом столбце таблицы маршрутизации маршрутизатора 14 указано расстояние до сети назначения в хопах, равное 1.

Протокол RIP

 

Протокол маршрутной информации RIP (Routing Information Protocol) является внутренним протоколом маршрутизации дистанционно-векторного типа. Определенный в документе RFC 1058 в качестве метрики протокол RIP использует число транзитных маршрутизаторов (хопов). Согласно спецификации, маршрутизатор извлекает информацию о подсети и расстоянии из своей таблицы маршрутизации и передаёт эти данные соседним маршрутам через каждые 30 секунд. Соседний узел, в свою очередь передает информацию соседнему узлу, пока все узлы внутри сети не получат одинаковую информацию о маршрутах. Протокол RIP продолжает оставаться популярным протоколом маршрутизации, поскольку он прост и хорошо подходит для небольших IP-сетей. Однако он имеет множество ограничений, включая следующие.

1. RIP неприемлем для больших конфигураций (более 15 подсетей). Если разрешить метрики большого размера, то чрезмерно увеличится время формирования таблиц маршрутизации или их коррекции после изменения топологии. Способ обмена таблицами маршрутизации, принятый протоколом RIP, в крупных сетях может привести к перегрузке сети.

2. В современных сетях использование числа транзитов в качестве метрики маршрутизации не всегда эффективно, т.к. она не берёт в расчёт загрузку каналов передачи, не учитывает разную пропускную способность каналов. Протокол RIP выбирает маршрут через два маршрутизатора через каналы 64 Кбит/с, хотя мог бы быть выбран более экономичный маршрут - через три маршрутизатора, соединенные 30-канальньной группой со скоростью 2,048 Мбит/с. Этот экономичный выбор обеспечивает протокол OSPF.

Протокол OSPF

 

Протокол маршрутизации - OSPF (Open Shortest Path First - выбор кратчайшего пути первым) использует принцип контроля состояния канала, а метрика представляет собой оценку эффективности связи в этом канале. Чем меньше метрика, тем эффективней организация связи. Метрика, оценивающая пропускную способность канала, определяется, например, компанией Cisco, как количество секунд для передачи 100 Мбит. Тогда, например,

· 30-канальная группа типа E1 со скоростью 2,048 Мбит/с (глава 3) соответствует метрике 488;

· канал 64 Кбит/с соответствует метрике 1562.

В этом случае маршрут через три маршрутизатора с каналами типа E1 составит метрику 488+488=976 единиц и является более экономичным по сравнению с маршрутом между двумя маршрутизаторами с каналом 64 Кбит/с (метрика 1562).

При первоначальном построении таблицы маршрутизации маршрутизатор определяет метрику канала на каждом своём интерфейсе. Затем маршрутизатор информирует об этих значениях все другие маршрутизаторы сети. На основании этих данных каждый маршрутизатор строит топографическую карту (базу данных) сети, по которой определяется кратчайший путь к каждой подсети. Данные этих кратчайших маршрутов помещаются в таблицу маршрутизации маршрутизатора. При невозможности передать пакеты к сети назначения (из-за отказа каналов связи, транзитных маршрутизаторов, перегрузках и др.) эти пакеты отбрасываются. Каждая запись в топологической базе данных сети имеет свой срок жизни. С каждой записью связан таймер, который служит для контроля времени жизни записи. Если какая-либо запись в топологической базе данных устаревает, то первый из таких маршрутизаторов запрашивает её новую копию с помощью специального пакета OSPF "Запрос сведений о состоянии каналов" (Link-State Request), на который должен поступить ответ "Корректировка сведений о состоянии каналов" (Link-State Update) или "Уведомление о состоянии канала" (Link-State Acknowledgement) от маршрутизатора непосредственно тестирующего эту связь. Если состояние связей в сети изменилось и произошла корректировка в маршрутизаторе сети, то этот маршрутизатор в широковещательном режиме сообщает всем соседним маршрутизаторам эти изменения. В OSPF передается только часть таблицы маршрутизации, а не вся таблица маршрутизации, как в RIP.

Протокол BGP

 

Основа работы протокола внешней маршрутизации BGP (Border Gateway Protocol - пограничный шлюзовой протокол) обмен маршрутной информации между маршрутизаторами в нескольких автономных системах AS. Рассмотрим его работу на примере IP-сети из двух AS (рис 13.2). В каждой AS имеются несколько маршрутизаторов, выполняющих роль внешних шлюзов. На каждом из них работает протокол BGP. Взаимодействие между AS осуществляется через эти граничные маршрутизаторы. На рис. 13.2 такими маршрутизаторами, обеспечивающими взаимодействие AS1 и AS2, являются R1 и R5. Вначале на маршрутизаторе R1 в AS1 реализуется внутренний протокол маршрутизации, например OSPF. В результате создаётся таблица маршрутизации в R1. Затем по протоколу TCP (порт 179) R1 посылает сообщение Update на маршрутизатор R5 в AS2. В это сообщение включена следующая информация:

1. идентификатор AS1;

2. IP - адрес маршрутизатора R1;

3. список всех подсетей в AS1, достижимых через R1.

Допустим, что R5 имеет также связь с другим маршрутизатором в другой AS, например, с маршрутизатором R9 в AS3. Маршрутизатор R5 будет передавать информацию, полученную от R1, в R9 в новом сообщении Update. В это сообщение включена следующая информация:

· список идентификаторов (AS1, AS2);

· IP - адрес маршрутизатора R5;

· список всех подсетей в AS1.

Это сообщение информирует маршрутизатор R9 о том, что все подсети AS1 достижимы через R5 и пересекаемыми автономными системами являются AS1 и AS2. Маршрутизатор теперь должен принять решение, является ли этот маршрут к перечисленным подсетям предпочтительным. Он может иметь альтернативные маршруты к некоторым или ко всем этим подсетям, которые по некоторым показателям (производительность, некоторые метрики и др.) сочтёт более предпочтительными. В таком случае R9 присоединяет эту информацию к своей и передаёт список всех подсетей AS1, AS2. Обновлённая таким образом информация распространяется по Интернету, который состоит из большого числа взаимодействующих AS.


Заголовки IPSec

В настоящем разделе приводится описание процедуры IPSec по аутентификации и конфиденциальности передаваемых сообщений.

На рис. 13.5 показано расширение заголовка IP – поле заголовка IPSec, которое позволяет реализовать протоколы AH и ESP.

Протокол AH обеспечивает только аутентификацию. Ес­тественно, подобная защита данных во многих случаях оказывается недостаточной. Принимающая сторона в этом случае получает лишь возможность проверить, что данные были отправлены именно тем узлом, от которого они ожидаются и дошли в том виде, в котором были отправлены. Однако от несанкционированного просмотра данных на пути их следования по сети протокол AH защитить не может, так как не шифрует их. Для шифрования данных необходим протокол ESP.

Протокол AH

Протокол «Заголовок аутентификации» AH, как было отмечено выше, обеспечивает аутентификацию сообщений. Формат заголовка AH в транспортном режиме показан на рис. 13.6. Под полезной нагрузкой здесь показано поле данных прикладного уровня.

 

Рис. 13.6. Заголовок аутентификации АН в транспортном режиме

 


Заголовок АН расположен между заголовком IP и заголовком TCP. Рассмотрим заголовок АН. Поле «Следующий заголовок» указывает код протокола, которым может быть протокол транспортного уровня (TCP или UDP) или протокол ESP, если он используется в комбинации с AH. Поле «Длина полезной нагрузки» указывает на длину заголовка АН. Поле «Индекс параметров защиты SPI» – это идентификатор соединения. Он вставляется отправителем и ссылается на конкретную запись в базе данных получателя. В этой записи содержится общий ключ и другая информация данного соединения. Поле «Порядковый номер» используется механизмом окна защиты от угрозы «повтор». В этом поле размещаются номера всех текстов, посылаемых по защищенной связи. Все пакеты получают универсальные номера, даже если они посылаются повторно. Имеется в виду, что повторно передаваемый пакет имеет номер, отличный от номера оригинального пакета (даже если порядковый номер TCP тот же самый). Это поле служит для предотвращения взлома путем повторной передачи. Порядковые номера никогда не повторяются. Если же окажутся использованными все 232 номера, для продолжения общения устанавливается новая защищённая связь. Поле «Данные аутентификации» содержит код аутентификации сообщения по алгоритму HMAC (см. приложение Г, раздел Г.3). Спецификация протокола IPSec требует, чтобы любая реализация поддерживала две схемы алгоритма HMAC – с использованием хеш-кода MD5 и хеш-кода SHA-1. В обоих случаях вычисляется полное значение HMAC, равное длине хеш-кода (для MD5 128 бит и для SHA-1 160 бит), но затем оно усекается до 96 бит, что соответствует длине поля данных аутентификации, установленной по умолчанию.

Для вычисления HMAC берется информация заголовка IP-пакета, а также данные протокола следующего выше уровня (например, сегмент TCP или внутренний IP-пакет в туннельном режиме), которые не изменяются в пути следования. Примерами неизменяемых полей являются адреса отправителя и получателя IP-пакета, что защищает их от подмены злоумышленником. Поле «Время жизни» заголовка IP-пакета меняется при каждой пересылке через маршрутизатор.

 

Протокол ESP

Протокол «Защищенный полезный груз» ESP обеспечивает конфиденциальность. В качестве дополнительной возможности ESP может обеспечивать также аутентификацию. На рис. 13.7, а) показана область действия шифрования и аутентификации ESP в транспортном режиме, а на рис. 13.7, б) - в режиме туннелирования. Спецификации на IPSec требуют, чтобы протокол ESP поддерживал использование алгоритмов шифрования: DES, тройной DEA, IDEA и другие.

 

 

 

Рис. 13.7. Область действия шифрования и аутентификации ESP:

а) в транспортном режиме,

б) в режиме туннелирования

 

Заголовок ESP состоит из двух 32-разрядных полей «Индекс параметров защиты» SPI и «Порядкового номера», как и в заголовке АН.

ESP в транспортном режиме шифрование (и, как опция, аутентификация) осуществляет непосредственно между двумя оконечными компьютерами пользователей (рис.13.7, а). ESP, как и АН, обеспечивает проверку целостности при помощи НМАС, однако вместо того, чтобы включать хеш в заголовок, его вставляют после поля полезной нагрузки. Это видно на рис. 13.7, а). Такое расположение полей дает преимущество при аппаратной реализации метода. Оно заключается в том, что НМАС может подсчитываться во время передачи битов полезной нагрузки по сети и добавляться к ним в конец. Именно поэтому в Ethernet и других стандартах локальных сетей циклический код вставляется в концевик, а не в заголовок. При применении заголовка АН пакет приходится буферизовать и вычислять подпись, только после этого его можно отправлять. Это потенциально приводит к уменьшению числа пакетов, которые можно передать за единицу времени.

В транспортном режиме выполняются следующие операции.

- В узле источника блок данных, состоящий из концевика ESP и всего сегмента транспортного уровня, шифруется, и открытый текст этого блока заменяется шифрованным текстом, в результате чего формируется пакет IP для пересылки. Если выбрана опция аутентификации, то добавляется поле аутентификации.

- Пакет направляется адресату. Каждый промежуточный маршрутизатор должен проверить и обработать заголовок IP. Шифрованный текст при этом остается неизменным.

- Узел адресата проверяет и обрабатывает незашифрованный заголовок IP-пакета. Затем на основе информации индекса параметров защиты в заголовке ESP дешифруются остальные части пакета, в результате чего становится доступным сегмент транспортного уровня в виде открытого текста.

Транспортный режим обеспечивает конфиденциальность для любого использующего этот режим приложения, что позволяет избежать необходимости реализации функций защиты в каждом отдельном приложении. Этот режим достаточно эффективен, а объем добавляемых к пакету IP данных при этом невелик. Недостатком этого режима является то, что IP-адреса пользователей являются открытыми и поэтому не исключается возможность анализа трафика пересылаемых пакетов. Например, если во время военного кризиса трафик между Пентагоном и Белым домом резко снижается и при этом так же резко растет трафик между Пентагоном и какой-нибудь военной базой в Колорадо, перехватчик может сделать из этого далеко идущие выводы [Таненб].

Туннельный режим ESP в отношении возможности анализа трафика имеет преимущество перед транспортным режимом. Туннельный режим ESP предлагает шифрование всего пакета IP (рис. 13.7, б). В этом режиме заголовок ESP добавляется к пакету как префикс, а затем пакет вместе с концевиком ESP шифруются. Данный метод можно использовать, когда требуется исключить возможность проведения атак, построенных на анализе трафика.

Поскольку заголовок IP содержит адрес пункта назначения, нельзя просто передать шифрованный пакет IP с добавленным к нему в виде префикса заголовком ESP. Промежуточные маршрутизаторы не смогут обработать такой пакет. Таким образом, необходимо включить весь блок (заголовок ESP, шифрованный текст и данные аутентификации, если они есть) во внешний пакет IP с новым заголовком, который будет содержать достаточно информации для маршрутизации, но не для анализа трафика.

В то время как транспортный режим подходит для защиты соединений между узлами, поддерживающими ESP, туннельный режим оказывается полезным в конфигурации, предполагающей наличие шлюза защиты внутренней сети от внешних сетей. В туннельном режиме шифрование используют для обмена только между внешним узлом и шлюзом защиты или между двумя шлюзами защиты. Это разгружает узлы внутренней сети, избавляя их от необходимости шифрования данных, и упрощает процедуру распределения ключей, уменьшая число требуемых ключей. Кроме того, такой подход усложняет задачу анализа потока сообщений, направляемых конкретному адресату. Режим туннелирования еще более усложняет анализ трафика, когда несколько TCP-соединений объединяются и обрабатываются в виде единого шифрованного потока. В этом случае злоумышленник не может проанализировать трафик, так как не знает, кто кому передает тексты и в каком количестве.

Рассмотрим случай, когда внешний узел (граничный маршрутизатор) соединяется с узлом внутренней сети, защищенной шлюзом и ESP, используется внешним узлом и шлюзом защиты. Тогда при пересылке сегмента транспортного уровня от внешнего узла к узлу внутренней сети выполняются следующие действия.

· Источник готовит внутренний пакет IP с указанием адреса пункта назначения, являющегося узлом внутренней сети. К этому пакету в виде префикса добавляется заголовок ESP. Затем пакет шифруется и к нему могут быть добавлены данные аутентификации. Полученный блок заключается во внешний пакет IP с новым заголовком IP, в котором адресом пункта назначения является адрес шлюза защиты.

· Внешний пакет отправляется шлюзу защиты сети пункта назначения. Каждый промежуточный маршрутизатор должен проверить и обработать внешний заголовок IP и все внешние заголовки расширений IP, оставляя при этом шифрованный текст неизменным.

· Шлюз защиты, получив пакет, проверяет и обрабатывает внешний заголовок IP. Затем на основе информации, предоставляемой индексом параметров защиты в заголовке ESP, шлюз защиты расшифровывает остальные части пакета, в результате чего становится доступным внутренний пакет IP в виде открытого текста. Этот пакет потом передается по внутренней сети.

· Внутренний пакет передается маршрутизатору внутренней сети или непосредственно узлу-адресату.


 

Защищенные связи

 

Для передачи данных между двумя компьютерами в конечных точках протокол IPSec предусматривает предварительное выполнение следующих шагов (фаз) [28].

Соединение в контексте IPSec называется защищенной связью SA (Security Association). Защищённая связь однозначно определяется следующими тремя характеристиками, которые передаются по защищенному каналу.

1. Индекс параметров защиты, SPI (Security Parameters Index). Строка битов, присваиваемая данной защищенной связи и имеющая только локальное значение для соединения. Индекс параметров защиты передается в заголовках AH и ESP, чтобы принимающая система имела возможность выбрать защищенную связь, в рамках которой должен обрабатываться принимаемый пакет. 2. Адрес IP пункта назначения. В настоящее время допускаются только однонаправленные адреса – это адрес пункта назначения защищенной связи, который может представлять систему конечного пользователя или сетевой объект типа брандмауэра или маршрутизатора.

3. Идентификатор протокола защиты.Этот идентификатор указывает, является ли данная связь защищенной связью AH или это защищенная связь ESP. Ядро IPSec по передаче данных составляют протоколы AH и ESP.

Параметры защищенной связи

Защищенная связь характеризуется следующими основными параметрами.

· Счетчик порядкового номера, 32-битовое значение, используемое при генерировании значений поля порядкового номера в заголовках AH или ESP.

· Окно защиты от угрозы повтора. Используется для выявления воспроизведенных пакетов среди прибывающих пакетов AH или ESP.

· Информация AH. Алгоритм аутентификации, ключи, параметры продолжительности жизни ключей и другие необходимые параметры, используемые в рамках AH.

· Продолжительность жизни данной защищенной связи.

· Информация ESP. Алгоритм шифрования и аутентификации, ключи, значения инициализации, параметры продолжительности жизни ключей и другие необходимые параметры, используемые в рамках ESP.

· Режим протокола IPSec. Туннельный или транспортный.

· Максимальная единица передачи (Maximum Transmission Unit – MTU). Максимальная единица передачи (максимальный размер пакета, который может быть передан без фрагментации) для всех участков маршрута и переменные времени существования

После успешного обмена параметрами защищенной связи выполняются функции управления ключами по созданию общего главного ключа (мастер-ключа) с помощью алгоритма Диффи-Хеллмана (см. Приложение Д). С помощью этого секретного ключа выполняется функция управления ключами по созданию нескольких общих секретных ключей. Для защищенной связи протоколу IPSec требуется четыре общих секретных ключа: пара ключей для протокола аутентификации НМАС (см. Приложение Г) и пара ключей для симметричного шифрования в заголовке ESP (см. Приложение Б). В следующем разделе, посвященном другому протоколу (TLS) обеспечения ИБ (на транспортном уровне TCP/IP), приводится описание алгоритма управления ключами по определению главного клюа и распределению ключей.

.

 

 

ГЛАВА 13. IP-сети. Межсетевой уровень. Протоколы безопасности



Поделиться:


Последнее изменение этой страницы: 2017-01-19; просмотров: 104; Нарушение авторского права страницы; Мы поможем в написании вашей работы!

infopedia.su Все материалы представленные на сайте исключительно с целью ознакомления читателями и не преследуют коммерческих целей или нарушение авторских прав. Обратная связь - 54.243.2.41 (0.119 с.)