Ipsec - ez
IPSec (röviden IP Security) - a protokollok halmaza, hogy megvédje a továbbított adatok az átjáró IP. Ez lehetővé teszi a hitelesítés és / vagy titkosítás IP-csomagokat. IPsec is protokollok biztonságos kulcs csere az interneten. Főleg a szervezet vpn nukleozidanalógok és -származékok.
- RFC 2401 (Security Architecture az Internet Protocol) - Biztonsági architektúra IP.
- RFC 2402 (IP hitelesítés fejléc) - IP hitelesítési fejléc.
- RFC 2403 (A használata HMAC-MD5-96 belül ESP és az AH) - Egy hash algoritmus MD-5, létrehozása a fejléc hitelesítést.
- RFC 2404 (A használata HMAC-SHA-1-96 belül ESP és az AH) - Egy hash algoritmus SHA-1 generálni hitelesítési fejléc.
- RFC 2405 (Az ESP DES-CBC titkosító algoritmus explicit IV) - Egy DES algoritmus.
- RFC 2406 (IP Security Encapsulating (ESP)) - adattitkosítás.
- RFC 2407 (Internet IP Security Domain értelmezési ISAKMP) - terjedelme kulcskezelési protokollt.
- RFC 2408 (Internet Security Association és a Key Management Protocol (ISAKMP)) - Key Management és authenticators biztos csatlakozást.
- RFC 2409 (Internet Key Exchange (IKE)) - Key Exchange.
- RFC 2410 (A NULL titkosítási algoritmus és annak használatát IPsec) - Null titkosítási algoritmus és annak használatát.
- RFC 2411 (IP Security Document ütemterv) - A további fejlesztés a szabvány.
- RFC 2412 (Oakley kulcs meghatározása Protocol) - való megfelelés ellenőrzése a legfontosabb.
IPsec Architecture
IPsec protokoll, ellentétben a többi jól ismert SSL és TLS protokollokat. Működnek a hálózati réteg (OSI modell layer 3). Ez teszi IPsec rugalmasabb, úgy, hogy lehet használni, hogy megvédje bármilyen protokoll alapján a TCP és UDP. IPsec lehet használni biztonsági két IP-házigazdák. Két biztonsági gateway, vagy az IP-csomópont és a biztonsági átjáró. A protokoll egy „felépítmény” alatt az IP-protokoll, és feldolgozza az IP-csomagok által képezett az alább ismertetett módszerrel. IPsec integritásának biztosítása érdekében és / vagy titoktartási a továbbított adatok a hálózaton keresztül.
IPsec használja a következő protokollokat kell végezni a különböző funkciók:
- Authentication Header (AH) integritását biztosítja virtuális összeköttetés (továbbított adatokat), hitelesítési adatok és ellátja a kiegészítő funkcióval, hogy megakadályozzák újra továbbítását csomagok
- Encapsulating Security (ESP) nyújthatnak titkosságát (titkosítás) A továbbított információ bizalmas forgalom korlátozását. Ezen felül, akkor integritásának biztosítása érdekében a virtuális összeköttetés (adatátvitel), hitelesítik az információforrást és a kiegészítő funkciója megakadályozza, hogy a csomag újraküldési (Amikor alkalmazható ESP, kötelező jelleggel fel kell használni az egyik vagy a másik adathalmazt biztonsági szolgálatok)
- Biztonsági szövetség (SA) biztosítja egy csomó algoritmusok és adatok, amelyek a szükséges paramétereket AH és / vagy az ESP. Internet Security Association és a Key Management Protocol (ISAKMP) keretet biztosít hitelesítési és kulcscserekísérletek, hitelesítési kulcsokat.
Security Association
A „biztonságos virtuális kapcsolatok” (SA, „Security Association”) alapvető IPsec építészet. SA simplex kapcsolat. van rajta kialakítva szállítására a vonatkozó forgalmi. Végrehajtása során a biztonsági szolgálatok SA alakul át használatát protokollok, AH vagy ESP (vagy mindkettő egyszerre). SA összhangban meghatározott fogalmát interterminal kapcsolatok (point-to-point), és két üzemmódban működnek: a közlekedési mód (PTP) és egy alagút üzemmódban (RTU). Szállítás módot megvalósítottuk az SA két IP-csomópont. Az SA alagút üzemmódban generál IP-alagút.
Minden SA tárolt adatok SADB (biztonsági szövetségek Database) IPsec-modult. Mindegyik SA egyedi azonosító, amely három elemből áll:
IPsec-modul, a három paramétert megtalálható a rekord az SA SADB adott. Az SA alkatrész lista tartalmazza:
Sorszám 32-bites érték, amelyet felhasználunk, hogy létrehozzák a Sorszám mezőt a fejlécek AH és az ESP. Counter túlcsordulás sorszám zászló, ami azt jelzi számláló túlcsordulás sorszámot. Ablak, hogy gátolják visszajátszás támadások meghatározására használják csomag újraküldési. Ha az érték a Sorszám mező nem esik egy adott tartományban, a csomag dobni. Információ AH hitelesítési algoritmust használnak, a szükséges kulcsok, élettartam és egyéb paramétereket. Információ ESP titkosítási és hitelesítési algoritmusok, a szükséges kulcsokat, inicializáló paraméterek (pl IV), az élettartama a kulcsokat és egyéb szempontok az IPsec alagút üzemmód vagy szállítási MTU A maximális méret lehet küldeni virtuális kapcsolat nélküli töredezettség.
Mivel védett virtuális összeköttetések (SA) a szimplex. Szervezet duplex csatorna, legalább két SA szükség. Ezen kívül minden protokollt (ESP / AH) rendelkeznie kell saját SA irányonként, azaz egy csomó AH + ESP SA szükség négy. Mindezek az adatok vannak SADB.
A SADB tartalmazza:
- AH: hitelesítés algoritmus.
- AH: egy titkos kulcsot a hitelesítéshez
- ESP: titkosítási algoritmus.
- ESP: a titkos kulcs.
- ESP: használata hitelesítés (igen / nem).
- A paraméterek a kulcs csere
- routing korlátozások
- IP-szűrés politika
Amellett, hogy a bázis SADB adatok IPSec támogatás tárol SPD (Biztonságpolitikai adatbázis- adatbázis biztonsági politika adatok). Egy bejegyzés a SPD áll értékrend a felső szintű területeken IP-fejléc és a protokoll fejléc-mezők. Ezek a területek az úgynevezett választókat. Selectors szűrésére használják a kimenő csomagokat annak érdekében, hogy az egyes csomagkapcsolt összhangban adott SA. Amikor kialakítják a csomagoló, összehasonlítja az értékeket a megfelelő mezők a csomagkapcsolt (kiválasztó mező) azokkal tartalmazott SPD. Megfelelő SA. Ezután a SA (ha van ilyen) a csomagot, és párosul a biztonsági paraméter index (SPI). Ezután IPsec végzett műveletek (protokoll AH vagy ESP).
Példák a szelektor, amely tartalmazza az SPD:
Authentication Header
Authentication Header méret
AH protokoll hitelesítéshez használt, azaz, hogy erősítse meg, hogy mi lesz társítva azokkal, akikkel feltesszük, és az adatokat kapunk, nem torzul az átvitel során.
Feldolgozás kimenet IP-csomagok
Ha a küldő IPsec-modul határozza meg, hogy a csomag társul SA, amely magában foglalja a AH-feldolgozás, akkor elindul feldolgozás. Módjától függően (szállítás vagy alagút üzemmódban), ez egy másik betétek AH-fejléc az IP-csomag. A közlekedési mód, AH-fejléc után kerül IP protokoll fejléc és mielőtt a felső réteg protokoll fejlécek (általában TCP vagy UDP). Az alagút üzemmódban a teljes eredeti IP-csomag keretes első AH fejléc, akkor az IP-protokoll fejléc. Ez a fejléc úgynevezett külső, és a fejléc forrás IP-paketa- belső. A továbbító IPsec-modul generál egy sorszámot, és rögzíti azt a sorszámot. A létrehozó SA sorozatszám 0, és növekszik küldés előtt minden IPsec-csomagot. Ezen kívül van proverka- hogy a számláló nem a lezárás után. Ha elérte a maximális értéket, akkor visszaáll 0-ra, ha a szolgáltatást használni, hogy megakadályozzák az ismételt elküldés, amikor a számláló eléri a maximális értékét, az adó modul visszaáll IPsec-SA. Ez védelmet nyújt a csomag újraküldési - IPsec-vevő modul ellenőrzi a területen sorszámot. és figyelmen kívül hagyja a bejövő csomagokat újra. További van egy ellenőrző összeg kiszámítása ICV. Meg kell jegyezni, hogy az ellenőrző segítségével számítják ki egy titkos kulcsot, amely nélkül a támadó újra kiszámítani a hash, de anélkül, hogy tudnánk a kulcsot, nem alkotnak helyes checksum. Konkrét algoritmusok kiszámításához használt ICV megtalálható az RFC 4305. Abban a pillanatban lehet alkalmazni, például algoritmusok HMAC-SHA1-96 vagy AES-XCBC-MAC-96. Jegyzőkönyv AN egy ellenőrző összeg kiszámításával (ICV) az alábbi területeken IPsec-csomag:
Feldolgozása bemeneti IP-csomagok
Encapsulating biztonsági adattartalom
Encapsulating biztonsági adattartalom formátum
Feldolgozás kiadási IPsec-csomag
Ha a küldő IPsec-modul határozza meg, hogy a csomag társul SA, amely azt feltételezi, ESP-feldolgozás, akkor elindul feldolgozás. Módjától függően (szállítás vagy alagút üzemmódban), az IP-source csomag máshogy kezelik. A közlekedési mód, az adó modul végzi IPsec-keretezés eljárás (beágyazás) a felső réteg protokoll (például TCP vagy UDP), az ESP-fejlécet és az ESP-trailer, anélkül, hogy az eredeti IP-fejléc csomag. Az alagút üzemmódban, az IP-csomag keretezett ESP-fejlécet és az ESP-trailer, majd keretes külső IP-fejléc. További shifrovanie- végzett a közlekedési mód protokoll üzenet titkosítva csak feküdt szint fölé (vagyis mindent, ami után az IP-fejléc az eredeti csomag) módban tunnelirovaniya- teljes eredeti IP-csomagot. IPsec-adó készülék a felvételt az SA meghatározza a titkosítási algoritmus és egy titkos kulcsot. IPsec előírások lehetővé teszik a titkosítási algoritmus triple-DES, AES és Blowfish. Mivel a méret a nyílt szöveg, hogy egy több specifikus bájtok száma, például a blokk méretét blokk algoritmusok titkosítás előtti végezzük is szükségszerű kiegészítője titkosított üzeneteket. Zaschifrovannoe üzenet bekerül a hasznos adatok terén. A Pad hossza elhelyezett kiegészítések hosszát. Ezután, mint a AH, számított sorszámot. Akkor tekinthető ellenőrző (ICV). Ellenőrző, ellentétben protokoll AH, ahol a számítás figyelembe veszi néhány a mezőket és az IP-fejléc ESP kiszámítása csak a következő területeken: ESP-csomag mínusz a ICV területen. Mielőtt a számítástechnikában a checksum, akkor nullákkal töltjük fel. egy algoritmust a ICV, mint az AH protokoll IPsec-adó modul megtanulja a rekord az SA, amellyel a csomag társul.
Bemenet feldolgozását IPsec-csomagok
használata
IPsec segítségével főleg a szervezet VPN-alagút. Ebben az esetben az ESP és az AH-protokoll dolgozik alagút üzemmódban. Emellett létrehozásáról biztonságpolitikai egy bizonyos módon, a protokoll lehet használni, hogy egy tűzfal. Az mit jelent a tűzfal, hogy ellenőrzi és szűri a csomagokat a rajta áthaladó összhangban az előírt szabályokat. A szabályok és a képernyőn látszik minden csomagot halad át rajta. Ha az átvitt csomagok tartoznak e szabályok hatálya alá, a tűzfal kezeli őket megfelelően. Például, elutasíthatja bizonyos csomagokat, ezáltal megállítva a nem biztonságos vegyületet. Konfigurálása biztonsági irányelvek megfelelően, lehetőség van például megtiltják az internetes forgalmat. Ez elegendő ahhoz, hogy megtiltsa a küldő csomagok, melyek fektetett HTTP és HTTPS kommunikáció. IPsec is fel lehet használni a szerverek - esik az összes csomagot, kivéve a csomagokat szükséges megfelelő végrehajtását szerver funkciókat. Például a Web-szerver, akkor blokkolja az összes forgalomban, kivéve kapcsolat révén 80-as porton TCP protokoll, illetve a TCP port 443 ha HTTPS használunk.
Nézze meg, mit „IPsec” más szótárak:
IPSec - im TCP / IP-Protokollstapel: Anwendung HTTP IMAP SMTP DNS ... Közlekedési TCP UDP ... Deutsch Wikipedia
IPsec - im TCP / IP-Protokollstapel: Anwendung HTTP IMAP SMTP DNS ... Közlekedési TCP UDP Internet IPsec Netzzugang ... Deutsch Wikipedia
Ipsec - im TCP / IP-Protokollstapel: Anwendung HTTP IMAP SMTP DNS ... Közlekedési TCP UDP ... Deutsch Wikipedia
IPsec - (abreviatura de Internet Protocol security) es un Conjunto de protocolos cuya función es asegurar las Comunicaciones sobre el Protocolo de internet (IP) autenticando y / o cifrando cada Paquete IP en un flujo de datos. IPsec también incluye ... ... Wikipedia Español
IPSEC - (Internet Protocol Security), défini par l IETF comme un káder de szabványoknak ouverts öntsük életbiztosító des kommunikációs privées et protégées sur des réseaux IP, par l hasznosítása des services de sécurité cryptographiques [1] est un ensemble de ... ... Wikipédia en Français
IPSec - (Internet Protocol Security), défini par l IETF comme un káder de szabványoknak ouverts öntsük életbiztosító des kommunikációs privées et protégées sur des réseaux IP, par l hasznosítása des services de sécurité cryptographiques [1] est un ensemble de ... ... Wikipédia en Français
IPsec - (Internet Protocol Security), défini par l IETF comme un káder de szabványoknak ouverts öntsük életbiztosító des kommunikációs privées et protégées sur des réseaux IP, par l hasznosítása des services de sécurité cryptographiques [1] est un ensemble de ... ... Wikipédia en Français
IPsec - (la abreviatura de Internet Protocol security) es una hosszabbító al Protocolo IP que añade cifrado fuerte para permitir Servicios de autenticación y cifrado y, de esta manera, asegurar las Comunicaciones egy Traves de Dicho Protocolo. Inicialmente ... ... Enciclopedia Universal
IPsec - Internet Protocol Security (IPsec) egy protokollkészlet rögzítő Internet Protocol (IP) kommunikációs hitelesíti és / vagy titkosítása minden olyan adatfolyamot. IPsec is protokollok titkosítási kulcs létrehozására. ... ... Wikipedia
IPSec - A protokollkészletet fejlesztés alatt az Internet Engineering Task Force (IETF) célja, hogy adjunk biztonsági rendelkezések az Internet Protocol (IP). Más néven IP Security. Az Authentication Header (AH) biztosítja, hogy a datagram van ... ... szótár hálózatépítés