Опубликован: 03.09.2003 | Доступ: свободный | Студентов: 8700 / 2419 | Оценка: 4.21 / 3.93 | Длительность: 20:03:00
ISBN: 978-5-9556-0053-6
Лекция 9:

Спецификации Internet-сообщества IPsec

< Лекция 8 || Лекция 9: 12345 || Лекция 10 >
Аннотация: Данные спецификации имеют фундаментальное значение, описывая полный набор средств обеспечения конфиденциальности и целостности на сетевом уровне.
Ключевые слова: механизмы, ISO/OSI, IP, компромисс, управляющие, ip security, управление доступом, целостность вне соединения, аутентификация источника данных, воспроизведение, конфиденциальность, анализ трафика, архитектура, протокол аутентифицирующего заголовка, authentication, header, AH, протокол инкапсулирующей защиты содержимого, encapsulating security payload, управление криптографическими ключами, алгоритмы шифрования, домен интерпретации, domain, interpretation, DOI, деление, криптография, аутентичность, минимум, алгоритмическая, контекст безопасности, security, association, SA, семейство протоколов, транспортный режим, туннельный режим, управляющий контекст, доверенный канал, протокольный контекст, TLS, Internet, AND, management, protocol, ISAKMP, exchange, IKE, контекст, пассивное прослушивание сети, генерация ключей, аутентификация, шифрование, одноразовый номер, nonce, нелегальный посредник, атака на доступность, идентифицирующая цепочка, заголовок ISAKMP, злоумышленник, адрес, базы данных, политика безопасности, SPD, SAD, селектор, потоки данных, произвольное, индекс параметров безопасности, PARAMETER, INDEX, поддержка, ключ, индекс, база данных политики безопасности, туннель, значение, асимметрия, RFC, область действия, поток, traffic, class, flow, hop, аутентификационные данные, имитовставка, integrity checking, message digest, работ, payload, инкапсулирующая оболочка, виртуальные частные сети

Архитектура средств безопасности IP-уровня

В курсе "Основы информационной безопасности" [ 91 ] указывалось, что практически все механизмы сетевой безопасности могут быть реализованы на третьем уровне эталонной модели ISO/OSI. Более того, IP-уровень можно считать оптимальным для размещения защитных средств, поскольку при этом достигается удачный компромисс между защищенностью, эффективностью функционирования и прозрачностью для приложений.

Стандартизованными механизмами IP-безопасности могут (и должны)пользоваться протоколы более высоких уровней и, в частности, управляющие протоколы, протоколы конфигурирования и маршрутизации.

Средства безопасности для IP описываются семейством спецификаций IPsec, разработанных рабочей группой IP Security.

Протоколы IPsec обеспечивают управление доступом, целостность вне соединения, аутентификацию источника данных, защиту от воспроизведения, конфиденциальность и частичную защиту от анализа трафика.

Архитектура средств безопасности для IP-уровня специфицирована в документе [ 63 ] . Ее основные составляющие представлены на рис. 9.1. Это прежде всего протоколы обеспечения аутентичности ( протокол аутентифицирующего заголовка - Authentication Header, AH) и конфиденциальности ( протокол инкапсулирующей защиты содержимого - Encapsulating Security payload, ESp), а также механизмы управления криптографическими ключами. На более низком архитектурном уровне располагаются конкретные алгоритмы шифрования, контроля целостности и аутентичности. Наконец, роль фундамента выполняет так называемый домен интерпретации (Domain of Interpretation, DOI), являющийся, по сути, базой данных, хранящей сведения об алгоритмах, их параметрах, протокольных идентификаторах и т.п.

Основные элементы архитектуры средств безопасности IP-уровня

Рис. 9.1. Основные элементы архитектуры средств безопасности IP-уровня

Деление на уровни важно для всех аспектов информационных технологий. Там же, где участвует еще и криптография, важность возрастает вдвойне, поскольку приходится считаться не только с чисто техническими факторами, но и с особенностями законодательства различных стран, с ограничениями на экспорт и/или импорт криптосредств (см. курс "Основы информационной безопасности" [ 91 ] ).

Протоколы обеспечения аутентичности и конфиденциальности в IPsec не зависят от конкретных криптографических алгоритмов. (Более того, само деление на аутентичность и конфиденциальность предоставляет и разработчикам, и пользователям дополнительную степень свободы в ситуации, когда к криптографическим относят только шифровальные средства.) В каждой стране могут применяться свои алгоритмы, соответствующие национальным стандартам, но для этого, как минимум, нужно позаботиться об их регистрации в домене интерпретации.

Алгоритмическая независимость протоколов, к сожалению, имеет и оборотную сторону, состоящую в необходимости предварительного согласования набора применяемых алгоритмов и их параметров, поддерживаемых общающимися сторонами. Иными словами, стороны должны выработать общий контекст безопасности (Security Association, SA) и затем использовать такие его элементы, как алгоритмы и их ключи. За формирование контекстов безопасности в IPsec отвечает особое семейство протоколов, которое будет рассмотрено в последующих разделах.

Протоколы обеспечения аутентичности и конфиденциальности могут применяться в двух режимах: транспортном и туннельном. В первом случае защищается только содержимое пакетов и, быть может, некоторые поля заголовков. Как правило, транспортный режим используется хостами. В туннельном режиме защищается весь пакет - он инкапсулируется в другой IP-пакет. Туннельный режим обычно реализуют на специально выделенных защитных шлюзах (в роли которых могут выступать маршрутизаторы или межсетевые экраны, см. курс "Основы информационной безопасности" [ 91 ] ).

В последующих разделах мы подробно рассмотрим основные элементы IPsec.

< Лекция 8 || Лекция 9: 12345 || Лекция 10 >
Роман Попов
Роман Попов

После прохождения курса Стандарты инфрмационной безопасности мне предложено получение Удостоверения о повышении квалификации от НИУ ВШЭ по программе Менеджмент информационной безопасности. Программа включает в себя ряд курсов которые я уже ранее проходил. Какой порядок действий в данном случае? Как прозводится перезачет результатов? И какие экщамены мне надо еще доздать чтобы получить удостоверение?

Марина Марченкова
Марина Марченкова
Александр Воротников
Александр Воротников
Россия, Черногорск