Технологии защищенного канала
Физический Канальный Сетевой Транспортный Сеансовый Презентационный Прикладной PPTP Протоколы, формирующие защищенный канал на разных уровнях IPSec, SKIP SSL HTTP/S, S/MIME Непрозрачны для приложений, не зависят от транспортной инфраструктуры Прозрачны для приложений, зависят от транспортной инфраструктуры
Internet Protocol Security (IPSec) система протоколов для защиты трафика IP-сетей ядро стандартизовано в конце 1998 года. Стандарт на архитектуру - RFC2401 поддерживается IPv6
Протокол Autentication Header (AH) обеспечивает: целостность аутентификацию передаваемых данных защиту от дубликатов (опционально) ДанныеIP-заголовок Протокол AH ДанныеIP-заголовок Заголовок AH Дайджест Дайджест по всем неизменяемым полям пакета
Encapsulation Security Payload (ESP) обеспечивает: целостность аутентификацию передаваемых данных защиту от дубликатов (опционально) шифрование трафика Целостность - дайджест для поля данных Шифрование - по симметричному принципу ESP-заг.IP заг.
Internet Key Exchange (IKE) - протокол распределения ключей IPSec Безопасная ассоциация (Security Association, SA) Установить SA - (1) аутентифицировать стороны (2) согласовать параметры защиты SA - однонаправленное (симплексное) логическое соединение Между узлами устанавливается произвольное количество SA В рамках одной SA нельзя использовать одновременно AH и ESP
Согласование параметров в протоколе ESP IPSec Безопасная ассоциация (Security Association, SA) Обязательный набор алгоритмов защиты Фирменные алгоритмы Triple DES RC5 Idea Cast MD5 SHA-1 DES MD5 DES SHA-1
Два режима работы протоколов AH и ESP AH или ESP ДанныеIP- заг IP-заг. Заголовок AH или ESP (1) Транспортный режим Данные AH или ESP ДанныеIP- заг ДанныеIP-заг. IP-заг. внешний Исходный пакет Заголовок AH или ESP (2) Туннельный режим Режим работы в одном направлении не зависит от режима работы в другом направлении
IPSec 3 схемы установления SA (1) хост-хост режимы: транспортный туннельный Internet/intranet SA IPSec (2) шлюз-шлюз режим: туннельный (3) хост-шлюз IP1 IP4 IP3 IP2 IP1, IP2 IP3, IP4 IP1, IP2
Протокол IKE (1) Проверка аутентичности сторон аналогично протоколу CHAP обмен сертификатами Вычисление разделяемого секрета: (E B,n) A B (D A,n) (D B,n)(E A,n) KK (2) Согласование параметров защиты способы: ручной автоматический Параметры: протокол опция дубликатов режим используемые алгоритмы секретные ключи
Механизм распознавания пакетов, относящихся к разным безопасным ассоциациям на узле-отправителе - селектор на узле-получателе - SPI (Security Parameters Index) SPD, Security Policy Database СелекторПолитика SAD, SA Database SA3 SPI SAD SA3 SPD СелекторПолитика
Механизм распознавания пакетов, относящихся к разным ассоциациям SA Security Polisy Database (SPD) В каждом узле должно быть 2 SPD - для входящих и исходящих пакетов
База данных параметров безопасных ассоциаций Security Association Database (SAD) Текущие параметры SA КлючНомер пакета... SA4 SA2 SA3 SA1
Данные IP-заголовок исходного пакета Заголовок AH SPI Номер пакета (SN) Дайджест Аутентифицируемая часть пакета Данные IP-заголовок исходного пакета Заголовок AH SPI Номер пакета (SN) Дайджест IP-заг. внешний Аутентифицируемая часть пакета А) транспортный режим Б) туннельный режим
Протокол защиты данных ESP Структура заголовка Заполнитель: (1) требования методов шифрации (2) формат заголовка ESP (3) частичная конфиденциальность трафика
IP-заг.ДанныеЗаполнитель ESP-заг SPISN ESP-заг Дайджест След. заг. Зашифрованная часть Аутентифицируемая часть IP-заг. ESP-заг SPISN IP-заг.ДанныеЗаполнитель ESP-заг Дайджест След. заг. Зашифрованная часть Аутентифицируемая часть А) транспортный режим б) туннельный режим
Защищенный канал PPTP
Схема инкапсуляции протокола PPTP
Реализация Microsoft