Протокол IPSec (RFC 2401)
Назначение IPSec Узел АУзел В IP-пакет Разграничение доступа (фильтрация IP-трафика) Обеспечение целостности передаваемых данных Обеспечение аутентичности передаваемых данных Защита от повторной передачи IP-пакета Шифрование передаваемых данных
Семейство IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet Key Exchange (IKE) Аутентификация Контроль целостности Защита от повторной передачи IP-пакета Аутентификация Контроль целостности Защита от повторной передачи IP-пакета Шифрование Согласование алгоритмов шифрования Обмен ключами
Протокол АН Узел АУзел В IP-пакет Заголовок IP Данные Заголовок АН
Протокол АН Заголовок IPЗаголовок AH Заголовки вышележащих уровней и данные Next HeaderLength Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина)
Протокол АН Заголовок IPЗаголовок AHДанные Заголовок ТСP Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Next Header
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Payload Len Длина
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SPI Метка безопасной ассоциации
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SN Наращивается для каждого следующего пакета
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)
Протокол АН Поле Authentication Data Заголовок IP Заголовки верхних уровней Данные Заголовок AH Аутентифицировано
Протокол ESP Узел АУзел В IP-пакет Заголовок IP Зашифрованные данные Заголовок ESP (часть 1) Заголовок ESP (часть 2) Трейлер ESP Данные аутентификации
Протокол ESP Заголовок IP Заголовок ESP (часть 1) Заголовки вышележащих уровней и данные Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Трейлер ESP Данные аутентификации Зашифровано
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Метка безопасной ассоциации Поле SPI
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле SN Наращивается для каждого следующего пакета
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле заполнителя Для правильной работы алгоритмов шифрования Для намеренного искажения размера пакета
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле длины заполнителя Длина заполнителя в байтах
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Next Header Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Заголовок ESP часть 2
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)
Протокол ESP Поле Authentication Data Заголовок IP Заголовок ESP Заголовки верхних уровней и данные Трейлер ESP Аутентифицировано
Протоколы АН и ESP - сравнение Заголовок IP Заголовок ESP Заголовки верхних уровней и данные Трейлер ESP Аутентифицировано Заголовок IP Заголовки верхних уровней Данные Заголовок AH Аутентифицировано Поле Authentication Data
Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP
Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP Заголовок ESP Трейлер ESP 1. Формирование заголовка ESP (часть 1) 2. Формирование трейлера ESP !»;%:?*(()_+ 3. Шифрование
Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP Заголовок ESP Трейлер ESP 4. Вычисление данных аутентификации 5. Добавление данных аутентификации в конец пакета !»;%:?*(()_+
Режимы работы IPSec Транспортный режим Туннельный режим Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Новый Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Заголовок IP
Схемы применения IPSec Узел АУзел В Схема узел-узел (точка-точка) Internet/ Intranet
Схемы применения IPSec Узел АУзел В Схема шлюз-шлюз Internet/ Intranet
Узел А Смешанная схема Internet Intranet Схемы применения IPSec
Протокол IKE Согласование алгоритмов шифрования и характеристик ключей, которые будут использоваться в защищенном сеансе; Непосредственный обмен ключами (в том числе возможность их частой смены); Контроль выполнения всех достигнутых соглашений.
Протокол IKE Безопасная ассоциация Security Association (SA) 32-разрядный индекс SPI IP- адрес узла назначения идентификатор протокола защиты (АН или ESP) Безопасная ассоциация
Безопасная ассоциация IPSec Узел АУзел В 32-разрядный индекс (SPI) IP- адрес узла назначения Идентификатор протокола защиты (АН или ESP) SA SA
Безопасная ассоциация IPSec Узел А Узел В Базы данных SA SAD SAD SAD SAD
Протокол IKE Установление защищенного соединения для процедуры обмена (IKE SA) Согласование параметров SA для защиты канала данных Этапы функционирования протокола IKE Фаза 1 Фаза 2
Фаза 1 Фаза 2 Начало Основной режим Агрессивный режим Быстрый режим с PFS Быстрый режим без PFS Обмен данными Новый канал IPSec или смена ключей для существующего канала Протокол IKE
Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig[Cert]ID SA КлючNonce SigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок
Протокол IKE (фаза 2) Быстрый режим установления канала IKE SA Nonce Ключ Sig[Cert] IDSA КлючNonceSigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок SA 1 3 2
Базы данных IPSec Узел А Базы данных SAD и SPD SPDSPDSPDSPD SPDSPDSPDSPD SAD SAD
База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика
База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика IP-пакет может быть: отброшен пропущен с применением IPSec пропущен без применения IPSec
База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика Селектор IP-адрес получателя IP-адрес отправителя Протокол (TCP или UDP) Имя FQDN или X.500 Порт отправителя Порт получателя
Пример работы IPSec Сеть 1Сеть 2 Internet/ Intranet SA1 Отправитель Получатель
Пример работы IPSec Сеть 1 Отправитель Отправка пакета IP-датаграмма SPD (исходящая) Селектор Политика Селектор Политика Параметры SA1 Параметры SA2 SAD (исходящая) SA1
Пример работы IPSec Сеть 2SA1 Получатель Получение пакета Параметры SA1 Параметры SA2 SAD (входящая) SPD (входящая) Селектор Политика Селектор Политика
Практическая работа 9 Настройка IPSec Настройка IPSec средствами ОС Windows 2000