Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
1
Протокол IPSec (RFC 2401)
2
Семейство протоколов IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet Key Exchange (IKE) Аутентификация Контроль целостности Аутентификация Контроль целостности Шифрование Согласование алгоритмов шифрования Обмен ключами
3
Защищённый канал IPSec Конфиденциальная информация Узел А Узел В
4
Безопасная ассоциация IPSec Узел АУзел В 32-разрядный индекс (SPI) IP- адрес узла назначения Идентификатор протокола защиты (АН или ESP) SA SA
5
Безопасная ассоциация IPSec Узел А Узел В Базы данных SA SAD SAD SAD SAD
6
Схемы применения IPSec Узел АУзел В Схема узел-узел (точка-точка) Internet/ Intranet
7
Схемы применения IPSec Узел АУзел В Схема шлюз-шлюз Internet/ Intranet
8
Схемы применения IPSec Узел АУзел В Смешанная схема (вариант 1) Internet/ Intranet
9
Схемы применения IPSec Узел АУзел В Смешанная схема (вариант 2) Internet Intranet
10
Режимы работы IPSec Транспортный режим Туннельный режим Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Новый Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Заголовок IP
11
Базы данных IPSec Узел А Базы данных SAD и SPD SPDSPDSPDSPD SPDSPDSPDSPD SAD SAD
12
База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика
13
База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика IP-пакет может быть: отброшен пропущен с применением IPSec пропущен без применения IPSec
14
База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика Селектор IP-адрес получателя IP-адрес отправителя Протокол (TCP или UDP) Имя FQDN или X.500 Порт отправителя Порт получателя
15
База данных SAD Узел А SAD SADSADSADSAD Параметры SA1 Параметры SA2 Текущие безопасные ассоциации (SA)
16
Пример работы IPSec Сеть 1Сеть 2 Internet/ Intranet SA1 Отправитель Получатель
17
Пример работы IPSec Сеть 1 Отправитель Отправка пакета IP-дейтаграмма SPD (исходящая) Селектор Политика Селектор Политика Параметры SA1 Параметры SA2 SAD (исходящая) SA1
18
Пример работы IPSec Сеть 2SA1 Получатель Получение пакета Параметры SA1 Параметры SA2 SAD (входящая) SPD (входящая) Селектор Политика Селектор Политика
19
Протокол АН Заголовок IPЗаголовок AHДанные Заголовок ТСP Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина)
20
Протокол АН Заголовок IPЗаголовок AHДанные Заголовок ТСP Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Next Header
21
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Payload Len Длина
22
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SPI Метка безопасной ассоциации
23
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SN Наращивается для каждого следующего пакета
24
Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)
25
Протокол ESP Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Security Parametrs Index (SPI) Sequence Number (SN) Заголовок ESP часть 2 Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Зашифровано
26
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Метка безопасной ассоциации Поле SPI
27
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле SN Наращивается для каждого следующего пакета
28
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле заполнителя Для правильной работы алгоритмов шифрования Для намеренного искажения размера пакета
29
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле длины заполнителя Длина заполнителя в байтах
30
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Next Header Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Заголовок ESP часть 2
31
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)
32
Протокол IKE Безопасная ассоциация Security Association 32-разрядный индекс SPI IP- адрес узла назначения идентификатор протокола защиты (АН или ESP) Безопасная ассоциация
33
Протокол IKE Установление защищенного соединения для процедуры обмена (IKE SA) Согласование всех параметров, ассоциируемых с общим каналом SA Этапы функционирования протокола IKE Фаза 1 Фаза 2
34
Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig[Cert]ID SA КлючNonce SigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок
![Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig[Cert]ID SA КлючNonce SigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок 1 3 5 2 4 6](http://images.myshared.ru/9/886868/slide_34.jpg "Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig[Cert]ID SA КлючNonce SigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок 1 3 5 2 4 6")
35
Протокол IKE (фаза 1) Initiator Cookie SA Vendor ID 1
36
Протокол IKE (фаза 1) Responder Cookie SA Vendor ID 2
37
Протокол IKE (фаза 1) Открытый ключ Случайное число Запрос сертификата 3
38
Протокол IKE (фаза 1) Открытый ключ Случайное число Запрос сертификата 4
39
Протокол IKE (фаза 1) ID 5 В нескольких пакетах
40
Протокол IKE (фаза 1) ID 6 В нескольких пакетах
41
Протокол IKE Быстрый режим установления канала IKE SA Nonce Ключ Sig[Cert] IDSA КлючNonceSigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок SA 1 3 2
![Протокол IKE Быстрый режим установления канала IKE SA Nonce Ключ Sig[Cert] IDSA КлючNonceSigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок SA 1 3 2](http://images.myshared.ru/9/886868/slide_41.jpg "Протокол IKE Быстрый режим установления канала IKE SA Nonce Ключ Sig[Cert] IDSA КлючNonceSigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок SA 1 3 2")
42
Протокол IKE Согласование параметров канала SA Индекс SPI IP- адрес АН или ESP Индекс SPI IP-адрес АН или ESP
43
Практическая работа 7 Настройка IPSec Настройка IPSec средствами ОС Windows 2000
Еще похожие презентации в нашем архиве:
