Информационные технологии окружают нас...

Основы безопасности IP (IPSec)

IPSec предоставляет возможность шифрования передачи данных на уровне адаптера. IPSec отличается от технологии Уровень защищенных сокетов (Secure Sockets Layer, SSL) уровнем OSI, на котором она работает. SSL, как правило, занимается шифрованием на прикладном уровне (7 уровень OSI), а IPSec — на транспортном уровне (4–7 уровни OSI). Поскольку SSL работает только на уровне протокола приложений, то если вы передаете данные через любой другой порт или используете любое другое приложение, эти данные зашифровываться не будут (к примеру, если вы используете HTTPS-адрес ресурса для подключения к веб-сайту банка, то только данный веб-сеанс будет защищен SSL). IPSec же зашифровывает все данные, передаваемые через сетевой адаптер, на транспортном уровне.

IPSec включает в себя два механизма шифрования: транспортный и туннельный. Большинство реализаций используют туннельный механизм, инкапсулирующий весь пакет. Этот механизм оставляет незашифрованной маршрутную информацию для других узлов, а внутренний заголовок и остальные данные при этом зашифрованы. Это делает возможным применение преобразования сетевых адресов (Network Address Translation, NAT), которое позволяет использовать одноустройство для контроля входящего и исходящего трафика при помощи частной IP-адресации, что автоматически выполняет для вас широкополосный маршрутизатор.

Транспортный механизм обычно состоит из связи между компьютерами одной и той же сети типа «один на один». Он зашифровывает данные, но не заголовок, и создает хэш пакета. Транспортный метод не позволяет применять NAT, что делает затруднительными внешние связи. Причина этого кроется в следующем: транспортный механизм создает хэш пакета; при хэшировании пакета он перезаписывает часть заголовка, что делает значение заголовка не соответствующим остальному содержимому пакета, и из-за этого пакет становится недействительным.

Вы можете спросить: «Каким образом происходит шифрование?» Это хороший вопрос. Вначале адаптеры создают доверительную связь, импортируя цифровой сертификат каждому сетевому адаптеру. Когда адаптер подключается к сети, возможно, при помощи туннельного VPN-сервера или контроллера домена Active Directory, он подтверждает цифровой сертификат, предоставляет частный и публичный ключи, связанные с сертификатом, и подтверждает MAC-адрес сетевого адаптера. Адаптер создает значение хэша для каждого пакета, переданного адаптеру, проставляя при этом временную метку, что сокращает количество повторов на адаптере.

 

Добавить комментарий


Защитный код
Обновить


articles
Если у Вас появились вопросы, задайте их на нашем форуме.
Пользуетесь ли Вы Яндекс.Маркетом для поиска товаров?
 


© Информационные технологии, 2010-2012.
При использовании материалов указание источника и гиперссылка на http://blogobit.ru обязательны.