Протоколы IPSec

IPSec — это не протокол, а собирательный термин для нескольких черновых стандартов, опубликованных рабочей группой IETF с це­лью определения методологии защиты передаваемых по сети данных с помощью проверки подлинности (аутентификации) и шифрования.] До появления IPSec безопасные протоколы применялись лишь в Ин­тернете или обеспечивали защиту отдельных видов клиент-серверно­го трафика. Стандартного способа защиты данных в ЛВС не суще­ствовало. Доступом к ресурсам ЛВС можно было управлять с помо­щью приоритетов и паролей, но данные, попавшие в сетевую среду, легко перехватывались.

IPSec состоит из двух самостоятельных протоколов, обеспечиваю­щих различные уровни защиты. Протокол АН (Authentication Header) выполняет проверку подлинности и гарантирует целостность IP-дей­таграмм, а протокол ESP (Encapsulating Security Payload) отвечает за их шифрование. Чтобы добиться максимальной защищенности, нуж­но использовать оба протокола.

Протокол АН добавляет в дейтаграмму, сгенерированную переда­ющим компьютером, собственный заголовок сразу после заголовка IP. После этого поле Protocol заголовка IP указывает уже не на про­токол транспортного уровня, данные которого находятся в дейтаграм­ме, а на протокол АН. В заголовке АН содержится также номер пос­ледовательности, который не дает неавторизованным компьютерам

отвечать на сообщение, и код проверки целостности (integrity check value, ICV), с помощью которого принимающий компьютер убежда­ется, что входящие пакеты не были изменены. Протокол ESP инкап­сулирует данные транспортного уровня в каждой дейтаграмме, добав­ляя к ним собственные заголовок и трейлер и шифруя все данные, стоящие после заголовка ESP. Кадр ESP также содержит номер пос­ледовательности и код ICV.

Чтобы IPSec можно было использовать в ЛВС, его должны под­держивать как передающая, так и принимающая система. Вся инфор­мация, которую IPSec добавляет к пакету, содержится внутри дейта­граммы, поэтому промежуточным системам, например, маршрутиза­торам, поддержка IPSec не нужна. Протоколы IPSec реализованы в последних версиях большинства основных сетевых ОС, в том числе в Windows 2000 и различных вариантах UNIX. На компьютере под уп­равлением Windows 2000 настройка клиента TCP/IP на использова­ние IPSec производится на вкладке Параметры (Options) диалогового окна Дополнительные параметры TCP/IP (Advanced TCP/IP Settings). Выделив в списке вариант IP-безопасность (IP Security) и щелкнув кнопку Свойства (Properties), Вы откроете диалоговое окно IP-безо­пасность (IP Security), показанное на рис. 13.10. Установите переклю­чатель Использовать следующую политику IP-безопасности (Use this IP security policy) и выберите один из наборов правил применения протокола IPSec.

• Клиент (Только ответ) [Client (Respond Only)] — компьютер ис­пользует IPSec, только если его запрашивает другой компьютер.

• Безопасность сервера (требовать безопасность) [Secure Server (Re­quire Security)] — IPSec обязателен для всех коммуникаций. Об­мен данными с компьютерами, на которых IPSec не применяется, запрещен.

• Сервер (запрос безопасности) [Server (Request Security)] — компьютер запрашивает использование IPSec для всех коммуни­каций, но не требует его. Если на другом компьютере IPSec не ак­тивизирован, обмен данными все равно продолжается.

Действие IPSec, описанное выше, относится к транспортному ре­жиму (transport mode), когда передаваемые в дейтаграмме данные вер­хних уровней защищены с помощью требования проверки подлин­ности и шифрования. Но IPSec способен также работать в режиме туннелирования (tunnel mode), используемом, например, в виртуаль­ных частных сетях.

Обмен данными между двумя компьютерами с помощью вирту­альной частной сети происходит так. Передающий компьютер гене­рирует обычную дейтаграмму и передает ее шлюзу (или маршрутиза­тору), через который осуществляется выход в Интернет. Шлюз, дей­ствующий в режиме туннелирования, инкапсулирует всю дейтаграм­му (включая IP-заголовок) в другую дейтаграмму, а затем вся эта кон­струкция шифруется и аутентифицируется с помощью IPSec. Эта вне­шняя дейтаграмма играет роль защитного «туннеля», по которому данные верхних уровней перемещаются абсолютно безопасно. Прой­дя по Интернету и достигнув шлюза, открывающего доступ к целево­му компьютеру, внешняя дейтаграмма удаляется, а содержавшиеся внутри нее данные аутентифицируются и дешифруются. Затем шлюз передает исходную (незашифрованную) дейтаграмму целевой систе­ме. При использовании соединения такого типа ни исходная, ни це­левая системы поддерживать IPSec не должны.