IPSec

IPSec(сокращение от IP Security) — определённый IETF стандарт достоверной/конфиденциальной передачи данных по сетям IP. Чаще всего IPSec используется для создания VPN (Virtual Private Network).

Стандарты

IPSec является неотъемлемой частью IPv6 — Интернет-протокола следующего поколения, и расширением существующей версии Интернет-протокола IPv4. IPSec определён в RFC с 2401 по 2412.

Техническая информация

IPSec-протоколы можно разделить на два класса: (1) протоколы отвечающие за защиту потока передаваемых пакетов и (2) протоколы обмена криптографическими ключами. На настоящий момент определён только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) и два протокола обеспечивающие защиту передаваемого потока — ESP (Encapsulating security Payload) обеспечивает целостность и конфиденциальность передаваемых данных, в то время как АН (Authentication Header) гарантирует только целостность потока(передаваемые данные не шифруются).

Протоколы защиты передаваемого потока могут работать как в транспортном режиме, так и в режиме туннелирования. При работе в транспортном режиме IPSec работает только с информацией транспортного уровня, в режиме туннелирования с целыми IP-пакетами. IPSec в режиме туннелирования в основном используется на Интернет-шлюзах для конфиденциальной и достоверной доставки информации между двумя территориально удалёнными сегментами локальной сети (например, между двумя офисами одной и той же компании)

IPSec трафик может маршрутизироваться по тем же правилам, что и остальные IP-протоколы, но, так как маршрутизатор не всегда может извлечь информацию характерную для протоколов транспортного уровня, то прохождение IPSec через NAT-шлюзы невозможно. Для решение этой проблемы IETF определила способ инкапсуляции ESP/AH в UDP получивший название NAT-T (NAT-Traversal)

Работа IPSec контролируется двумя таблицами: SPD (Security Policy Database) и SAD (Security Association Database). Записи в SPD определяют в каких случаях нужно включать шифрование или контроль целостности, в то время как в SAD хранятся криптографические ключи, которые будут использованы для шифрования или подписи передаваемых данных. Если согласно SPD передаваемый пакет должен быть зашифрован, но в SAD нет соответствующего криптографического ключа, операционная система может запросить ключ по IKE-протоколу.

Ссылки

 
Начальная страница  » 
А Б В Г Д Е Ж З И Й К Л М Н О П Р С Т У Ф Х Ц Ч Ш Щ Ы Э Ю Я
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
0 1 2 3 4 5 6 7 8 9 Home