Протокол IPSec

Август 30, 2022

Главная
Информатика
Протокол IPSec

Содержание

2. Назначение IPSec Узел А Узел В IP-пакет IP-пакет IP-пакет Разграничение доступа (фильтрация IP-трафика) Обеспечение целостности передаваемых
3. Семейство IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet Key Exchange (IKE)
4. Протокол АН Узел А Узел В IP-пакет IP-пакет IP-пакет Заголовок IP Данные Заголовок АН
5. Протокол АН Заголовок IP Заголовок AH Заголовки вышележащих уровней и данные Next Header Length Зарезервировано Security
6. Протокол АН Заголовок IP Заголовок AH Данные Заголовок ТСP Next Header Payload Len Зарезервировано Security Parameters
7. Протокол АН Next Header Payload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data
8. Протокол АН Next Header Payload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data
9. Протокол АН Next Header Payload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data
10. Протокол АН Next Header Payload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data
11. Протокол АН Поле Authentication Data Заголовок IP Заголовки верхних уровней Данные Заголовок AH Аутентифицировано
12. Протокол ESP Узел А Узел В IP-пакет IP-пакет IP-пакет Заголовок IP Зашифрованные данные Заголовок ESP (часть
13. Протокол ESP Заголовок IP Заголовок ESP (часть 1) Заголовки вышележащих уровней и данные Security Parametrs Index
14. Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication
15. Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication
16. Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication
17. Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication
18. Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication
19. Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication
20. Протокол ESP Поле Authentication Data Заголовок IP Заголовок ESP Заголовки верхних уровней и данные Трейлер ESP
21. Протоколы АН и ESP - сравнение Заголовок IP Заголовок ESP Заголовки верхних уровней и данные Трейлер
22. Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP
23. Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP Заголовок ESP Трейлер ESP 1. Формирование
24. Формирование пакета ESP Заголовки верхних уровней и данные Заголовок IP Заголовок ESP Трейлер ESP 4. Вычисление
25. Режимы работы IPSec Транспортный режим Туннельный режим Заголовок IP Заголовки AH или ESP Заголовки верхних уровней
26. Схемы применения IPSec Узел А Узел В Схема узел-узел (точка-точка) Internet/ Intranet
27. Схемы применения IPSec Узел А Узел В Схема шлюз-шлюз Internet/ Intranet
28. Узел А Смешанная схема Internet Intranet Схемы применения IPSec
29. Протокол IKE Согласование алгоритмов шифрования и характеристик ключей, которые будут использоваться в защищенном сеансе; Непосредственный обмен
30. Протокол IKE Безопасная ассоциация Security Association (SA) 32-разрядный индекс SPI IP- адрес узла назначения идентификатор протокола
31. Безопасная ассоциация IPSec Узел А Узел В 32-разрядный индекс (SPI) IP- адрес узла назначения Идентификатор протокола
32. Безопасная ассоциация IPSec Узел А Узел В Базы данных SA SAD SAD SAD SAD
33. Протокол IKE Установление защищенного соединения для процедуры обмена (IKE SA) Согласование параметров SA для защиты канала
34. Фаза 1 Фаза 2 Начало Основной режим Агрессивный режим Быстрый режим с PFS Быстрый режим без
35. Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig [Cert]
36. Протокол IKE (фаза 2) Быстрый режим установления канала IKE SA Nonce Ключ Sig [Cert] ID SA
37. Базы данных IPSec Узел А Базы данных SAD и SPD SPD SPD SAD SAD
38. База данных SPD Узел А SPD SPD Селектор Политика Селектор Политика
39. База данных SPD Узел А SPD SPD Селектор Политика Селектор Политика IP-пакет может быть: отброшен пропущен
40. База данных SPD Узел А SPD SPD Селектор Политика Селектор Политика Селектор IP-адрес получателя IP-адрес отправителя
41. Пример работы IPSec Сеть 1 Сеть 2 Internet/ Intranet SA1 Отправитель Получатель
42. Пример работы IPSec Сеть 1 Отправитель Отправка пакета IP-датаграмма SPD (исходящая) Селектор Политика Селектор Политика Параметры
43. Пример работы IPSec Сеть 2 SA1 Получатель Получение пакета Параметры SA1 Параметры SA2 SAD (входящая) SPD
45. Скачать презентацию

Слайд 2

Назначение IPSec
Узел А
Узел В
IP-пакет
IP-пакет
IP-пакет
Разграничение доступа (фильтрация IP-трафика)
Обеспечение целостности передаваемых

данных
Обеспечение аутентичности передаваемых данных
Защита от повторной передачи IP-пакета
Шифрование передаваемых данных

Слайд 3

Семейство IPSec
Протокол Authentication Header (AH)
Протокол Encapsulated Security Payload (ESP)
Протокол Internet Key

Exchange (IKE)

Аутентификация
Контроль целостности
Защита от повторной передачи IP-пакета

Аутентификация
Контроль целостности
Защита от повторной передачи IP-пакета
Шифрование

Согласование алгоритмов шифрования
Обмен ключами

Слайд 4

Протокол АН
Узел А
Узел В
IP-пакет
IP-пакет
IP-пакет
Заголовок
IP
Данные
Заголовок
АН

Слайд 5

Протокол АН
Заголовок IP
Заголовок AH
Заголовки вышележащих
уровней и данные
Next Header
Length
Зарезервировано
Security Parameters Index

(SPI)

Sequence Number (SN)

Authentication Data (переменная длина)

0

8

16

31

Слайд 6

Протокол АН
Заголовок IP
Заголовок AH
Данные
Заголовок ТСP
Next Header
Payload Len
Зарезервировано
Security Parameters Index (SPI)
Sequence Number

(SN)

Authentication Data (переменная длина)

0

8

16

31

Поле Next Header

Слайд 7

Протокол АН
Next Header
Payload Len
Зарезервировано
Security Parameters Index (SPI)
Sequence Number (SN)
Authentication Data (переменная

длина)

0

8

16

31

Поле Payload Len

Длина

Слайд 8

Протокол АН
Next Header
Payload Len
Зарезервировано
Security Parameters Index (SPI)
Sequence Number (SN)
Authentication Data (переменная

длина)

0

8

16

31

Поле SPI

Метка безопасной ассоциации

Слайд 9

Протокол АН
Next Header
Payload Len
Зарезервировано
Security Parameters Index (SPI)
Sequence Number (SN)
Authentication Data (переменная

длина)

0

8

16

31

Поле SN

Наращивается для каждого
следующего пакета

Слайд 10

Протокол АН
Next Header
Payload Len
Зарезервировано
Security Parameters Index (SPI)
Sequence Number (SN)
Authentication Data (переменная

длина)

0

8

16

31

Поле Authentication Data

хэш-функция (содержимое пакета, симметричный секретный ключ)

Слайд 11

Протокол АН
Поле Authentication Data
Заголовок
IP
Заголовки
верхних
уровней
Данные
Заголовок AH
Аутентифицировано

Слайд 12

Протокол ESP
Узел А
Узел В
IP-пакет
IP-пакет
IP-пакет
Заголовок
IP
Зашифрованные данные
Заголовок
ESP (часть 1)
Заголовок
ESP (часть 2)
Трейлер
ESP
Данные
аутентификации

Слайд 13

Протокол ESP
Заголовок IP
Заголовок
ESP (часть 1)
Заголовки вышележащих
уровней и данные
Security Parametrs

Index (SPI)

Sequence Number (SN)

Данные (переменная длина)

Заполнитель (0-255 байт)

Authentication Data (переменная длина)

Длина заполнителя

Next Header

0

8

16

31

Трейлер
ESP

Данные
аутентификации

Зашифровано

Слайд 14

Протокол ESP
Security Parametrs Index (SPI)
Sequence Number (SN)
Данные (переменная длина)
Заполнитель (0-255 байт)
Authentication

Data (переменная длина)

Длина заполнителя

Next Header

0

8

16

31

Метка безопасной ассоциации

Поле SPI

Слайд 15

Протокол ESP
Security Parametrs Index (SPI)
Sequence Number (SN)
Данные (переменная длина)
Заполнитель (0-255 байт)
Authentication

Data (переменная длина)

Длина заполнителя

Next Header

0

8

16

31

Поле SN

Наращивается для каждого
следующего пакета

Слайд 16

Протокол ESP
Security Parametrs Index (SPI)
Sequence Number (SN)
Данные (переменная длина)
Заполнитель (0-255 байт)
Authentication

Data (переменная длина)

Длина заполнителя

Next Header

0

8

16

31

Поле заполнителя

Для правильной работы алгоритмов шифрования

Для намеренного искажения размера пакета

Слайд 17

Протокол ESP
Security Parametrs Index (SPI)
Sequence Number (SN)
Данные (переменная длина)
Заполнитель (0-255 байт)
Authentication

Data (переменная длина)

Длина заполнителя

Next Header

0

8

16

31

Поле длины заполнителя

Длина заполнителя в байтах

Слайд 18

Протокол ESP
Security Parametrs Index (SPI)
Sequence Number (SN)
Данные (переменная длина)
Заполнитель (0-255 байт)
Authentication

Data (переменная длина)

Длина заполнителя

Next Header

0

8

16

31

Поле Next Header

Заголовок IP

Заголовок ESP
часть 1

Данные

Заголовок ТСP

Заголовок ESP
часть 2

Слайд 19

Протокол ESP
Security Parametrs Index (SPI)
Sequence Number (SN)
Данные (переменная длина)
Заполнитель (0-255 байт)
Authentication

Data (переменная длина)

Длина заполнителя

Next Header

0

8

16

31

Поле Authentication Data

хэш-функция (содержимое пакета, симметричный секретный ключ)

Слайд 20

Протокол ESP
Поле Authentication Data
Заголовок
IP
Заголовок
ESP
Заголовки
верхних уровней
и данные
Трейлер
ESP
Аутентифицировано

Слайд 21

Протоколы АН и ESP - сравнение
Заголовок
IP
Заголовок
ESP
Заголовки
верхних уровней
и данные
Трейлер

ESP

Аутентифицировано

Заголовок
IP

Заголовки
верхних
уровней

Данные

Заголовок AH

Аутентифицировано

Поле Authentication Data

Слайд 22

Формирование пакета ESP
Заголовки
верхних уровней
и данные
Заголовок
IP

Слайд 23

Формирование пакета ESP
Заголовки
верхних уровней
и данные
Заголовок
IP
Заголовок
ESP
Трейлер
ESP
1. Формирование заголовка

ESP (часть 1)

2. Формирование трейлера ESP

!»№;%:?*(()_+

3. Шифрование

Слайд 24

Формирование пакета ESP
Заголовки
верхних уровней
и данные
Заголовок
IP
Заголовок
ESP
Трейлер
ESP
4. Вычисление данных

аутентификации

5. Добавление данных аутентификации в
конец пакета

!»№;%:?*(()_+

Слайд 25

Режимы работы IPSec
Транспортный режим
Туннельный режим
Заголовок IP
Заголовки
AH или ESP
Заголовки
верхних
уровней
Новый
Заголовок IP
Заголовки
AH или

ESP

Заголовки
верхних
уровней

Заголовок IP

Слайд 26

Схемы применения IPSec
Узел А
Узел В
Схема узел-узел (точка-точка)
Internet/
Intranet

Слайд 27

Схемы применения IPSec
Узел А
Узел В
Схема шлюз-шлюз
Internet/
Intranet

Слайд 28

Узел А
Смешанная схема
Internet
Intranet
Схемы применения IPSec

Слайд 29

Протокол IKE
Согласование алгоритмов шифрования и характеристик ключей, которые будут использоваться

в защищенном сеансе;
Непосредственный обмен ключами (в том числе возможность их частой смены);
Контроль выполнения всех достигнутых соглашений.

Слайд 30

Протокол IKE
Безопасная ассоциация
Security Association (SA)
32-разрядный индекс SPI
IP- адрес узла назначения
идентификатор протокола

защиты (АН или ESP)

Безопасная ассоциация

Слайд 31

Безопасная ассоциация IPSec
Узел А
Узел В
32-разрядный индекс (SPI)
IP- адрес узла назначения
Идентификатор протокола

защиты
(АН или ESP)

SA

SA

Слайд 32

Безопасная ассоциация IPSec
Узел А
Узел В
Базы данных SA
SAD
SAD
SAD
SAD

Слайд 33

Протокол IKE
Установление защищенного соединения
для процедуры обмена (IKE SA)
Согласование параметров SA

для защиты
канала данных

Этапы функционирования протокола IKE

Фаза 1

Фаза 2

Слайд 34

Фаза 1
Фаза 2
Начало
Основной режим
Агрессивный режим
Быстрый режим
с PFS
Быстрый режим
без PFS
Обмен

данными

Новый канал IPSec
или смена ключей для
существующего канала

Протокол IKE

Слайд 35

Протокол IKE (фаза 1)
Основной режим установления канала IKE SA
SA
Заголовок
Nonce
Ключ
Sig
[Cert]
ID
SA
Ключ
Nonce
Sig
ID
[Cert]
Инициирующая сторона
Отвечающая сторона
Заголовок
Заголовок
Заголовок
Заголовок
Заголовок
1
3
5
2
4
6

Слайд 36

Протокол IKE (фаза 2)
Быстрый режим установления канала IKE SA
Nonce
Ключ
Sig
[Cert]
ID
SA
Ключ
Nonce
Sig
ID
[Cert]
Инициирующая сторона
Отвечающая сторона
Заголовок
Заголовок
Заголовок
SA
1
3
2

Слайд 37

Базы данных IPSec
Узел А
Базы данных SAD и SPD
SPD
SPD
SAD
SAD

Слайд 38

База данных SPD
Узел А
SPD
SPD
Селектор
Политика
Селектор
Политика

Слайд 39

База данных SPD
Узел А
SPD
SPD
Селектор
Политика
Селектор
Политика
IP-пакет может быть:
отброшен
пропущен с применением IPSec

пропущен без применения IPSec

Слайд 40

База данных SPD
Узел А
SPD
SPD
Селектор
Политика
Селектор
Политика
Селектор
IP-адрес получателя
IP-адрес отправителя
Протокол (TCP или

UDP)
Имя FQDN или X.500
Порт отправителя
Порт получателя

Слайд 41

Пример работы IPSec
Сеть 1
Сеть 2
Internet/
Intranet
SA1
Отправитель
Получатель

Слайд 42

Пример работы IPSec
Сеть 1
Отправитель
Отправка пакета
IP-датаграмма
SPD (исходящая)
Селектор
Политика
Селектор
Политика
Параметры SA1
Параметры SA2
SAD (исходящая)
SA1

Слайд 43

Пример работы IPSec
Сеть 2
SA1
Получатель
Получение пакета
Параметры SA1
Параметры SA2
SAD (входящая)
SPD (входящая)
Селектор
Политика
Селектор
Политика