Защищенные каналы связи. Защищенные виртуальные сети

открытым каналам связи основана на выполнении следующих функций:

1) аутентификации взаимодействующих сторон;

2) криптографическом закрытии передаваемых данных;

3) подтверждении подлинности и целостности передаваемых данных;

4) защите от повтора, задержки и удалении сообщений;

5) защите от отрицания фактов отправления и приема сообщений;

Объединение локальных сетей и отдельных компьютеров через открытую внешнюю среду передачи информации в единую виртуальную сеть, обеспечивающую безопасность циркулирущих данных, называют защищенной виртуальной сетью (VPN)

Security Payload)
Обеспечивает:
- конфиденциальность;
- целостность;
- аутентификацию.

параметров, прменяемых для обеспечения сервиса защиты транспортного потока

Метод форматирования определяет, каким образом создаются заголовки и то, какая часть этих заголовков и данных пользователя будет защищена в процессе передачи данных

SPI (Security Parameter Index - индекс параметров защиты) - идентификатор SA. Он определяет то, как принимающая сторона будет обрабатывать поступающий поток данных

сквозная защита;

- Internet не имеет понятия об SA и не участвует в ней.

соединены со шлюзами безопасноти (IP-совместимый маршрутизатор) безопасными соединениями.

Используется туннельны режим защиты.

и шлюзом, защищающим трафик для всех хостов, входящих в сеть Intranet предприятия.

- Удаленный хост может использовать при отправке пакетов шлюзу как транспортный, так и туннельный режим,
- шлюз же отправляет пакет хосту только в туннельном режиме.

с которой установлена данная ассоциация;

- содержимое пакета не было искажено;

- пакет не является дубликатом некоторого ранее полученного пакета

ICMP, может быть ESP)

Длина полезного груза - длина заголовка AH (в 32-битовых словах, уменьшенная на 2)

Индекс параметров защиты (SPI) - идентификатор для связи пакета с предусмотренной для него SA

Данные аутентификации - содержат код контроля целостности - ICV (код аутентичности сообщения - MAC)

SHA1 или к.л. другая)

Для вычисления хэш функции берется следующая информация:

- Поля IP-заголовка, которые не изменяются в пути следования

- Заголовок AH (кроме поля данных аутентификации);

- Все данные протокола верхнего уровня

полученный пакет попадает в рамки окна и является Новым, проверяется значение МАС. Если аутентификация пакета завершается успешно,помечается соответствующий сегмент в окне.

2. Если полученный пакет попадает в область правее окна и является новым, проверяется значение МАС. Если аутентификация пакета завершается успешно, окно сдвигается так, чтобы новый порядковый номер оказался правой границей окна, а в окне помечается соответствующий сегмент.

3. Если полученный пакет оказывается слева от окна или аутентификация не удается, пакет будет отвергнут. Такое событие должно фиксироваться.

действительного размера пакета в целях обеспечения так называемой частичной конфиденциальности трафика.

- формат заголовка ESP требует, чтобы поле данных заканчивалось на границе четырех байтов.

- для нормальной работы некоторых алгоритмов шифрования необходимо, чтобы шифруемый текст содержал кратное число блоков определенного размера.

защиты по двум группам функций

Заголовок ESP (SP+SN)

Трейлер ESP (заполнитель, длина заполнителя,
след. заголовок)

Authentication Data

Заголовок исходного IP-пакета

защиты по двум группам функций

основании которых можно с большой степенью детализации выделить тип трафика, который нужно защищать определенным образом:
- IP-адресов источника и назначения;
- портов источника и назначения (т. е. портов TCP или UDP);
- типов протокола транспортного уровня (TCP, UDP);
- имени пользователя в формате DNS или X.500;
- имени системы (хоста, шлюза безопасности и т. п.) в формате DNS или X.500

но обеспечивающий дополнительную защиту

ISAKMP (Internet Security Association and Key Management Protocol) – защищенная связь в Internet и протокол управления ключами – каркас схемы управления ключами. Не привязан к конкретным протоколам управления ключами.