IP Security

IPsec (IP Security) - это набор протоколов обеспечивающий защиту данных, передаваемых по протоколу IP, что позволяет осуществлять подтверждение подлинности и (или) шифрование IP-пакетов. Так же IPsec включает в себя протоколы для защищённого обмена ключами в сетях общего доступа (Интернет).
Протоколы IPsec работают на третьем - сетевом уровне (модели OSI). Другие протоколы сети, например, SSL и TLS, работают на четвертом - транспортном уровне. Протокол IPsec более гибкий, поскольку может использоваться для защиты любых протоколов основаных на TCP и UDP. Так же увеличивается его сложность из-за невозможности использовать протокол TCP для надёжной передачи данных.
IPsec можно разделить на два класса: протоколы обеспечивающие защиту потока передаваемых пакетов и протоколы обмена криптографическими ключами. В настоящее время определен только один протокол обмена криптографическими ключами — IKE (Internet Key Exchange) — и два протокола, защищающих передаваемый поток: ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных, а так же обеспечение целостности и конфиденциальности данных) и AH (Authentication Header — аутентифицирующий заголовок, гарантирующий только целостность потока, данные не шифруются).

Протокол IPSec состоит из следующих компонентов:

• Authentication Header (AH - идентификационный заголовок), отвечающий за подпись неизменяемой части заголовка и данные IP-пакета при помощи алгоритмов уселения криптостойкости HMAC-MD5 и HMAC-SHA, но не производящий шифрования данных
• Encapsulating Security Payload (ESP - протокол шифрования сетевого трафика), отвечающий за шифрацию всего пакета данных, за исключением заголовков IP и ESP, при помощи алгоритмов шифрования DES-CBC и Triple-DES, а так же подписывает зашифрованные данные вместе со своим заголовком

IPSec представлен следующими компанентами:

• IPSec Driver, обеспечивает обрабатку пакетов
• IPSec Filter, указывает, какие пакеты и как нужно обрабатывать
• IPSec Policy, отвечает за определение параметров IP Security для компьютеров
• Internet Key Exchange (IKE), организующий переговоры между хостами при помощи протокола ISAKMP/Oakley

IPsec может работать в транспортном режиме и туннельном.

В транспортном режиме зашифровывается (подписывается) информативная часть IP-пакета. Так как заголовок IP пакета не изменяется, не меняется и его маршрутизация. Транспортный режим используется в основном для установления соединения между рабочими станциями, но так же может использоваться между шлюзами, для защиты туннелей.

В туннельном режиме IP-пакет шифруется полностью. После этого он помещается в другой IP-пакет для передачи по сети, образуя таким образом защищённый туннель. Этот режим используется для подключения удалённых компьютеров к виртуальной частной сети или для безопасной передачи данных по сетям общего доступа (Интернет).

[данная статья не закончена]