ПРО ПРОТОКОЛІ ESP

Якщо АН забезпечує захист від загроз цілісності переданих даних, то ESP також може забезпечувати і конфіденційність.

Так само як і АН, ESP може працювати в транспортному і тунельному режимах. На рис. 3.5 зображені варіанти його використання (штрихуванням виділені фрагменти пакета, які захищаються за допомогою шифрування). Для ESP визначений наступний перелік обов'язкових алгоритмів, які повинні підтримуватися в усіх реалізаціях:

  • - для формування имитовставки - HMAC-MD5-96 (використовується за умовчанням) і HMAC-SHA-1-96;
  • -для шифрування - DES (в режимі СВС; використовується за умовчанням) і NULL (відсутність шифрування).
а) вихідний IP-пакет, б) ESP в транспортному режимі, в) ESP в тунельному режимі

Мал. 3.5. а) вихідний IP-пакет, б) ESP в транспортному режимі, в) ESP в тунельному режимі

Крім того, зареєстровані і можуть бути реалізовані ще ряд алгоритмів шифрування - Triple DES, CAST-128, RC5, IDEA, Blowfish, ARCFour (загальнодоступна версія RC4) [13].

Розглянемо формат заголовка ESP (рис. 3.6). Він починається з двох 32-розрядних значень - SPI і SN. Роль їх така ж, як в протоколі АН - SP1 ідентифікує контекст захисту, який використовується для створення даного тунелю; SN дозволяє захиститися від повторів пакетів. SN і SPI не зашифровано. Наступним йде поле, що містить зашифровані дані. Після них - поле заповнювач, який потрібен для того, щоб вирівняти довжину шифрованих полів до значення кратного розміру блоку алгоритму шифрування.

Структура заголовка ESP

Мал. 3.6. Структура заголовка ESP

Після заповнювач йдуть поля, що містять значення довжини заповнювача і вказівка на протокол більш високого рівня. Чотири перерахованих поля (дані, заповнювач, довжина, наступний протокол) захищаються шифруванням.

Якщо ESP використовується і для аутентифікації даних, то завершує пакет поле змінної довжини, що містить ICV. На відміну від АН, в ESP при розрахунку значення имитовставки, поля IP-заголовка (нового - для тунельного режиму, модифікованого старого - для транспортного) не враховуються.

При спільному використанні протоколів АН і ESP, після IP- заголовка йде АН, після нього - ESP. В цьому випадку ESP вирішує завдання забезпечення конфіденційності, АН - забезпечення цілісності і аутентифікації джерела з'єднання.

Розглянемо ряд додаткових питань, пов'язаних з використанням IPSec. Почнемо з того, звідки береться інформація про параметри з'єднання - контекстах захисту або SA. Створення бази SA може проводитися різними шляхами. Зокрема, вона може створюватися адміністратором безпеки вручну або формуватися з використанням спеціальних протоколів - SKIP, ISAKMP (Internet Security Association and Key Management Protocol) і IKE (Internet Key Exchange).

 
Переглянути оригінал
< Попер   ЗМІСТ   ОРИГІНАЛ   Наст >