Locked History Actions

Skirtumas „IP Encapsulated Security Payload“

Pakeitimai tarp versijų 12 ir 22 (patvirtinamos 10 versijos)
Versija 12 nuo 2009-05-11 04:04:29
Dydis: 3383
Redaktorius: DmitrijAnisin
Komentaras:
Versija 22 nuo 2009-05-11 04:15:43
Dydis: 3766
Redaktorius: DmitrijAnisin
Komentaras:
Pašalinimai yra pažymėti taip. Pridėjimai yra pažymėti taip.
Eilutė 12: Eilutė 12:
ESP galimybės dalinai persidengia su kito IPSec branduolio protokolo – AH galimybėmis: ----
== Paaiškinimai ==
##Plačiau paaiškinkite terminą, juo nusakomo objekto svarbą, veikimo principą ir tt.
ESP galimybės dalinai persidengia su kito IPSec branduolio protokolo – [[AH]] galimybėmis:
Eilutė 14: Eilutė 17:
 * AH protokolas atsako tik už duomenų vientisumą ir autentifikaciją;
 * ESP gali šifruoti duomenis ir, be to, atlikti AH protokolo funkcijas (ne taip efektyviai). ESP gali atlikti šifravimo ir autentifikacijos/vientisumo funkcijas įvairiose kombinacijose, t. y. arba visą funkcijų grupę, arba tik autentifikaciją/vientisumą, arba tik šifravimą.
 * [[AH]] protokolas atsako tik už duomenų vientisumą ir autentifikaciją;
 * ESP gali šifruoti duomenis ir, be to, atlikti [[AH]] protokolo funkcijas (ne taip efektyviai). ESP gali atlikti šifravimo ir autentifikacijos/vientisumo funkcijas įvairiose kombinacijose, t. y. arba visą funkcijų grupę, arba tik autentifikaciją/vientisumą, arba tik šifravimą.
Eilutė 17: Eilutė 20:
AH ir ESP protokolai gali apsaugoti duomenis dviejuose režimuose: [[AH]] ir ESP protokolai gali apsaugoti duomenis dviejuose režimuose:
Eilutė 23: Eilutė 26:
Eilutė 24: Eilutė 28:
 * likusieji ESP protokolo tarnybiniai laukai, vadinami ESP galūnė (ang. ''trailer''), išdėstyti paketo gale. Tai ''sekančio antgalvio'' laukas (angl. ''next header''), kuriame nurodomas aukštesnio lygmens protokolo kodas; ir ''autentifikacijos duomenų'' laukas (angl. ''authentication data''), kuriame saugoma ''vientisumo patikros vertė'' (ang. ICV - ''Integrity Check Value''), naudojama paketo autentifikacijai ir vientisumo patikrinimui. ESP galūnės duomenų autentifikacijos lauko nebūna, kai nėra naudojamos ESP protokolo galimybės vientisumo užtikrinimui. Be išvardintų dviejų laukų galūne turi du papildomus laukus – ''užpildo'' ir ''užpildo ilgio''.    * likusieji ESP protokolo tarnybiniai laukai, vadinami ESP galūnė (ang. ''trailer''), išdėstyti paketo gale. Tai ''sekančio antgalvio'' laukas (angl. ''next header''), kuriame nurodomas aukštesnio lygmens protokolo kodas; ir ''autentifikacijos duomenų'' laukas (angl. ''authentication data''), kuriame saugoma ''vientisumo patikros vertė'' (ang. ICV - ''Integrity Check Value''), naudojama paketo autentifikacijai ir vientisumo patikrinimui. ESP galūnės duomenų autentifikacijos lauko nebūna, kai nėra naudojamos ESP protokolo galimybės vientisumo užtikrinimui. Be išvardintų dviejų laukų galūne turi du papildomus laukus – ''užpildo'' ir ''užpildo ilgio''.
Eilutė 26: Eilutė 30:
'''IP paketo struktūra, inkapsuliuoto ESP transportiniame režime''' '''IP paketo, inkapsuliuoto ESP transportiniame režime, struktūra'''
Eilutė 28: Eilutė 32:
Šiame režime ESP nešifruoja IP paketo antgalvį, kadangi maršrutizatorius negalėtų perskaityti antgalvio lauką ir korektiškai maršrutizuoti paketą. Nešifruojami taip pat SPI ir SN laukai, kurie turi būti perduodami atviri tam, kad gautą paketą galima būtų priskirti tam tikrai asociacijai ir apsisaugoti nuo pakartotino paketo siuntimo.        Šiame režime ESP nešifruoja IP paketo antgalvį, kadangi maršrutizatorius negalėtų perskaityti antgalvio lauką ir korektiškai maršrutizuoti paketą. Nešifruojami taip pat SPI ir SN laukai, kurie turi būti perduodami atviri tam, kad gautą paketą galima būtų priskirti tam tikrai asociacijai ir apsisaugoti nuo pakartotino paketo siuntimo.
Eilutė 31: Eilutė 35:
----
== Paaiškinimai ==
##Plačiau paaiškinkite terminą, juo nusakomo objekto svarbą, veikimo principą ir tt.

'''IP paketo, inkapsuliuoto ESP tuneliniame režime, struktūra'''

Tuneliniame režime išeities IP paketo antgalvis talpinamas po ESP antgalvio ir pilnai patenka į apsaugomų laukų tarpą, o išorinio IP paketo antgalvis ESP protokolu neapsaugomas.

{{attachment:esp2.PNG}}
Eilutė 37: Eilutė 45:
1. http://www.protocols.ru/modules.php?name=Content&pa=showpage&pid=42

2. http://www.rosnou.ru/~rdima/it_net/it_net_VPN.ppt

3. http://www.intuit.ru/department/security/pki/17/5.html
Eilutė 41: Eilutė 55:
== Naudota literatūra ==
##Pateikite naudotos literatūros sąrašą
----
 . CategoryŽodis

----

Encapsulating Security Payload

ESP

Šifruotų duomenų inkapsuliacija


Apibrėžimas

ESP (angl. Encapsulating Security Payload – šifruotų duomenų inkapsuliacija) yra vienas iš trijų protokolų, sudarančių IPSec (angl. Internet Protocol Security) standartų rinkinio, branduolį. ESP šifruoja perduodamus duomenis, užtikrindamas konfidencialumą, taip pat gali užtikrinti autentifikaciją ir duomenų vientisumą.


Paaiškinimai

ESP galimybės dalinai persidengia su kito IPSec branduolio protokolo – AH galimybėmis:

  • AH protokolas atsako tik už duomenų vientisumą ir autentifikaciją;

  • ESP gali šifruoti duomenis ir, be to, atlikti AH protokolo funkcijas (ne taip efektyviai). ESP gali atlikti šifravimo ir autentifikacijos/vientisumo funkcijas įvairiose kombinacijose, t. y. arba visą funkcijų grupę, arba tik autentifikaciją/vientisumą, arba tik šifravimą.

AH ir ESP protokolai gali apsaugoti duomenis dviejuose režimuose:

  • transportiniame – perdavimas vyksta su originaliais IP antgalviais;
  • tuneliniame – siunčiamas paketas talpinamas į nauja IP paketą ir perdavimas atliekamas su naujais antgalviais.

ESP protokolo antgalvis susideda iš dviejų dalių, kurias skiria duomenų laukas.

  • pirma dalis, vadinama kaip tik ESP antgalviu, sudaryta iš dviejų laukų: saugumo parametrų indekso (angl. SPI – Security Parameters Index), kuris naudojamas paketo ryšiui su numatyta jam saugia asociacija; ir eilės numerio (angl. SN - Sequence Number), kuris nurodo paketo eilės numerį ir naudojamas apsaugai (kai trečia šalis bando pakartotinai panaudoti perimtus apsaugotus paketus, nusiųstus realaus autentifikuoto siuntėjo);

  • likusieji ESP protokolo tarnybiniai laukai, vadinami ESP galūnė (ang. trailer), išdėstyti paketo gale. Tai sekančio antgalvio laukas (angl. next header), kuriame nurodomas aukštesnio lygmens protokolo kodas; ir autentifikacijos duomenų laukas (angl. authentication data), kuriame saugoma vientisumo patikros vertė (ang. ICV - Integrity Check Value), naudojama paketo autentifikacijai ir vientisumo patikrinimui. ESP galūnės duomenų autentifikacijos lauko nebūna, kai nėra naudojamos ESP protokolo galimybės vientisumo užtikrinimui. Be išvardintų dviejų laukų galūne turi du papildomus laukus – užpildo ir užpildo ilgio.

IP paketo, inkapsuliuoto ESP transportiniame režime, struktūra

Šiame režime ESP nešifruoja IP paketo antgalvį, kadangi maršrutizatorius negalėtų perskaityti antgalvio lauką ir korektiškai maršrutizuoti paketą. Nešifruojami taip pat SPI ir SN laukai, kurie turi būti perduodami atviri tam, kad gautą paketą galima būtų priskirti tam tikrai asociacijai ir apsisaugoti nuo pakartotino paketo siuntimo.

esp1.PNG

IP paketo, inkapsuliuoto ESP tuneliniame režime, struktūra

Tuneliniame režime išeities IP paketo antgalvis talpinamas po ESP antgalvio ir pilnai patenka į apsaugomų laukų tarpą, o išorinio IP paketo antgalvis ESP protokolu neapsaugomas.

esp2.PNG


Naudota literatūra

1. http://www.protocols.ru/modules.php?name=Content&pa=showpage&pid=42

2. http://www.rosnou.ru/~rdima/it_net/it_net_VPN.ppt

3. http://www.intuit.ru/department/security/pki/17/5.html