Internet Protocol Security
IPsec
Interneto protokolo sauga
Apibrėžimas
Interneto protokolo sauga (IPsec) yra protokolų rinkinys, kuris padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais. (Skaitmeninis sertifikatas priskiria viešąjį raktą asmeniui, verslui arba svetainei.)
Paaiškinimai
Dėl savo dizaino IPsec pateikia daug geresnę saugą nei ankstesni apsaugos metodai. Jį naudojantys tinklo administratoriai neturi konfigūruoti atskirų programų saugos.
IPsec - tai priemonių visuma skirta IP paketo turinio konfidencialumui ir autentiškumui užtikrinti. Tai atliekama IP paketo turinį šifruojant.
IPsec sudaro: šifravimo protokolai ir saugumo mechanizmai.
IPSec tarnyba realizuota OSI Open System Interconnection modelio tinklo lygmenyje.
![[PRIDĖTI]](/IPsec?action=AttachFile&do=upload_form&ticket=00664587fc.85022963dc372b175aa0bbdc6d8a5f0eb8485a26&target=modelis.jpg "[PRIDĖTI]"){kind=small}
Galima išvardinti šias pagrindines IPsec savybes i galimybes:
- Prieigos prie tinklo elementų kontrolė.
- Duomenų šaltinio identifikavimas.
- Duomenų vientisumo (integralumo) užtikrinimas protokoluose, kuriuose tai nenumatyta, pvz. UDP.
- Any-replay apsauga.
- Duomenų konfidencialumo užtikrinimas šifravimu.
Kadangi IPSec tarnyba realizuota TCP Transport Connect Protocol/IP Internet Protocol protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas.
- IPSec užtikrina šifrografinę apsaugą IPv4 ir IPv6 datagramoms.
IPsec architektūra
![[PRIDĖTI]](/IPsec?action=AttachFile&do=upload_form&ticket=00664587fc.85022963dc372b175aa0bbdc6d8a5f0eb8485a26&target=architektura.jpg "[PRIDĖTI]"){kind=small}
Naudojami du duomenų srauto saugumo protokolai.
Šių protokolų antraštės užtikrina:
Autentiškumą. Jam užtikrinti naudojama autentifikavimo antraštė (Authentication Header - AH).
Konfidencialumą. Jam užtikrinti naudojama įterpto apsaugoto krovinio (Encapsulated Security Payload - ESP) antraštė.
- Saugumo asociacija - kam, kokios saugumo pasklaugos teikiamos.
- Raktų valdymas: Rankinis ir Automatinis raktų apsikeitimo protokololas (IKE - Internet key exchange).
- Autentifikavimo ir šifravimo algoritma.
Galimi du IPsec darbo režimai:
- Transportinis rėžimas. Šiame režime yra skaičiuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis tūris į paketą įterpiant AH ar ESP antraštę tarp IP ir aukštesniojo lygio protokolo, pavyzdžiui, TCP, antraščių.
- Tunelinis rėžimas. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą.
IPsec komunikavimas
IKE protokolas naudojamas pasirinkto šifravimo algoritmo AH ir ESP protokolose patvirtinimui bei raktų valdymui. IPSec gali būti naudojami įvairūs šifravimo algoritmai skirtingiems potinkliams ar mazgams. Tai padaroma naudojantis saugumo asociacijos (Security Association - SA) duomenimis.
IPsec saugumo asociacija (SA)
SA apibrėžia, kokios saugumo paslaugos teikiamos kiekvienam vartotojui:
- IPSec protokolas
- Protokolo operavimo rėžimas: transportinis ar tunelinis
- Šifrografiniai algoritmai
- Šifrografiniai raktai
- Raktų gyvavimo laikas
Naudota literatūra