|
Dydis: 3721
Komentaras:
|
Dydis: 6903
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 1: | Eilutė 1: |
| = Internet Protocol Security = == IPsec == == Interneto protokolo sauga == ---- == Apibrėžimas == Interneto protokolo sauga (IPsec) yra protokolų rinkinys, kuris padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais. (Skaitmeninis sertifikatas priskiria viešąjį raktą asmeniui, verslui arba svetainei.) |
1. Internet Protocol Security (IPSec) Tai protokolų rinkinys, sukurtas IETF grupės, kuris dirba triačiojo OSI (Open System Interconnection) modelio sluoksnyje – tinklo lygije, kuris tikrina adresavimą ir loginius adresus verčia fiziniais. IPSec padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais, yra pilnai suderintas su IPv4 ir IPv6 versijomis. |
| Eilutė 8: | Eilutė 5: |
| ---- == Paaiškinimai == Dėl savo dizaino IPsec pateikia daug geresnę saugą nei ankstesni apsaugos metodai. Jį naudojantys tinklo administratoriai neturi konfigūruoti atskirų programų saugos. |
Galima išvardinti šias pagrindines IPsec savybes i galimybes: • Prieigos prie tinklo elementų kontrolė. • Duomenų šaltinio identifikavimas. • Duomenų vientisumo (integralumo) užtikrinimas protokoluose, kuriuose tai nenumatyta, pvz. UDP. • Any-replay apsauga. • Duomenų konfidencialumo užtikrinimas šifravimu. • Kadangi IPSec tarnyba realizuota TCP Transport Connect Protocol/IP Internet Protocol protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas. • IPSec užtikrina šifrografinę apsaugą IPv4 ir IPv6 datagramoms. |
| Eilutė 12: | Eilutė 14: |
| IPsec - tai priemonių visuma skirta IP paketo turinio konfidencialumui ir autentiškumui užtikrinti. Tai atliekama IP paketo turinį šifruojant. | |
| Eilutė 14: | Eilutė 15: |
| IPsec sudaro: šifravimo protokolai ir saugumo mechanizmai. | IPSec pagrindinių protokolų rinkinį sudaro: 1. Autentiškumo antraštė (Authentication Header – АН). Užtikrina paketo vientisumą, autentiškumą ir perduodamų duomenų pasikartojima, kadangi prie kiekvieno paketo yra prisegiama užkoduota paketo kontrolinė suma. 2. Enkapsuliuota saugioji apkrova (Encapsulating Security Payload – ESP). Užtikrina perduodamų pakėtų konfidicialumą (duomenų kodavimą), pasirenkant kodavimo algoritmą. 3. Interneto raktų apsikeitimas (Internet Key Exchange – IKE). Užtikrina pirminę sujungimo konfiguraciją ir raktų apsikeitimas. 2. IPSec režimai IPSec gali dirbti dviem režimais: 1. Transporto. Šiame režime yra skaičuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis turis į pakėtą įterpent AH arba ESP antraštę tarp IP ir aukštesniojo lygio protokolu, pvz TCP antraščių 2. Tunelio. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą. AH: ESP: |
| Eilutė 16: | Eilutė 29: |
| IPSec tarnyba realizuota OSI [[Open System Interconnection]] modelio tinklo lygmenyje. | |
| Eilutė 18: | Eilutė 30: |
| [[attachment:modelis.jpg|{{attachment:modelis.jpg|attachment:modelis.jpg|height="176",width="156",class="external_image"}}]] | |
| Eilutė 20: | Eilutė 31: |
| Galima išvardinti šias pagrindines IPsec savybes i galimybes: | |
| Eilutė 22: | Eilutė 32: |
| * Prieigos prie tinklo elementų kontrolė. * Duomenų šaltinio identifikavimas. * Duomenų vientisumo (integralumo) užtikrinimas protokoluose, kuriuose tai nenumatyta, pvz. UDP. * Any-replay apsauga. * Duomenų konfidencialumo užtikrinimas šifravimu. * Kadangi IPSec tarnyba realizuota TCP [[Transport Connect Protocol]]/IP [[Internet Protocol]] protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas. * IPSec užtikrina šifrografinę apsaugą IPv4 ir IPv6 datagramoms. |
AH formatas: ESP formatas: 7. Apsaugos sąsaja (Security Asotiation SA) Pradedant duomenų apsikeitymą tarp dviejų šalių, pirmiausiai reikia nustatyti ryšį, kuris vadinasi SA. SA koncepcija yra fundamentali IPSec ir yra jos pagrindas. Ji aprašo kaip dvi bendraujančios pusės naudos servisus, užtikrinančius saugumą saugaus ryšio. SA sujungimas yra simpleksinis – tik į vieną pusę, todėl ryšio užmezgimui reikia dviejų SA sujungimų. Sujungimo nustatymas prasideda autentifikacija tarp jungtis bandančių abiejų šalių. Toliau seka parametrų pasirinkimas ir butino protokolo – AH ar ESP duomenų perdavimas. Po viso šito seka konkrečių algoritmų pasirinkimas, kurie gali būti apibrežiami standartais (šifravimui — DES, hesh funkcijai — MD5 ar SHA-1) ar kitais budais (Triple DES, Blowfish, CAST). |
| Eilutė 30: | Eilutė 39: |
| __IPsec architektūra__ | 8. Apsaugos sąsajų duomenų bazė (Security Asotiation Database SAD) Visos SA sąsajos yra saugomos SAD duomenų bazėje IPSec modulije. Kiekviena SA turi unikalų numerį, kuris sudarytas iš triejų elementų: 1. Security Parameters Index, SPI 2. Priskirto IP adreso 3. ESP ar AH saugumo protokolo indentifikatoriaus. IPSec modulis turėdamas visus šuos parametrus gali atrasti SAD apie konkrečią SA Į bet kurią SA sąsają įeina tokie parametrai: Išeities (angl. source) ir įeities (angl. destination) bendraujančių šalių IP adresus ir, jei reikia, šablonus (angl. netmask). IPSec protokolas (AH arba ESP) Kodavimo algoritmas ir saugusis raktas Apsaugos parametrų indeksas SPI (angl. Security Parameter Index). Tai 32 bitų skaičius, kuris identifikuoja konkrečią apsaugos sąsają. IPSec režimas (tunelio arba transporto) Slankiančiojo lango dydis paketų pakartojimo atakoms išvengti. Apsaugos sąsajos gyvavimo laikas. Kiekvienas protokolas (ESP/AH) turi turėti savo nuosavą SA į kiekvieną kripti. Tokiu budų dupleksiniam duomenų perdavimui ESP+AH reikia 4 SA, visia šita informacija randasi SAD. SAD randasi: AH autentifikacijos algoritmas AH autentifikacijos slaptas raktas ESP šifravimo algoritmas ESP šifravimo slaptas raktas ESP autentifikacijos panaudojimas (taip/ne) Raktų apsikeitimo parametrai Maršrutizavimo apribojimai IP filtravimo politika |
| Eilutė 32: | Eilutė 64: |
| [[attachment:architektura.jpg|{{attachment:architektura.jpg|attachment:architektura.jpg|height="355",width="510",class="external_image"}}]] | 9. Saugumo politikos duomenų bazė (Security Policy Database SPD) Atlieka IP paketu filtravimą pagal užduotas saugumo taisykles. Įrašai esantys SPD susideda iš dviejų laukų: Pirmajame yra saugomi charakteringi bruožai paketų, pagal kurios galima išskirti vienokį ar kitokį informacijos srautą. Šie laukai dar vadinami selektoriais. Antrajame yra saugoma saugumo politika atitinkanti esamam paketų srautui. |
| Eilutė 34: | Eilutė 69: |
| Naudojami du duomenų srauto saugumo protokolai. | 10. IPSec veikimo principas Galime išskirti 5 etapus: 1. Kiekviename mazge, kuris palaiko IPSec yra sukuriama saugumo politika. Šiame etape yra nustatoma kokiame traffic‘e bus šifravimas, kokios funkcijos ir algoritmai gali būti panaudotos. 2. Antras etapas – pirma IKE (Internet Key Exchange) fazė, jo tikslas – sukurti saugų kanalą tarp šalių antrai fazei IKE. 3. IKE antros fazės užduotys – sukurti IPSec tunelį. 4. Darbinis etapas. Po IPSec SA sukurimo viksta duomenų perdavimas tarp mazgų per IPSec tunelį. Yra naudojami nustatyti SA protokolai ir parametrai. 5. IPSec SA nustoja veikti. Tai gali įvykti dėl gyvavimo laiko pabaigos ar pašalinimo Tokiu atvėju vėl gali būti kuriamas naujas IPSec SA. |
| Eilutė 36: | Eilutė 77: |
| Šių protokolų antraštės užtikrina: | 11. IPSec panaudojimas Pagrinde yra naudojamas organizacijuose VPN tuneliavimui. Taip pat atitinkamai nustačius taisykles, IPSec gali būti naudojamas kaip tarptinklinis ekranas. Tarptinklinio ekrano tikslas tame, kad jis kontroluoja ir filtruoja praeinančius per jį paketus pagal užduotas taisykles. |
| Eilutė 38: | Eilutė 80: |
| * Autentiškumą. Jam užtikrinti naudojama autentifikavimo antraštė ([[Authentication Header]] - AH). * Konfidencialumą. Jam užtikrinti naudojama įterpto apsaugoto krovinio ([[Encapsulated Security Payload]] - ESP) antraštė. * Saugumo asociacija - kam, kokios saugumo pasklaugos teikiamos. * Raktų valdymas: Rankinis ir Automatinis raktų apsikeitimo protokololas (IKE - Internet key exchange). * Autentifikavimo ir šifravimo algoritma. |
|
| Eilutė 44: | Eilutė 81: |
| Galimi du IPsec darbo režimai: 1. Transportinis rėžimas. Šiame režime yra skaičiuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis tūris į paketą įterpiant AH ar ESP antraštę tarp IP ir aukštesniojo lygio protokolo, pavyzdžiui, TCP, antraščių. 1. Tunelinis rėžimas. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą. __IPsec komunikavimas __ IKE protokolas naudojamas pasirinkto šifravimo algoritmo AH ir ESP protokolose patvirtinimui bei raktų valdymui. IPSec gali būti naudojami įvairūs šifravimo algoritmai skirtingiems potinkliams ar mazgams. Tai padaroma naudojantis saugumo asociacijos (Security Association - SA) duomenimis. __IPsec saugumo asociacija (SA)__ SA apibrėžia, kokios saugumo paslaugos teikiamos kiekvienam vartotojui: * IPSec protokolas * Protokolo operavimo rėžimas: transportinis ar tunelinis * Šifrografiniai algoritmai * Šifrografiniai raktai * Raktų gyvavimo laikas ---- == Naudota literatūra == 1. http://en.wikipedia.org/wiki/IPsec 1. http://technet.microsoft.com/en-us/network/bb531150.aspx 1. http://technet.microsoft.com/en-us/library/bb726946.aspx 1. http://www.ietf.org/rfc/rfc2401.txt ---- . CategoryŽodis |
12. Literatlūros sąrašas 1. Олифер В. Г.,Олифер Н. П. Глава 24. Сетевая безопасность // Компьютерные сети. Принципы, технологии, протоколы. — 4-е. — СПб: Питер, 2010. — С. 887-902. — 944 с. — ISBN isbn = 978-5-49807-389-7, ББК 32.973.202я7 2. Andrew Mason. IPSec Overview. — Cisco Press, 2002. 3. Wikipedia. IPSec Interneto adresas: http://ru.wikipedia.org/wiki/IPsec#.D0.9E.D0.B1.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D0.BA.D0.B0_.D0.B2.D1.8B.D1.85.D0.BE.D0.B4.D0.BD.D1.8B.D1.85_IPsec-.D0.BF.D0.B0.D0.BA.D0.B5.D1.82.D0.BE.D0.B2 Žiurėta 2014-04-01 4. http://en.wikipedia.org/wiki/IPsec Žiurėta 2014-04-01 5. http://technet.microsoft.com/en-us/network/bb531150.aspx Žiurėta 2014-04-01 6. http://technet.microsoft.com/en-us/library/bb726946.aspx Žiurėta 2014-04-01 7. http://www.ietf.org/rfc/rfc2401.txt Žiurėta 2014-04-01 |
1. Internet Protocol Security (IPSec) Tai protokolų rinkinys, sukurtas IETF grupės, kuris dirba triačiojo OSI (Open System Interconnection) modelio sluoksnyje – tinklo lygije, kuris tikrina adresavimą ir loginius adresus verčia fiziniais. IPSec padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais, yra pilnai suderintas su IPv4 ir IPv6 versijomis.
Galima išvardinti šias pagrindines IPsec savybes i galimybes: • Prieigos prie tinklo elementų kontrolė. • Duomenų šaltinio identifikavimas. • Duomenų vientisumo (integralumo) užtikrinimas protokoluose, kuriuose tai nenumatyta, pvz. UDP. • Any-replay apsauga. • Duomenų konfidencialumo užtikrinimas šifravimu. • Kadangi IPSec tarnyba realizuota TCP Transport Connect Protocol/IP Internet Protocol protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas. • IPSec užtikrina šifrografinę apsaugą IPv4 ir IPv6 datagramoms.
IPSec pagrindinių protokolų rinkinį sudaro: 1. Autentiškumo antraštė (Authentication Header – АН). Užtikrina paketo vientisumą, autentiškumą ir perduodamų duomenų pasikartojima, kadangi prie kiekvieno paketo yra prisegiama užkoduota paketo kontrolinė suma. 2. Enkapsuliuota saugioji apkrova (Encapsulating Security Payload – ESP). Užtikrina perduodamų pakėtų konfidicialumą (duomenų kodavimą), pasirenkant kodavimo algoritmą. 3. Interneto raktų apsikeitimas (Internet Key Exchange – IKE). Užtikrina pirminę sujungimo konfiguraciją ir raktų apsikeitimas.
2. IPSec režimai IPSec gali dirbti dviem režimais: 1. Transporto. Šiame režime yra skaičuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis turis į pakėtą įterpent AH arba ESP antraštę tarp IP ir aukštesniojo lygio protokolu, pvz TCP antraščių 2. Tunelio. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą. AH:
ESP:
AH formatas:
ESP formatas:
7. Apsaugos sąsaja (Security Asotiation SA) Pradedant duomenų apsikeitymą tarp dviejų šalių, pirmiausiai reikia nustatyti ryšį, kuris vadinasi SA. SA koncepcija yra fundamentali IPSec ir yra jos pagrindas. Ji aprašo kaip dvi bendraujančios pusės naudos servisus, užtikrinančius saugumą saugaus ryšio. SA sujungimas yra simpleksinis – tik į vieną pusę, todėl ryšio užmezgimui reikia dviejų SA sujungimų. Sujungimo nustatymas prasideda autentifikacija tarp jungtis bandančių abiejų šalių. Toliau seka parametrų pasirinkimas ir butino protokolo – AH ar ESP duomenų perdavimas. Po viso šito seka konkrečių algoritmų pasirinkimas, kurie gali būti apibrežiami standartais (šifravimui — DES, hesh funkcijai — MD5 ar SHA-1) ar kitais budais (Triple DES, Blowfish, CAST).
8. Apsaugos sąsajų duomenų bazė (Security Asotiation Database SAD) Visos SA sąsajos yra saugomos SAD duomenų bazėje IPSec modulije. Kiekviena SA turi unikalų numerį, kuris sudarytas iš triejų elementų: 1. Security Parameters Index, SPI 2. Priskirto IP adreso 3. ESP ar AH saugumo protokolo indentifikatoriaus. IPSec modulis turėdamas visus šuos parametrus gali atrasti SAD apie konkrečią SA Į bet kurią SA sąsają įeina tokie parametrai: Išeities (angl. source) ir įeities (angl. destination) bendraujančių šalių IP adresus ir, jei reikia, šablonus (angl. netmask). IPSec protokolas (AH arba ESP) Kodavimo algoritmas ir saugusis raktas Apsaugos parametrų indeksas SPI (angl. Security Parameter Index). Tai 32 bitų skaičius, kuris identifikuoja konkrečią apsaugos sąsają. IPSec režimas (tunelio arba transporto) Slankiančiojo lango dydis paketų pakartojimo atakoms išvengti. Apsaugos sąsajos gyvavimo laikas. Kiekvienas protokolas (ESP/AH) turi turėti savo nuosavą SA į kiekvieną kripti. Tokiu budų dupleksiniam duomenų perdavimui ESP+AH reikia 4 SA, visia šita informacija randasi SAD. SAD randasi: AH autentifikacijos algoritmas AH autentifikacijos slaptas raktas ESP šifravimo algoritmas ESP šifravimo slaptas raktas ESP autentifikacijos panaudojimas (taip/ne) Raktų apsikeitimo parametrai Maršrutizavimo apribojimai IP filtravimo politika
9. Saugumo politikos duomenų bazė (Security Policy Database SPD) Atlieka IP paketu filtravimą pagal užduotas saugumo taisykles. Įrašai esantys SPD susideda iš dviejų laukų: Pirmajame yra saugomi charakteringi bruožai paketų, pagal kurios galima išskirti vienokį ar kitokį informacijos srautą. Šie laukai dar vadinami selektoriais. Antrajame yra saugoma saugumo politika atitinkanti esamam paketų srautui.
10. IPSec veikimo principas Galime išskirti 5 etapus: 1. Kiekviename mazge, kuris palaiko IPSec yra sukuriama saugumo politika. Šiame etape yra nustatoma kokiame traffic‘e bus šifravimas, kokios funkcijos ir algoritmai gali būti panaudotos. 2. Antras etapas – pirma IKE (Internet Key Exchange) fazė, jo tikslas – sukurti saugų kanalą tarp šalių antrai fazei IKE. 3. IKE antros fazės užduotys – sukurti IPSec tunelį. 4. Darbinis etapas. Po IPSec SA sukurimo viksta duomenų perdavimas tarp mazgų per IPSec tunelį. Yra naudojami nustatyti SA protokolai ir parametrai. 5. IPSec SA nustoja veikti. Tai gali įvykti dėl gyvavimo laiko pabaigos ar pašalinimo Tokiu atvėju vėl gali būti kuriamas naujas IPSec SA.
11. IPSec panaudojimas Pagrinde yra naudojamas organizacijuose VPN tuneliavimui. Taip pat atitinkamai nustačius taisykles, IPSec gali būti naudojamas kaip tarptinklinis ekranas. Tarptinklinio ekrano tikslas tame, kad jis kontroluoja ir filtruoja praeinančius per jį paketus pagal užduotas taisykles.
12. Literatlūros sąrašas 1. Олифер В. Г.,Олифер Н. П. Глава 24. Сетевая безопасность // Компьютерные сети. Принципы, технологии, протоколы. — 4-е. — СПб: Питер, 2010. — С. 887-902. — 944 с. — ISBN isbn = 978-5-49807-389-7, ББК 32.973.202я7 2. Andrew Mason. IPSec Overview. — Cisco Press, 2002. 3. Wikipedia. IPSec Interneto adresas: http://ru.wikipedia.org/wiki/IPsec#.D0.9E.D0.B1.D1.80.D0.B0.D0.B1.D0.BE.D1.82.D0.BA.D0.B0_.D0.B2.D1.8B.D1.85.D0.BE.D0.B4.D0.BD.D1.8B.D1.85_IPsec-.D0.BF.D0.B0.D0.BA.D0.B5.D1.82.D0.BE.D0.B2 Žiurėta 2014-04-01 4. http://en.wikipedia.org/wiki/IPsec Žiurėta 2014-04-01 5. http://technet.microsoft.com/en-us/network/bb531150.aspx Žiurėta 2014-04-01 6. http://technet.microsoft.com/en-us/library/bb726946.aspx Žiurėta 2014-04-01 7. http://www.ietf.org/rfc/rfc2401.txt Žiurėta 2014-04-01