Locked History Actions

Skirtumas „Internet Protocol Security“

Pakeitimai tarp versijų 3 ir 31 (patvirtinamos 28 versijos)
Versija 3 nuo 2009-02-16 13:39:16
Dydis: 2927
Redaktorius: MykolasKalinauskas
Komentaras:
Versija 31 nuo 2014-05-09 14:19:17
Dydis: 7381
Redaktorius: AndrejSerdiuk
Komentaras:
Pašalinimai yra pažymėti taip. Pridėjimai yra pažymėti taip.
Eilutė 1: Eilutė 1:
= Internet Protocol Security =
== IPsec ==
== Interneto protokolo sauga ==		 = Žodis angliškai =
##Įrašykite terminą anglų kalba
 . Internet Protocol Security

== Santrumpa ==
##Jeigu yra įrašykite Santrumpą
 . IPSec

== Žodis Lietuviškai ==
##Įrašykite lietuvišką termino vertimą
 . Interneto protokolo sauga
Eilutė 6: Eilutė 15:
Interneto protokolo sauga (IPsec) yra protokolų rinkinys, kuris padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais. (Skaitmeninis sertifikatas priskiria viešąjį raktą asmeniui, verslui arba svetainei.) ##Suformuluokite termino apibrėžimą
 . Tai protokolų rinkinys, sukurtas IETF grupės, kuris dirba triačiojo OSI (Open System Interconnection) modelio sluoksnyje – tinklo lygije, kuris tikrina adresavimą ir loginius adresus verčia fiziniais. IPSec padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais, yra pilnai suderintas su IPv4 ir IPv6 versijomis.
Eilutė 10: Eilutė 20:
Dėl savo dizaino IPsec pateikia daug geresnę saugą nei ankstesni apsaugos metodai. Jį naudojantys tinklo administratoriai neturi konfigūruoti atskirų programų saugos.

IPsec - tai priemonių visuma skirta IP paketo turinio konfidencialumui ir autentiškumui užtikrinti. Tai atliekama IP paketo turinį šifruojant.

IPsec sudaro: šifravimo protokolai ir saugumo mechanizmai.

IPSec tarnyba realizuota [[OSI]] modelio tinklo lygmenyje. {{attachment:osi.jpg}} Galima išvardinti šias pagrindines IPsec savybes i galimybes:		 ##Plačiau paaiškinkite terminą, juo nusakomo objekto svarbą, veikimo principą ir tt.
Galima išvardinti šias pagrindines IPsec savybes ir galimybes:
Eilutė 23: Eilutė 28:
 * Kadangi IPSec tarnyba realizuota [[TCP]]/[[IP]] protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas.  * Kadangi IPSec tarnyba realizuota TCP Transport Connect Protocol/IP Internet Protocol protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas.
Eilutė 26: Eilutė 31:
__IPsec architektūra __ IPSec pagrindinių protokolų rinkinį sudaro:
Eilutė 28: Eilutė 33:
Naudojami du duomenų srauto saugumo protokolai.  1. Autentiškumo antraštė (Authentication Header – АН). Užtikrina paketo vientisumą, autentiškumą ir perduodamų duomenų pasikartojima, kadangi prie kiekvieno paketo yra prisegiama užkoduota paketo kontrolinė suma.
 1. Enkapsuliuota saugioji apkrova (Encapsulating Security Payload – ESP). Užtikrina perduodamų pakėtų konfidicialumą (duomenų kodavimą), pasirenkant kodavimo algoritmą.
 1. Interneto raktų apsikeitimas (Internet Key Exchange – IKE). Užtikrina pirminę sujungimo konfiguraciją ir raktų apsikeitimas.
Eilutė 30: Eilutė 37:
Šių protokolų antraštės užtikrina:                                                                            {{attachment:IPSec.png||height="259",width="555"}}
Eilutė 32: Eilutė 39:
 * Autentiškumą. Jam užtikrinti naudojama autentifikavimo antraštė (Authentication header - [[AH]]).
 * Konfidencialumą. Jam užtikrinti naudojama įterpto apsaugoto krovinio (Encapsulating security payload - [[ESP]]) antraštė.
 * Saugumo asociacija - kam, kokios saugumo pasklaugos teikiamos.
 * Raktų valdymas: Rankinis ir Automatinis raktų apsikeitimo protokololas (IKE - Internet key exchange).
 * Autentifikavimo ir šifravimo algoritma.		 '''IPSec režimai '''
Eilutė 38: Eilutė 41:
Galimi du IPsec darbo režimai: IPSec gali dirbti dviem režimais:
Eilutė 40: Eilutė 43:
 1. Transportinis rėžimas.
 1. Tunelinis rėžimas.		  1. Transporto. Šiame režime yra skaičuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis turis į pakėtą įterpent AH arba ESP antraštę tarp IP ir aukštesniojo lygio protokolu, pvz TCP antraščių
 1. Tunelio. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą. AH:
Eilutė 43: Eilutė 46:
__IPsec komunikavimas __ AH: {{attachment:AH0.gif||height="181",width="340"}}
Eilutė 45: Eilutė 48:
IKE protokolas naudojamas pasirinkto šifravimo algoritmo [[AH]] ir [[ESP]] protokolose patvirtinimui bei raktų valdymui. IPSec gali būti naudojami įvairūs šifravimo algoritmai skirtingiems potinkliams ar mazgams. Tai padaroma naudojantis saugumo asociacijos (Security Association - SA) duomenimis. ESP: {{attachment:ESP.gif||height="205",width="411"}}
Eilutė 47: Eilutė 50:
__IPsec saugumo asociacija (SA)__ AH formatas: {{attachment:AH1.png||height="181",width="669"}}
Eilutė 49: Eilutė 52:
SA apibrėžia, kokios saugumo paslaugos teikiamos kiekvienam vartotojui: ESP formatas: {{attachment:ESP1.png||height="233",width="605"}}
Eilutė 51: Eilutė 54:
 * IPSec protokolas
 * Protokolo operavimo rėžimas: transportinis ar tunelinis
 * Šifrografiniai algoritmai
 * Šifrografiniai raktai
 * Raktų gyvavimo laikas		 '''Apsaugos sąsaja (Security Asotiation SA)'''

Pradedant duomenų apsikeitymą tarp dviejų šalių, pirmiausiai reikia nustatyti ryšį, kuris vadinasi SA. SA koncepcija yra fundamentali IPSec ir yra jos pagrindas. Ji aprašo kaip dvi bendraujančios pusės naudos servisus, užtikrinančius saugumą saugaus ryšio. SA sujungimas yra simpleksinis – tik į vieną pusę, todėl ryšio užmezgimui reikia dviejų SA sujungimų. Sujungimo nustatymas prasideda autentifikacija tarp jungtis bandančių abiejų šalių. Toliau seka parametrų pasirinkimas ir butino protokolo – AH ar ESP duomenų perdavimas. Po viso šito seka konkrečių algoritmų pasirinkimas, kurie gali būti apibrežiami standartais (šifravimui — DES, hesh funkcijai — MD5 ar SHA-1) ar kitais budais (Triple DES, Blowfish, CAST).

'''Apsaugos sąsajų duomenų bazė (Security Asotiation Database SAD)'''

 . Visos SA sąsajos yra saugomos SAD duomenų bazėje IPSec modulije. Kiekviena SA turi unikalų numerį, kuris sudarytas iš triejų elementų:

 * Security Parameters Index, SPI
 * Priskirto IP adreso
 * ESP ar AH saugumo protokolo indentifikatoriaus.

IPSec modulis turėdamas visus šuos parametrus gali atrasti SAD apie konkrečią SA

Į bet kurią SA sąsają įeina tokie parametrai:

 * Išeities (angl. source) ir įeities (angl. destination) bendraujančių šalių IP adresus ir, jei reikia, šablonus (angl. netmask).
 * IPSec protokolas (AH arba ESP)
 * Kodavimo algoritmas ir saugusis raktas
 * Apsaugos parametrų indeksas SPI (angl. Security Parameter Index). Tai 32 bitų skaičius, kuris identifikuoja konkrečią apsaugos sąsają.
 * IPSec režimas (tunelio arba transporto)
 * Slankiančiojo lango dydis paketų pakartojimo atakoms išvengti.
 * Apsaugos sąsajos gyvavimo laikas.

Kiekvienas protokolas (ESP/AH) turi turėti savo nuosavą SA į kiekvieną kripti. Tokiu budų dupleksiniam duomenų perdavimui ESP+AH reikia 4 SA, visia šita informacija randasi SAD.

SAD randasi:

 * AH autentifikacijos algoritmas
 * AH autentifikacijos slaptas raktas
 * ESP šifravimo algoritmas
 * ESP šifravimo slaptas raktas
 * ESP autentifikacijos panaudojimas (taip/ne)
 * Raktų apsikeitimo parametrai
 * Maršrutizavimo apribojimai
 * IP filtravimo politika

'''Saugumo politikos duomenų bazė (Security Policy Database SPD) '''

 . Atlieka IP paketu filtravimą pagal užduotas saugumo taisykles. Įrašai esantys SPD susideda iš dviejų laukų:

 * Pirmajame yra saugomi charakteringi bruožai paketų, pagal kurios galima išskirti vienokį ar kitokį informacijos srautą. Šie laukai dar vadinami selektoriais.
 * Antrajame yra saugoma saugumo politika atitinkanti esamam paketų srautui.

'''IPSec veikimo principas '''

Galime išskirti į 5 etapus:

 1. Kiekviename mazge, kuris palaiko IPSec yra sukuriama saugumo politika. Šiame etape yra nustatoma kokiame traffic‘e bus šifravimas, kokios funkcijos ir algoritmai gali būti panaudotos.
 1. Antras etapas – pirma IKE (Internet Key Exchange) fazė, jo tikslas – sukurti saugų kanalą tarp šalių antrai fazei IKE.
 1. IKE antros fazės užduotys – sukurti IPSec tunelį.
 1. Darbinis etapas. Po IPSec SA sukurimo viksta duomenų perdavimas tarp mazgų per IPSec tunelį. Yra naudojami nustatyti SA protokolai ir parametrai.
 1. IPSec SA nustoja veikti. Tai gali įvykti dėl gyvavimo laiko pabaigos ar pašalinimo Tokiu atvėju vėl gali būti kuriamas naujas IPSec SA.

'''IPSec panaudojimas '''

Pagrinde yra naudojamas organizacijuose VPN tuneliavimui. Taip pat atitinkamai nustačius taisykles, IPSec gali būti naudojamas kaip tarptinklinis ekranas. Tarptinklinio ekrano tikslas tame, kad jis kontroluoja ir filtruoja praeinančius per jį paketus pagal užduotas taisykles.
Eilutė 60: Eilutė 115:
 * Олифер В. Г.,Олифер Н. П. Глава 24. Сетевая безопасность // Компьютерные сети. Принципы, технологии, протоколы. — 4-е. — СПб: Питер, 2010. — С. 887-902. — 944 с. — ISBN isbn = 978-5-49807-389-7, ББК 32.973.202я7

 * Andrew Mason. IPSec Overview. — Cisco Press, 2002.

 * http://technet.microsoft.com/en-us/network/bb531150.aspx

 * http://technet.microsoft.com/en-us/library/bb726946.aspx

 * http://www.ietf.org/rfc/rfc2401.txt
Eilutė 61: Eilutė 126:
 . CategoryŽodis  . CategoryŽodis IPSec

Žodis angliškai

  • Internet Protocol Security

Santrumpa

  • IPSec

Žodis Lietuviškai

  • Interneto protokolo sauga

Apibrėžimas

  • Tai protokolų rinkinys, sukurtas IETF grupės, kuris dirba triačiojo OSI (Open System Interconnection) modelio sluoksnyje – tinklo lygije, kuris tikrina adresavimą ir loginius adresus verčia fiziniais. IPSec padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais, yra pilnai suderintas su IPv4 ir IPv6 versijomis.

Paaiškinimai

Galima išvardinti šias pagrindines IPsec savybes ir galimybes:

  • Prieigos prie tinklo elementų kontrolė.
  • Duomenų šaltinio identifikavimas.
  • Duomenų vientisumo (integralumo) užtikrinimas protokoluose, kuriuose tai nenumatyta, pvz. UDP.
  • Any-replay apsauga.
  • Duomenų konfidencialumo užtikrinimas šifravimu.
  • Kadangi IPSec tarnyba realizuota TCP Transport Connect Protocol/IP Internet Protocol protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas.
  • IPSec užtikrina šifrografinę apsaugą IPv4 ir IPv6 datagramoms.

IPSec pagrindinių protokolų rinkinį sudaro:

  1. Autentiškumo antraštė (Authentication Header – АН). Užtikrina paketo vientisumą, autentiškumą ir perduodamų duomenų pasikartojima, kadangi prie kiekvieno paketo yra prisegiama užkoduota paketo kontrolinė suma.
  2. Enkapsuliuota saugioji apkrova (Encapsulating Security Payload – ESP). Užtikrina perduodamų pakėtų konfidicialumą (duomenų kodavimą), pasirenkant kodavimo algoritmą.
  3. Interneto raktų apsikeitimas (Internet Key Exchange – IKE). Užtikrina pirminę sujungimo konfiguraciją ir raktų apsikeitimas.

    • IPSec.png

IPSec režimai

IPSec gali dirbti dviem režimais:

  1. Transporto. Šiame režime yra skaičuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis turis į pakėtą įterpent AH arba ESP antraštę tarp IP ir aukštesniojo lygio protokolu, pvz TCP antraščių
  2. Tunelio. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą. AH:

AH: AH0.gif

ESP: ESP.gif

AH formatas: AH1.png

ESP formatas: ESP1.png

Apsaugos sąsaja (Security Asotiation SA)

Pradedant duomenų apsikeitymą tarp dviejų šalių, pirmiausiai reikia nustatyti ryšį, kuris vadinasi SA. SA koncepcija yra fundamentali IPSec ir yra jos pagrindas. Ji aprašo kaip dvi bendraujančios pusės naudos servisus, užtikrinančius saugumą saugaus ryšio. SA sujungimas yra simpleksinis – tik į vieną pusę, todėl ryšio užmezgimui reikia dviejų SA sujungimų. Sujungimo nustatymas prasideda autentifikacija tarp jungtis bandančių abiejų šalių. Toliau seka parametrų pasirinkimas ir butino protokolo – AH ar ESP duomenų perdavimas. Po viso šito seka konkrečių algoritmų pasirinkimas, kurie gali būti apibrežiami standartais (šifravimui — DES, hesh funkcijai — MD5 ar SHA-1) ar kitais budais (Triple DES, Blowfish, CAST).

Apsaugos sąsajų duomenų bazė (Security Asotiation Database SAD)

  • Visos SA sąsajos yra saugomos SAD duomenų bazėje IPSec modulije. Kiekviena SA turi unikalų numerį, kuris sudarytas iš triejų elementų:
  • Security Parameters Index, SPI
  • Priskirto IP adreso
  • ESP ar AH saugumo protokolo indentifikatoriaus.

IPSec modulis turėdamas visus šuos parametrus gali atrasti SAD apie konkrečią SA

Į bet kurią SA sąsają įeina tokie parametrai:

  • Išeities (angl. source) ir įeities (angl. destination) bendraujančių šalių IP adresus ir, jei reikia, šablonus (angl. netmask).
  • IPSec protokolas (AH arba ESP)
  • Kodavimo algoritmas ir saugusis raktas
  • Apsaugos parametrų indeksas SPI (angl. Security Parameter Index). Tai 32 bitų skaičius, kuris identifikuoja konkrečią apsaugos sąsają.
  • IPSec režimas (tunelio arba transporto)
  • Slankiančiojo lango dydis paketų pakartojimo atakoms išvengti.
  • Apsaugos sąsajos gyvavimo laikas.

Kiekvienas protokolas (ESP/AH) turi turėti savo nuosavą SA į kiekvieną kripti. Tokiu budų dupleksiniam duomenų perdavimui ESP+AH reikia 4 SA, visia šita informacija randasi SAD.

SAD randasi:

  • AH autentifikacijos algoritmas
  • AH autentifikacijos slaptas raktas
  • ESP šifravimo algoritmas
  • ESP šifravimo slaptas raktas
  • ESP autentifikacijos panaudojimas (taip/ne)
  • Raktų apsikeitimo parametrai
  • Maršrutizavimo apribojimai
  • IP filtravimo politika

Saugumo politikos duomenų bazė (Security Policy Database SPD)

  • Atlieka IP paketu filtravimą pagal užduotas saugumo taisykles. Įrašai esantys SPD susideda iš dviejų laukų:
  • Pirmajame yra saugomi charakteringi bruožai paketų, pagal kurios galima išskirti vienokį ar kitokį informacijos srautą. Šie laukai dar vadinami selektoriais.
  • Antrajame yra saugoma saugumo politika atitinkanti esamam paketų srautui.

IPSec veikimo principas

Galime išskirti į 5 etapus:

  1. Kiekviename mazge, kuris palaiko IPSec yra sukuriama saugumo politika. Šiame etape yra nustatoma kokiame traffic‘e bus šifravimas, kokios funkcijos ir algoritmai gali būti panaudotos.
  2. Antras etapas – pirma IKE (Internet Key Exchange) fazė, jo tikslas – sukurti saugų kanalą tarp šalių antrai fazei IKE.
  3. IKE antros fazės užduotys – sukurti IPSec tunelį.
  4. Darbinis etapas. Po IPSec SA sukurimo viksta duomenų perdavimas tarp mazgų per IPSec tunelį. Yra naudojami nustatyti SA protokolai ir parametrai.
  5. IPSec SA nustoja veikti. Tai gali įvykti dėl gyvavimo laiko pabaigos ar pašalinimo Tokiu atvėju vėl gali būti kuriamas naujas IPSec SA.

IPSec panaudojimas

Pagrinde yra naudojamas organizacijuose VPN tuneliavimui. Taip pat atitinkamai nustačius taisykles, IPSec gali būti naudojamas kaip tarptinklinis ekranas. Tarptinklinio ekrano tikslas tame, kad jis kontroluoja ir filtruoja praeinančius per jį paketus pagal užduotas taisykles.

Naudota literatūra

paskutinį kartą redaguota 2014-05-09 14:19:17 redaktoriaus AndrejSerdiuk