Locked History Actions

Skirtumas „Internet Protocol Security“

Pakeitimai tarp versijų 9 ir 31 (patvirtinamos 22 versijos)
Versija 9 nuo 2009-02-16 14:14:09
Dydis: 3723
Redaktorius: MykolasKalinauskas
Komentaras:
Versija 31 nuo 2014-05-09 14:19:17
Dydis: 7381
Redaktorius: AndrejSerdiuk
Komentaras:
Pašalinimai yra pažymėti taip. Pridėjimai yra pažymėti taip.
Eilutė 1: Eilutė 1:
= Internet Protocol Security =
== IPsec ==
== Interneto protokolo sauga ==		 = Žodis angliškai =
##Įrašykite terminą anglų kalba
 . Internet Protocol Security

== Santrumpa ==
##Jeigu yra įrašykite Santrumpą
 . IPSec

== Žodis Lietuviškai ==
##Įrašykite lietuvišką termino vertimą
 . Interneto protokolo sauga
Eilutė 6: Eilutė 15:
Interneto protokolo sauga (IPsec) yra protokolų rinkinys, kuris padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais. (Skaitmeninis sertifikatas priskiria viešąjį raktą asmeniui, verslui arba svetainei.) ##Suformuluokite termino apibrėžimą
 . Tai protokolų rinkinys, sukurtas IETF grupės, kuris dirba triačiojo OSI (Open System Interconnection) modelio sluoksnyje – tinklo lygije, kuris tikrina adresavimą ir loginius adresus verčia fiziniais. IPSec padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais, yra pilnai suderintas su IPv4 ir IPv6 versijomis.
Eilutė 10: Eilutė 20:
Dėl savo dizaino IPsec pateikia daug geresnę saugą nei ankstesni apsaugos metodai. Jį naudojantys tinklo administratoriai neturi konfigūruoti atskirų programų saugos.

IPsec - tai priemonių visuma skirta IP paketo turinio konfidencialumui ir autentiškumui užtikrinti. Tai atliekama IP paketo turinį šifruojant.

IPsec sudaro: šifravimo protokolai ir saugumo mechanizmai.

IPSec tarnyba realizuota OSI [[Open System Interconnection]] modelio tinklo lygmenyje.

[[attachment:modelis.jpg|{{attachment:modelis.jpg|attachment:modelis.jpg|height="176",width="156",class="external_image"}}]]

Galima išvardinti šias pagrindines IPsec savybes i galimybes:		 ##Plačiau paaiškinkite terminą, juo nusakomo objekto svarbą, veikimo principą ir tt.
Galima išvardinti šias pagrindines IPsec savybes ir galimybes:
Eilutė 27: Eilutė 28:
 * Kadangi IPSec tarnyba realizuota TCP [[Transport Connect Protocol]]/IP [[Internet Protocol]] protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas.  * Kadangi IPSec tarnyba realizuota TCP Transport Connect Protocol/IP Internet Protocol protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas.
Eilutė 30: Eilutė 31:
__IPsec architektūra __ IPSec pagrindinių protokolų rinkinį sudaro:
Eilutė 32: Eilutė 33:
[[attachment:architektura.jpg|{{attachment:architektura.jpg|attachment:architektura.jpg|height="355",width="510",class="external_image"}}]]  1. Autentiškumo antraštė (Authentication Header – АН). Užtikrina paketo vientisumą, autentiškumą ir perduodamų duomenų pasikartojima, kadangi prie kiekvieno paketo yra prisegiama užkoduota paketo kontrolinė suma.
 1. Enkapsuliuota saugioji apkrova (Encapsulating Security Payload – ESP). Užtikrina perduodamų pakėtų konfidicialumą (duomenų kodavimą), pasirenkant kodavimo algoritmą.
 1. Interneto raktų apsikeitimas (Internet Key Exchange – IKE). Užtikrina pirminę sujungimo konfiguraciją ir raktų apsikeitimas.
Eilutė 34: Eilutė 37:
Naudojami du duomenų srauto saugumo protokolai.                                                                            {{attachment:IPSec.png||height="259",width="555"}}
Eilutė 36: Eilutė 39:
Šių protokolų antraštės užtikrina: '''IPSec režimai '''
Eilutė 38: Eilutė 41:
 * Autentiškumą. Jam užtikrinti naudojama autentifikavimo antraštė ([[Authentication Header]] - AH).
 * Konfidencialumą. Jam užtikrinti naudojama įterpto apsaugoto krovinio ([[Encapsulating Security Payload]] - ESP) antraštė.
 * Saugumo asociacija - kam, kokios saugumo pasklaugos teikiamos.
 * Raktų valdymas: Rankinis ir Automatinis raktų apsikeitimo protokololas (IKE - Internet key exchange).
 * Autentifikavimo ir šifravimo algoritma.		 IPSec gali dirbti dviem režimais:
Eilutė 44: Eilutė 43:
Galimi du IPsec darbo režimai:  1. Transporto. Šiame režime yra skaičuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis turis į pakėtą įterpent AH arba ESP antraštę tarp IP ir aukštesniojo lygio protokolu, pvz TCP antraščių
 1. Tunelio. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą. AH:
Eilutė 46: Eilutė 46:
 1. Transportinis rėžimas. Šiame režime yra skaičiuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis tūris į paketą įterpiant AH ar ESP antraštę tarp IP ir aukštesniojo lygio protokolo, pavyzdžiui, TCP, antraščių.
 1. Tunelinis rėžimas. Dirbant šiuo režimu, IP paketas yra pilnai enkapsuliuojamas į naują IP paketą.		 AH: {{attachment:AH0.gif||height="181",width="340"}}
Eilutė 49: Eilutė 48:
__IPsec komunikavimas __ ESP: {{attachment:ESP.gif||height="205",width="411"}}
Eilutė 51: Eilutė 50:
IKE protokolas naudojamas pasirinkto šifravimo algoritmo AH ir ESP protokolose patvirtinimui bei raktų valdymui. IPSec gali būti naudojami įvairūs šifravimo algoritmai skirtingiems potinkliams ar mazgams. Tai padaroma naudojantis saugumo asociacijos (Security Association - SA) duomenimis. AH formatas: {{attachment:AH1.png||height="181",width="669"}}
Eilutė 53: Eilutė 52:
__IPsec saugumo asociacija (SA)__ ESP formatas: {{attachment:ESP1.png||height="233",width="605"}}
Eilutė 55: Eilutė 54:
SA apibrėžia, kokios saugumo paslaugos teikiamos kiekvienam vartotojui: '''Apsaugos sąsaja (Security Asotiation SA)'''
Eilutė 57: Eilutė 56:
 * IPSec protokolas
 * Protokolo operavimo rėžimas: transportinis ar tunelinis
 * Šifrografiniai algoritmai
 * Šifrografiniai raktai
 * Raktų gyvavimo laikas		 Pradedant duomenų apsikeitymą tarp dviejų šalių, pirmiausiai reikia nustatyti ryšį, kuris vadinasi SA. SA koncepcija yra fundamentali IPSec ir yra jos pagrindas. Ji aprašo kaip dvi bendraujančios pusės naudos servisus, užtikrinančius saugumą saugaus ryšio. SA sujungimas yra simpleksinis – tik į vieną pusę, todėl ryšio užmezgimui reikia dviejų SA sujungimų. Sujungimo nustatymas prasideda autentifikacija tarp jungtis bandančių abiejų šalių. Toliau seka parametrų pasirinkimas ir butino protokolo – AH ar ESP duomenų perdavimas. Po viso šito seka konkrečių algoritmų pasirinkimas, kurie gali būti apibrežiami standartais (šifravimui — DES, hesh funkcijai — MD5 ar SHA-1) ar kitais budais (Triple DES, Blowfish, CAST).

'''Apsaugos sąsajų duomenų bazė (Security Asotiation Database SAD)'''

 . Visos SA sąsajos yra saugomos SAD duomenų bazėje IPSec modulije. Kiekviena SA turi unikalų numerį, kuris sudarytas iš triejų elementų:

 * Security Parameters Index, SPI
 * Priskirto IP adreso
 * ESP ar AH saugumo protokolo indentifikatoriaus.

IPSec modulis turėdamas visus šuos parametrus gali atrasti SAD apie konkrečią SA

Į bet kurią SA sąsają įeina tokie parametrai:

 * Išeities (angl. source) ir įeities (angl. destination) bendraujančių šalių IP adresus ir, jei reikia, šablonus (angl. netmask).
 * IPSec protokolas (AH arba ESP)
 * Kodavimo algoritmas ir saugusis raktas
 * Apsaugos parametrų indeksas SPI (angl. Security Parameter Index). Tai 32 bitų skaičius, kuris identifikuoja konkrečią apsaugos sąsają.
 * IPSec režimas (tunelio arba transporto)
 * Slankiančiojo lango dydis paketų pakartojimo atakoms išvengti.
 * Apsaugos sąsajos gyvavimo laikas.

Kiekvienas protokolas (ESP/AH) turi turėti savo nuosavą SA į kiekvieną kripti. Tokiu budų dupleksiniam duomenų perdavimui ESP+AH reikia 4 SA, visia šita informacija randasi SAD.

SAD randasi:

 * AH autentifikacijos algoritmas
 * AH autentifikacijos slaptas raktas
 * ESP šifravimo algoritmas
 * ESP šifravimo slaptas raktas
 * ESP autentifikacijos panaudojimas (taip/ne)
 * Raktų apsikeitimo parametrai
 * Maršrutizavimo apribojimai
 * IP filtravimo politika

'''Saugumo politikos duomenų bazė (Security Policy Database SPD) '''

 . Atlieka IP paketu filtravimą pagal užduotas saugumo taisykles. Įrašai esantys SPD susideda iš dviejų laukų:

 * Pirmajame yra saugomi charakteringi bruožai paketų, pagal kurios galima išskirti vienokį ar kitokį informacijos srautą. Šie laukai dar vadinami selektoriais.
 * Antrajame yra saugoma saugumo politika atitinkanti esamam paketų srautui.

'''IPSec veikimo principas '''

Galime išskirti į 5 etapus:

 1. Kiekviename mazge, kuris palaiko IPSec yra sukuriama saugumo politika. Šiame etape yra nustatoma kokiame traffic‘e bus šifravimas, kokios funkcijos ir algoritmai gali būti panaudotos.
 1. Antras etapas – pirma IKE (Internet Key Exchange) fazė, jo tikslas – sukurti saugų kanalą tarp šalių antrai fazei IKE.
 1. IKE antros fazės užduotys – sukurti IPSec tunelį.
 1. Darbinis etapas. Po IPSec SA sukurimo viksta duomenų perdavimas tarp mazgų per IPSec tunelį. Yra naudojami nustatyti SA protokolai ir parametrai.
 1. IPSec SA nustoja veikti. Tai gali įvykti dėl gyvavimo laiko pabaigos ar pašalinimo Tokiu atvėju vėl gali būti kuriamas naujas IPSec SA.

'''IPSec panaudojimas '''

Pagrinde yra naudojamas organizacijuose VPN tuneliavimui. Taip pat atitinkamai nustačius taisykles, IPSec gali būti naudojamas kaip tarptinklinis ekranas. Tarptinklinio ekrano tikslas tame, kad jis kontroluoja ir filtruoja praeinančius per jį paketus pagal užduotas taisykles.
Eilutė 65: Eilutė 114:
 1. http://en.wikipedia.org/wiki/IPsec
 1. http://technet.microsoft.com/en-us/network/bb531150.aspx
 1. http://technet.microsoft.com/en-us/library/bb726946.aspx
 1. http://www.ietf.org/rfc/rfc2401.txt		 ##Pateikite naudotos literatūros sąrašą
 * Олифер В. Г.,Олифер Н. П. Глава 24. Сетевая безопасность // Компьютерные сети. Принципы, технологии, протоколы. — 4-е. — СПб: Питер, 2010. — С. 887-902. — 944 с. — ISBN isbn = 978-5-49807-389-7, ББК 32.973.202я7

 * Andrew Mason. IPSec Overview. — Cisco Press, 2002.

 * http://technet.microsoft.com/en-us/network/bb531150.aspx

 * http://technet.microsoft.com/en-us/library/bb726946.aspx

 * http://www.ietf.org/rfc/rfc2401.txt
Eilutė 71: Eilutė 126:
 . CategoryŽodis  . CategoryŽodis IPSec

Žodis angliškai

  • Internet Protocol Security

Santrumpa

  • IPSec

Žodis Lietuviškai

  • Interneto protokolo sauga

Apibrėžimas

  • Tai protokolų rinkinys, sukurtas IETF grupės, kuris dirba triačiojo OSI (Open System Interconnection) modelio sluoksnyje – tinklo lygije, kuris tikrina adresavimą ir loginius adresus verčia fiziniais. IPSec padeda apsaugoti duomenis tinkle naudojant saugos tarnybas ir skaitmeninius sertifikatus kartu su viešaisiais ir privačiaisiais raktais, yra pilnai suderintas su IPv4 ir IPv6 versijomis.

Paaiškinimai

Galima išvardinti šias pagrindines IPsec savybes ir galimybes:

  • Prieigos prie tinklo elementų kontrolė.
  • Duomenų šaltinio identifikavimas.
  • Duomenų vientisumo (integralumo) užtikrinimas protokoluose, kuriuose tai nenumatyta, pvz. UDP.
  • Any-replay apsauga.
  • Duomenų konfidencialumo užtikrinimas šifravimu.
  • Kadangi IPSec tarnyba realizuota TCP Transport Connect Protocol/IP Internet Protocol protokolų steko tinklo lygmenyje, tai ja gali pasinaudoti visi aukštesnio lygmens protokolai, pvz.: TCP, UDP, ICMP ir IGMP ar bet kuris taikomojo lygmens protokolas.
  • IPSec užtikrina šifrografinę apsaugą IPv4 ir IPv6 datagramoms.

IPSec pagrindinių protokolų rinkinį sudaro:

  1. Autentiškumo antraštė (Authentication Header – АН). Užtikrina paketo vientisumą, autentiškumą ir perduodamų duomenų pasikartojima, kadangi prie kiekvieno paketo yra prisegiama užkoduota paketo kontrolinė suma.
  2. Enkapsuliuota saugioji apkrova (Encapsulating Security Payload – ESP). Užtikrina perduodamų pakėtų konfidicialumą (duomenų kodavimą), pasirenkant kodavimo algoritmą.
  3. Interneto raktų apsikeitimas (Internet Key Exchange – IKE). Užtikrina pirminę sujungimo konfiguraciją ir raktų apsikeitimas.

    • IPSec.png

IPSec režimai

IPSec gali dirbti dviem režimais:

  1. Transporto. Šiame režime yra skaičuojama paketo kontrolinė suma (AH) arba koduojamas (ESP) tik IP paketo naudingasis turis į pakėtą įterpent AH arba ESP antraštę tarp IP ir aukštesniojo lygio protokolu, pvz TCP antraščių
  2. Tunelio. Dirbant šiuo režimu, IP paketas yra pilnai inkapsuliuojamas į naują IP paketą. AH:

AH: AH0.gif

ESP: ESP.gif

AH formatas: AH1.png

ESP formatas: ESP1.png

Apsaugos sąsaja (Security Asotiation SA)

Pradedant duomenų apsikeitymą tarp dviejų šalių, pirmiausiai reikia nustatyti ryšį, kuris vadinasi SA. SA koncepcija yra fundamentali IPSec ir yra jos pagrindas. Ji aprašo kaip dvi bendraujančios pusės naudos servisus, užtikrinančius saugumą saugaus ryšio. SA sujungimas yra simpleksinis – tik į vieną pusę, todėl ryšio užmezgimui reikia dviejų SA sujungimų. Sujungimo nustatymas prasideda autentifikacija tarp jungtis bandančių abiejų šalių. Toliau seka parametrų pasirinkimas ir butino protokolo – AH ar ESP duomenų perdavimas. Po viso šito seka konkrečių algoritmų pasirinkimas, kurie gali būti apibrežiami standartais (šifravimui — DES, hesh funkcijai — MD5 ar SHA-1) ar kitais budais (Triple DES, Blowfish, CAST).

Apsaugos sąsajų duomenų bazė (Security Asotiation Database SAD)

  • Visos SA sąsajos yra saugomos SAD duomenų bazėje IPSec modulije. Kiekviena SA turi unikalų numerį, kuris sudarytas iš triejų elementų:
  • Security Parameters Index, SPI
  • Priskirto IP adreso
  • ESP ar AH saugumo protokolo indentifikatoriaus.

IPSec modulis turėdamas visus šuos parametrus gali atrasti SAD apie konkrečią SA

Į bet kurią SA sąsają įeina tokie parametrai:

  • Išeities (angl. source) ir įeities (angl. destination) bendraujančių šalių IP adresus ir, jei reikia, šablonus (angl. netmask).
  • IPSec protokolas (AH arba ESP)
  • Kodavimo algoritmas ir saugusis raktas
  • Apsaugos parametrų indeksas SPI (angl. Security Parameter Index). Tai 32 bitų skaičius, kuris identifikuoja konkrečią apsaugos sąsają.
  • IPSec režimas (tunelio arba transporto)
  • Slankiančiojo lango dydis paketų pakartojimo atakoms išvengti.
  • Apsaugos sąsajos gyvavimo laikas.

Kiekvienas protokolas (ESP/AH) turi turėti savo nuosavą SA į kiekvieną kripti. Tokiu budų dupleksiniam duomenų perdavimui ESP+AH reikia 4 SA, visia šita informacija randasi SAD.

SAD randasi:

  • AH autentifikacijos algoritmas
  • AH autentifikacijos slaptas raktas
  • ESP šifravimo algoritmas
  • ESP šifravimo slaptas raktas
  • ESP autentifikacijos panaudojimas (taip/ne)
  • Raktų apsikeitimo parametrai
  • Maršrutizavimo apribojimai
  • IP filtravimo politika

Saugumo politikos duomenų bazė (Security Policy Database SPD)

  • Atlieka IP paketu filtravimą pagal užduotas saugumo taisykles. Įrašai esantys SPD susideda iš dviejų laukų:
  • Pirmajame yra saugomi charakteringi bruožai paketų, pagal kurios galima išskirti vienokį ar kitokį informacijos srautą. Šie laukai dar vadinami selektoriais.
  • Antrajame yra saugoma saugumo politika atitinkanti esamam paketų srautui.

IPSec veikimo principas

Galime išskirti į 5 etapus:

  1. Kiekviename mazge, kuris palaiko IPSec yra sukuriama saugumo politika. Šiame etape yra nustatoma kokiame traffic‘e bus šifravimas, kokios funkcijos ir algoritmai gali būti panaudotos.
  2. Antras etapas – pirma IKE (Internet Key Exchange) fazė, jo tikslas – sukurti saugų kanalą tarp šalių antrai fazei IKE.
  3. IKE antros fazės užduotys – sukurti IPSec tunelį.
  4. Darbinis etapas. Po IPSec SA sukurimo viksta duomenų perdavimas tarp mazgų per IPSec tunelį. Yra naudojami nustatyti SA protokolai ir parametrai.
  5. IPSec SA nustoja veikti. Tai gali įvykti dėl gyvavimo laiko pabaigos ar pašalinimo Tokiu atvėju vėl gali būti kuriamas naujas IPSec SA.

IPSec panaudojimas

Pagrinde yra naudojamas organizacijuose VPN tuneliavimui. Taip pat atitinkamai nustačius taisykles, IPSec gali būti naudojamas kaip tarptinklinis ekranas. Tarptinklinio ekrano tikslas tame, kad jis kontroluoja ir filtruoja praeinančius per jį paketus pagal užduotas taisykles.

Naudota literatūra

paskutinį kartą redaguota 2014-05-09 14:19:17 redaktoriaus AndrejSerdiuk