пятница, 17 апреля 2015 г.

Защита данных на сетевом уровне. Протоколы защиты данных на сетевом уровне

Для обеспечения безопасности данных при их передаче по публичным сетям, используются различные технологии защищенного канала.

Защищенный канал подразумевает выполнение 3 основных функций:

  • взаимная аутентификация при установлении соединения;
  • защита передаваемых данных (шифрование);
  • подтверждение целостности поступающих сообщений.

На сетевом уровне эта технология реализуется набором протоколов IPSec.

Ядро IPSec составляют три протокола:

  • AH (Authentication Header – Аутентификация заголовка) – гарантирует целостность и аутентичность данных;
  • ESP (Encapsulating Security Payload – инкапсуляция зашифрованных данных) – шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных);
  • IKE (Internet Key Exchange – обмен ключами Интернета) – решает вспомогательную задачу автоматического предоставления конечным точкам защищенного канала секретных ключей).

Перед началом передачи устанавливается логическое соединение (протоколом IKE), которое носит название SA (Security Association) – безопасной ассоциации (содержит ключи аутентификации и шифрования, информацию о согласованных алгоритмах, срок жизни ключа, IP-адрес отправителя).

Протоколы AH и ESP могут защищать данные в 2-х режимах:

  • транспортном;
  • туннельном.

В транспортном режиме шифруются только данные IP-пакета, исходный заголовок сохраняется. Транспортный режим, как правило, используется для установления соединения между хостами. Он может также использоваться между шлюзами, для защиты туннелей, организованных каким-нибудь другим способом (например, L2TP).

В туннельном режиме шифруется весь исходный IP-пакет: данные, заголовок, маршрутная информация, а затем он вставляется в поле данных нового пакета, то есть происходит инкапсуляция. Туннельный режим может использоваться для подключения удалённых компьютеров к виртуальной частной сети или для организации безопасной передачи данных через открытые каналы связи (например, Интернет) между шлюзами для объединения разных частей виртуальной частной сети.

Комментариев нет:

Отправить комментарий