Зміст

• Вступ...2
• Що таке безпека IPSecurity?...3
• Історична довідка появи протоколу...4
• Універсальний підхід...5
• Небезпека на кожнім кроці...7
• Діючі особи та елементи архітектури...9
• Архітектура IPSecurity...10
• Заголовок АН...14
• Заголовок ESP...14
• Транспортний режим...17
• Тунельний режим...18
• Шифрування...18
• Тунелювання...20
• Аутентифікація...20
• Security Association...21
• Політика безпеки...21
• Узгодження протоколів і керування ключами...21
• Генерація ключів...24
• Алгоритм Диффі-Хелмана...25
• Протоколи ISAKMP/Oakley…31
• Протокол IKE…31
• Атаки на АН, ESP, IKE...33
• Системи захисту інформації...34
• Системи для уважних і неледачих...36
• Прозорі системи захисту...37
• Віртуальні приватні мережі VPN...38
• VPN, що використовують протокол IPSec…41
• Коли VPN безсилий…42
• Системи для дуже зайнятих…42
• Переваги IPSec…45
• Конфігурація Win Route”s IPSec…46
• IP клієнт в локальній мережі…47
• ІР сервер в локальній мережі…49
• Оцінка потоколу...50
• Висновок...51
• Література...53

Вступ

Необхідність захисту даних

Наприкінці шестидесятих років американське агентство перспективних досліджень в обороні DARPA ухвалило рішення про створення експериментальної мережі під назвою ARPANet. У сімдесятих роках ARPANet стала вважатися діючою мережею США, і через цю мережу можна було дістати доступ до провідних університетських і наукових центрів США. На початку вісімдесятих років розпочалася стандартизація мов програмування, а потім і протоколів взаємодії мереж. Результатом цієї роботи стала розробка семирівневої моделі мережної взаємодії ISO/OSI і сімейства протоколів TCP/IP, яке стало основою для побудови як локальних, так і глобальних мереж.

Базові механізми інформаційного обміну в мережах TCP/IP були в загалом сформовані на початку вісімдесятих років, і були спрямовані перш за все на забезпечення доставки пакетів даних між різними операційними системами з використанням різнорідних каналів зв'язку. Не дивлячись на те, що ідея створення мережі ARPANet (згодом перетворилася на сучасний Інтернет) належала урядовій оборонній організації, фактично мережа зародилася в дослідницькому світі, і наслідувала традиції відвертості академічного співтовариства. Ще до комерціалізації Інтернету (яка відбулася у середині дев'яностих років) багато авторитетних дослідників відзначали проблеми, пов'язані з безпекою стека протоколів TCP/IP. Основні концепції протоколів TCP/IP не повністю задовольняють (а у ряді випадків і суперечать) сучасним уявленням про комп'ютерну безпеку.

До недавнього часу мережа Інтернет використовувалася в основному для обробки інформації по відносно простих протоколах: електронна пошта, передача файлів, віддалений доступ. Сьогодні, завдяки широкому поширенню технологій WWW, все активніше застосовуються засоби розподіленої обробки мультимедійної інформації. Одночасно з цим зростає об'єм даних, що обробляються в середовищах клієнт/сервер і призначених для одночасного колективного доступу великого числа абонентів. Розроблено декілька протоколів прикладного рівня, що забезпечують інформаційну безпеку таких додатків, як електронна пошта (PEM, PGP і т.п.), WWW (Secure HTTP, SSL і т.п.), мережне управління (SNMPv2 і т.п.). Проте наявність засобів забезпечення безпеки в базових протоколах сімейства TCP/IP дозволить здійснювати інформаційний обмін між широким спектром різних додатків і сервісних служб.

Безпека IP

Засоби безпеки протоколу IP дозволяють управляти захистом всього IP-трафіку від джерела інформації до її одержувача. Можливості управління безпекою IP (IP Security Management) в системі Windows 2000 дозволяють призначати і застосовувати політику безпеки IP, яка гарантує захищений обмін інформацією для всієї мережі. Механізм безпеки IP є реалізацією протоколу безпеки IP (IP Security, IPSec), прозорою для користувача, адміністрування безпеки централізоване і поєднує гарантії безпечного обміну інформацією із легкістю застосування.

Потреба в захисті мереж, заснованих на протоколі IP, вже досить велика і зростає з кожним роком. В даний час в тісно взаємозв'язаному діловому світі мереж Інтернет, интранет, экстранет (extranet — корпоративна мережа|, частини| якої зв'язані через відкриті мережі, наприклад, через Інтернет), філіалів і віддаленого доступу по мережах передається важлива інформація, конфіденційність якої не можна порушувати. Однією з основних вимог, що пред'являються до мережі|сіті| з боку мережевих|мережних| адміністраторів і інших професіоналів, що обслуговуючих і використовують мережі|сіті|, є|з'являється,являється| вимога гарантії, що цей трафік буде захищений:

Ці проблеми характеризуються такими показниками, як цілісність даних, конфіденційність і достовірність|справжність|. Крім того, зашита від повторного використання (replay protection) запобігає ухваленню|прийняттю,прийманню| повторно посланого|надісланого| пакету.

2.Історична довідка появи протоколу

У 1994 році Рада з архітектури Інтернет (IAB) випустив звіт "Безпека архітектури Інтернет". У цьому документі описувалися основні області застосування|вживання| додаткових засобів|коштів| безпеки в мережі|сіті| Інтернет, а саме захист від несанкціонованого моніторингу, підміни пакетів і управління потоками даних. У числі першочергових і наиболее| важливих|поважних| захисних заходів указувалася|вказувалася| необхідність розробки концепції і основних механізмів забезпечення цілісності і конфіденційності потоків даних. Оскільки зміна базових протоколів сімейства TCP/IP викликало|спричинило| б повну|цілковиту| перебудову мережі|сіті| Інтернет, було поставлене завдання|задача| забезпечення безпеки інформаційного обміну у відкритих|відчинених| телекомунікаційних мережах|сітях| на базі існуючих протоколів. Таким чином, почала|розпочала,зачала| створюватися специфікація Secure IP, додаткова по відношенню до протоколів IPv4 і IPv6.

Активне злиття компаній і утворення нових конгламератов і альянсів змушує задуматися про організації безпеки рыботы в загальних мережах. Як правило, з'являється необхідність в обміні комерційною або іншою важливою інформацією і далеко не факт, що компанії мають спеціальний виділений канал під ці задачі. В основному вся ця інформація йде по мережі загального користування.