Зміст
- Вступ...2
- Що таке безпека IPSecurity?...3
- Історична довідка появи протоколу...4
- Універсальний підхід...5
- Небезпека на кожнім кроці...7
- Діючі особи та елементи архітектури...9
- Архітектура IPSecurity...10
- Заголовок АН...14
- Заголовок ESP...14
- Транспортний режим...17
- Тунельний режим...18
- Шифрування...18
- Тунелювання...20
- Аутентифікація...20
- Security Association...21
- Політика безпеки...21
- Узгодження протоколів і керування ключами...21
- Генерація ключів...24
- Алгоритм Диффі-Хелмана...25
- Протоколи ISAKMP/Oakley…31
- Протокол IKE…31
- Атаки на АН, ESP, IKE...33
- Системи захисту інформації...34
- Системи для уважних і неледачих...36
- Прозорі системи захисту...37
- Віртуальні приватні мережі VPN...38
- VPN, що використовують протокол IPSec…41
- Коли VPN безсилий…42
- Системи для дуже зайнятих…42
- Переваги IPSec…45
- Конфігурація Win Route”s IPSec…46
- IP клієнт в локальній мережі…47
- ІР сервер в локальній мережі…49
- Оцінка потоколу...50
- Висновок...51
- Література...53
Вступ
Необхідність захисту даних
Наприкінці шестидесятих років американське агентство перспективних досліджень в обороні DARPA ухвалило рішення про створення експериментальної мережі під назвою ARPANet. У сімдесятих роках ARPANet стала вважатися діючою мережею США, і через цю мережу можна було дістати доступ до провідних університетських і наукових центрів США. На початку вісімдесятих років розпочалася стандартизація мов програмування, а потім і протоколів взаємодії мереж. Результатом цієї роботи стала розробка семирівневої моделі мережної взаємодії ISO/OSI і сімейства протоколів TCP/IP, яке стало основою для побудови як локальних, так і глобальних мереж.
Базові механізми інформаційного обміну в мережах TCP/IP були в загалом сформовані на початку вісімдесятих років, і були спрямовані перш за все на забезпечення доставки пакетів даних між різними операційними системами з використанням різнорідних каналів зв'язку. Не дивлячись на те, що ідея створення мережі ARPANet (згодом перетворилася на сучасний Інтернет) належала урядовій оборонній організації, фактично мережа зародилася в дослідницькому світі, і наслідувала традиції відвертості академічного співтовариства. Ще до комерціалізації Інтернету (яка відбулася у середині дев'яностих років) багато авторитетних дослідників відзначали проблеми, пов'язані з безпекою стека протоколів TCP/IP. Основні концепції протоколів TCP/IP не повністю задовольняють (а у ряді випадків і суперечать) сучасним уявленням про комп'ютерну безпеку.
До недавнього часу мережа Інтернет використовувалася в основному для обробки інформації по відносно простих протоколах: електронна пошта, передача файлів, віддалений доступ. Сьогодні, завдяки широкому поширенню технологій WWW, все активніше застосовуються засоби розподіленої обробки мультимедійної інформації. Одночасно з цим зростає об'єм даних, що обробляються в середовищах клієнт/сервер і призначених для одночасного колективного доступу великого числа абонентів. Розроблено декілька протоколів прикладного рівня, що забезпечують інформаційну безпеку таких додатків, як електронна пошта (PEM, PGP і т.п.), WWW (Secure HTTP, SSL і т.п.), мережне управління (SNMPv2 і т.п.). Проте наявність засобів забезпечення безпеки в базових протоколах сімейства TCP/IP дозволить здійснювати інформаційний обмін між широким спектром різних додатків і сервісних служб.
Безпека IP
Засоби безпеки протоколу IP дозволяють управляти захистом всього IP-трафіку від джерела інформації до її одержувача. Можливості управління безпекою IP (IP Security Management) в системі Windows 2000 дозволяють призначати і застосовувати політику безпеки IP, яка гарантує захищений обмін інформацією для всієї мережі. Механізм безпеки IP є реалізацією протоколу безпеки IP (IP Security, IPSec), прозорою для користувача, адміністрування безпеки централізоване і поєднує гарантії безпечного обміну інформацією із легкістю застосування.
Потреба в захисті мереж, заснованих на протоколі IP, вже досить велика і зростає з кожним роком. В даний час в тісно взаємозв'язаному діловому світі мереж Інтернет, интранет, экстранет (extranet — корпоративна мережа|, частини| якої зв'язані через відкриті мережі, наприклад, через Інтернет), філіалів і віддаленого доступу по мережах передається важлива інформація, конфіденційність якої не можна порушувати. Однією з основних вимог, що пред'являються до мережі|сіті| з боку мережевих|мережних| адміністраторів і інших професіоналів, що обслуговуючих і використовують мережі|сіті|, є|з'являється,являється| вимога гарантії, що цей трафік буде захищений:
Доступу суб'єктів, що не мають на це прав; |
|||
Перехоплення, перегляду|проглядання| або копіювання; |
|||
Модифікації даних під час шляху|колії,дороги| по мережі;|сіті| |
|||
Ці проблеми характеризуються такими показниками, як цілісність даних, конфіденційність і достовірність|справжність|. Крім того, зашита від повторного використання (replay protection) запобігає ухваленню|прийняттю,прийманню| повторно посланого|надісланого| пакету.
2.Історична довідка появи протоколу
У 1994 році Рада з архітектури Інтернет (IAB) випустив звіт "Безпека архітектури Інтернет". У цьому документі описувалися основні області застосування|вживання| додаткових засобів|коштів| безпеки в мережі|сіті| Інтернет, а саме захист від несанкціонованого моніторингу, підміни пакетів і управління потоками даних. У числі першочергових і наиболее| важливих|поважних| захисних заходів указувалася|вказувалася| необхідність розробки концепції і основних механізмів забезпечення цілісності і конфіденційності потоків даних. Оскільки зміна базових протоколів сімейства TCP/IP викликало|спричинило| б повну|цілковиту| перебудову мережі|сіті| Інтернет, було поставлене завдання|задача| забезпечення безпеки інформаційного обміну у відкритих|відчинених| телекомунікаційних мережах|сітях| на базі існуючих протоколів. Таким чином, почала|розпочала,зачала| створюватися специфікація Secure IP, додаткова по відношенню до протоколів IPv4 і IPv6.
Активне злиття компаній і утворення нових конгламератов і альянсів змушує задуматися про організації безпеки рыботы в загальних мережах. Як правило, з'являється необхідність в обміні комерційною або іншою важливою інформацією і далеко не факт, що компанії мають спеціальний виділений канал під ці задачі. В основному вся ця інформація йде по мережі загального користування.