Особенности реализации средств IPSec

Выше было рассмортрено, что протоколы АН или ESP могут защищать передаваемые данные в двух режимах: туннельном, при котором IP-пакеты защищаются целиком, включая их заголовки, и транспортном, обеспечивающим защиту только содержимого IP-пакетов.

Основным режимом является туннельный. В туннельном режиме исходный пакет помещается в новый IP-пакет и передача данных по сети выполняется на основании заголовка нового IP-пакета. При работе в этом режиме каждый обычный IP-пакет помещается целиком в криптозащищенном виде в конверт IPSec, а тот в свою очередь инкапсулируется в другой защищенныйIP-пакет. Туннельный режим обычно реализуют на специально выделенных шлюзах безопасности, в роли которых могут выступать маршрутизаторы или МЭ. Между такими шлюзами и формируются защищенные туннели IPSec.

После приема на другой стороне туннеля защищенные IP-пакеты «распаковываются» и полученные исходные IP-пакеты передаются компьютерам приемной локальной сети по стандартным правилам. Туннелирование IP-пакетов полностью прозрачно для обычных компьютеров в локальных сетях, являющихся держателями туннелей. На оконечных системах туннельный per жим может использоваться для поддержки удаленных и мобильных пользователей. В этом случае на компьютерах этих пользователей должно быть установлено ПО, реализующее туннельный режим IPSec.

В транспортном режиме передача IP-пакета через сеть выполняется с помощью исходного заголовка этого пакета. В конверт IPSec в криптозащищенном виде помещается только содержимое исходного IP-пакета и к полученному конверту добавляется исходный IP-заголовок. Транспортный режим быстрее туннельного и разработан для применения на оконечных системах. Этот режим может использоваться для поддержки удаленных и мобильных пользователей, а также защиты информационных потоков внутри локальных сетей. Следует отметить, что работа в транспортном режиме отражается на всех входящих в группу защищенного взаимодействия системах, и в большинстве случаев требуется перепрограммирование сетевых приложений.

1. Основные схемы применения IPSec

Применение туннельного или транспортного режима зависит от требований, предъявляемых к защите данных, а также от роли узла, в котором работает IPSec. Узлом, завершающим защищенный канал, может быть хост (конечный узел) или шлюз (промежуточный узел). Соответственно различают три основные схемы применения IPSec:
1) хост—хост;
2) шлюз—шлюз;
3) хост—шлюз.

В схеме 1 защищенный канал, или, что в данном контексте одно и то же, SA, устанавливается между двумя конечными узлами сети, т. е. хостами HI и Н2 (рис. 12.8).

Схема хост-хост

Протокол IPSec в этом случае работает на конечном узле и защищает данные, поступающие на него. Для хостов, поддерживающих IPSec, разрешается использовать как транспортный режим, так и туннельный.

В соответствии со схемой 2 защищенный канал устанавливается между двумя промежуточными узлами, называемыми шлюзами безопасности SG1 и SG2 (Security Gateway), на каждом из которых работает протокол IPSec (рис. 12.9).

Схема шлюз-шлюз

Защищенный обмен данными может происходить между любыми двумя конечными узлами, подключенными к сетям, которые расположены позади шлюзов безопасности. От конечных узлов поддержка протокола IPSec не требуется, они передают свой трафик в незащищенном виде через заслуживающие доверие сети Intranet предприятия. Трафик, направляемый в общедоступную сеть, проходит через шлюз безопасности, который и обеспечивает его защиту с помощью IPSec, действуя от своего имени. Шлюзам разрешается использовать только туннельный режим работы, хотя они могли бы поддерживать и транспортный режим, но он в этом случае малоэффективен.

При защищенном удаленном доступе часто применяется схема 3 хост—шлюз (рис. 12.10).

Схема хост-шлюз, дополненная каналом хост-хост

Рис.12.10 Схема хост-шлюз, дополненная каналом хост-хост

Здесь защищенный канал организуется между удаленным хостом HI, на котором работает IPSec, и шлюзом SG, защищающим трафик для всех хостов, входящих в сеть Intranetпредприятия. Удаленный хост может использовать при отправке пакетов шлюзу как транспортный, так и туннельный режим, шлюз же отправляет пакеты хосту только в туннельном режиме.

Эту схему можно модифицировать, создав параллельно еще один защищенный канал — между удаленным хостом HI и каким-либо хостом Н2, принадлежащим внутренней сети, защищаемой шлюзом. Такое комбинированное использование двух SA позволяет надежно защитить трафик и во внутренней сети.

Рассмотренные схемы построения защищенных каналов на базе IPSec широко применяются при создании разнообразных виртуальных защищенных сетей VPN. Их спектр варьируется от провайдерских сетей, позволяющих управлять обслуживанием клиентов непосредственно на их площадях, до корпоративных сетей VPN, разворачиваемых и управляемых самими компаниями. На базе IPSec успешно реализуются виртуальные защищенные сети любой архитектуры, включая VPN с удаленным доступом (Remote Access VPN), внутрикорпоративныеVPN (Intranet VPN) и межкорпоративные VPN (Extranet VPN).

2. Преимущества средств безопасности IPSec

Система стандартов IPSec вобрала в себя прогрессивные методики и достижения в области сетевой безопасности, завоевала признание специалистов как надежная и легко интегрируемая система безопасности для IP-сетей. Система IPSec прочно занимает сегодня лидирующие позиции в наборе стандартов для создания VPN. Этому способствует ее открытое построение, способное включать все новые достижения в области криптографии. IPsec позволяет защитить сеть от большинства сетевых атак, «сбрасывая» чужие пакеты еще до того, как они достигнут уровня IP на принимающем компьютере. В защищаемый компьютер или сеть могут войти только пакеты от зарегистрированных партнеров по взаимодействию. IPsec обеспечивает:
• аутентификацию — доказательство отправки пакетов вашим партнером по взаимодействию, т. е. обладателем разделяемого секрета;
• целостность — невозможность изменения данных в пакете;
• конфиденциальность — невозможность раскрытия передаваемых данных;
• надежное управление ключами — протокол IKE вычисляет разделяемый секрет, известный только получателю и отправителю пакета;
• туннелирование — полную маскировку топологии локальной сети предприятия.

Работа в рамках стандартов IPSec обеспечивает полную защиту информационного потока данных от отправителя до получателя, закрывая трафик для наблюдателей на промежуточных узлах сети. VPN-решения на основе стека протоколов IPSec обеспечивают построение виртуальных защищенных сетей, их безопасную эксплуатацию и интеграцию с открытыми коммуникационными системами.


Эта статья была опубликована Среда, 21 апреля, 2010 at 12:38 в рубрике Защита на сетевом уровне (Протокол IPSEC). Вы можете следить за ответами через RSS 2.0 feed.

Написать ответ