Протокол IPSec (RFC 2401). Семейство протоколов IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet.

Презентация:



Advertisements
Похожие презентации
Протокол IPSec (RFC 2401). Назначение IPSec Узел АУзел В IP-пакет Разграничение доступа (фильтрация IP-трафика) Обеспечение целостности передаваемых данных.
Advertisements

Технологии защищенного канала. Физический Канальный Сетевой Транспортный Сеансовый Презентационный Прикладной PPTP Протоколы, формирующие защищенный канал.
Безопасность межсетевого взаимодействия и удаленного доступа. Тема: Принципы обеспечения безопасности виртуальных сетей.
Тема 44 Сетевая безопасность. Сетевые экраны. Прокси-серверы. Протоколы защищенного канала. IPsec. Сети VPN на основе шифрования Раздел 6 Технологии глобальных.
Протокол Secure Sockets Layer. Архитектура SSL Прикладной уровень (HТТР, FTP) Транспортный уровень (TCP) Уровень IP Сетевой интерфейс Прикладной уровень.
Криптографический шлюз К -. Основные возможности АПК Континент-К Шифрование и имитозащита данных, передаваемых по открытым каналам связи; Защита внутренних.
Основы построения VPN. Виртуальные частные сети - VPN VPN – Virtual Private Network – имитируют возможности частной сети в рамках общедоступной, используя.
Тема " Защита IP-уровня. Области применения протокола IPSec. Архитектура защиты на уровне IP. " 1 Выполнил: студент гр. ЭЭТб-1101 Нагорных Дмитрий Александрович.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
Криптографический шлюз К -. Типовая корпоративная сеть Проблемы: Возможность вторжения из открытой сети Возможность вторжения из открытой сети Возможность.
«Методы защиты межсетевого обмена данными» Вопросы темы: 1. Удаленный доступ. Виды коммутируемых линий. 2. Основные понятия и виды виртуальных частных.
ЗАО "НТЦ КОНТАКТ"1 Криптографические методы как часть общей системы защиты информации.
Виртуальные частные сети. Организация VPN через общую сеть Центральный офис Филиал 2 Филиал 1 Internet Мобильный сотрудник Сеть другого предприятия.
Стандартизация сетевого взаимодействия СТАНДАРТИЗАЦИЯ ПРОЦЕДУР: - выделения и освобождения ресурсов компьютеров, линий связи и коммуникационного оборудования;
IPS EC VPN Презентацию подготовил Сысоев Егор. Ч ТО ОБЕСПЕЧИВАЕТ IPS EC ? Конфиденциальность Целостность Аутентификация Безопасный ключевой обмен.
Виртуальные частные сети. Истинная частная сеть Центральный офис Филиал Собственный закрытый канал связи.
Разграничение доступа к информационным сетям с помощью групповых политик и IPSec.
КОМПЬЮТЕРНЫЕ СЕТИ Лекция 18 Защита информации в сетях. Шифрация данных. Защита соединений. Классификация атак Санкт-Петербург, 2012 Александр Масальских.
Криптографический шлюз К -. ИНФОРМЗАЩИТА НАУЧНО-ИНЖЕНЕРНОЕ ПРЕДПРИЯТИЕ Технологию объединения локальных сетей и отдельных компьютеров через открытую внешнюю.
Слайд 161 Беспроводные сети У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Раздел 2 – Тема 6.
Транксрипт:

Протокол IPSec (RFC 2401)

Семейство протоколов IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet Key Exchange (IKE) Аутентификация Контроль целостности Аутентификация Контроль целостности Шифрование Согласование алгоритмов шифрования Обмен ключами

Защищённый канал IPSec Конфиденциальная информация Узел А Узел В

Безопасная ассоциация IPSec Узел АУзел В 32-разрядный индекс (SPI) IP- адрес узла назначения Идентификатор протокола защиты (АН или ESP) SA SA

Безопасная ассоциация IPSec Узел А Узел В Базы данных SA SAD SAD SAD SAD

Схемы применения IPSec Узел АУзел В Схема узел-узел (точка-точка) Internet/ Intranet

Схемы применения IPSec Узел АУзел В Схема шлюз-шлюз Internet/ Intranet

Схемы применения IPSec Узел АУзел В Смешанная схема (вариант 1) Internet/ Intranet

Схемы применения IPSec Узел АУзел В Смешанная схема (вариант 2) Internet Intranet

Режимы работы IPSec Транспортный режим Туннельный режим Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Новый Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Заголовок IP

Базы данных IPSec Узел А Базы данных SAD и SPD SPDSPDSPDSPD SPDSPDSPDSPD SAD SAD

База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика

База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика IP-пакет может быть: отброшен пропущен с применением IPSec пропущен без применения IPSec

База данных SPD Узел А SPDSPDSPDSPD SPDSPDSPDSPD Селектор Политика Селектор Политика Селектор IP-адрес получателя IP-адрес отправителя Протокол (TCP или UDP) Имя FQDN или X.500 Порт отправителя Порт получателя

База данных SAD Узел А SAD SADSADSADSAD Параметры SA1 Параметры SA2 Текущие безопасные ассоциации (SA)

Пример работы IPSec Сеть 1Сеть 2 Internet/ Intranet SA1 Отправитель Получатель

Пример работы IPSec Сеть 1 Отправитель Отправка пакета IP-дейтаграмма SPD (исходящая) Селектор Политика Селектор Политика Параметры SA1 Параметры SA2 SAD (исходящая) SA1

Пример работы IPSec Сеть 2SA1 Получатель Получение пакета Параметры SA1 Параметры SA2 SAD (входящая) SPD (входящая) Селектор Политика Селектор Политика

Протокол АН Заголовок IPЗаголовок AHДанные Заголовок ТСP Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина)

Протокол АН Заголовок IPЗаголовок AHДанные Заголовок ТСP Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Next Header

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Payload Len Длина

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SPI Метка безопасной ассоциации

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле SN Наращивается для каждого следующего пакета

Протокол АН Next HeaderPayload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)

Протокол ESP Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Security Parametrs Index (SPI) Sequence Number (SN) Заголовок ESP часть 2 Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Зашифровано

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Метка безопасной ассоциации Поле SPI

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле SN Наращивается для каждого следующего пакета

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле заполнителя Для правильной работы алгоритмов шифрования Для намеренного искажения размера пакета

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле длины заполнителя Длина заполнителя в байтах

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Next Header Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Заголовок ESP часть 2

Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)

Протокол IKE Безопасная ассоциация Security Association 32-разрядный индекс SPI IP- адрес узла назначения идентификатор протокола защиты (АН или ESP) Безопасная ассоциация

Протокол IKE Установление защищенного соединения для процедуры обмена (IKE SA) Согласование всех параметров, ассоциируемых с общим каналом SA Этапы функционирования протокола IKE Фаза 1 Фаза 2

Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig[Cert]ID SA КлючNonce SigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок

Протокол IKE (фаза 1) Initiator Cookie SA Vendor ID 1

Протокол IKE (фаза 1) Responder Cookie SA Vendor ID 2

Протокол IKE (фаза 1) Открытый ключ Случайное число Запрос сертификата 3

Протокол IKE (фаза 1) Открытый ключ Случайное число Запрос сертификата 4

Протокол IKE (фаза 1) ID 5 В нескольких пакетах

Протокол IKE (фаза 1) ID 6 В нескольких пакетах

Протокол IKE Быстрый режим установления канала IKE SA Nonce Ключ Sig[Cert] IDSA КлючNonceSigID[Cert] Инициирующая сторона Отвечающая сторона Заголовок SA 1 3 2

Протокол IKE Согласование параметров канала SA Индекс SPI IP- адрес АН или ESP Индекс SPI IP-адрес АН или ESP

Практическая работа 7 Настройка IPSec Настройка IPSec средствами ОС Windows 2000