11.1. Характеристики безопасности
Аутентификация - процесс надежного определения подлинности поддерживающих связь компьютеров. Она основана на методах криптографии (Алгоритмы криптографии с помощью математических методов комбинируют входной открытый текст и ключ шифрования, в результате чего получаются зашифрованные данные).
Целостность- правильностьданных. Службы поддерживающие целостность, зашищают данные от несанкционированного изменения по пути их следования.
Конфиденциальность - гарантия, что данные будут раскрыты только тем получателем, которому они были предназначены.
Предотвращение повторного использования - гарантия того, что каждая посланная IP-датаграмма отличается от любой другой.
11.2. Алгоритмы шифрования
Безопасность IP в Windows использует следующие стандартные криптографические алгоритмы:
ü Методика Diffie-Helman (D-H). Процесс начинают два объекта, обменивающиеся общедоступной информацией. Затем каждый объект объединяет общую информацию другой стороны со своей собственной секретной информацией, чтобы сгенерировать секретное общедоступное сообщение.
ü Ко д аутентификации хешированного сообщения. Из цифровой копии кадра данных вычисляется хешированное значение. Если передаваемое сообщение изменилось по пути следования, то IP-пакет будет отброшен.
ü Стандарт шифрования DES. Генерируется случайное число, которое используется совместно с ключом для шифрования данных.
11.3 Протоколы безопасности
На базе протоколов безопасности реализуются различные службы, обеспечивающие безопасный обмен информацией по сети. Windows использует следующие протоколы безопасности:
ü Протокол ассоциаций безопасности и управления ключами Internet. Прежде чем IP- пакеты будут переданы от одного компьютера к другому, должна быть установлена ассоциация, или сопоставления, безоапсности(SA). SA-это набор ключей для для безопасных протоколов.
ü Oakley. Протокол определения ключей, который использует алгоритм обмена ключами.Он генерирует ключи, необходимые для безопасного обмена информацией.
ü Заголовок аунтефикации IP. Основан на некотором алгоритме вычисления ключевого кэшированного значения для каждого Ipпакета.
ü Протокол инкапсуляции безопасности (ESP). В дополнение к услугам предыдущего протокола обеспечивает конфиденциальность, используя алгоритм DEC-CBC.
IP-заголовок | EPS-заголовок | Прикладные данные | ESP-окончание | Аунтефикационная информация ESP |
Зашифрованные данные Подписанные данные
11.4 Архитектура безопасности IP
Механизм безопасности IP в Windows разработан для защиты любого сквозного соединения между двумя компьютерами. При сквозном соединении два осуществляющих связь компьютера поддерживают IP-безопасность на каждом конце соединения. Данные прикладной программы компьютера, начинающего связь, перед пересылкой по сети автоматически шифруются. На компьютере адресата данные также автоматически дешифруются-прежде, чем они будут переданы приложению получателю.
Шифрованные пакеты IP
Рисунок Архитектура безопасности IP вWindows.
Управление безопасностью IP в Windows допускает создание политики, определяющей тип и уровень безопасности, необходимые во время обмена информации:
ü Политика безопасности. Каждая конфигурацияатрибутов безопасности IP называется политикой безопасности.
ü Политика переговоров. Определяетслужбыбезопасности, используемые во время связи. Можно выбрать услуги, включающие конфиденциальность(ESP) или не обеспечивающие конфиденциальность (АН).
ü IP-фильтры. Определяют различные действия, зависящие от направления передачи IP-пакета, от типа применяемого IP-протокола (например,TCP или UDP) и от того, какие порты используются в соответствии с протоколом.
ü Драйвер безопасности IP(IPS-драйвер). Просматривает все пакеты на соответствие фильтру IP. Если он находит соответствие, то задерживает пакеты в очереди. Агент шифрует IP-пакеты и посылает их компьютеру-адресату.
Функционирование драйвера IPS.