Распределение функций между протоколами IPSec

Протокол IPSec — называют в стандартах Интернета системой. Действительно, IPSec — это согласованный набор открытых стандартов, имеющий сегодня впол­не очерченное ядро, которое в то же время может быть достаточно просто допол­нено новыми функциями и протоколами.

Ядро IPSec составляют три протокола:

□ АН (Authentication Header — заголовок аутентификации) — гарантирует це­лостность и аутентичность данных;

□ ESP (Encapsulating Security Payload — инкапсуляция зашифрованных данных) — шифрует передаваемые данные, обеспечивая конфиденциальность, может также поддерживать аутентификацию и целостность данных;

□ IKE (Internet Key Exchange — обмен ключами Интернета) — решает вспомо­гательную задачу автоматического предоставления конечным точкам защи­щенного канала секретных ключей, необходимых для работы протоколов аутентификации и шифрования данных.

Как видно из краткого описания функций, возможности протоколов АН и ESP частично перекрываются (рис. 24.2). В то время как АН отвечает только за обес­печение целостности и аутентификации данных, ESP может шифровать данные и, кроме того, выполнять функции протокола АН (хотя, как увидим позднее, аутентификация и целостность обеспечиваются им в несколько урезанном виде). ESP может поддерживать функции шифрования и аутентификации/целостно­сти в любых комбинациях, то есть либо всю группу функций, либо только аутен­тификацию/целостность, либо только шифрование.

Разделение функций защиты между протоколами АН и ESP вызвано применяе­мой во многих странах практикой ограничения экспорта и/или импорта средств, обеспечивающих конфиденциальность данных путем шифрования. Каждый из этих протоколов может использоваться как самостоятельно, так и одновременно с другим, так что в тех случаях, когда шифрование из-за действующих ограниче­ний применять нельзя, систему можно поставлять только с протоколом АН. Ес­тественно, подобная защита данных во многих случаях оказывается недостаточной. Принимающая сторона в этом случае получает лишь возможность проверить, что данные были отправлены именно тем узлом, от которого они ожидаются, и дош­ли в том виде, в котором были отправлены. Однако от несанкционированного просмотра данных на пути их следования по сети протокол АН защитить не мо­жет, так как не шифрует их. Для шифрования данных необходим протокол ESP.