База данных Безопасной Ассоциации (SAD)

В IPsec существует База Данных Безопасных Ассоциаций, в которой каждая запись определяет параметры, связанные с конкретной SA. Соответственно, каждая SA имеет запись в SAD. Для выходящей обработки записи ссылаются на записи в SPD. Для входящей обработки каждая запись в SAD индексируется IP адресом назначения, типом протокола IPsec и SPI.

Ассоциация SA является однонаправленной, поэтому для двусторонней связи нужно устанавливать две SA, по одной для каждого направления. Как правило, в обоих случаях политика остается той же самой, но существует возможность и для асимметричной политики в разных направлениях. Согласование SA про­водится через ISAKMP. Кроме того, SA могут определяться вручную. На рисунке 1 показан процесс со­гласования через ISAKMP, который происходит, когда на маршрутизатор поступает пакет, предназна­ченный для межсетевого экрана предприятия.

Рис.1. Согласование SA через ISAKMP.

После согласования SA принимается решение о том, следует ли использовать средства аутентификации, конфиденциальности и целостности данных или ограничиться только аутентификацией. Если использо­ваться будут только средства аутентификации, текущий стандарт предполагает применение хэш-функ­ции, а точнее алгоритма не ниже MD5 с 128-разрядными ключами. Заголовок пакета и данные пропуска­ются через хэш-функцию, и результаты этого вычисления вводятся в специальное поле заголовка АН, как показано на рисунке 2.

Новый пакет с аутентификационным заголовком, расположенным между заголовком IP и данными, отправляется через маршрутизатор в пункт назначения. Когда этот пакет попадает на межсетевой экран, который проверяет его аутентичность, вычисляя хэш с помощью хэш-функции, указанной в SA, обе стороны должны использовать одни и те же хэш-функции. Как показано на рисунке 3, межсетевой экран сравнивает вычисленный им хэш с параметрами, указанными в соответствующем поле АН. Если эти величины совпадают, аутентичность и целостность данных считается доказанной (если пакет передан из удаленной точки и при передаче не был искажен ни один бит).

Рис.2. Создание нового аутентификационного заголовка IP.

Рис.3. проверка аутентичности и целостности данных.

Если стороны пожелают использовать средства поддержки конфиденци­альности, SA указывает, что весь трафик, поступающий из удаленного маршрутизатора на межсетевой экран предприятия, должен аутентифицироваться и шифроваться. В противном случае межсетевой экран его не пропустит. ESP поддерживает аутентификацию, целостность и конфиденциальность данных и работает в двух режимах: туннельном и транспортном, как показано на рисунках 4 и 5.

Рис.4. Туннельный режим ESP.

Рис.5. Транспортный режим ESP.

В туннельном режиме вся датаграмма IP, заголовок IP и данные встраиваются в заголовок ESP. В транс­портном режиме шифруются только данные, а заголовок IP передается в незашифрованном виде. Совре­менные стандарты требуют использования DES в режиме цепочки зашифрованных блоков (СВС).

Преимущества поддержки безопасности на сетевом уровне с помощью IPSec включают:

§ поддержку совершенно немодифицированных конечных систем, хотя в этом случае шифрование нельзя назвать в полном смысле слова сквозным (end-to-end);

§ частичную поддержку виртуальных частных сетей (VPN) в незащищенных сетях;

§ поддержку транспортных протоколов, иных, чем TCP (например, UDP);

§ защиту заголовков транспортного уровня от перехвата и, следовательно, более надежную защиту от анализа трафика;

§ при использовании АН и средств обнаружения повторяющихся операций обеспечивается защита от атак типа «отказ от обслуживания», основанных на «затоплении» систем ненужной информацией (например, от атак TCP SYN).