|
IPSEC protokollari o'rtasida funktsiyalarni taqsimlash
|
| bet | 20/22 | | Sana | 21.05.2024 | | Hajmi | 294,06 Kb. | | #247555 |
Bog'liq Ipsec qanday port. Ipsec protokollar. Chiqish ip paketlariniIPSEC protokollari o'rtasida funktsiyalarni taqsimlash
IPSec yadrosi uchta protokoldan iborat: Autentifikatsiya sarlavhasi (AH), Encapsulation Security Payload (ESP) va Internet Key Exchange (IKE). Xavfsiz kanalni saqlash funktsiyalari ushbu protokollar o'rtasida quyidagicha taqsimlanadi:
aH protokoli ma'lumotlarning yaxlitligi va haqiqiyligini kafolatlaydi;
eSP uzatilayotgan ma'lumotlarni shifrlaydi, bu maxfiylikni kafolatlaydi, lekin u autentifikatsiya va ma'lumotlar yaxlitligini qo'llab-quvvatlaydi;
iKE autentifikatsiya va ma'lumotlarni shifrlash protokollarining ishlashi uchun zarur bo'lgan shaxsiy kalitlar bilan kanalning so'nggi nuqtalarini avtomatik ravishda ta'minlashning ikkinchi darajali muammosini hal qiladi.
Funktsiyalarning qisqacha tavsifidan ko'rinib turibdiki, AH va ESP protokollarining imkoniyatlari qisman bir-biriga mos keladi. AH protokoli faqat ma'lumotlarning yaxlitligi va autentifikatsiyasini ta'minlash uchun javobgardir, ESP protokoli esa ancha kuchli, chunki u ma'lumotlarni shifrlashi va qo'shimcha ravishda AH protokolining funktsiyalarini bajarishi mumkin (garchi, bundan keyin ko'rib chiqamiz, u biroz qisqartirilgan shaklda autentifikatsiya va yaxlitlikni ta'minlaydi) ). ESP har qanday kombinatsiyani, ya'ni ikkalasini ham, autentifikatsiya / yaxlitlikni yoki faqat shifrlashni ham shifrlash va autentifikatsiya / yaxlitlik funktsiyalarini qo'llab-quvvatlaydi.
Maxfiy kalitlardan foydalanadigan har qanday nosimmetrik shifrlash algoritmi IPSec-da ma'lumotlarni shifrlash uchun ishlatilishi mumkin. Ma'lumotlarning yaxlitligi va autentifikatsiyasi, shuningdek, shifrlash usullaridan biriga asoslangan - hash funktsiyasi yoki hazm qilish funktsiyasi deb ataladigan bir tomonlama funktsiyadan foydalangan holda shifrlash.
Ushbu funktsiya shifrlangan ma'lumotlarga nisbatan qo'llanilganda, oz miqdordagi baytlarning yig'indisi qiymatiga olib keladi. Xazm ma'lumot to'plami asl xabar bilan birga IP-paketda yuboriladi. Qabul qiluvchilar hazmni tuzishda qaysi bir tomonlama shifrlash funktsiyasi ishlatilganligini bilib, asl xabardan foydalanib qayta hisoblab chiqadilar. Agar olingan va hisoblangan hazm qiymatlari bir xil bo'lsa, bu uzatish paytida paket tarkibidagi o'zgarishlarga duch kelmaganligini anglatadi. Ma'ruza ma'lumotlari asl xabarni tiklashga imkon bermaydi va shuning uchun uni himoya qilish uchun ishlatib bo'lmaydi, ammo bu ma'lumotlar yaxlitligini tekshirishga imkon beradi.
Xazm - bu asl xabarni tekshirishning o'ziga xos turi. Shu bilan birga, sezilarli farq bor. Tekshirish summasi ishonchsiz aloqa liniyalari bo'yicha uzatiladigan xabarlarning yaxlitligini tekshirish vositasidir va zararli faoliyat bilan kurashish uchun mo'ljallanmagan. Haqiqatan ham, uzatiladigan paketda chex summasi mavjudligi buzg'unchi unga yangi cheksum qiymatini qo'shib, asl xabarni buzishiga yo'l qo'ymaydi. Tekshirish summasidan farqli o'laroq, maxfiy kalit hazmni hisoblash uchun ishlatiladi. Agar faqat jo'natuvchi va qabul qiluvchiga ma'lum bo'lgan parametrga ega bo'lgan bir tomonlama funktsiya (maxfiy kalit) ishlatilgan bo'lsa, dastlabki xabarning har qanday o'zgarishi darhol aniqlanadi.
AH va ESP protokollari o'rtasida xavfsizlik funktsiyalarining bo'linishi ko'p mamlakatlarda shifrlash orqali ma'lumotlarning maxfiyligini ta'minlovchi vositalarni eksport qilish va / yoki olib kirishni cheklash amaliyoti bilan bog'liq. Ushbu ikkita protokollarning har biri mustaqil ravishda va ikkinchisi bilan bir vaqtda ishlatilishi mumkin, shuning uchun mavjud cheklovlar tufayli shifrlashdan foydalanib bo'lmaydigan holatlarda tizim faqat AH protokoli bilan ta'minlanishi mumkin. Tabiiyki, faqat AH protokoli yordamida ma'lumotlarni himoya qilish etarli emas, chunki bu holda qabul qiluvchi tomon faqat ma'lumotlar kutilgan aniq tugun orqali yuborilganiga va u joylashgan shaklga kelganiga ishonch hosil qiladi. yuborilgan. AH protokoli ma'lumotlar trafigi bo'ylab ruxsatsiz ko'rishdan himoya qila olmaydi, chunki u shifrlamaydi. Ma'lumotni shifrlash uchun siz ularning yaxlitligi va haqiqiyligini tekshirishingiz mumkin bo'lgan ESP protokolidan foydalanishingiz kerak.
|
| |
