HMAS yordamida ESP shifrlash
ESP qo'shimcha ravishda autentifikatsiya maydoni bilan paketlarni autentifikatsiya qilishi mumkin. Cisco IOS dasturiy ta'minotida va PIX xavfsizlik devorlarida bu xizmat ESP HMAC deb nomlanadi. Autentifikatsiya qiymatlari shifrlash bajarilgandan keyin hisoblanadi. Bugungi kunda ishlatiladigan IPSec standarti SHA1 va MD5 algoritmlarini HMAS uchun majburiy deb tavsiflaydi.
ESP autentifikatsiyasi va AH autentifikatsiyasi o'rtasidagi asosiy farq ularning qamrovida. ESP hech qanday IP sarlavha maydonlarini himoya qilmaydi, agar ESP-ni kapsülasyonu (tunnel rejimi) mo'ljallangan bo'lmasa. Rasmda ESP HMAC-dan foydalanishda qaysi maydonlar himoyalanganligi ko'rsatilgan.
Shuni esda tutingki, shifrlash faqat yuklangan ma'lumotni qamrab oladi va HMAC ESP hashingli ESP ESP sarlavhasi va yuklanish ma'lumotlarini qamrab oladi. IP sarlavhasi himoyalanmagan. ESP HMAS xizmatidan mustaqil ravishda foydalanib bo'lmaydi, lekin uni ESP shifrlash protokoli bilan birlashtirish kerak.
IPSec tunnel va transport usullari
IPSec tunnel yoki transport rejimida ishlaydi. Rasmda tunnel rejimini amalga oshirish sxemasi ko'rsatilgan. Ushbu rejimda barcha asl IP ma'lumotlar diagrammasi shifrlangan va yangi IP sarlavhasi va ixtiyoriy IPSec sarlavhasi bo'lgan yangi IP paketida yukga aylanadi (rasmda, sarlavha HDR deb qisqartirilgan). Tunnel rejimi tarmoq qurilmasiga (masalan, PIX xavfsizlik devori) IPSec shlyuzi yoki proksi-server vazifasini bajarishga imkon beradi, bu xavfsizlik devori orqasidagi xostlarni shifrlashni ta'minlaydi. Manba yo'riqnoma paketni shifrlaydi va uni IPSec tunneli orqali uzatadi. Belgilangan PIX Xavfsizlik devori qabul qilingan IPSec paketini shifrlaydi, asl IP ma'lumotlar sxemasini chiqarib oladi va uni maqsad tizimiga uzatadi. Tunnel rejimining asosiy afzalligi shundaki, IPSec-dan foydalanish uchun so'nggi tizimlarni o'zgartirish kerak emas. Tunnel rejimi shuningdek, dushmanga ma'lumot oqimini tahlil qilishiga to'sqinlik qiladi. Tunnel rejimida almashish paytida, raqib faqat tunnelning so'nggi nuqtalarini aniqlash imkoniyatiga ega, ammo tunnel orqali o'tadigan paketlarning haqiqiy manbai va manzilini, hatto tunnelning so'nggi nuqtalari manba va maqsad tizimlarida joylashgan bo'lsa ham.
Quyidagi rasmdagi diagramma transport rejimini ko'rsatadi. Bu erda faqat IP yuk yuki shifrlangan va asl IP sarlavhasi saqlanib qoladi.
IPSec sarlavhasi qo'shilgan. Ushbu rejimning afzalligi shundaki, har bir paketga atigi bir necha bayt qo'shiladi. Bundan tashqari, ochiq tarmoq qurilmalari paketning haqiqiy manbai va manzil manzillarini ko'rishlari mumkin.
Bu IP sarlavhasidagi ma'lumotlarga asoslanib, oraliq tarmoqlarning maxsus xususiyatlaridan (masalan, kafolatlangan xizmat sifati) foydalanishga imkon beradi. Biroq, Layer 4 sarlavhasi shifrlangan, bu paketni tahlil qilish imkoniyatini cheklaydi. Afsuski, IP sarlavhasini o'tkazish ochiq shakl transport rejimida tajovuzkor ma'lum bir darajada ma'lumot oqimini tahlil qilishga imkon beradi. Masalan, tajovuzkor transport rejimida ishlaydigan IPSec partiyalari tomonidan qancha paketlar uzatilishini bilib olishi mumkin. Ammo tajovuzkor faqat IP-paketlar yuborilganligini bilib olishi mumkin. U ular xabar bo'lganmi yoki yo'qligini aniqlay olmaydi elektron pochta yoki ESP protokoli ishlatilgan bo'lsa, boshqa dastur.
|