Page 130 - 4784
P. 130
мережевому рівні і вимагає підтримки стандарту IPSec тільки від
людей, що спілкуються між собою через пристрої по обидві сторони
з'єднання. Усі інші пристрої, розташовані між ними, просто
забезпечують трафік IP-пакетів.
Спосіб взаємодії осіб, що використовують технологію IPSec,
прийнято визначати терміном «захищена асоціація» - Security
Association (SA). Захищена асоціація функціонує на основі угоди,
укладеної сторонами, які користуються засобами IPSec для захисту
переданої одна одній інформації. Ця угода регулює декілька
параметрів: IP-адреси відправника та одержувача, криптографічний
алгоритм, порядок обміну ключами, розміри ключів, термін служби
ключів, алгоритм аутентифікації.
IPSec - це узгоджений набір відкритих стандартів, має ядро,
яке може бути досить просто доповнено новими функціями і
протоколами. Ядро IPSec складають три протоколи:
АН або Authentication Header - заголовок аутентифікації -
гарантує цілісність і автентичність даних. Основне призначення
протоколу АН - він дозволяє приймальній стороні переконатися, що:
1. Пакет був відправлений стороною, з якою встановлена
безпечна асоціація;
2. Вміст пакету не було спотворено в процесі його передачі
по мережі;
3. Пакет не є дублікатом вже отриманого пакета.
Дві перші функції обов'язкові для протоколу АН, а остання
вибирається при встановленні асоціації за бажанням. Для виконання
цих функцій протокол АН використовує спеціальний заголовок.
Його структура розглядається за такою схемою:
1. У полі наступного заголовку (next header) вказується код
протоколу більш високого рівня, тобто протоколу, повідомлення
якого розміщено на полі даних IP-пакета.
2. У поле довжини корисного навантаження (payload length)
міститься довжина заголовка АН.
3. Індекс параметрів безпеки (Security Parameters Index, SPI)
використовується для зв'язку пакету з передбаченою для нього
безпечною асоціацією.
4. Полепорядкового номера (Sequence Number, SN) вказує на
порядковий номер пакету і застосовується для захисту від його
128
