Page 132 - 4784
P. 132
2. В тунельному - вихідний пакет поміщається в новий IP-
пакет і передача ведеться з новими заголовками.
Застосування того чи іншого режиму залежить від вимог, що
пред'являються до захисту даних, а також від ролі, яку відіграє в
мережі вузол, завершальний захищений канал. Так, вузол може бути
хостом (кінцевим вузлом) або шлюзом (проміжним вузлом).
Відповідно, є три схеми застосування протоколу IPSec:
1. Хост-хост;
2. Шлюз-шлюз;
3. Хост-шлюз.
Можливості протоколів АН і ESP частково перекриваються:
протокол АН відповідає тільки за забезпечення цілісності та
аутентифікації даних, протокол ESP може шифрувати дані і, крім
того, виконувати функції протоколу АН (в урізаному вигляді). ESP
може підтримувати функції шифрування і аутентифікації/цілісності
в будь-яких комбінаціях, тобто або всю групу функцій, або лише
аутентифікацію/цілісність, або тільки шифрування.
IKE або Internet Key Exchange - обмін ключами Інтернету -
вирішує допоміжну задачу автоматичного надання кінцевим точкам
захищеного каналу секретних ключів, необхідних для роботи
протоколів аутентифікації і шифрування даних.
На транспортному рівні використовується протокол
SSL/TLS або Secure Socket Layer/Transport Layer Security, який
реалізує шифрування і аутентифікацію між транспортними рівнями
приймача і передавача. SSL/TLS може застосовуватися для захисту
трафіку TCP, не може застосовуватися для захисту трафіку UDP.
Для функціонування VPN на основі SSL/TLS немає необхідності в
реалізації спеціального програмного забезпечення так як кожен
браузер і поштовий клієнт оснащені цими протоколами. У силу того,
що SSL/TLS реалізується на транспортному рівні, захищене
з'єднання встановлюється «з-кінця-в-кінець».
TLS-протокол заснований на Netscape SSL-протоколі версії
3.0 і складається з двох частин - TLS Record Protocol і TLS
Handshake Protocol. Різниця між SSL 3.0 і TLS 1.0 незначні.
SSL/TLS включає в себе три основних фази:
1) Діалог між сторонами, метою якого є вибір алгоритму
шифрування.
130
