Компьютерные сети. Принципы, технологии, протоколы (Олифер, Олифер) - страница 761
Для обеспечения совместимости в стандартной версии IPsec определен некоторый обязательный «инструментальный» набор, в частности для аутентификации данных всегда может быть использована одна из стандартных дайджест-функций MD5 либо SHA-1, а в число алгоритмов шифрования непременно входит DES. При этом производители продуктов, в которых используется IPSec, вольны расширять протокол путем включения других алгоритмов аутентификации и симметричного шифрования, что они с успехом и делают. Например, многие реализации IPSec поддерживают популярный алгоритм шифрования Triple DES, а также сравнительно новые алгоритмы: Blowfish, Cast, CDMF, Idea, RC5.
 |
| Рис. 24.30. Согласование параметров в протоколе ESP |
Протоколы АН и ESP могут защищать данные а двух режимах: транспортном и туннельном.
, &*РА1^прртном^ через сеть выполняется с помощью оригинального
- исходный пакет помещается в новый IP-пакет;
и передача данных по сети выполняется на основании заголовка нового !Р-пакета.
Применение того или иного режима зависит от требований, предъявляемых к защите данных, а также от роли, которую играет в сети узел, завершающий защищенный канал. Так, узел может быть хостом (конечным узлом) или шлюзом (промежуточным узлом). Соответственно, имеются три схемы применения протокола IPSec:
□ хост-хост;
□ шлюз-шлюз;
□ хост-шлюз.
В схеме хост-хост защищенный канал, или, что в данном контексте одно и то же, безопасная ассоциация,^устанавливается между двумя конечными узлами сети (см. рис. 24.29). Тогда протокол IPSec работает на конечных узлах и защищает данные, передаваемые от хоста 1 к хосту 2. Для схемы хост-хост чаще всего используется транспортный режим защиты.
В соответствии со схемой шлюз-шлюз защищенный канал устанавливается между двумя промежуточными узлами, так называемыми шлюзами безопасности (Security Gateway, SG), на каждом из которых работает протокол IPSec (рис. 24.31). Защищенный обмен данными может происжодить между любыми двумя конечными узлами, подключенными к сетям, которые расположены позади шлюзов безопасности. От конечных узлов поддержка протокола IPSec не требуется, они передают свой трафик в незащищенном виде через заслуживающие доверие внутренние сети предприятий. Трафик, направляемый в общедоступную сеть, проходит через шлюз безопасности, который и обеспечивает его защиту с помощью протокола IPSec. Шлюзам доступен только туннельный режим работы.
 |
| Зашифрованный Заголовок Новый исходный пакет IPSec заголовок IPРис. 24.31. Работа защищенного канала по схеме шлюз-шлюз в туннельном режиме |