Рабочий этап. После
создания IPsec SA начинается обмен информацией между узлами через IPsec-туннель, используются протоколы и параметры, установленные в SA.
Прекращают действовать
текущие IPsec SA. Это происходит при их удалении или при истечении времени жизни (определенное в SA в байтах информации, передаваемой через канал, или в секундах), значение которого содержится в SAD на каждом узле. Если требуется продолжить передачу, запускается фаза два IKE (если требуется, то и первая фаза) и далее создаются новые IPsec SA. Процесс создания новых SA может происходить и до завершения действия текущих, если требуется непрерывная передача данных.
3.1 Использование
Протокол IPsec используется, в
основном, для организации VPN-туннелей. В этом случае протоколы ESP и AH работают
в режиме туннелирования. Кроме того, настраивая
политики безопасности определенным образом,
протокол можно использовать для создания межсетевого
экрана. Смысл межсетевого экрана заключается
в том, что он контролирует и фильтрует
проходящие через него пакеты в соответствии
с заданными правилами. Устанавливается
набор правил, и экран просматривает все
проходящие через него пакеты. Если передаваемые
пакеты попадают под действие этих правил,
межсетевой экран обрабатывает их соответствующим
образом. [14]Например, он может отклонять
определенные пакеты, тем самым прекращая
небезопасные соединения. Настроив политику
безопасности соответствующим образом,
можно, например, запретить веб-трафик.
Для этого достаточно запретить отсылку
пакетов, в которые вкладываются сообщения
протоколов HTTP и HTTPS. IPsec можно применять и для защиты серверов —
для этого отбрасываются все пакеты, кроме
пакетов, необходимых для корректного
выполнения функций сервера. Например,
для Web-сервера можно блокировать весь
трафик, за исключением соединений через
80-й порт протокола TCP, или через порт TCP
443 в случаях, когда применяетсяHTTPS. Пример[15]:
IPsec_VPN
С помощью IPsec здесь обеспечивается
безопасный доступ пользователей к серверу.
При использовании протокола ESP, все обращения
к серверу и его ответы шифруются. Однако
за VPN шлюзом (в домене шифрования) передаются
открытые сообщения. Другие примеры использования
IPsec[16]:
шифрование трафика
между файловым сервером и компьютерами
в локальной сети, используя IPsec в транспортном режиме.
соединение двух офисов
с использованием IPsec в туннельном режиме.
ВЫВОДЫ
Большинство сетевых бизнес-коммуникаций
происходит между сервером и рабочими
станциями клиентов, и между рабочими
станциями в группе. Здесь же находится
самая большая внутренняя угроза безопасности
данных. Идентификация, целостность и
шифрование данных, реализованные в сетевых
адаптерах могли бы гарантировать защиту
передаваемых данных в локальных сетях
Традиционно большинство компаний и предприятий
строят свои межсетевые экраны и парольную
защиту своей сети от несанкционированного
доступа извне. Однако исследования показывают,
что большинство нарушений защит было
произведено внутри самих компаний, а
не извне (71% против 25%), и их число продолжает
увеличиваться. Вследствие интеллектуального
воровства предприятия несут огромные
убытки, и помимо внешней защиты появляется
необходимость создавать защиту локальных
сетей. Для эффективной безопасности передачи
данных внутри локальных сетей может быть
использован Internet Protocol Security (IPSec), который
доступен уже сейчас, как протокол защиты
локальных сетей.
IPSec обеспечивает превосходную защиту
локальной сети, однако процесс кодирования/декодирования
требует от ЦП интенсивных вычислений.
Если обработка этих процессов производится
на сервере, то это требует настолько много
вычислительной мощности ЦП, что эффективная
пропускная способность сервера может
снизиться с 100 Мбит/с до 20 Мбит/с. При этом
эффективность работы сервера и ПК пользователя
может снижаться, в то время как утилизация
ЦП возрастает, потому что процессоры
сосредоточены на кодировании, вместо
других функций, требуемых пользователям.
Разгрузка ЦП особенно важна для работы
сервера, потому что серверы получают
зашифрованныепакеты от многих рабочих
станций и должны тратить больше времени
на обработку, чем рабочая станция.
Для этого IPSec адаптер устанавливается
на каждый сервер и пользовательские рабочие
станции, которые будут частью защищенной
локальной сети.
IPSec выполняется на 3 уровне протокольного
стека, в результате этого он прозрачен
для приложений, в отличии от технологий
защиты, которые выполняются на других
уровнях. Это означает, что применение
протокола IPSec относительно недорого и
не требует изменения приложений и повторного
обучения пользователей.
ПЕРЕЧЕНЬ ССЫЛОК
1. Прикладная криптография. /Б. Шнайер.
- М.: Издательство ТРИУМФ,2002.
2. Основы криптографии: Учебное пособие.
/Алферов А.П., Зубов А.Ю., Кузьмин А.С. Черемушкин
А.В. - М.: Гелиос, 2001.
3. Атака через INTERNET / Медведовский И.Д.,
Семьянов П.В., Платонов В.В.; Под ред. проф.
Зегжды П.Д. - СПб: Мир и семья-95, 1998. - 296с.:
ил.
4. Защита информации в компьютерных системах
и сетях / Романец Ю.В., Тимофеев П.А., Шаньгин
В.Ф.; Под ред. В.Ф.Шаньгина. - М.: Радио и
связь, 1999.328с.
5.http://oradb1.jinr.dubna.su/Netscape/MISC/SSL.html
6.http://www.unixoid.spb.ru/Security/ssl2.html