Содержание
-
Протокол IPSec
(RFC 2401)
-
Семейство протоколов IPSec Протокол Authentication Header (AH) Протокол Encapsulated Security Payload (ESP) Протокол Internet Key Exchange (IKE) Аутентификация Контроль целостности Аутентификация Контроль целостности Шифрование Согласование алгоритмов шифрования Обмен ключами
-
Защищённый канал IPSec Конфиденциальная информация Узел А Узел В
-
Безопасная ассоциация IPSec Узел А Узел В 32-разрядный индекс (SPI) IP- адрес узла назначения Идентификатор протокола защиты (АН или ESP) SA SA
-
Безопасная ассоциация IPSec Узел А Узел В Базы данных SA SAD SAD SAD SAD
-
Схемы применения IPSec Узел А Узел В Схема узел-узел (точка-точка) Internet/ Intranet
-
Схемы применения IPSec Узел А Узел В Схема шлюз-шлюз Internet/ Intranet
-
Схемы применения IPSec Узел А Узел В Смешанная схема (вариант 1) Internet/ Intranet
-
Схемы применения IPSec Узел А Узел В Смешанная схема (вариант 2) Internet Intranet
-
Режимы работы IPSec Транспортный режим Туннельный режим Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Новый Заголовок IP Заголовки AH или ESP Заголовки верхних уровней Заголовок IP
-
Базы данных IPSec Узел А Базы данных SAD и SPD SPD SPD SAD SAD
-
База данных SPD Узел А SPD SPD Селектор Политика Селектор Политика
-
База данных SPD Узел А SPD SPD Селектор Политика Селектор Политика IP-пакет может быть: отброшен пропущен с применениемIPSec пропущен без примененияIPSec
-
База данных SPD Узел А SPD SPD Селектор Политика Селектор Политика Селектор IP-адрес получателя IP-адрес отправителя Протокол (TCP или UDP) Имя FQDN или X.500 Порт отправителя Порт получателя
-
База данных SAD Узел А SAD SAD Параметры SA1 Параметры SA2 Текущие безопасные ассоциации (SA)
-
Пример работы IPSec Сеть 1 Сеть 2 Internet/ Intranet SA1 Отправитель Получатель
-
Пример работы IPSec Сеть 1 Отправитель Отправка пакета IP-датаграмма SPD (исходящая) Селектор Политика Селектор Политика Параметры SA1 Параметры SA2 SAD (исходящая) SA1
-
Пример работы IPSec Сеть 2 SA1 Получатель Получение пакета Параметры SA1 Параметры SA2 SAD (входящая) SPD (входящая) Селектор Политика Селектор Политика
-
Протокол АН Заголовок IP Заголовок AH Данные Заголовок ТСP Next Header Payload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 31
-
Протокол АН Заголовок IP Заголовок AH Данные Заголовок ТСP Next Header Payload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 31 Поле Next Header
-
Протокол АН NextHeader Payload Len Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 31 Поле Payload Len Длина
-
Протокол АН NextHeader PayloadLen Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 31 Поле SPI Метка безопасной ассоциации
-
Протокол АН NextHeader PayloadLen Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 31 Поле SN Наращивается для каждого следующего пакета
-
Протокол АН NextHeader PayloadLen Зарезервировано Security Parameters Index (SPI) Sequence Number (SN) Authentication Data (переменная длина) 0 8 16 31 Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)
-
Протокол ESP Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Security Parametrs Index (SPI) Sequence Number (SN) Заголовок ESP часть 2 Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header 0 8 16 31 Зашифровано
-
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header 0 8 16 31 Метка безопасной ассоциации Поле SPI
-
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header 0 8 16 31 Поле SN Наращивается для каждого следующего пакета
-
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header 0 8 16 31 Поле заполнителя Для правильной работы алгоритмов шифрования Для намеренного искажения размера пакета
-
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header 0 8 16 31 Поле длины заполнителя Длина заполнителя в байтах
-
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header 0 8 16 31 Поле Next Header Заголовок IP Заголовок ESP часть 1 Данные Заголовок ТСP Заголовок ESP часть 2
-
Протокол ESP Security Parametrs Index (SPI) Sequence Number (SN) Данные (переменная длина) Заполнитель (0-255 байт) Authentication Data (переменная длина) Длина заполнителя Next Header 0 8 16 31 Поле Authentication Data хэш-функция (содержимое пакета, симметричный секретный ключ)
-
Протокол IKE Безопасная ассоциация SecurityAssociation 32-разрядный индекс SPI IP- адрес узла назначения идентификатор протокола защиты (АН или ESP) Безопасная ассоциация
-
Протокол IKE Установление защищенного соединения для процедуры обмена (IKE SA) Согласование всех параметров, ассоциируемых с общим каналом SA Этапы функционирования протокола IKE Фаза 1 Фаза 2
-
Протокол IKE (фаза 1) Основной режим установления канала IKE SA SA Заголовок Nonce Ключ Sig [Cert] ID SA Ключ Nonce Sig ID [Cert] Инициирующая сторона Отвечающая сторона Заголовок Заголовок Заголовок Заголовок Заголовок 1 3 5 2 4 6
-
Протокол IKE (фаза 1) Initiator Cookie SA Vendor ID 1
-
Протокол IKE (фаза 1) Responder Cookie SA Vendor ID 2
-
Протокол IKE (фаза 1) Открытый ключ Случайное число Запрос сертификата 3
-
Протокол IKE (фаза 1) Открытый ключ Случайное число Запрос сертификата 4
-
Протокол IKE (фаза 1) ID 5 В нескольких пакетах
-
Протокол IKE (фаза 1) ID 6 В нескольких пакетах
-
Протокол IKE Быстрый режим установления канала IKE SA Nonce Ключ Sig [Cert] ID SA Ключ Nonce Sig ID [Cert] Инициирующая сторона Отвечающая сторона Заголовок Заголовок Заголовок SA 1 3 2
-
Протокол IKE Согласование параметров канала SA Индекс SPI IP- адрес АН или ESP Индекс SPI IP-адрес АН или ESP
-
Практическая работа 7 Настройка IPSec Настройка IPSec средствами ОС Windows 2000
Нет комментариев для данной презентации
Помогите другим пользователям — будьте первым, кто поделится своим мнением об этой презентации.