Эти действия повлекут изменения в методах проверки подлинности и повысят уровень безопасности при установлении сеансов защищенных соединений.

Отметим, что IPSec предполагает два варианта сетевого соединения: транспортный и туннельный.

При транспортном – заголовок IP-пакета (в том числе и IP-адрес) не изменяются. Заголовок IPSec вставляется между заголовком IP и остальными заголовками или, соответственно, данными. При таком способе передачи изменения затрагивают только транспортный уровень пакета IP, а собственно данные пакета смогут быть аутентифицированы и/или зашифрованы.

При туннельном варианте изменяется весь пакет IP. Защита распространяется на заголовок IP и данные, причем вместо исходного создается новый заголовок IP с другими IP-адресами.

В данной статье описывается наиболее простой – транспортный вариант использования IPSec.

Для случая, если защищенный трафик должен проходить через сервер NAT (Network Address Translation), который производит замену IP-адресации, то необходимо отказаться от использования протокола AH и задействовать только протокол ESP.

Дальнейшим усилением VPN может быть использование Layer Two Tunneling Protocol (L2TP) – протокола туннелирования второго уровня. В данном случае настройки предполагаются более сложные по схеме защищенной связи:

клиент<->сервер <-> сервер<->клиент

При установлении сеанса L2TP происходят следующие действия:

n  Если клиент связывается с туннельным сервером VPN, используя тип подключения, определенный как L2TP, клиент автоматически создает политику IPSec, если она еще не установлена для данного клиента.

n  Если политика IPSec уже создана, протокол L2TP просто внедряет правило безопасности, которое защищает весь трафик. При этом используются настройки безопасности, которые определены с помощью имеющейся политики. Если для системы не установлены политики IPSec, протокол L2TP создает собственное правило безопасности IPSec. В этом случае IPSec фильтрует трафик и приводит к установке соглашения по обмену ключей.

n  Устанавливается туннельное соглашение L2TP, вследствие чего IPSec защищает трафик туннельного контроля, а также данные, передаваемые с помощью этого туннеля. С помощью идентификатора и пароля пользователя протокол L2TP производит аутентификацию сервера VPN. При использовании смарт-карты производится аутентификация на основе сертификата.

В печати недавно появилась информация о том, что в США под эгидой АНБ ведутся работы по развитию протокола IPSec High-Assurance Internet Protocol Encryption (HAIPE). HAIPE позволяет выполнять обмен ключами между системами, применяющими разные алгоритмы шифрования. Как отмечают специалисты, цель разработки HAIPE – обеспечение возможности обмена алгоритмами шифрования между различными программными и аппаратными криптосистемами.

Глоссарий

Криптография – область защиты информации, в которой рассматриваются вопросы создания алгоритмов шифрования, электронной цифровой подписи, хэширования, выработки имито-вставки и т. п. с целью обеспечения гарантий секретности и/или достоверности сообщений.

Функция хэширования – действие функции хэширования заключается в сопоставлении произвольного набора данных в виде последовательности двоичных символов и его образа фиксированной небольшой длины, что позволяет использовать эту функцию в процедурах электронной цифровой подписи для сокращения времени подписи и проверки подписи. Эффект сокращения времени достигается за счет вычисления подписи только под образцом подписываемого набора данных.

Pretty Good Privacy (PGP) – дословный перевод «Довольно хорошая секретность». Пакет программ, первоначально разработанный Филлипом Циммерманом (Phillip Zimmerman), представляющий собой систему шифрования с открытым ключом. Ее последняя версия основана на запатентованной технологии RSA.

Virtual Private Network (VPN) – виртуальная частная сеть представляет собой туннель поверх общедоступной сетевой инфраструктуры, такой как Интернет. VPN – защищенное сетевое соединение, при котором туннелируется зашифрованный сетевой трафик.

Kerberos – протокол безопасной аутентификации промышленного стандарта, подходящий для распределённых вычислений через общедоступные сети. Описан в RFC1510 (1993 год). Протокол аутентификации реализован в Windows 2000. У Kerberos несколько преимуществ, наиболее важное из которых, вероятно, возможность перепоручать аутентификацию другим компьютерам, также поддерживающим Kerberos, даже тем, которые работают под управлением других операционных систем. Это облегчает наращивание веб-сайта с использованием разных машин веб-серверов и серверов базы данных. Предыдущие решения, такие как реализация всех служб на одной машине, выполнение всех клиентских запросов в едином контексте защиты или жесткое программирование передачи функций защиты в файлах скриптов, не способствовали усилению архитектуры защиты.