Курс лекций "Сетевым технологиям"

• Клиент (Только ответ) [Client (Respond Only)] — компьютер использует IPSec, только если его запрашивает другой компьютер.
• Безопасность сервера (требовать безопасность) [Secure Server (Require Security)] — IPSec обязателен для всех коммуникаций. Обмен данными с компьютерами, на которых IPSec не применяется, запрещен.
• Сервер (запрос безопасности) [Server (Request Security)] — компьютер запрашивает использование IPSec для всех коммуникаций, но не требует его. Если на другом компьютере IPSec не активизирован, обмен данными все равно продолжается.

Рис. 8. Диалоговое окно IP-безопасность (IP Security)

Действие  IPSec, описанное выше, относится к транспортному режиму (transport mode), когда передаваемые в дейтаграмме данные верхних уровней защищены с помощью требования проверки подлинности и шифрования. Но IPSec способен также работать в режиме туннелирования (tunnel mode), используемом, например, в виртуальных частных сетях.

Обмен данными между двумя компьютерами с помощью виртуальной частной сети происходит так. Передающий компьютер генерирует обычную дейтаграмму и передает ее шлюзу (или маршрутизатору), через который осуществляется выход в Интернет. Шлюз, действующий в режиме туннелирования, инкапсулирует всю дейтаграмму (включая IP-заголовок) в другую дейтаграмму, а затем вся эта конструкция шифруется и аутентифицируется с помощью IPSec. Эта внешняя дейтаграмма играет роль защитного «туннеля», по которому данные верхних уровней перемещаются абсолютно безопасно. Пройдя по Интернету и достигнув шлюза, открывающего доступ к целевому компьютеру, внешняя дейтаграмма удаляется, а содержавшиеся внутри нее данные аутентифицируются и дешифруются. Затем шлюз передает исходную (незашифрованную) дейтаграмму целевой системе. При использовании соединения такого типа ни исходная, ни целевая системы поддерживать IPSec не должны.

Протокол  L2TP

В режиме туннелирования протоколу IPSec может оказывать содействие протокол L2TP (Layer 2 Tunneling Protocol), разработанный на основе протоколов Layer 2 Forwarding фирмы Cisco Systems и РРТР (Point-to-Point Tunneling Protocol) фирмы Microsoft и определенный соответствующим документом IETF. Протокол L2TP создает туннель, инкапсулируя кадры РРР в пакеты UDP. Даже если кадр РРР содержит ориентированные на соединение данные TCP, его можно передавать в дейтаграмме UDP, которая на соединение не ориентирована. В действительности кадр РРР может даже содержать данные протоколов IPX или NetBEUI.

Собственных возможностей для шифрования в протоколе  L2TP нет. Создавать туннель, не шифруя помещаемые в него данные, бессмысленно, поэтому L2TP использует возможности протокола ESP (IPSec) для инкапсуляции и шифрования всей дейтаграммы UDP с кадром РРР. Пакет, готовый к передаче по сети, выглядит так: исходные данные приложения инкапсулированы в кадр РРР, он в свою очередь инкапсулирован в кадр L2TP, дейтаграмму UDP, кадр ESP, дейтаграмму IP и, наконец, еще в один кадр РРР, который, собственно, и попадает в сеть.

Протокол  SSL

Протокол  SSL (Secure Sockets Layer) разработан специально для защиты данных, которыми обмениваются клиенты и серверы Web. Его поддерживают практически все современные Web-серверы и браузеры. Когда Вы обращаетесь к безопасному узлу Интернета, чтобы, например, купить что-то с помощью кредитной карточки, для обмена данными с сервером Ваш браузер, вероятно, использует SSL. В этом случае в адресной строке отображается не http://, a https://.

Подобно IPSec, SSL выполняет проверку подлинности и шифрование. За проверку подлинности отвечает протокол SSLHP (SSL Handshake Protocol), он также согласует метод, который будет использован для шифрования данных. Протокол SSLRP (SSL Record Protocol) упаковывает данные и готовит их к шифрованию. При подключении Web-браузера к безопасному серверу последний передает клиенту цифровой сертификат, полученный им у сертифицирующего агентства. Для извлечения из сертификата общего ключа сервера клиент использует общий ключ того же агентства, являющийся частью реализации SSL. Получив общий ключ сервера, браузер может расшифровать переданные им данные.

Протокол  Kerberos

Протокол  аутентификации Kerberos обычно используется службами каталога, например, Active Directory, для упрощения процедуры входа пользователя в сеть. Успешно зарегистрировавшись на сервере аутентификации (authentication server) с протоколом Kerberos, клиент получает доступ ко всем ресурсам сети. Kerberos разработан Массачусетсом технологическим институтом и возведен в ранг стандарта IETF. Этот протокол интенсивно применяется в Windows 2000 и других ОС для обеспечения безопасности данных, пересылаемых клиентами и серверами сети.

Регистрируясь в сети, в которой используется Kerberos, клиент посылает запрос серверу аутентификации, на котором хранятся имя его учетной записи и пароль. Сервер аутентификации в ответ посылает клиенту билет (ticket-granting ticket, TGT), который зашифрован с помощью ключа, основанного на пароле клиента. Получив TGT, клиент предлагает пользователю ввести пароль и использует его для расшифровки TGT. Получивший TGT клиент может обращаться к сетевым ресурсам. Процесс доступа к ним начинается с отправки клиентом запроса с зашифрованной копией TGT серверу выдачи билетов TGS (ticket-granting server). Сервер TGS расшифровывает TGT, проверяет статус пользователя, создает серверный билет (server ticket) и передает его клиенту.

Серверный билет временно открывает определенному  клиенту доступ к определенному  серверу. В состав билета входит также  сеансовый ключ (session key), которым клиент и сервер могут при необходимости пользоваться для шифрования данных, которыми они обмениваются. Клиент пересылает серверный билет серверу, который расшифровывает его и разрешает клиенту доступ к нужному ресурсу.

• IPSec — это набор стандартов TCP/IP, обеспечивающих проверку подлинности и шифрование данных в сетевых коммуникациях.
• Протокол L2TP создает туннели в виртуальных частных сетях, данные в которых шифруются средствами IPSec.
• Безопасный протокол SSL используется для проверки подлинности и шифрования данных Web-серверами и браузерами.
• Протокол Kerberos используется службами каталога, чтобы предоставить пользователю единую точку входа в сеть.