Síťové protokoly (XII. část) , Virtuální privátní síť, Protokol IPSec

Napsal O webu (») 2. 2. 2008 v kategorii PC sítě, přečteno: 2125×

Virtuální privátní sítě, protokol IPSec

Virtuální privátní síť



Virtuální privátní síť (VPN) je tunelové propVirtuální privátní sítě, protokol IPSecojení dvou vzdálených důvěryhodných sítí procházející nedůvěryhodnou zónou - třeba internetem. V této VPN síti je zajištěna bezpečná komunikace. Síť je realizována připojením point-to-point a koncová zařízení mohou být brány (směrovače, firewally) nebo hostitelé (klienti, servery).





Protokol IPSec (IP Security)



Do protokol IP, vyvinutého pro bezpečné sítě, nebylo při jeho zahrnuto zabezpečení. Existuje však mnoho protokolů, které lze do něj pro zlepšení bezpečnosti do něj začlenit. Jedním z nich je i IPSec. Jeho použití je vždy volitelné. Protokol IPSec je otevřený standard který díky šifrování, integrity informací a ověřování mezi účastníky, zachovává důvěrná dat. K správě vyjednávání obou stran je používán protokol IKE (Internet Key Exchange). Ten generuje klíče pro šifrování a ověřování používané protokolem IPSec.


Tento protokol vytváří virtuální zabezpečená tunelová připojení mezi dvěma stanicemi pro posílání "důvěrných" dat. Jsou-li tato data posílána mezi stanicemi IPSec, pak jsou klasické pakety IP zapouzdřeny do paketů IPSec obsahující parametry zabezpečení. Protokol IPSec poskytuje následující služby zabezpečení.


Ověřování dat - Musí být ověřena integrita dat, aby bylo zjištěno, že tato data nebyla upravena. Kontrola integrity je povinná. Dále může být proveden test původu dat.


Důvěrnost dat - šifrování všech procházejících dat chrání jejich obsah. Parametry šifrování, jsou buď staticky nastavovány administrátory příslušných sítí, nebo mohou byt automaticky generovány díky protokolu IKE.


Služba AntiReplay - služba umožňuje odmítnout příjemci stará nebo duplikovaná data. Duplikace dat svědčí o pokusu o útoku zvenčí.


Používání tohoto protokolu doprovází mnoho aspektů, které je si třeba uvědomit před jeho implementací, zejména:


- mohou se vyskytnou problémy s překlady síťových adres NAT. Překlad by měl být udělán před zapouzdřením paketu IP do paketu IPSec.


- zapouzdření paketů IP může způsobit, že paket přesáhne maximální povolenou délku (MTU). Pak je nutná fragmentace celého datového rámce, což vede ke zpomalení komunikace. Navíc prochází-li poté fragmentované pakety firewally, nemusí být propuštěny - fragmentace může být náznakem útoku.


- protokol IPSec používá čísla 50 a 51 protokolu IP, IKE port 500/UDP. Je proto nutné zajistit povolení těchto portů v firewallech.


Autor: Robert Habrman
Facebook Twitter Topčlánky.cz Linkuj.cz

Komentáře

Článek ještě nebyl okomentován.


Nový komentář

Téma:
Jméno:
Notif. e-mail *:
Komentář:
  [b] [obr]
Odpovězte prosím číslicemi: Součet čísel jedenáct a osm