тайная канцелярия

КОНСТАНТИН ГАВРИЛЕНКО

Спецвыпуск: Хакер, номер #068, стр. 068-056-1

ВНЕДРЕНИЕ IPSEC

РАССМОТРИМ ДВА НАИБОЛЕЕ ЧАСТО ИСПОЛЬЗУЕМЫХ СЦЕНАРИЯ ВЧС (ВИРТУАЛЬНЫХ ЧАСТНЫХ СЕТЕЙ) - «ХОСТ В ХОСТ» И «ХОСТ В СЕТЬ», ПРЕДВАРИТЕЛЬНО БОЛЕЕ ДЕТАЛЬНО РАССМОТРЕВ НЕКОТОРЫЕ ТЕОРЕТИЧЕСКИЕ АСПЕКТЫ IPSEC

[предназначение ВПН.]

В те давние времена, когда интернет был доступен ограниченному количеству пользователей, в основном академической направленности, особых вопросов о конфиденциальности передаваемых данных не возникало. С ростом количества пользователей и приходом громадных корпораций претерпела изменения и сама природа интернета. Из академического инструмента она превратилась в глобальную распределенную Сеть, в которой хранится и передается огромное количество конфиденциальных данных и проводится множество финансовых транзакций.

Такие изменения не могли долго оставаться без внимания лиц, пытающихся получить выгоду из доступа к конфиденциальной информации. Соответственно, с особой остротой встал вопрос безопасной передачи данных. Одно из возможных решений этой проблемы — развертывание ВЧС. Их применение оправдано по двум мотивам:

– стремление сократить расходы, например, заменив безопасные линии дозвона для удаленных корпоративных пользователей на доступ через IPSec-туннели;

– желание обеспечить конфиденциальность передаваемых данных между узлами сети во враждебном окружении, например, защита коммуникаций между клиентом и точкой беспроводного доступа.

Константин Гавриленко — консультант по безопасности и по совместительству директор компании Архонт. Соавтор двух книг: «Wi-Фу: Секреты беспроводного взлома» и «Секреты Хакеров: Безопасность сетей Циско». Специализируется на безопасности сетевой инфраструктуры и безопасности беспроводной связи.

[IPSec.]

IPSec – наиболее признанный, поддерживаемый и стандартизированный из всех протоколов ВЧС. Для обеспечения совместной работы различных устройств в гетерогенной сети он подходит лучше прочих, так как основан на полностью открытых стандартах. В отличие от других ВЧС протоколов, IPSec работает на третьем уровне и может защищать любой ИП-трафик. При его применении с другими протоколами туннелирования на втором уровне, такими как Л2ТП, также появляется возможность защиты и не ИП-трафика.

[внутреннее устройство IPSec.]

Нельзя говорить об IPSec’е, как об одном протоколе. На самом деле, под протоколом IPSec подразумевается набор стандартов и черновиков (drafts). Для наших нужд стоит выделить четыре основные составляющие:

- AH (Authenticated Header) – заголовок аутентификации, обеспечивающий аутентификацию источника данных, целостность и защиту от атак повторного воспроизведения.

- ESP (Encapsulated Security Payload) – безопасно инкапсулированная полезная нагрузка, обеспечивающая аутентификацию источника данных, целостность, защиту от атак повторного воспроизведения, конфиденциальность данных и, в некоторых типах применения, скрытность управления потоком.

- IPCOMP (IP Payload Compression Protocol) – протокол автоматического сжатия данных перед шифрацией. Потенциально устраняет негативное влияние инкапсуляции данных и сокращает объем транслируемой информации.