ься операції:
В· установка фільтра, який визначає весь трафік між двома комп'ютерами;
В· вибір методу розпізнавання (Вибір ключа pre-shared або введення пароля);
В· вибір політики переговорів (у режимі "закритий", при цьому весь трафік, відповідний фільтру (фільтрам), повинен використовувати IPSec);
В· визначення типу підключення (ЛОМ, комутоване з'єднання або обидва типи підключення). p> Застосування політики блокування також обмежить всі інші типи трафіку від досяжних адресатів, які не розуміють IPSec або не є частиною тієї ж самої довіреної групи. Безпечна політика ініціатора забезпечує установки, застосовувані найкраще до тих серверів, для яких зроблена захист трафіку, але якщо клієнт "не розуміє" IPSec, то результатом переговорів буде відновлення посилки "чистих" текстових пакетів. Коли IPSec застосовується для шифрування даних, продуктивність мережі знижується через непродуктивних витрат на обробку і шифрування. Один з можливих методів зменшення впливу цих непродуктивних витрат - обробка на апаратній рівні. Оскільки інтерфейс NDIS 5.1 підтримує таку функцію, можна включити апаратні засоби шифрування в мережевий адаптер. Адаптер, що забезпечує перевантаження IPSec на апаратні засоби, скоро представлять на ринку кілька постачальників апаратного забезпечення. <В
Базові механізми і концепції
В
Алгоритми шифрування
Для захисту даних застосовуються математичні алгоритми шифрування. Безпека IP в Windows 2000/Server 2003 використовує стандартні криптографічні алгоритми, перераховані нижче. p> В· Методика Diffie-Hellman (D-H). Алгоритм шифрування з відкритим ключем (Названий по імені винахідників - Diffie і Hellman), який дозволяє двом підтримуючим зв'язок об'єктам домовлятися про загальнодоступному ключі без вимоги шифрування під час породження ключа. Процес починають два об'єкти, обменивающиеся загальнодоступною інформацією. Потім кожен об'єкт об'єднує загальну інформацію іншої сторони зі своєю власною секретною інформацією, щоб згенерувати секретне загальнодоступне значення. p> В· Код аутентифікації хешірованного повідомлення (НМАС, Hash Message Authentication Code). НМАС - алгоритм шифрування із закритим ключем, що забезпечує цілісність повідомлень, встановлення їх автентичності та запобігання повторного використання. Встановлення достовірності, що використовує функції хешування (Перемішування), об'єднано з методом закритого ключа. Хешірованное значення, відоме також як дайджест (digest), або вибірка повідомлень, використовується для створення та перевірки цифрового підпису. Це унікальне значення набагато менше, ніж первинне повідомлення, створене з цифровий копії кадру даних. Якщо передане повідомлення змінилося по шляху проходження, то хешірованное значення буде відрізнятися від оригіналу, а IP-пакет буде відкинутий. p> В· HMAC-MD5. Дайджест повідомлень-5 (MD5, Message Digest) - функція хешування, яка породжує 128-розрядне значення, що є підписом даного блоку даних. Ця підпис служить для встановлення автентичності, цілісності та запобігання повторного використання. p> В· HMAC-SHA. Безпечний алгоритм хешування (SHA, Secure Hash Algorithm) - ще одна функція хешування, яка породжує 160-розрядне значення підпису, необхідне для встановлення автентичності, цілісності та запобігання повторного використання. p> В· DES-CBC. Стандарт шифрування даних (Data Encryption Standard, DES) - формування ланцюжка шифрованих блоків (Cipher Block Chaining, CBC) - алгоритм шифрування з закритим ключем, що забезпечує конфіденційність. Генерується випадкове число, яке використовується спільно з закритим ключем для шифрування даних.
В
Ключі
Для забезпечення безпеки даних в криптографії спільно з алгоритмами використовуються ключі. Ключ - це деяке значення, що застосовується для шифрування або дешифрування інформації. Для шифрування в системах безпеки можуть використовуватися як закриті, так і відкриті ключі. Навіть якщо алгоритм відомий, без ключа дані не можна переглянути або змінити. Безпека IP у Windows Server 2003 використовує ключі великої довжини, щоб забезпечити підвищену безпеку. Якщо довжину ключа збільшити на один біт, число можливих комбінацій подвоюється. Безпека IP в Windows Server 2003 також застосовує динамічне оновлення ключів; це означає, що після певного інтервалу для продовження обміну даними генерується новий ключ. Таке рішення дозволяє захиститися від зловмисника, який отримав доступ до частини інформації під час її передачі.В br/>
Протоколи безпеки
На базі протоколів безпеки реалізуються різні служби, що забезпечують безпечний обмін інформацією з мережі. Windows 2000 і Windows Server 2003 використовують протоколи безпеки, описані далі. p> В· Протокол асоціацій безпеки та управління ключами Інтернет (ISAKMP, Internet Security Association and Key Management Protocol) Перш ніж IP-пакети будуть передані від одного комп'ютера іншому, повинна бу...
