ти встановлена ​​асоціація, або зіставлення, безпеки (Security Association, SA). SA - набір параметрів, який визначає необхідні для захищеного зв'язку послуги та механізми, типи ключів для безпечних протоколів. SA повинна існувати між двома підтримуючими зв'язок сторонами, які використовують безпека IP. ISAKMP визначає основу для підтримки і встановлення асоціацій безпеки. Протокол ISAKMP не пов'язаний ні з одним конкретним алгоритмом, методом породження ключів або протоколом безпеки. p> В· Oakley. Протокол визначення ключів, який використовує алгоритм обміну ключами Diffie-Hellman (D-H). Oakley генерує ключі, необхідні для безпечного обміну інформацією. p> В· Тема аутентифікації IP (АН, Authentication Header). АН забезпечує цілісність, встановлення автентичності та захист від повторного використання. Також за допомогою АН підтримується конфіденційність. АН заснований на деякому алгоритмі обчислення ключового кешованого значення повідомлення (НМАС) для кожного IP-пакета. p> В· Протокол інкапсуляції безпеки (ESP, Encapsulating Security Protocol). На додаток до послуг АН, описаним вище, ESP забезпечує конфіденційність, використовуючи алгоритм DES-CBC. <В
Архітектура безпеки IP
Механізм безпеки IP у Windows Server 2003 розроблений для захисту будь-якого наскрізного з'єднання між двома комп'ютерами (рис. 2). При наскрізному з'єднанні два здійснюють зв'язок комп'ютера (системи) підтримують IP-безпека на кожному кінці з'єднання. Зроблено припущення, що розміщена між ними середу, за якою передаються дані, небезпечне. Дані прикладної програми комп'ютера, початківця зв'язок, перед пересиланням по мережі автоматично (прозоро для прикладної програми) шифруються. На комп'ютері адресата дані також автоматично дешифруються - перш, ніж вони будуть передані додатку-одержувачеві. Шифрування всього мережевого IP-трафіка гарантує, що будь-яка зв'язок з використанням TCP/IP захищена від підслуховування. Оскільки дані передаються і шифруються на рівні протоколу IP, для кожного протоколу в наборі протоколів TCP/IP не вимагаються окремі пакети, що забезпечують безпеку. Безпека IP у Windows Server 2003 об'єднує методи шифрування з відкритими та закритими ключами для підвищення рівня безпеки і більшої продуктивності. Управління безпекою IP в Windows Server 2003 допускає створення політики, що визначає тип і рівень безпеки, необхідні під час обміну інформацією. p> В· Політика безпеки (security policy)
Кожна конфігурація атрибутів безпеки IP називається політикою безпеки. Політика безпеки базується на політиках встановлення з'єднань і IP-фільтрах. Політика безпеки пов'язана з політикою контролера домену. Політика безпеки IP може бути приписана до заданої за замовчуванням політиці домену, заданої за замовчуванням локальної політиці чи створеної користувальницької політиці домену. Під час реєстрації комп'ютера в домені автоматично підбираються реквізити заданої за замовчуванням політики домену і заданої за Типово локальної політики, включаючи політику безпеки IP, приписанную до цій політиці домену.
В
Малюнок 2. Архітектура безпеки IP у Windows Server 2003
В· Політика переговорів (negotiation policy)
Політика переговорів визначає служби безпеки, використовувані під час зв'язку. Можна вибрати послуги, що включають конфіденційність (ESP) або що не забезпечують конфіденційність (АН), або можна визначити, який алгоритм потрібно використовувати для безпеки IP. Можна встановити кілька методів безпеки для кожної політики переговорів. Якщо перший метод неприпустимий для асоціації безпеки, служба ISAKMP/Oakley продовжить перегляд цього списку до тих пір, поки не буде знайдено той алгоритм, який безпека IP зможе використовувати для встановлення асоціації. Якщо переговори не увінчалися успіхом, встановлюється з'єднання без безпеки IP. p> В· IP-фільтри
IP-фільтри визначають різні дії, що залежать від напрямку передачі IP-пакета, від типу застосовуваного IP-протоколу (наприклад, TCP або UDP) і від того, які порти використовуються відповідно до протоколом. Фільтр застосовується безпосередньо - як шаблон, з яким порівнюються IP-пакети. Кожен IP-пакет звіряється з IP-фільтром і, якщо відповідність знайдено, для посилки даних застосовуються реквізити пов'язаної політики безпеки. p> Для підтримки обміну інформацією з використанням безпеки IP на кожному комп'ютері з Windows Server 2003 встановлюються локальні служби та драйвери. p> В· Служба агента політики безпеки (Policy Agent Service)
Агент політики - локальний, резидентний агент. Він відшукує політику безпеки IP в Active Directory під час ініціалізації системи. Потім він передає інформацію про політику мережному драйверу безпеки IP (IPSec-драйверу) та службі ISAKMP/Oakley. Агент політики не зберігає політику безпеки локально, а знаходить її в Active Directory (рис. 3).
В
Малюнок ...
