ільш широке розповсюдження отримали такі протоколи, як SKIP (Simple Key management for Internet Protocols) і ISAKMP (Internet Security Association and Key Management Protocol). SKIP простіше в реалізації, але він не підтримує переговорів з приводу алгоритмів шифрування. Якщо одержувач, що використовує SKIP, не в змозі розшифрувати пакет, він вже не зможе узгодити метод шифрування з протилежною стороною. Протокол ISAKMP підтримує такі переговори і обраний як обов'язкового протоколу для управління ключами в IPSec для IPv6. Іншими словами протокол ISAKMP є складовою частиною протоколу IPSec. У поточній четвертої версії протоколу IP (у протоколі IPv4) може застосовуватися як протокол ISAKMP, так і протокол SKIP.
Протокол IPsec.- набір протоколів для забезпечення захисту даних, переданих по межсетевому протоколу IP, дозволяє здійснювати підтвердження автентичності та/або шифрування IP-пакетів. IPsec також включає в себе протоколи для захищеного обміну ключами в мережі Інтернет.
Існує два режими роботи IPsec: транспортний режим і тунельний режим. У транспортному режимі шифрується (або підписується) лише інформативна частина IP-пакета. Маршрутизація не зачіпається, оскільки заголовок IP пакета не змінюється (не шифрується). Транспортний режим як правило використовується для встановлення з'єднання між хостами. Він може також використовуватися між шлюзами, для захисту тунелів, організованих яким-небудь іншим способом (IP tunnel, GRE та ін.). У тунельному режимі IP-пакет шифрується цілком. Для того, щоб його можна було передати по мережі, він поміщається в інший IP-пакет. По суті, це захищений IP-тунель. Тунельний режим може використовуватися для підключення віддалених комп'ютерів до віртуальної приватної мережі або для організації безпечної передачі даних через відкриті канали зв'язку (наприклад, Інтернет) між шлюзами для об'єднання різних частин віртуальної приватної мережі. Режими IPsec не є взаємовиключними. На одному і тому ж вузлі деякі SA можуть використовувати транспортний режим, а інші - тунельний.
У IPsec використовуються дві бази даних: SPD (Security Policy Database, куди записуються правила забезпечення безпеки) і SADB (Security Association Database, де зберігаються дані про активні асоціаціях безпеки).
Система IPsec пропонує багатоваріантний механізм реалізації безпеки для обох кінців з'єднання. Ця техніка придатна для окремого користувача, особливо якщо він працює на виїзді, і для віртуальних субсетей організацій, що працюють з даними, які вимагають секретності.
При використанні разом з Firewall IPsec надає високий рівень безпеки. При цьому потрібно мати на увазі, що для реалізації IPsec обидва партнери повинні мати обладнання та/або програми, які підтримують ці протоколи.предусматрівает процедури аутентифікації і шифрування. Формування і видалення заголовка IPsec може здійснюватися в машині клієнта або в мережевому шлюзі (маршрутизаторі).
Протокол IPsec надає три види послуг: аутентифікацію (АН), шифрування (ESP) і безпечну пересилку ключів. Зазвичай бажані обидві перший послуги, так як неавторизований клієнт не зможе проникнути в VPN, а шифрування не дозволить зловмисникам прочитати, спотворити або підмінити повідомлення. З цієї причини протокол ESP переважно, оскільки він дозволяє поєднати обидві ці послуги.
Тема аутентифікації (AH) і Encapsulating Security Payload (ESP) є двома протоколами нижнього рівня, застосовуваними IPsec, саме вони здійснюють аутентифікацію і шифрування + аутентифікацію даних, переданих через з'єднання. Ці механізми зазвичай використовуються незалежно, хоча можливо (але не типово) їх спільне застосування.
У протоколі IPSec використовуються два режими тунельний і транспортний. Транспортний режим забезпечує безпечне з'єднання двох терміналів шляхом інкапсуляції вмісту IP-даних, у той час як тунельний режим інкапсулює весь IP-пакет на ділянці між шлюзами. Останній варіант використовується для формування традиційної VPN, де тунель створює безпечний шлях через повний небезпек Інтернет.
Встановлення IPsec-з'єднання увазі будь-які варіанти крипто-алгоритмів, але ситуація істотно спрощується завдяки тому, що зазвичай допустимо застосування двох, максимум трьох варіантів.
На фазі аутентифікації обчислюється контрольна сума ICV (Integrity Check Value) пакета із залученням алгоритмів MD5 або SHA - 1. При цьому передбачається, що обидва партнери знають секретний ключ, який дозволяє одержувачеві обчислити ICV і порівняти з результатом , надісланим відправником. Якщо порівняння ICV пройшло успішно, вважається, що відправник пакета аутентифікований. Протокол AH завжди здійснює аутентифікацію, а ESP виконує її опционно.
Шифрування використовує секретний ключ для кодування даних перед ї...
