ю другого рівня. Протокол IPSec може використовуватися спільно з протоколом L2TP. Спільно ці два протоколи забезпечують найбільш високий рівень гнучкості при захисті віртуальних каналів. Справа в тому, що специфікація IPSec орієнтована на протокол IP і, таким чином, марна для трафіку будь-яких інших протоколів мережевого рівня. Протокол L2TP відрізняється незалежністю від транспортного рівня, що може бути корисно в гетерогенних мережах, що складаються і IP-, IPX- і AppleTalk-сегментів. IPSec стрімко завойовує популярність і стане, ймовірно, домінуючим стандартом зі створення і підтримки захищених віртуальних мереж.
Для управління криптографічними ключами на мережевому рівні моделі OSI найбільш широке розповсюдження отримали такі протоколи, як SKIP (Simple Key management for Internet Protocols) і ISAKMP (Internet Security Association and Key Management Protocol). SKIP простіше в реалізації, але він не підтримує переговорів з приводу алгоритмів шифрування. Якщо одержувач, що використовує SKIP, не в змозі розшифрувати пакет, він вже не зможе узгодити метод шифрування з протилежною стороною. Протокол ISAKMP підтримує такі переговори і обраний як обов'язкового протоколу для управління ключами в IPSec для IPv6. Іншими словами протокол ISAKMP є складовою частиною протоколу IPSec. У поточній четвертої версії протоколу IP (у протоколі IPv4) може застосовуватися як протокол ISAKMP, так і протокол SKIP.
Протокол IPsec.- набір протоколів для забезпечення захисту даних, переданих по межсетевому протоколу IP, дозволяє здійснювати підтвердження автентичності та/або шифрування IP-пакетів. IPsec також включає в себе протоколи для захищеного обміну ключами в мережі Інтернет.
Існує два режими роботи IPsec: транспортний режим і тунельний режим. У транспортному режимі шифрується (або підписується) лише інформативна частина IP-пакета. Маршрутизація не зачіпається, оскільки заголовок IP пакета не змінюється (не шифрується). Транспортний режим як правило використовується для встановлення з'єднання між хостами. Він може також використовуватися між шлюзами, для захисту тунелів, організованих яким-небудь іншим способом (IP tunnel, GRE та ін.). У тунельному режимі IP-пакет шифрується цілком. Для того, щоб його можна було передати по мережі, він поміщається в інший IP-пакет. По суті, це захищений IP-тунель. Тунельний режим може використовуватися для підключення віддалених комп'ютерів до віртуальної приватної мережі або для організації безпечної передачі даних через відкриті канали зв'язку (наприклад, Інтернет) між шлюзами для об'єднання різних частин віртуальної приватної мережі. Режими IPsec не є взаємовиключними. На одному і тому ж вузлі деякі SA можуть використовувати транспортний режим, а інші - тунельний.
У IPsec використовуються дві бази даних: SPD (Security Policy Database, куди записуються правила забезпечення безпеки) і SADB (Security Association Database, де зберігаються дані про активні асоціаціях безпеки).
Система IPsec пропонує багатоваріантний механізм реалізації безпеки для обох кінців з'єднання. Ця техніка придатна для окремого користувача, особливо якщо він працює на виїзді, і для віртуальних субсетей організацій, що працюють з даними, які вимагають секретності.
При використанні разом з Firewall IPsec надає високий рівень безпеки. При цьому потрібно мати на увазі, що для реалізації IPsec обидва партнери повинні мати обладнання та/або програми, які підтримують ці протоколи.предусматрівает процедури аутентифікації і шифрування. Формування і видалення заголовка IPsec може здійснюватися в машині клієнта або в мережевому шлюзі (маршрутизаторі).
Протокол IPsec надає три види послуг: аутентифікацію (АН), шифрування (ESP) і безпечну пересилку ключів. Зазвичай бажані обидві перший послуги, так як неавторизований клієнт не зможе проникнути в VPN, а шифрування не дозволить зловмисникам прочитати, спотворити або підмінити повідомлення. З цієї причини протокол ESP переважно, оскільки він дозволяє поєднати обидві ці послуги.
Тема аутентифікації (AH) і Encapsulating Security Payload (ESP) є двома протоколами нижнього рівня, застосовуваними IPsec, саме вони здійснюють аутентифікацію і шифрування + аутентифікацію даних, переданих через з'єднання. Ці механізми зазвичай використовуються незалежно, хоча можливо (але не типово) їх спільне застосування.
У протоколі IPSec використовуються два режими тунельний і транспортний. Транспортний режим забезпечує безпечне з'єднання двох терміналів шляхом інкапсуляції вмісту IP-даних, у той час як тунельний режим інкапсулює весь IP-пакет на ділянці між шлюзами. Останній варіант використовується для формування традиційної VPN, де тунель створює безпечний шлях через повний небезпек Інтернет.
Встановлення IPsec-з'єднання...
