IPSEC

Widzieliśmy, że podstawowy protokół transmisji pakietów w Internecie, IP, jest zakładnikiem fortuny, jeśli chodzi o prawidłowe dostarczanie pakietów we właściwej kolejności i bez błędów, i dyskutowaliśmy, w jaki sposób może to być podatne na ataki. W przypadku aplikacji wymagających bezpieczeństwa istnieje protokół IPSec , który leży w warstwie IP i stara się zapewnić, że pakiety są autentyczne, nieuszkodzone i poufne. IPSec jest opisywany przez Internet Engineering Taskforce jako „struktura”, która może ewoluować z czasem w celu zapewnienia trwałej bezpieczeństwo sieci. Jedną z jego zalet jest to, że jest on udoskonalany zgodnie z rozwojem IETF dla późniejszych wersji standardu IP, zwłaszcza wersji IP 6. Szczegóły są złożone i nie będą tutaj omawiane, ale podstawowe zasady są proste: w ramach standardu Pakiet IP, IPSEC definiuje kilka nagłówków; jeden z nich określa szczegóły uwierzytelniania, a drugi określa stosowane szyfrowanie. Klucze publiczne z certyfikacją cyfrową (aby udowodnić, że rzeczywiście należą do komunikujących się stron) są najpierw używane do szyfrowania i przesyłania tajnych kluczy. Niektóre z tych kluczy są następnie wykorzystywane do szyfrowania ruchu pakietowego, aby uniemożliwić jego odczytanie bez uprawnień, np. za pomocą DES. Inne klucze są używane do algorytmów mieszających, które dołączają sygnatury mieszające do pakietów danych w celu uwierzytelnienia ich przed uszkodzeniem. Protokół IPSec został zaprojektowany, aby umożliwić włączanie nowych algorytmów szyfrowania, gdy zostaną one opracowane i sprawdzone. Oprócz zapewnienia ochrony przed podsłuchaniem i uszkodzeniem danych, protokół IPsec może również chronić przed atakiem typu man-in-the middle (przechwytywaniem legalnych pakietów i odtwarzaniem ich w późniejszym czasie). Robi to, dodając do pakietu zaszyfrowany numer sekwencji i zwiększa go za każdym razem, gdy ten sam pakiet jest retransmitowany. Może to również pokonać ataki, takie jak wspomniany wcześniej atak defragmentacyjny.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *