|
|
|
|
Формат варианта протокола. |
 АН задается при помощи значения поля Идентификатор Протокола, которое устанавливается равным 51. Все поля его заголовка включаются в значение проверки сохранности (объясняется чуть позже). Эти поля предназначены для выполнения следующих функций... |
|
|
Защита АН |
 Защита АН показана защита пакета АН в транспортном режиме при использовании IPv4. В этом режиме АН вставляется после IP-заголовка и перед протоколом верхнего уровня (Upper-Llevel Protocol — ULP), например TCP, UDP, ICMP и т. д., или перед любым другим уже вставленным заголовком IPSec. В контексте IPv4 это означает, что АН помещается после заголовка IP (и любых содержащихся в нем настроек), но перед протоколом верхнего уровня. Термин... |
|
|
Управление изменяемыми полями |
Если значение поля может быть изменено в процессе передачи, то при вычислении ICV это значение приравнивается к нулю. Если поле меняется, но его значение у получателя может быть предсказано, тогда это значение присваивается с тем, чтобы можно было посчитать ICV. Поле идентификации данных также устанавливается в ноль перед этими вычислениями... |
|
|
Протокол Вложенные защищенные передаваемые данные IP |
 Официальной спецификацией протокола АН является RFC 2402, а протокола ESP — RFC 2406. Далее вы найдете учебное пособие на основе этих RFC, а также комментарии автора. В IPSec определены два протокола обеспечения безопасности... |
|
|
Выбор и использование SA или пакета SA |
 В только что описанном процессе обработки входящих данных операция установления соответствия между IP-пакетом и SA была упрощена в силу наличия SPI в заголовках АН или ESP. Обратите внимание на то, что проверки селектора выполняются над внутренними заголовками, а не над внешними (туннельными). В IPSec определены следующие шаги... |
|
|
Основные действия, выполняемые IPSec при получении пакетов |
 Для уже готового блока данных протокола подсчитывается контрольная сумма, после чего он помещается в выходную очередь для отправки. После этого берется за дело уровень 2, помещает блок данных IPSec во фрейм L_2 и посылает его по физическому каналу связи. После обработки IPSec, готовый пакет может подвергнуться разбиению на части, но обсуждение этого выходит за рамки данного примера... |
|
|
Режим протокола IPSec: |
 Переполнение счетчика последовательности: флаг, обозначающий, нужно ли при переполнении счетчика последовательности генерировать ошибку и предотвращать посылку последующих пакетов по данной SA. Окно защиты от повторов: 32-битный счетчик и битовая маска (или эквивалент), используемые для определения того, что входящий пакет АН или ESP... |
|
|
Протокол транспортного уровня |
 Этот адрес может являться одним IP-адресом: однонаправленным, многонаправленным, широковещательным (только в IPv4) или групповым; может быть диапазоном адресов (значения наименьшего и наибольшего адресов включительно); адресом плюс маска или шаблоном адреса. Последние три типа адреса предназначены для использования в случае нескольких отправителей... |
|
|
Базы данных IPSec |
 База данных правил безопасности: В этой базе данных хранятся правила IPSec, которые задают то, какой поток данных обрабатывается (то есть, сопоставление потока данных), и то, как этот поток данных обрабатывается (отвергнуть, обойти IPSec, применить IPSec). Здесь задается то, как обрабатывать входящий и исходящий потоки, и, таким образом, к этой базе данных обращаются для каждого входящего и исходящего пакета.... |
|
|
Разновидности транспортного объединения |
 Комбинирование ассоциаций безопасности: более подробно датаграммы IP не защищаются обоими ан и ESP. отдельные SA защищаются одним или другим, но не обоими сразу. однако возможно использование нескольких SA для выполнения правил безопасности, и в ipsec определены два способа объединения SA в пакеты, называемые пакетами SA... |
|
Разработка Ne и XOSTER.KG, ©-2007-2011.
|
|
|
|
|
 |
|
