город Сердобск

Поиск ассоциации безопасности. По получении (собранного) пакета, содержащего заголовок ESP, получатель определяет соответствующую (двунаправленную) SA, основываясь на адресе получателя, номере протокола безопасности (ESP) и SPI. В SA указывается, должно ли быть проверено поле с последовательным номером, должно ли присутствовать поле идентификации и какой алгоритм и ключи используются при дешифрации и вычислении ICV (если такая обработка задана).

Проверка последовательного номера. Все реализации ESP должны обеспечивать защиту от повторений, даже хотя такая защита может, в зависимости от настроек в SA, и не использоваться получателем.

Значение проверки сохранности (Integrity Check Value — ICV) для исходящих пакетов ICV в АН вычисляются на основе:
О полей IP заголовка, которые либо неизменны, либо их значения можно предсказать по получении;
О заголовка АН (а также возможных заполняющих битов); О всех заголовков и данных верхнего уровня.

Если применяется фрагментация, то соответствующие значения вычисляются после АН обработки. Таким образом, транспортный режим АН применяется только в случае целых датаграмм, а не их фрагментов. IP пакет, к которому был применен АН, может быть фрагментирован маршрутизаторами на пути от отправителя к получателю, но такие фрагменты должны быть собраны в целое до обработки АН у получателя. В туннельном режиме АН применяется к IP пакету, блоком данных которого может быть фрагмент другого IP пакета. Например, шлюзы безопасности (а также IPSec в вариантах запихнуть в стек и запихнуть в железо) могут использовать туннельный режим АН для таких фрагментов.

Следующий Заголовок: задает тип передаваемых данных, следующих после данных идентификации. Значение берется из списка протоколов IP, который можно найти по адресу www. ietf. org (перейти по ссылке IANA).
Длина передаваемых данных: задает длину АН.

Резервное: зарезервировано для будущего использования.
Индекс параметров защиты (SPI): значение этого поля, в комбинации с IP адресом. получателя и протоколом безопасности (АН), однозначно задает ассоциации безопасности для данной датаграммы. SPI обычно выбирается получающим узлом в процессе определения SA.

Конфиденциальность потока данных требует выбора туннельного режима.
Передаваемые данные ESP появляются после IP заголовка, но перед протоколом транспортного уровня. Протоколу ESP IANA назначила номер 50. ESP состоит из незашифрованного заголовка, за которым следуют зашифрованные данные.

Эти данные состоят из защищенных полей заголовка ESP и данных пользователя, которыми могут быть вся датаграмма IP, включая заголовки верхнего уровня и собственно данные пользователя.

Защищаемые данные в случае туннельного режима ESP показаны на 9.8. Туннельный режим может быть использован как хостами, так и шлюзами безопасности. Когда ESP применяется в реализации для шлюза безопасности (с целью защиты транзитного трафика пользователя), то должен использоваться тун нельный режим.

В туннельном режиме «внутренний» IP заголовок содержит адреса конечного получателя и отправителя, тогда как «внешний» IP заголовок может содержать другие IP адреса, например адреса шлюзов безопасности. В туннельном режиме ESP защищает весь внутренний IP пакет, включая весь внутренний IP заголовок. Позиция ESP в туннельном режиме относительно внешнего IP заголовка такая же, как и в случае ESP в транспортном режиме.

На 9.7 показана защита ESP в транспортном режиме в случае IPv6. ESP рассматривается как полезная нагрузка, доставляемая из конца в конец, и, таким образом, должна появиться после данных о пересылках, маршрутизации и заголовков расширения фрагментации.

Заголовок (заголовки) расширения настроек получателя могут появиться как до, так и после заголовка ESP, в зависимости от необходимости. Однако в силу того, что ESP защищает только поля после заголовка ESP, то в общем случае это может быть желательным — поместить заголовки настроек получателя после заголовка ESP.

Так же как и АН, ESP может быть использован в двух режимах: транспортном и туннельном. В первом случае ESP подходит только хостам и обеспечивает защиту протоколов верхнего уровня, но не IP заголовка. (В этом режиме, в случае вариантов запихнуть в стек и запихнуть в железо, входящие и исходящие IP фрагменты могут потребовать такую реализацию IPSec, которая выполняла бы дополнительную сборку/фрагментацию для того, чтобы соответствовать этой спецификации и обеспечить прозрачную поддержку IPSec.) На 9.6 , что защищает ESP в транспортном режиме.

ESP помещается после IP заголовка и пе 171 ред протоколами верхнего уровня, такими как TCP, UDP, ICMP и др., или перед любым другим уже вставленным заголовком IPSec. В контексте IPv4 это означает помещение ESP после IP заголовка (и любых содержащихся в нем настроек), но перед протоколом верхнего уровня. «Концевик ESP» содержит все заполняющие биты, их длину и поля следующего заголовка.

Если же оно используется с маршрутизатором или брандмауэром, то оно будет выглядеть как шлюз безопасности и должно быть сконфигурировано как дополнение защитных функций брандмауэра.
Базы данных IPSec В IPSec определено использование двух баз данных: базы данных правил безопасности (Security Policy Database SPD) и базы данных ассоциаций безопасности (Security Association Database — SAD). Кроме того, там определено связанное с базами данных понятие — селектор. Функции этих средств IPSec перечисляются ниже:

О База данных правил безопасности: В этой базе данных хранятся правила IPSec, которые задают то, какой поток данных обрабатывается (то есть, сопоставление потока данных), и то, как этот поток данных обрабатывается (отвергнуть, обойти IPSec, применить IPSec).

Фильтрация исходящих данных не обязательна. Это зависит от реализации. В не . которых компаниях фильтрация исходящих данных применяется для защиты от неумеренного использования ресурсов и, разумеется, как материализация правил безопасности.

Такая фильтрация приводит либо к отбрасыванию пакета, либо к передаче датаграммы в модуль IPSec для соответствующих обработок.
Для уже готового блока данных протокола подсчитывается контрольная сумма, после чего он помещается в выходную очередь для отправки.

Проверка значения проверки сохранности (ICV). Если в SA требуется использование идентификации, то получатель вычисляет ICV для пакета ESP (за исключением поля с данными идентификации) с применением указанного алгоритма идентификации и удостоверяется, что полученное значение совпадает с тем, что находится в поле идентификации данного пакета. Описание выполняемых вычислений приводится далее.

Если вновь вычисленное и переданное ICV совпадают, то проверка для данной датаграммы считается пройденной. Если же они не совпадают, то тогда получатель должен отвергнуть этот IP пакет и сообщить об ошибке.