36.Защита на уровне ip. Протокол ipSec
Протокол IPSec обеспечивает защиту обмена данными в Internet, корпоративных и открытых глобальных сетях (WAN), в локальных сетях (LAN), построенных на Internet–технологиях.
Области применения IPSec
Защищенный доступ к филиалу организации через Internet. Компания может построить защищенную частную виртуальную в рамках сети Internet или другой открытой глобальной сети. Это позволяет использовать каналы Internet и тем самым сократить расходы на создание и поддержку частной сети.
Защищенный удаленный доступ через Internet. Конечный пользователь, в системе которого предусмотрены протоколы защиты IP, может с помощью локального телефонного вызова обратиться к поставщику услуг Internet и получить защищенный доступ к сети компании. Это сокращает транспортные расходы служащих и надомных работников.
Внутрисетевое и межсетевое взаимодействие с партнерами. Средства IPSec могут служить для того, чтобы обеспечить защищенную связь с другими организациями, гарантируя аутентификацию и конфиденциальность и обеспечивая механизм обмена ключами.
Усиление защиты электронных коммерческих операций. Даже если какие-то приложения Web и электронной коммерции имеют встроенные протоколы защиты данных, использование IPSec усиливает эту защиту.
Сценарий использования IPSec
Главным свойством IPSec, которое позволяет этому протоколу поддерживать самые разнообразные приложения, является возможность шифрования и/или аутентификации всего потока обмена данными на уровне IP.
Таким образом, защита может быть обеспечена любому распределенному приложению, включая удаленную регистрацию, клиент-серверные приложения, электронную почту, передачу файлов, доступ в Web и т.д.
На рисунке показан типичный сценарий использования IPSec.
Некоторая организация поддерживает ряд локальных сетей, находящихся в разных местах. В рамках любой локальной сети поток обмена данными IP не защищается. Для обмена данными через некоторую корпоративную или открытую внешнюю глобальную сеть используются протоколы IPSec.
Эти протоколы действуют в устройствах по периметру сети, например в маршрутизаторах или брандмауэрах, через которые локальные сети соединяются с внешним миром. Такое сетевое устройство IPSec обычно шифрует и сжимает весь поток данных, отправляемых в глобальную сеть, и дешифрует и разворачивает данные получаемые из внешней сети.
Все выполняемые в этом случае операции не заметны для рабочих станций и серверов локальной сети. Защищенный обмен данными возможен и с индивидуальными пользователями, связывающимися с глобальной сетью по телефону. Чтобы обеспечить защиту, рабочие станции таких пользователей также должны применять протоколы IPSec.
Преимущества IPSec
Когда IPSec встроен в брандмауэр или маршрутизатор, это обеспечивает надежную защиту, которая может быть применена ко всему потоку данных, пересекающих границу локальной сети. Поток данных внутри локальной сети компании или рабочей группы не перегружается лишними операциями, связанными с защитой данных.
IPSec в брандмауэре трудно обойти, если весь поток входящих данных должен использовать IP и брандмауэр является единственной точкой входа из Internet в сеть данной организации.
IPSec размещается ниже транспортного уровня (TCP, UDP) и поэтому оказывается незаметным для приложений. Нет необходимости менять программное обеспечение в системах пользователя или сервера, когда в брандмауэре или маршрутизаторе реализуется IPSec. Даже если IPSec реализуется в конечных системах, на программное обеспечение верхнего уровня, включая приложения, это не влияет.
IPSec может быть скрыт от конечного пользователя. Нет необходимости объяснять пользователю механизмы защиты, выдавая ему соответствующие инструкции и требуя их назад, когда данный пользователь покидает организацию.
Если это необходимо, IPSec может обеспечивать защиту индивидуальным пользователям. Это может понадобиться для лиц, работающих вне территории предприятия, или для создания защищенной виртуальной подсети внутри организации для работы с особо важными приложениями.