10.3.2. Транспортный и туннельный режимы iPsec.

Каждый из протоколов AH и ESP поддерживают два режима использования: транспортный и туннельный.

Транспортный режим. Транспортный режим служит дл защиты пакета вышележащего протокола (напомним, что выше находится транспортный уровень иерархии OSI). Примерами могут быть сегменты TCP (Transmission Control Protocol), UDP (User Datagram Protocol) или ICMP (Internet Control Message Protocol). Задачей транспортного режима является обычно обеспечение сквозной связи двух узлов (рабочих станций, например, или клиента и сервера). Протокол AH в этом режиме обеспечивает целостность документа, аутентификацию отправителя и оригинальность пакета. Протокол ESP может выполнять эти же функции, но главное он позволяет шифровать содержимое пакеты, что обеспечивает конфиденциальность данных.

Туннельный режим. Туннельный режим обеспечивает защиту всего пакета IP (не только полезного содержимого, но и заголовка, т.е. скрывает адреса отправителя и получателя, тип данных и т.д. от потенциального взломщика). Протокол AH в этом режиме обеспечивает целостность всего IP-пакета (вместе с заголовком), аутентификацию отправителя и оригинальность пакета. Протокол ESP выполняет шифровать содержимое всего IP-пакета, что обеспечивает конфиденциальность полезного груза и данных, содержащихся в заголовке. Естественно, что при этом для пакета должен сформирован новый заголовок.

10.4. Режим ah протокола ipSec

Действие IPsec в режиме AH заключается в добавлении в IP-пакету нового заголовка, являющего цифровой подписью (дайджестом) полей исходного IP-пакета. Ниже приведены данные, как изменяется IP-пакет после применения к нему протокола AH в транспортном и тунельном режимах (во всех примерах на месте названия протокола высшего уровня стоит TCP):

Рис.1. IP-пакет до применения IPsec

Рис.2. Транспортный режим протокола AH

Рис.3. Туннельный режим AH

Рассмотрим ниже, как формируется заголовок AH. Он состоит из следующих полей:

1. Следующий заголовок (8 бит). Тип заголовка, следующего за AH.

2. Длина полезного содержимого (8 бит). Длина AH в 32-битовых словах, уменьшенная на 2.

3. Зарезервировано (16 бит). Для будущего использования.

4. Индекс параметров защиты (32 бита). Идентификатор защищенной связи.

5. Порядковый номер (32 бита). Порядковый номер пакета.

6. Данные аутентификации (переменной длины).

10.5. Режим ESP протокола IPSec

Главное отличие этого режима состоит в том, что данные могут шифроваться. Рассмотрим состав пакета ESP:

1. Индекс параметров защиты (32 бита). Идентификатор защищенной связи.

2. Порядковый номер (32 бита). Порядковый номер пакета.

3. Полезный груз переменной длины.

4. Заполнитель (0-255 бит).

5. Длина заполнителя (8 бит)

6. Следующий заголовок (8 бит). Тип заголовка, следующего за AH.

7. Данные аутентификации (переменной длины).

Сервис ESP не привязывает алгоритм к каким-то определенным алгоритмам шифрования и аутентификации, хотя и требует, чтобы любая реализация поддерживала DES в режиме сцепления блоков CBC. В документации перечислен ряд алгоритмов, которые могут также прменяться для шифрования. Среди них следующие:

• Тройной DES с тремя ключами

• RC5

• IDEA

• CAST

• Blowfish

Если для алгоритма, используемого при шифровании, требуется синхронизация данных (например, вектор инициализации IV), то необходимые данные могут помещаться в начало поля полезного груза (в незашифрованном виде). Ниже мы покажем новый состав пакета, после применения ESP в транспортном и туннельном режимах (для IP-пакетов IPv4 и IPv6):

а) Транспортный режим ESP

б) Туннельный режим ESP

В контексте IPv6 данные ESP рассматриваются как предназначенный для сквозной пересылки полезный груз, не подлежащий проверке или обработке промежуточными маршрутизаторами. Поэтому заголовок ESP располагается после фрагментации. В IPv6 шифрование охватывает весь пакет TCP и концевик ESP, а аутентификации подлежит весь шифрованный текст и заголовок ESP.