Следующий элемент

Показывает тип первого элемента содержимого (payload) в данном сообщении. Поддерживаются следующие типы:

0 нет

1 Security Association (SA)

2 Proposal (P) - предложение

3 Transform (T) -0 преобразовать

4 Key Exchange (KE) - обмен ключами

5 Identification (ID) - идентификация

6 Certificate (CERT) - сертификат

7 Certificate Request (CR) - запрос сертификата

8 Hash (HASH) - смешать

9 Signature (SIG) - сигнатура, подпись

10 Nonce (NONCE)

11 Notification (N) - уведомление

12 Delete (D) - удалить

13 Vendor ID (VID) - идентификатор производителя

14-127 Reserved - зарезервированы

128-255 Private use - частное использование

MjVer

Показывает старшую часть номера версии используемого протокола ISAKMP. Реализации на основе RFC2408 должны использовать значение 1, а реализации на основе предварительных версий ISAKMP (Internet-Drafts) - 0. Никакая из реализаций не будет воспринимать пакеты с номером версии, превышающий номер версии данной реализации.

MnVer

Показывает младшую часть номера версии используемого протокола ISAKMP. Реализации на основе RFC2408 должны использовать значение 0, а реализации на основе предварительных версий ISAKMP (Internet-Drafts) - 1. Никакая из реализаций не будет воспринимать пакеты с номером версии, превышающий номер версии данной реализации.

Тип обмена

Показывает тип используемого обмена. Это поле диктует тип сообщений и содержимого при обмене ISAKMP. Поддерживаются следующие типы:

0 None

1 Base

2 Identity Protection

3 Authentication Only

4 Aggressive

5 Informational

6-31 ISAKMP Future Use

32-239 DOI Specific Use

240-255 Private Use

Флаги

Задает опции, установленные для обмена ISAKMP.

E(ncryption) - бит 0 - указывает, что содержимое после заголовка зашифровано с использованием алгоритма, указанного в ISAKMP SA.

C(ommit) - бит 1 - сигнализирует о синхронизации обмена ключами. Этот флаг используется для того, чтобы зашифрованная информация не была получена до завершения процесса организации SA.

A(uthentication Only) - бит 2 - предназначен для использования в Informational Exchange с содержимым Notify и будет позволять передачу информации с проверкой целостности, но без шифрования.

Все остальные биты устанавливаются в нулевые значения до передачи.

Идентификатор сообщения

Уникальный идентификатор протокола используется для идентификации состояния протокола в процессе согласования Phase 2 (фаза 2). Это число генерируется случайным образом инициатором согласования фазы 2. В случае одновременной организации SA (коллизия), значения этого поля будут явно отличаться, поскольку они генерируются независимо и, таким образом, две ассоциации безопасности будут находиться в процессе создания. Однако, ниоткуда не следует, что эти ассоциации будут завершены одновременно. В течение согласования фазы Phase 1 это поле должно иметь нулевое значение 0.

Размер

Размер сообщения (заголовок и содержимое) в октетах. Шифрование может расширять размер сообщения ISAKMP.

§11. Защита web.

11.1. Угрозы нарушений защиты Web

Сегодня сервисы, представляемые всемирной сетью Интернет (Web), все более широко внедряются в нашу жизнь, привлекая новые и новые круги населения. Собственные Web-узлы имеют большинство коммерческих организаций, государственные учреждения, а также частные лица. Через Интернет можно теперь покупать товары, заказывать услуги, резервировать билеты, получать оперативную информацию о своих банковских счетах, выполнять работу, находясь дома или в любом другом, географически удаленном от работы, месте. Использование таких современных сервисов как сотовая связь, Интернет, Wi-Fi, спутниковая связь и навигация, позволяют современному специалисту значительно более эффективно использовать свое рабочее время, сокращая непроизводительные потери на связь, доступ к информации, выполнение электронных транзакций.

Однако столкновение с фактами нарушениями безопасности собственных систем через сеть Интернет заставила многих пользователей кардинально пересмотреть взгляд на вопросы защиты. Массированное обсуждение в печати и средствах массовой информации случаев нарушений защиты банков, коммерческих фирм и граждан из-за действий хакеров, в результате которых был нанесен существенный экономический урон, подрывают веру граждан в безопасность Web и вызывают отток из электронной коммерции.

Кроме того, потребности потребителей в удобной и безопасной схеме выполнения электронных расчетов через сети Интернет должны обеспечиваться надежными инструментами защиты, понятными людям, не имеющим специального образования.

Все эти причины породили разработку и внедрение многочисленных инструментов защиты данных для работы пользователей в сети Интернет.

В этом разделе будут рассмотрены две стандартные схемы защиты Web – SSL/TSL и SET, значение которых для электронной коммерции постоянно возрастает. Начнем с классификации угроз Интернет. В таблице, предоставленной ниже, приведены основные типы угроз нарушений защиты, представленных в WEB.

Тип нарушения	Угрозы	Последствия	Контрмеры
Целостность	Изменение пользовательских данных Внедрение «троянских» коней Изменение информации в памяти Измение потока сообщений на пути их передачи	Потеря информации Дискредитация компьютерной системы Уязвимость в отношении других угроз	Криптографические контрольные суммы Антивирусные средства Архивирование данных
Конфиденци- альность	Перехват информации в сети Кража информации на сервере Получение информации о конфигурации системы Получение информации о клиентах, обращающихся к системе	Потеря информации Нарушение тайны информации	Шифрование, прокси-серверы Web
Доступность	Прекращение сеанса доступа Перегрузка сервера потоком фальшивых попыток доступа	Разрушение системы защиты Невозможность выполнения работы Раздражение пользователей	Установка файерволлов, брэндмауэров и систем обнаружения вторжений (IDS – intrusion detection systems)

Существует несколько подходов к защите Web. Все эти подходы похожи по предоставляемым возможностям, но различаются по областям применения и размещению соответствующих средств защиты в стеке протоколов TCP/IP.

Одним из способов защиты Web является использование протокола IPsec, рассмотренного в предыдущем разделе. Достоинством использования IPsec является его универсальность, позволяющая защищать либо весь поток информации, проходящий через данный узел, либо устанавливать фильтр для отбора информации, требующей защиты.

Другим (также достаточно универсальным) решением является размещение средств защиты сразу над протоколом TCP. Примерами такого решения являются протоколы SSL (Secure Socket Layer) и TLS (Transport Layer Security) – более современная версия SSL.

Рис.1. Размещение защиты на транспортном уровне.

Реализация SSL/TLS возможна в двух вариантах. Более общим решением является внедрение средств SSL (TLS) непосредственно в транспортный протокол, что обеспечивает прозрачность (невидимость) защиты для приложений. Другим решением является внедрение SSL (TLS) в сами приложения, например, в браузер Internet Explorer, что обеспечивает большую гибкость.

Еще одним примером реализации последнего подхода является протокол SET (Secure Electronic Transactions) – протокол защищенных транзакций.