Documente Academic
Documente Profesional
Documente Cultură
Chisinau 2021
Internet Protocol Security (IPsec) este o suită de protocoale pentru securizarea
comunicațiilor peste stiva TCP/IP. Această suită se bazează pe folosirea funcțiilor
matematice și a algoritmilor de criptare și autentificare pentru a asigura
confidențialitatea, integritatea și non-repudierea informațiilor din fiecare pachet IP
transmis pe rețea. IPSec este la ora actuală una dintre cele mai folosite metode de
securizare a transmisiei pe Internet, alături de SSL (Secure Sockets Layer) și TLS
(Transport Layer Security). Spre deosebire de acestea, protocoalele IPSec se
regăsesc la nivelul 3 al stivelor TCP/IP și ISO-OSI, ceea ce face posibilă
securizarea tuturor aplicațiilor care folosesc stiva TCP/IP.
IPSec are o arhitectură de tip end-to-end, compatibilă atât cu protocolul IPv4, cât și
cu IPv6, unde integrarea funcțiilor de securizare este nativă, încă de la proiectarea
protocolului. Modelul IPsec este descris în mod oficial de către IETF, printr-o serie
de documente RFC.
Prin suita IPsec pot fi securizate comunicațiile între două sau mai multe
calculatoare independente, între două sau mai multe subrețele aflate fiecare în
spatele unui gateway care se ocupă de folosirea funcțiilor criptografice pentru
fiecare subrețea aflată în administrarea sa, precum și între un calculator
independent și o subrețea aflată în spatele unui gateway. IPsec se bazează pe
proprietățile criptografice ale unor modele precum Diffie-Hellman, RSA sau DSA
și a algoritmilor de criptare și autentificare, cum sunt DES, 3 DES, AES, MD5,
SHA1.
Modul de funcționare
În afara cazului de manual keying unde baza de date SAD este completată într-o
manieră statică, negocierea IKE este descrisă mai jos. Există două versiuni ale
acestui protocol:
IKEv1 - RFC 2409
IKEv2 - RFC 4306.
Cele două protocoale nu sunt compatibile unul cu celălalt.
IKEv1
Negocierea IKEv1 este alcătuită din două etape sau faze, numite sugestiv Phase1 și
Phase2. Prima fază are rolul de a autentifica entitățile de IPSec, de a stabili o
asociere de securitate și de a deriva cheile Diffie-Hellman din care vor fi derivate
ulterior cheile efective de criptate și/sau autentificare pentru traficul de date. Prima
fază are la rândul ei două variante sau moduri: modul principal - main mode și
modul agresiv - aggressive mode, fiecare redat mai jos. Faza a doua este numită
modul rapid - quick mode.
IKEv2
Negocierea IKEv2 are un singur mod de stabilire si cuprinde un schimb inițial -
Initial Exchange și un schimb de creare de asocieri de securitate -
CREATE_CHILD_SA Exchange.
Initial Exchange este un schimb alcătuit din patru mesaje, el fiind oarecum
echivalentul primei faze în accepțiunea protocolului IKEv1.