Протоколы обеспечения безопасности IPSec

В IPSec используется два протокола (или иначе — два правила, по которым изменяются IP-пакеты) — AH и ESP.

Authentication Header (АН) позволяет проверять целостность данных и их аутентичность — авторство. Целостность данных проверяется с помощью стандартного CRC, авторство данных — с помощью цифровой подписи. Encapsulating Security Payload (ESP) позволяет проверять не только авторство и целостность данных, но и дает возможность обеспечивать им повышенную защиту с помощью кодирования. Оба протокола могут использоваться вместе или отдельно.

Управление ключами в IPSec

Как уже говорилось выше, в IPSec используется инфраструктура электронных подписей. Сама подпись представляется в компьютерах в виде электронных ключей. Для того, чтобы установить безопасное соединение между партнерами IPSec между ними должен произойти обмен ключами. В большинстве случаев это происходит автоматически с помощью протокола IKE (Internet Key Exchange). На данный момент допустимо использование 2048;битных ключей, что позволяет быть абсолютно уверенным в невозможности их дешифрования. Однако, возможен и ручной обмен ключами, который при недостаточной квалификации специалиста может быть проведен неверно, вследствие чего вся система IPSec может не работать. Поэтому рекомендуется использовать стандартную схему обмена ключами с помощью IKE.

На первом этапе установления соединения по IPSec с помощью IKE происходит идентификация партнеров и определение алгоритмов кодирования. Затем происходит определение способа шифрования для ассоциации безопасности IPSec и ее установление.