[ Pobierz całość w formacie PDF ]
.Tabela 14.2Wyniki wydajności w różnych scenariuszach komunikacji pojedynczego klienta z serwerem.Cały ruch sieciowy IPSec to ESP z szyfrowaniem 3DESKonfiguracja łącznościAdapter sieciowy serweraAdapter sieciowy klientaDane wysłane od klientaDane wysłane z serweraCzas [min.]Obciążenie procesora [%]PrzepustowośćOtwartym tekstemZwykłyZwykły277 MB0 MB01:449,02903 kB/sOtwartym tekstemZwykłyZwykły277 MB277 MB03:5314,22687 kB/sOtwartym tekstemIPSecZwykły277 MB0 MB01:489,13053 kB/sOtwartym tekstemIPSecZwykły277 MB277 MB02:2024,34592 kB/sIPSecZwykłyZwykły277 MB0 MB04:5526,31089 kB/sIPSecZwykłyZwykły277 MB277 MB12:5112,1847 kB/sIPSecIPSecZwykły277 MB0 MB02:5511,81991 kB/sIPSecIPSecZwykły277 MB277 MB04:1713,62472 kB/sIPSecIPSecIPSec277 MB0 MB02:2515,32205 kB/sIPSecIPSecIPSec277 MB277 MB02:4326,44389 kB/sOpcje IPSecIPSec można skonfigurować do wykonywania jednej lub więcej z poniższych funkcji zabezpieczeń:lZapewnienie integralności pakietów danych IP przesyłanych przez sieć.llSzyfrowanie wszystkich danych wysyłanych przez sieć z zapewnieniem pełnej poufności.llUkrycie źródłowych adresów IP w trakcie podróży przez sieć.lUwagaIPSec w Windows 2000 pozwala na uwierzytelnienie nadawcy pakietów danych IP w oparciu o uwierzytelnianie Kerberosa, certyfikaty cyfrowe lub wspólny klucz tajny (hasło).Obsługa cyfrowych certyfikatów oparta jest na rozszerzeniu PKCS dla IPSec, w chwili obecnej nie w pełni standaryzowanym.Z mojego doświadczenia wynika też, iż obsługa ta nie jest jeszcze w pełni zdatna do użytku ze względu na niestabilne zachowanie od czasu do czasu.Do zapewnienia integralności używany jest protokół o nazwie Authentication Header (AH - nagłówek uwierzytelniający).Mówiąc bardziej ściśle, AH podpisuje cyfrowo całą zawartość każdego pakietu, chroniąc sieć użytkownika przed trzema rodzajami ataków:lAtaki przez odtwarzanie (replay attacks) — napastnik przechwytuje pakiet, zapisuje go na później i wysyła ponownie aby podszyć się pod inny komputer w sieci.Protokół AH chroni przed tym atakiem, dołączająckluczowaną sumę kontrolnąpakietu tak, by nikt nie był w stanie wysłać go ponownie.llManipulacje (tampering) — mechanizm kluczowanej sumy kontrolnej, stosowany przez AH daje zapewnienie, iż nikt nie zmienił zawartości pakietu od chwili jego wysłania.llPodszywanie (spoofing) — uwierzytelnianie jest dwustronne, więc zarówno klient jak serwer może zweryfikować tożsamość drugiej strony.lInaczej mówiąc, AH zabezpiecza integralność i autentyczność pakietów sieciowych, dodając nagłówek uwierzytelniający do każdego pakietu.Nagłówek ten zawiera kluczowaną sumę kontrolną, obliczaną z całego pakietu, wobec czego wszelkie zmiany w danych spowodują niepoprawność sumy kontrolnej — to daje ochronę integralności.AH używa algorytmów szyfrowania HMAC-MD5 lub HMAC-SHA.UwagaHMAC (Hash Message Authentication Code) jest algorytmem klucza tajnego, w którym klucz tajny jest łączony z funkcją mieszania.Funkcją tą może być HMAC-MD5 (Message Digest function 5) lub HMAC-SHA (Secure Hash Algorithm), tworzące odpowiednio wartości 128-bitowe i 160-bitowe, służące w roli podpisu dla danego bloku danych.Chociaż protokół AH chroni dane przed atakami na integralność i autentyczność, nie czyni nic by chronić ruch sieciowy przed odczytem „z kabla”.Do tego celu trzeba użyć protokołu ESP (Encapsulating Security Protocol).ESP zasadniczo szyfruje całą zawartość (lub ładunek użyteczny) każdego pakietu IP.Ściśle mówiąc, dane aplikacji są szyfrowane, a nagłówek i stopka ESP razem z danymi aplikacji są podpisywane aby uniknąć podszywania.Do końca danych doczepiony jest też odrębny ładunek uwierzytelnienia ESP.Podobnie jak pakiet AH, pakiet ESP jest zamknięty w standardowym pakiecie IP.Protokół ESP samodzielnie zabezpiecza integralność, uwierzytelnienie i poufność pakietów; jest często określany mianem IPSec.ESP wykorzystuje algorytmy HMAC-MD5 i HMAC-SHA do zapewnienia integralności oraz DES-CBC do samego szyfrowania.UwagaAlgorytm DES-CBC (Cipher Block Chaining) jest algorytmem klucza tajnego, w którym generowana jest liczba losowa używana z kluczem tajnym w związku z szyfrowaniem danych.Można wybierać pomiędzy algorytmami DES i 3DES.Trzeba wybrać pomiędzy ESP i AH — nie można używać obu naraz.Ponadto każdy pakiet IPSec jest zamknięty w zwykłymnagłówkuIP.Dzięki temu IPSec może przejść wszędzie tam, gdzie dochodzi zwykły ruch IP, przez co z kolei łatwiej wdrożyć IPSec niż poprzednie protokoły zabezpieczeń sieciowych.Za kulisami IPSecIPSec ustanawia dwupunktowy kanał łączności pomiędzy dwoma komputerami.Wobec tego potrzebny jest schemat, według którego każde dwa komputery IPSec przystaną na wspólny zestaw ustawień zabezpieczeń.I co jeszcze ważniejsze, musi istnieć sposób bezpiecznej wymiany pomiędzy tymi dwoma komputerami zestawu kluczy szyfrujących przeznaczonego do ich połączenia.Zadanie to jest obsługiwane przez protokół ISAKMP (Internet Security Agreement/Key Management Protocol) [ Pobierz całość w formacie PDF ]