TCP/IP Архитектура, протоколы, реализация (включая IP версии 6 и IP Security)
Шрифт:
24.5.3 Режимы транспорта и туннеля
Рассмотрим способы реализации конфиденциальности. Формат датаграммы IP версии 6 с шифрованной полезной нагрузкой более высокого уровня показан на рис. 24.6. Такой формат определяет режим транспорта (Transport-mode).
Рис. 24.6. Шифрование для режима транспорта
На рис. 24.7 показан формат для режима туннеля (Tunnel-mode). Шифруется вся датаграмма, включая все ее заголовки. Для пересылки подставляется новый заголовок. Режим туннеля между хостами может не сработать, если по пути следования попадутся фильтрующие маршрутизаторы со средствами защиты. Такие системы будут проверять информацию, подобную IP-адресам источника и назначения либо порты, а эти сведения будут скрыты внутри зашифрованного сообщения.
Рис. 24.7. Шифрование для режима туннеля
24.5.4 Инкапсуляция защищенной полезной нагрузки
Заголовок инкапсуляции защищенной полезной нагрузки протокола IP (IP Encapsulating Security Payload) применяется как для режима транспорта, так и для режима туннеля.
Формат этого заголовка показан на рис. 24.8. Получатель использует индекс SPI для выбора алгоритма и ключа (ключей). Оставшиеся данные зависят от выбранного алгоритма.
Рис. 24.8. Заголовок Encapsulating Security Payload
При использовании CBC-DES формат заголовка Encapsulating Security Payload и оставшаяся часть сообщения будут выглядеть как на рис. 24.9.
Рис. 24.9. Заголовок и полезная нагрузка при использовании алгоритма CBC-DES
Вектор инициализации (Initialization Vector) — это блок данных, необходимых для начала работы алгоритма CBC-DES. Затененная область на рисунке представляет зашифрованные данные. Тип 4 означает инкапсулирование в полезной нагрузке всей датаграммы (режим туннеля).
Хотя первоначально планируется использование CBC-DES, в будущем могут появиться другие протоколы для инкапсуляции полезной нагрузки, комбинирующие аутентификацию и целостность данных с шифрованием.
24.5.5 Аутентификация в режиме туннеля
При обмене между граничными маршрутизаторами в режиме туннеля в сообщение могут включаться два независимых заголовка аутентификации. Один будет размещен внутри исходного заголовка датаграммы и будет зашифрован и скрыт от остального мира. Этот заголовок обеспечит аутентификацию между конечными точками. Другой заголовок станет частью нешифрованного заголовка IP, используемого для обмена между граничными маршрутизаторами. Он обеспечит аутентификацию между границами сетей.
24.5.6 Обслуживание ключей
Широкое использование безопасности в IP требует распространения множества секретных ключей среди большого количества сетевых узлов. Ключи должны периодически обновляться, и их нужно синхронизовать между собой.
Существует много литературы по управлению
Использование асимметричных общедоступных/личных пар ключей вместо симметричного метода CBC-DES может значительно уменьшить количество администрируемых ключей.
24.6 Дополнительная литература
Следующий список RFC являлся актуальным на момент выхода книги. Последние изменения можно найти в индексе RFC.
RFC 1825 Security Architecture for the Internet Protocol (Архитектура безопасности для протокола Интернета). Справочный раздел этого документа содержит список множества других публикаций по теме безопасности.
RFC 1826 IP Authentication Header (Заголовок аутентификации протокола IP)
RFC 1828 IP Authentication using Keyed MD5 (Аутентификация в IP по ключам MD5)
RFC 1321 The MD5 Message-Digest Algorithm (Алгоритм вычисления резюме сообщения MD5)
RFC 1827 IP Encapsulating Security Payload — ESP (Инкапсуляция защищенной полезной нагрузки в протоколе IP)
RFC 1829 The ESP DES-CBC Transform (Преобразование ESP по алгоритму DES-CBC)
Приложение А
Сокращения и аббревиатуры
| AAL | ATM Adaptation Layer (Уровень адаптации в ATM) |
| ACK | An Acknowledgment (Подтверждение) |
| AF | Address Family (Семейство адресов) |
| АН | Authentication Header (Заголовок аутентификации) |
| ANSI | American National Standards Institute (Американский национальный институт стандартов) |
| API | Application Programming Interface (Интерфейс программирования приложений) |
| ARP | Address Resolution Protocol (Протокол разрешения адресов) |
| ARPA | Advanced Research Projects Agency (Агентство перспективных исследовательских проектов) |
| ARPANET | Advanced Research Projects Agency Network (Сети ARPA) |
| AS | Autonomous System (Автономная система) |
| ASA | American Standards Association (Американская ассоциация по стандартизации) |
| ASCII | American National Standard Code for Information Interchange (Американский национальный стандартный код для обмена информацией) |
| ASN.1 | Abstract Syntax Notation 1 (Первая абстрактная синтаксическая нотация) |
| ATM | Asynchronous Transfer Mode (Режим асинхронной пересылки) |
| BBN | Bolt, Beranek, and Newman, Incorporated (название компании) |
| BCP | Best Current Practices (лучший текущий способ применения) |
| BECN | Backward Explicit Congestion Notification (Frame Relay) (Нотификация о явной обратной перегрузке в сетях Frame Relay) |
| BER | Basic Encoding Rules (Базовые правила декодирования) |
| BGP | Border Gateway Protocol (Протокол граничного шлюза) |
| BIND | Berkeley Internet Name Domain (Имена доменов Интернета системы Berkeley) |
| BOOTP | Bootstrap Protocol (Протокол загрузки) |
| BPDU | Bridge Protocol Data Unit (Элемент данных протокола для моста) |
| BRI | Basic Rate Interface (Интерфейс базового уровня передачи) |
| BSD | Berkeley Software Distribution (Дистрибутив программного обеспечения Беркли — название операционной системы) |
| CBC | Cipher-Block Chaining (Связывание нулевыми блоками) |
| CCITT | International Telegraph and Telephone Consultative Committee (Международный консультативный комитет по телеграфии и телефонии), в настоящее время ITU-T (Comité Consultatif International de Télégraphique et Téléphonique) |
| CERT | Computer Emergency Response Team (Подразделение реагирования на компьютерные неисправности) |
| CHAP | Challenge Handshake Authentication Protocol (Протокол аутентификации по взаимной проверке) |
| CIDR | Classless Inter-Domain Routing (Бесклассовая междоменная маршрутизация) |
| CLNP | Connectionless Network Protocol (Сетевой протокол без установления соединений) |
| CMIP | Common Management Information Protocol (Общий протокол управляющей информации) |
| CMIS | Common Management Information Services (Общая служба управляющей информации) |
| CMOT | Common Management Information Services and Protocol over TCP/IP (Общая служба и протокол управляющей информации поверх TCP/IP) |
| CPU | Central Processing Unit (Центральный процессор, процессор) |
| CR | Carriage Return (Возврат каретки — название символа) |
| CRC | Cyclic Redundancy Check (Циклическая избыточная проверка, контроль циклическим избыточным кодом) |
| CSLIP | Compressed SLIP (Протокол SLIP со сжатием данных) |
| CSMA/CD | Carrier Sense Multiple Access with Collision Detection (Множественный доступ с контролем носителя и обнаружением конфликтов) |
| CSO | Computer Services Organization (Организация по обслуживанию компьютеров) |
| CSU | Channel Service Unit (Служебный элемент канала) |
| DAP | Directory Access Protocol (Протокол доступа к каталогам) |
| DARPA | Defense Advanced Research Projects Agency (Агентство перспективных исследовательских проектов в области обороны) |
| DCA | Defense Communications Agency (Агентство военных коммуникаций) |
| DCE | Data Circuit-terminating Equipment (Оборудование терминирования цепей данных) |
| DCE | Distributed Computing Environment (Распределенное компьютерное окружение) |
| DDN | Defense Data Network (Военные цифровые сети) |
| DDN NIC | Defense Data Network Network Information Center (Сетевой информационный центр военных цифровых сетей) |
| DE | Discard Eligibility (Frame Relay) (Приемлемое удаление в сетях Frame Relay) |
| DEC | Digital Equipment Corporation (название компании) |
| DES | Data Encryption Standard (Стандарт шифрования данных) |
| DEV | Deviation (Отклонение) |
| DFS | Distributed File Service (Распределенная файловая служба) |
| DHCP | Dynamic Host Configuration Protocol (Протокол динамического конфигурирования хостов) |
| DISA | Defense Information Systems Agency (Агентство военных информационных систем) |
| DIX | Digital, Intel, and Xerox Ethernet protocol (стандарт на Ethernet компаний DEC, Intel и Xerox) |
| DLCI | Data Link Connection Identifier (Идентификатор соединения по связи данных) |
| DLL | Dynamic Link Library (Динамическая библиотека связывания) |
| DME | Distributed Management Environment (Окружение распределенного обслуживания) |
| DMI | Desktop Management Interface (Интерфейс управления настольными системами) |
| DMTF | Desktop Management Task Force (Рабочая группа по управлению настольными системами) |
| DNS | Domain Name System (Система именования доменов) |
| DOD | Department of Defense (Министерство обороны США) |
| DOS | Disk Operating System (Дисковая операционная система) |
| DSA | Directory System Agent (Системный агент каталога) |
| DSAP | Destination Service Access Point (Точка доступа к службе назначения) |
| DSU | Data Service Unit (Элемент службы данных) |
| DTE | Data Terminal Equipment (Оборудование терминирования данных) |
| DUA | Directory User Agent (Пользовательский агент каталога) |
| DUAL | Diffusing Update Algorithm (Диффузионный алгоритм внесения изменений) |
| DXI | Data Exchange Interface (Интерфейс обмена данными) |
| EBCDIC | Extended Binary-Coded Decimal Interchange Code (Расширенный десятичный код обмена с двоичным кодированием) |
| EGP | Exterior Gateway Protocol (Внешний протокол шлюза) |
| EIGRP | Enhanced Internet Gateway Routing Protocol (Улучшенный протокол маршрутизации шлюза Интернета) |
| EOF | End of File (Конец файла) |
| EOR | End of Record (Конец записи) |
| ESMTP | Extensions to SMTP (Расширения протокола SMTP) |
| ESP | Encapsulating Security Payload (Инкапсулирование защищенной полезной нагрузки) |
| FAQ | Frequently Asked Questions (Часто задаваемые вопросы) |
| FCS | Frame Check Sequence (Проверочная последовательность кадров) |
| FDDI | Fiber Distributed Data Interface (Волоконно-оптический интерфейс данных) |
| FECN | Forward Explicit Congestion Notification (Frame Relay) (Явное указание на перегрузку при пересылке в сетях Frame Relay) |
| FIN | Final Segment (Заключительный сегмент) |
| FIPS | Federal Information Processing Standard (Федеральный стандарт обработки информации) |
| FTAM | File Transfer, Access and Management (Пересылка файлов, доступ и обслуживание) |
| FTP | File Transfer Protocol (Протокол пересылки файлов) |
| FYI | For Your Information ("К вашему сведению") |
| GGP | Gateway-to-Gateway Protocol (Межшлюзовый протокол) |
| GIF | Graphics Interchange Format (Формат обмена графикой) |
| GMT | Greenwich Mean Time (Время по Гринвичу) |
| GOSIP | Government Open Systems Interconnection Profile (Правительственный профиль взаимодействия открытых систем) |
| GUI | Graphical User Interface (Графический пользовательский интерфейс) |
| HDLC | High Level Data Link Control Protocol (Протокол управления связью данных высокого уровня) |
| HIPPI | High Performance Parallel Interface (Высокопроизводительный параллельный интерфейс) |
| HTML | Hypertext Markup Language (Язык разметки гипертекста) |
| HTTP | Hypertext Transfer Protocol (Протокол пересылки гипертекста) |
| IAB | Internet Architecture Board (Internet Activities Board) (Совет по архитектуре Интернета, ранее — Совет по работе Интернета) |
| IAC | Interpret As Command (Интерпретировать как команду) |
| IANA | Internet Assigned Numbers Authority (Авторизация присвоенных номеров Интернета — название организации) |
| IBM | International Business Machines (название компании) |
| ICMP | Internet Control Message Protocol (Протокол управляющих сообщений Интернета) |
| ID | Identifier (Идентификатор) |
| IDRP | OSI Inter-Domain Routing Protocol (Протокол междоменной маршрутизации модели OSI) |
| IEEE | Institute of Electrical and Electronics Engineers (Институт инженеров по электротехнике и электронике) |
| IEN | Internet Engineering Notes (Инженерные заметки Интернета) |
| IESG | Internet Engineering Steering Group (Управляющая группа технологии Интернета) |
| IETF | Internet Engineering Task Force (Рабочая группа технологии Интернета) |
| IGMP | Internet Group Management Protocol (Протокол управления группами Интернета) |
| IGP | Interior Gateway Protocol (Протокол внешнего шлюза) |
| IGRP | Internet Gateway Routing Protocol (Протокол маршрутизации шлюза Интернета, лицензия компании Cisco) |
| ILMI | Interim Local Management Interface (Интерфейс руководства локальным обслуживанием) |
| IMAP | Internet Mail Access Protocol (Протокол доступа к почте Интернета) |
| I/O | Input/Output (ввод/вывод) |
| IP | Internet Protocol (Протокол Интернета) |
| IPng | IP next generation (version 6) (Протокол Интернета следующего поколения, версия 6) |
| IPSO | IP Security Option (Варианты безопасности в IP) |
| IPX | Internetwork Packet eXchange (Обмен межсетевыми пакетами для NetWare) |
| IRQ | Interrupt Request (Вектор прерывания) |
| IRTF | Internet Research Task Force (Рабочая группа исследования Интернета) |
| ISDN | Integrated Services Digital Network (Цифровые сети с интегрированными службами) |
| IS-IS | Intermediate System to Intermediate System (Взаимодействие между промежуточными системами) |
| ISN | Initial Sequence Number (Исходный порядковый номер) |
| ISO | International Organization for Standardization (Международная организация по стандартизации) |
| ISOC | Internet Society (Сообщество Интернета) |
| ISODE | ISO Development Environment (Окружение разработки ISO) |
| ISP | Internet Service Provider (Провайдер Интернета, поставщик сетевых услуг) |
| ITU | International Telecommunications Union (Международный телекоммуникационный союз) |
| ITU-T | Telecommunication Standardization Sector of the ITU (Сектор телекоммуникационных стандартов ITU) |
| JPEG | Joint Photographic Experts Group (Объединенная группа экспертов по фотографии) |
| LAN | Local Area Network (Локальная сеть) |
| LAPB | Link Access Procedures Balanced (Процедура балансировки доступа к связи) |
| LAPD | Link Access Procedures on the D-channel (Процедура доступа к связи по D-каналу) |
| LF | Line Feed (Перевод строки — название символа) |
| LLC | Logical Link Control (Управление локальной связью) |
| MAC | Media Access Control (Управление доступом к носителю) |
| MAN | Metropolitan Area Network (городские сети) |
| MD5 | Message Digest 5 (Протокол резюме сообщения, версия 5) |
| MIB | Management Information Base (Информационная база управления) |
| MIME | Multipurpose Internet Mail Extensions (Многоцелевые почтовые расширения Интернета) |
| ms | Millisecond (миллисекунда) |
| MSS | Maximum Segment Size (Максимальный размер сегмента) |
| MTA | Message Transfer Agent (Агент пересылки сообщений) |
| MTU | Maximum Transmission Unit (Максимальный элемент пересылки) |
| MX | Mail Exchanger (Система почтового обмена) |
| NAP | Network Access Point (Точка доступа к сети) |
| NCSA | National Center for Supercomputing Applications (Национальный центр по применению суперкомпьютеров) |
| NDIS | Network Device Interface Specification (Спецификация интерфейса сетевого устройства) |
| NETBIOS | Network Basic Input Output System (Базовая сетевая система ввода/вывода) |
| NFS | Network File System (Сетевая файловая система) |
| NIC | Network Information Center (Сетевой информационный центр) |
| NIS | Network Information System (Сетевая информационная система) |
| NISI | Network Information Service Infrastructure (Инфраструктура сетевой информационной службы) |
| NIST | National Institute of Standards and Technology (Национальный институт стандартов и технологий) |
| NLPID | Network Level Protocol ID (Идентификатор протокола сетевого уровня) |
| NNTP | Network News Transfer Protocol (Протокол пересылки сетевых новостей) |
| NOC | Network Operations Center (Сетевой операционный центр) |
| NREN | National Research and Education Network (Исследовательская и образовательная национальная сеть) |
| NS | Name Server (Сервер имен) |
| NSAP | Network Service Access Point (Точка доступа к сетевой службе) |
| NSF | National Science Foundation (Национальный научный фонд) |
| NTP | Network Time Protocol (Протокол сетевого времени) |
| NVT | Network Virtual Terminal (Сетевой виртуальный терминал) |
| ODI | Open Device Interface (Интерфейс открытых устройств) |
| ONC | Open Network Computing (Открытые сетевые вычисления) |
| OSF | Open Software Foundation (Фонд открытого программного обеспечения) |
| OSI | Open Systems Interconnect (Взаимодействие открытых систем) |
| OSPF | Open Shortest Path First (Сначала открывать кратчайший путь) |
| OUI | Organizationally Unique Identifier (Уникальный идентификатор организации) |
| PAD | Packet Assembler/Disassembler (Сборка/извлечение пакетов) |
| PAP | Password Authentication Protocol (Протокол аутентификации по паролям) |
| PC | Personal Computer (Персональный компьютер) |
| PDU | Protocol Data Unit (Элемент данных протокола) |
| PGP | Pretty Good Privacy (Повышенная секретность) |
| PI | Protocol Interpreter (Интерпретатор протокола) |
| PING | Packet Internet Groper (Пакетная служба Groper в Интернете) |
| POP | Point Of Presence (Точка присутствия) |
| POP | Post Office Protocol (Протокол почтового офиса) |
| PPP | Point-to-Point Protocol (Протокол "точка-точка") |
| PTT | Postal Telegraph and Telephone (Почтовый телефон и телеграф) |
| QoS | Quality of Service (Качество обслуживания) |
| RA | Routing Arbiter (Арбитр маршрутизации) |
| RARP | Reverse Address Resolution Protocol (Протокол обратного разрешения адресов) |
| RFC | Request For Comments (Запрос комментариев) |
| RIF | Routing Information Field (Информационное поле маршрутизации) |
| RIP | Routing Information Protocol (Протокол информации маршрутизации) |
| RIPE | Reseaux IP Européens (Европейское исследовательское агентство по IP) |
| RMON | Remote Network Monitor (Удаленный сетевой монитор) |
| ROM | Read Only Memory (Память "только чтение", постоянное запоминающее устройство) |
| RPC | Remote Procedure Call (Вызов удаленной процедуры) |
| RR | Resource Record (Запись о ресурсах) |
| RR | Routing Registry (Регистрация маршрутов) |
| RST | Reset (Сброс) |
| RTO | Retransmission Timeout (Тайм-аут по повторной пересылке для протокола TCP) |
| RTT | Round-Trip Time (Время цикла) |
| SDEV | Smoothed Deviation (Округленное отклонение) |
| SDLC | Synchronous Data Link Control (Управление синхронной связью данных) |
| SEI | Software Engineering Institute (Институт инженеров программного обеспечения) |
| SGML | Standard Generalized Markup Language (Обобщенный стандартный язык разметки) |
| SIP | SMDS Interface Protocol (Интерфейсный протокол SMDS) |
| SLIP | Serial Line Interface Protocol (Протокол интерфейса последовательной линии) |
| SMDS | Switched Multimegabit Data Service (Коммутируемая многомегабитная служба данных) |
| SMI | Structure of Management Information (Структура управляющей информации) |
| SMTP | Simple Mail Transfer Protocol (Простой протокол пересылки почты) |
| SNA | Systems Network Architecture (Сетевая архитектура систем) |
| SNAP | Sub-Network Access Protocol (Протокол доступа к подсетям) |
| SNMP | Simple Network Management Protocol (Простой протокол сетевого управления) |
| SOA | Start of Authority (Начало авторизации) |
| SONET | Synchronous Optical Network (Синхронные оптические сети) |
| SPF | Shortest Path First (Первым — кратчайший путь) |
| SPI | Security Parameters Index (Индекс параметров безопасности) |
| SPX | Sequenced Packet Exchange (Последовательный обмен пакетами, для Netware) |
| SRTT | Smoothed Round-Trip Time (Округленное время цикла) |
| SSAP | Source Service Access Point (Точка доступа к службе источника) |
| SSL | Secure Sockets Layer (Уровень безопасности в socket) |
| SWS | Silly Window Syndrome (Синдром "бестолкового окна") |
| SYN | Synchronizing Segment (Сегмент синхронизации) |
| TCB | Transmission Control Block (Блок управления пересылкой) |
| TCP | Transmission Control Protocol (Протокол управления пересылкой) |
| TCU | Trunk Coupling Unit (Парный элемент транковой связи) |
| TELNET | Terminal Networking (Сетевое взаимодействие терминалов) |
| TFTP | Trivial File Transfer Protocol (Примитивный протокол пересылки файлов) |
| TLI | Transport Layer Interface (Интерфейс транспортного уровня) |
| TOS | Type of Service (Тип обслуживания) |
| TP4 | OSI Transport Class 4 (Класс транспорта 4 модели OSI) |
| TSAP | Transport Service Access Point (Точка доступа к транспортной службе) |
| TTL | Time-To-Live (Время жизни, возраст) |
| UA | User Agent (Пользовательский агент) |
| UDP | User Datagram Protocol (Протокол пользовательских датаграмм) |
| ULP | Upper Layer Protocol (Протокол верхнего уровня) |
| URI | Universal Resource Identifier (Универсальный идентификатор ресурсов) |
| URL | Uniform Resource Locator (Единый указатель ресурсов) |
| URN | Uniform Resource Name (Единое имя ресурса) |
| UTC | Universal Time Coordinated (Универсальное время) |
| VCC | Virtual Channel Connection (Соединение по виртуальному каналу) |
| VLSM | Variable Length Subnet Masks (Маска подсети переменной длины) |
| VPC | Virtual Path Connection (Соединение по виртуальному пути) |
| W3 | World Wide Web (WWW) (Всемирная паутина) |
| WAIS | Wide Area Information Service (Региональная информационная служба) |
| WAN | Wide Area Network (Региональная сеть) |
| WWW | World Wide Web (Всемирная паутина) |
| WYSIWYG | What You See is What You Get ("Что видим, то и получаем") |
| XDR | eXternal Data Representation (Внешнее представление данных) |
| XNS | Xerox Network Systems (Сетевая система компании Xerox) |
Приложение B
RFC и другие документы по TCP/IP
B.1 Возможность получения документов RFC
На момент выхода книги документы RFC можно было получить в службе каталогов и баз данных InterNIC (InterNIC Directory and Database Services), обслуживаемой компанией AT&T. Эта служба доступна по адресу:
http://www.internic.net/
при выборе DIRECTORY AND DATABASE SERVICES и перехода по указателю на соответствующий документ RFC. Документы RFC доступны также по адресу:
ftp://ftp.internic.net/
в каталоге /rfc.
Полный текущий список документов RFC содержится в документе InterNIC /rfc/rfc-index.txt.
B.2 Assigned numbers
Комитет Internet Assigned Numbers Authority (IANA) координирует присваивание уникальных значений параметров для протоколов Интернета. IANA уполномочен на это Internet Society (ISOC) и Federal Network Council.
Периодически IANA издает RFC Assigned Numbers (присвоенные номера), который сообщает о текущих назначениях параметров и их значениях. Новые параметры можно сразу же получить из общедоступного архива FTP: