IPsec

Z Wikipedie, otevřené encyklopedie
Skočit na: Navigace, Hledání

IPsec (IP security) je bezpečnostní rozšíření IP protokolu založené na autentizaci a šifrování každého IP datagramu. V architektuře OSI se jedná o zabezpečení již na síťové vrstvě, poskytuje proto transparentně bezpečnost jakémukoliv přenosu (kterékoliv síťové aplikaci). Bezpečnostní mechanismy vyšších vrstev (nad protokoly TCP/UDP, kde pracují TLS/SSL, SSH apod.) vyžadují podporu aplikací. IPsec je definován v několika desítkách RFC vydaných IETF, základními jsou 2401 a 2411.

Princip činnosti[editovat | editovat zdroj]

Vytváří logické kanály – Security Associations (SA), které jsou vždy jednosměrné, pro duplex se používají dvě SA.

Bezpečnostní rozšíření vypadá následovně:

  • Ověřování – při přijetí paketu může dojít k ověření, zda vyslaný paket odpovídá odesilateli či zda vůbec existuje.
  • Šifrování – obě strany se předem dohodnou na formě šifrování paketu. Poté dojde k zašifrování celého paketu krom IP hlavičky, případně celého paketu a bude přidána nová IP hlavička.

Základní protokoly (jsou často používány zároveň, protože se vzájemně doplňují):

  • Authentication Header (AH) – zajišťuje autentizace odesílatele a příjemce, integritu dat v hlavičce, ale vlastní data nejsou šifrována.
  • Encapsulating Security Payload (ESP) – přidává šifrování paketů, přičemž vnější hlavička není nijak chráněna a není zaručena její integrita.

Externí odkazy[editovat | editovat zdroj]