Бесплатная почта и хостинг в Кыргызстане
Вход для клиентов
Логин:
Пароль:
Войти

Каталог телефонов
Описание и фото - более 2000 моделей телефонов, сотовые, спутниковые, радио и стационарные аппараты
Интересное на сайте:
Расширенная кольпоскопия в сети клиник Доктор Рядом.

Xiaomi Mi A2 4 64GB Black: особенности и преимущества

Где купить профессиональные системы видеонаблюдения с г ...

Кабель электрический от диада электро.

Сопровождение (обслуживание) сайта


БЕСПЛАТНАЯ ПОЧТА И ХОСТИНГ
Почта Веб деньги
Бесплатный почтовый ящик по Кыргызстану Webmoney, e-gold, paypal, покупка, продажа и много чего еще
Хостинг Онлайн магазин
Лучшая площадка с высокоскоростным доступом Покупайте не выходя из дома!
Карты предоплаты
Реклама Баннерная реклама
Заработаем вместе и приумножим капиталы Лучший способ прорекламировать
Ваш сайт!
Форум Коммерческая рассылка
Общаемся о бо всем Вашу информацию прочитают все пользователи нашего сервиса

Разновидности транспортного объединения

Новости ON
Комбинирование ассоциаций безопасности: более подробно датаграммы IP не защищаются обоими ан и ESP. отдельные SA защищаются одним или другим, но не обоими сразу. однако возможно использование нескольких SA для выполнения правил безопасности, и в ipsec определены два способа объединения SA в пакеты, называемые пакетами SA.

Первый способ называется транспортным объединением (transport adjacency). при таком способе к одной IP-датаграмме применяется более чем один протокол безопасности, без использования туннелирования. При этом комбинируются только ан и ESP, то есть осуществляется один уровень вложения. Это возможно потому, что в обоих ан и ESP используются мощные алгоритмы и использование дополнительных средств не даст никаких преимуществ. При этом обработка у получателя производится только один раз — в конечном пункте. Второй метод называется множественным туннелированием (iterated tunneling) и означает использование нескольких протоколов безопасности в IP-туннелях. Этот метод позволяет большой уровень вложенности. каждый туннель может начаться или закончиться в любом ipsec-сервере на пути от отправителя к получателю.

Существует также одна разновидность транспортного объединения и три — множественного туннелирования, показанные, а показан вариант с транспортным объединением с одним уровнем комбинирования SA.

Показан первый вариант множественного туннелирования, когда оба конца используемых SA совпадают. Внутренний и внешний туннели могут быть как АН, так и ESP, а также туннели могут совпадать (что маловероятно). На 8.8, в приведен другой вариант множественного туннелирования, в котором один конец соединения совпадает для обоих туннелей. Внешний и внутренний туннели могут быть или АН, или ESP.

Показан последний вариант множественного туннелирования, когда ни один из концов SA не совпадает. Внешний и внутренний туннели могут быть или АН, или ESP.

Местоположение IPSec
Как вы могли ожидать, конкретное местоположение IPSec в аппаратных средствах или программном обеспечении не определено в требованиях спецификаций Интернета, а только в рекомендациях. Имеется три наиболее вероятных сценария. Первым сценарием будет помещение кода IPSec прямо в исходный код IP, написанный для хоста или шлюза безопасности. Этот подход называется запихнуть-в-код (bump-in-the-code — BITC).

Второй сценарий — IPSec помещается в стек протоколов под IP, а это означает, что он будет действовать поверх драйвера линии. Этот подход мог бы подойти хостам, когда IPSec выполняется поверх управления доступа к носителю (media access control — MAC). Этот подход называется запихнуть-в-стек (bump-ih-the-stack — BITS).

Третьим сценарием является использование отдельного оборудования, которое подсоединяется к хосту или шлюзу. Например, такое устройство могло бы быть специальным процессором шифрации (например, таким, какой используется военными). Этот подход называется запихнуть-в-железо (bump-in-the-wire — BITW). К такого рода устройствам обычно обращаются по IP-адресу, и, если оно подсоединено к хосту, то для него оно выглядит как BITS. Если же оно используется с маршрутизатором или брандмауэром, то оно будет выглядеть как шлюз безопасности и должно быть сконфигурировано как дополнение защитных функций брандмауэра.

Базы данных IPSec
В IPSec определено использование двух баз данных: базы данных правил безопасности (Security Policy Database - SPD) и базы данных ассоциаций безопасности (Security Association Database — SAD). Кроме того, там определено связанное с базами данных понятие — селектор.
 
Читайте также:

  • Базы данных IPSec
  • Архитектура IPSec
  • Выбор и использование SA или пакета SA
  • IP-адресация в заголовках
  • Компоненты Интернета, участвующие в соединении


  • Разработка Ne и XOSTER.KG, ©-2007-2011.