М.: Институт Системного Программирования РАН, 2007. – 57 с.
Перевод на русский язык стандарта RFC 4301 Security Architecture
for the Inteet Protocol. Перевод выполнил Шнитман В.З.
В данном документе представлен перевод на русский язык
основополагающего RFC 4301, регламентирующего архитектуру защиты
данных IPsec на сетевом уровне стека протоколов TCP/IP.
Данный документ определяет для сообщества Inteet протокол, находящийся в процессе стандартизации, и требует обсуждения, а также предложений по улучшению. За информацией, касающейся состояния стандартизации и статуса данного протокола, обращайтесь, пожалуйста, к текущей версии документа "Официальные стандарты протоколов Inteet" (STD 1). Распространение данного меморандума не ограничено.
Перевод выполнен в рамках проекта по гранту Российского фонда фундаментальных исследований № 07-07-00243 «Верификация функций безопасности протокола нового поколения IPsec v2». Содержание
Введение.
Краткое изложение содержания документа.
Аудитория.
Связанные документы.
Цели проекта.
Описание задач, целей, требований и проблем.
Предупреждения и предположения.
Общее представление о системе.
Что делает IPsec.
Как работает IPsec.
Где может быть реализован IPsec.
Контексты безопасности.
Определение и область действия.
Функциональность контекстов безопасности.
Комбинирование контекстов безопасности.
Главные базы данных IPsec.
База данных политик безопасности (SPD).
Селекторы.
Структура элемента SPD.
Дополнительная информация, касающаяся полей, связанных с протоколами следующего уровня.
База данных контекстов безопасности (SAD).
Элементы данных в SAD.
Связь между SPD, флагом PFP, пакетом и SAD.
База данных авторизации партнеров (PAD).
Идентификаторы элементов PAD и правилу сравнения.
Данные аутентификации партнера IKE.
Данные авторизации Child SA.
Как используется PAD.
Управление контекстами безопасности и ключами.
Ручные методы.
Автоматическое управление контекстами безопасности и ключами.
Определение местоположения защитного шлюза.
Контексты безопасности и многоадресная рассылка.
Обработка IP-трафика.
Обработка исходящего IP-трафика
(от защищенного к незащищенному).
Обработка исходящего пакета, который должен отбрасываться.
Построение заголовка для туннельного режима.
IPv4: Построение заголовка для туннельного режима.
IPv6: Построение заголовка для туннельного режима.
Обработка входящего IP-трафика (от незащищенного к защищенному).
Обработка ICMP.
Обработка сообщений об ошибках ICMP, направленных реализации IPsec.
Обработка сообщений об ошибках ICMP, полученных на незащищенной стороне границы.
Обработка сообщений об ошибках ICMP, полученных на защищенной стороне границы.
Обработка защищенных, транзитных сообщений об ошибках ICMP.
Обработка фрагментов (на защищенной стороне границы IPsec).
SA туннельного режима, по которым передаются начальные и не начальные фрагменты.
Отдельные SA туннельного режима для не начальных фрагментов.
Сравнение фрагментов с сохранением состояния.
Трафик BYPASS/DISCARD.
Обработка Path MTU/DF.
Бит DF.
Определение Path MTU (PMTU).
Распространение PMTU.
Старение PMTU.
Аудит.
Требования к соответствию.
Анализ безопасности.
Соображения для IANA.
Отличия от RFC 2401.
Благодарности.
Приложения:
Глоссарий.
Декорреляция.
Алгоритм декорреляции.
Приложения:
ASN.1 для элемента SPD.
Логическое обоснование обработки фрагментов.
Транспортный режим и фрагменты.
Туннельный режим и фрагменты.
Проблема не начальных фрагментов.
Трафик BYPASS/DISCARD.
Прямо говорить для портов нет Just say no to ports?.
Другие предложенные решения.
Непротиворечивость.
Окончательное решение.
Пример поддержки вложенных SA с помощью SPD и элементов таблицы пересылки.
Ссылки.
Нормативные ссылки.
Информативные ссылки.
Данный документ определяет для сообщества Inteet протокол, находящийся в процессе стандартизации, и требует обсуждения, а также предложений по улучшению. За информацией, касающейся состояния стандартизации и статуса данного протокола, обращайтесь, пожалуйста, к текущей версии документа "Официальные стандарты протоколов Inteet" (STD 1). Распространение данного меморандума не ограничено.
Перевод выполнен в рамках проекта по гранту Российского фонда фундаментальных исследований № 07-07-00243 «Верификация функций безопасности протокола нового поколения IPsec v2». Содержание
Введение.
Краткое изложение содержания документа.
Аудитория.
Связанные документы.
Цели проекта.
Описание задач, целей, требований и проблем.
Предупреждения и предположения.
Общее представление о системе.
Что делает IPsec.
Как работает IPsec.
Где может быть реализован IPsec.
Контексты безопасности.
Определение и область действия.
Функциональность контекстов безопасности.
Комбинирование контекстов безопасности.
Главные базы данных IPsec.
База данных политик безопасности (SPD).
Селекторы.
Структура элемента SPD.
Дополнительная информация, касающаяся полей, связанных с протоколами следующего уровня.
База данных контекстов безопасности (SAD).
Элементы данных в SAD.
Связь между SPD, флагом PFP, пакетом и SAD.
База данных авторизации партнеров (PAD).
Идентификаторы элементов PAD и правилу сравнения.
Данные аутентификации партнера IKE.
Данные авторизации Child SA.
Как используется PAD.
Управление контекстами безопасности и ключами.
Ручные методы.
Автоматическое управление контекстами безопасности и ключами.
Определение местоположения защитного шлюза.
Контексты безопасности и многоадресная рассылка.
Обработка IP-трафика.
Обработка исходящего IP-трафика
(от защищенного к незащищенному).
Обработка исходящего пакета, который должен отбрасываться.
Построение заголовка для туннельного режима.
IPv4: Построение заголовка для туннельного режима.
IPv6: Построение заголовка для туннельного режима.
Обработка входящего IP-трафика (от незащищенного к защищенному).
Обработка ICMP.
Обработка сообщений об ошибках ICMP, направленных реализации IPsec.
Обработка сообщений об ошибках ICMP, полученных на незащищенной стороне границы.
Обработка сообщений об ошибках ICMP, полученных на защищенной стороне границы.
Обработка защищенных, транзитных сообщений об ошибках ICMP.
Обработка фрагментов (на защищенной стороне границы IPsec).
SA туннельного режима, по которым передаются начальные и не начальные фрагменты.
Отдельные SA туннельного режима для не начальных фрагментов.
Сравнение фрагментов с сохранением состояния.
Трафик BYPASS/DISCARD.
Обработка Path MTU/DF.
Бит DF.
Определение Path MTU (PMTU).
Распространение PMTU.
Старение PMTU.
Аудит.
Требования к соответствию.
Анализ безопасности.
Соображения для IANA.
Отличия от RFC 2401.
Благодарности.
Приложения:
Глоссарий.
Декорреляция.
Алгоритм декорреляции.
Приложения:
ASN.1 для элемента SPD.
Логическое обоснование обработки фрагментов.
Транспортный режим и фрагменты.
Туннельный режим и фрагменты.
Проблема не начальных фрагментов.
Трафик BYPASS/DISCARD.
Прямо говорить для портов нет Just say no to ports?.
Другие предложенные решения.
Непротиворечивость.
Окончательное решение.
Пример поддержки вложенных SA с помощью SPD и элементов таблицы пересылки.
Ссылки.
Нормативные ссылки.
Информативные ссылки.