Array ( [0] => 15493836 [id] => 15493836 [1] => cswiki [site] => cswiki [2] => IPsec [uri] => IPsec [3] => [img] => [4] => [day_avg] => [5] => [day_diff] => [6] => [day_last] => [7] => [day_prev_last] => [8] => [oai] => [9] => [is_good] => [10] => [object_type] => [11] => 1 [has_content] => 1 [12] => [oai_cs_optimisticky] => ) Array ( [0] => [[Soubor:Internetprotocolsecurity.JPG|náhled|Internet Protocol Security (IPSec)]] [1] => '''IPsec''' ('''IP security''') je v [[Informatika|informatice]] název [[Počítačová bezpečnost|bezpečnostního]] rozšíření [[Internetový protokol|IP protokolu]] založeného na [[autentizace|autentizaci]] a [[Kryptografie|šifrování]] každého [[IP datagram]]u. V architektuře [[Referenční model ISO/OSI|OSI]] se jedná o zabezpečení již na síťové vrstvě, a proto poskytuje transparentně bezpečnost jakémukoliv přenosu (kterékoliv síťové aplikaci). Bezpečnostní mechanismy vyšších vrstev (nad protokoly [[Transmission Control Protocol|TCP]]/[[User Datagram Protocol|UDP]], kde pracují [[Transport Layer Security|TLS/SSL]], [[Secure Shell|SSH]] apod.) vyžadují podporu uvnitř aplikací. IPsec je definován v několika desítkách [[Request for Comments|RFC]] vydaných [[Internet Engineering Task Force|IETF]] – základními jsou [[rfc:2401|RFC 2401]] a [[rfc:2411|RFC 2411]]. [2] => [3] => IPsec používá kryptografické bezpečnostní služby pro ochranu komunikace prostřednictvím [[Internetový protokol|IP protokolu]]. Poskytuje ověřování dat, původ dat, jejich integritu, důvěrnost (šifrování) a ochranu proti útoku pomocí přehrání (viz [[replay attack]]). [4] => [5] => == Princip činnosti == [6] => [7] => Vytváří logické kanály – ''Security Associations'' (SA), které jsou vždy jednosměrné, pro duplex se používají dvě SA (na každé straně logického kanálu, tj. celkem čtyři). [8] => [9] => Bezpečnostní rozšíření vypadá následovně: [10] => * Ověřování – při přijetí paketu může dojít k ověření, zda vyslaný paket odpovídá odesilateli či zda vůbec existuje. [11] => * Šifrování – obě strany se předem dohodnou na formě šifrování paketu. Poté dojde k zašifrování celého paketu krom IP hlavičky, případně celého paketu a bude přidána nová IP hlavička. [12] => [13] => Základní protokoly (jsou často používány zároveň, protože se vzájemně doplňují): [14] => * Authentication Header (AH) – zajišťuje autentizaci odesílatele a příjemce, integritu dat v hlavičce, ale vlastní data nejsou šifrována. [15] => * Encapsulating Security Payload (ESP) – přidává šifrování paketů, přičemž vnější hlavička není nijak chráněna a není zaručena její integrita. [16] => [17] => == Historie == [18] => V prosinci roku 1993 John Loannidis, spolu s dalšími lidmi, vyvíjel [[SwIPe (protokol)|swIPe]] protokol na Kolumbijské univerzitě v Bellových laboratořích. [19] => [20] => V červnu roku 1994, Wei Xu ([[Trusted Information Systems|TIS]] - Trusted Information Systems), pokračoval ve vývoji protokolu (s rozšířením o IP protokoly) a úspěšně jej dokončil pro platformu [[Berkeley Software Design|BSDI]] (Berkeley Software Design Inc.). Wei poté rychle rozšířil svůj vývoj i pro [[Solaris (operační systém)|SunOS]], [[HP-UX]] a další Unixové systémy. Jedním z problémů byla malá účinnost [[Data Encryption Standard|DES]] (Data Encryption Standard) a [[Triple DES]]. Šifrovací software na architektuře Intel 80386 nebyl schopný podporovat rychlost T1 (1,544 Mb/s). Zkoumáním karty Crypto z Německa, Wei Xu později vyvinul automatizovaný ovladač pro připojená zařízení, dnes známý jako plug-and-play. Když bylo dosaženo vyšší rychlosti než T1, stala se jeho práce komerčně zajímavá a byla produkována jako část dobře známého Gauntlet firewallu. V prosinci 1994 byl produkt poprvé použit pro zabezpečené spojení mezi východními a západními pobřežními státy USA. [21] => [22] => Další IP ESP (Encapsulating Security Payload) byl vyvíjen v Námořních výzkumných laboratoří jako součást projektu sponzorovaného agenturou [[DARPA]]. V prosinci roku 1993 tedy vznikla rozšířená zabezpečení pro [[SIPP]]. ESP byl původně odvozen od US Department of Defence SP3D protokolu, spíše než od síťové vrstvy bezpečnostního protokolu [[Referenční model ISO/OSI|ISO modelu]]. Specifikace SP3D protokolu byly publikovány institutem [[Národní institut standardů a technologie|NIST]], ale návrh vznikl jako zabezpečovací systém dat v síti společností US Department of Defence. Bezpečnostní [[#Authentication Header|Authentication Header]] (AH) je částečně odvozen od předchozích [[Internet Engineering Task Force|IETF]] standardů, které zajišťovaly autentizaci pro [[Simple Network Management Protocol|SNMP]] protokol. [23] => [24] => V roce 1995 pracovní skupina IPsec pod záštitou IETF vyprodukovala otevřenou a volně šiřitelnou verzi protokolů, které byly vyvinuty v rámci NSA smlouvy jakožto projekt [[SDNS]] (Secure Data Network System). Projekt SDNS, publikovaný institutem NIST, definoval bezpečnostní protokol 3. vrstvy, který se stal základem modelu ISO/OSI. [25] => [26] => IPsec je oficiálně standardizován komisí IETF (Internet Engineering Task Force) jako součást [[Request for Comments|RFC]] dokumentů. [27] => [28] => == Authentication Header == [29] => Authentication Header (AH) je součástí protokolů IPsec. Zajišťuje integritu dat a jejich původ. Také eventuálně může chránit před tzv. Replay útokem pomocí techniky protokolu s posuvným okénkem a zahazovat staré pakety. [30] => [31] => * V IPv4 chrání AH obsah všech polí hlavičky s výjimkou proměnlivých dat (těch, která by mohla být změněna při přenosu) [32] => * V IPv6 chrání AH chrání většinu hlavičky IPv6, AH sebe sama, neměnitelné rozšiřující hlavičky po AH a IP payload. Ochrana hlaviček v IPv6 vylučuje změnu polí: DSCP, ECN, Flow Label a Hop Limit. [33] => [34] => AH používá IP protokol číslo 51. [35] => [36] => == Provozní režimy == [37] => IPsec může být implementováno jak v režimu přenosu host-to-host, tak i jako síťové tunelování. [38] => [39] => === Režim přenosu === [40] => V režimu přenosu je obvykle zašifrován a nebo ověřen pouze obsah daného paketu. Směrování je tak nezměněné, pokud není hlavička IP paketu upravena ani šifrována. Při použití autentizační hlavičky nemohou být IP adresy přeloženy, jelikož se vždy ztratí právo na hodnotu hash. Transportní a aplikační vrstvy jsou vždy zabezpečeny [[hashovací funkce|hashovací funkcí]], takže nemohou být nijak upravovány (například změnou čísla portu). [41] => [42] => === Režim tunelu === [43] => V režimu tunelu je šifrován a nebo ověřován celý paket. Ten je pak zapouzdřen do nového IP paketu s novou hlavičkou. Tento režim se používá pro tvorbu [[Virtuální privátní síť|VPN]] pro komunikaci mezi jednotlivými sítěmi (například routery pro připojení různých sítí), tzv. host-to-network komunikaci (vzdálený přístup uživatele) a host-to-host komunikaci (soukromý chat). [44] => [45] => Režim tunelu podporuje [[Network address translation|NAT]]. [46] => [47] => == Implementace == [48] => IPsec může být implementován přímo v [[jádro operačního systému|jádře operačního systému]] v rámci implementace protokolu IP. Zároveň přitom typicky využívá jeho kryptografické rozhraní, pro nějž bývá jedním z hlavním uživatelů (například [[kryptografické rozhraní jádra Linuxu]] nebo [[kryptografické rozhraní OpenBSD]]). [49] => [50] => == Externí odkazy == [51] => * [http://www.root.cz/clanky/tuneluji-tunelujes-tunelujeme-ipsec/ Tuneluji, tuneluješ, tunelujeme: IPSec] – článek [52] => * [http://home.zcu.cz/~ondrous/index.php?menu=2&sit=2 Vše kolem VPN, IPsec] – stránky O. Průchy [53] => * [http://www.cs.vsb.cz/grygarek/TPS-0304/projekty0304/ipsec/ipsec.html IPsec] – semestrální práce ([[Vysoká škola báňská – Technická univerzita Ostrava|Vysoká škola báňská - Technická univerzita Ostrava]]) [54] => {{Autoritní data}} [55] => [56] => {{Portály|Internet}} [57] => [58] => [[Kategorie:IPsec| ]] [59] => [[Kategorie:Internet]] [] => )
good wiki

IPsec

Internet Protocol Security (IPSec) IPsec (IP security) je v informatice název bezpečnostního rozšíření IP protokolu založeného na autentizaci a šifrování každého IP datagramu. V architektuře OSI se jedná o zabezpečení již na síťové vrstvě, a proto poskytuje transparentně bezpečnost jakémukoliv přenosu (kterékoliv síťové aplikaci).

More about us

About

Expert Team

Vivamus eget neque lacus. Pellentesque egauris ex.

Award winning agency

Lorem ipsum, dolor sit amet consectetur elitorceat .

10 Year Exp.

Pellen tesque eget, mauris lorem iupsum neque lacus.

You might be interested in

,'Internetový protokol','Request for Comments','Internet Engineering Task Force','Referenční model ISO/OSI','DARPA','kryptografické rozhraní OpenBSD','jádro operačního systému','Virtuální privátní síť','Kryptografie','SDNS','autentizace','Simple Network Management Protocol'

Autentizace

DARPA

Kryptografie