ipsec
IPSEC Protocol Overview
Connected: An Internet Encyclopedia
IPSEC Protocol Overview
Up:
Connected: An Internet Encyclopedia
Up:
Topics
Up:
Functions
Up:
Security
Prev: SSH Protocol Overview
Next: Kerberos Protocol Overview
IPSEC Protocol Overview
IPSEC Protocol Overview
IPSEC is a framework for security that operates at the Network Layer
by extending the IP packet header (using additional protocol numbers,
not options). This gives it the ability
to encrypt any higher layer protocol, including arbitrary TCP and
UDP sessions, so it offers the greatest flexibility of all the
existing TCP/IP cryptosystems. Flexibility, however, often comes at
the price of complexity, and IPSEC is not an exception. Configuring
which addresses and ports to encrypt using which IPSEC options often
begins to look like configuring packet filtering, then add in the additional
complexities of key management. While conceptually simple, setting up
IPSEC is much more complex that installing SSH, for example.
IPSEC also has the disadvantage of requiring operating system support, since
most O/S kernels don't allow direct manipulation of IP headers.
This presents legal issues, since cryptographic software is restricted
by many governments. Linux IPSEC support
(the FreeS/WAN project),
for example, isn't included in the standard kernel distribution for
this reason, and has to be applied as an add-on. Furthermore, putting
the cryptography in the kernel isolates it from the application, making
it more difficult to code crypto-aware software. Using SSL, for example,
simply requires linking a library into the application and allows the
application to easily query what certificates have been used to authenticate
a client (for example). Doing the same thing with IPSEC requires the
application to query the kernel using some kind of API.
Figure 1. IPsec Document Roadmap
IPSEC defines a "Security Association" (SA) as its primitive means of
protecting IP packets. An SA is defined by the packet's destination
IP address and a 32-bit Security Parameter Index (SPI), that functions
somewhat like a TCP or UDP port number, in that it allows multiple SAs
to a single destination address. SAs can operate in transport mode,
where the IPSEC data field begins with upper level packet headers
(usually TCP, UDP, or ICMP), or in tunnel mode, where the IPSEC data
field begins with an entirely new IP packet header, ala
RFC 2003. Furthermore,
SAs can be encapsulated within SAs, forming SA bundles, allowing layered
IPSEC protection.
For example, one SA might protect all traffic through a gateway, while
another SA would protect all traffic to a particular host.
The packets finally
routed across the network would be encapsulated in an SA
bundle consisting of both SAs. The other side of the connection
could be identical in design, consisting of a gateway implementing
a tunnel SA, followed by a host implementing a transport SA, or
the entire bundle could be terminated in a single host, which
would then implement both SAs.
Figure 2: Bundled SAs
A common use of IPSEC is the construction of a Virtual Private
Network (VPN), where multiple segments of a private network are linked
over a public network using encrypted tunnels. This allows applications
on the private network to communicate securely without any local
cryptographic support, since the VPN routers perform the encryption and
decryption. IPSEC is well suited for this environment, more so than
tunneling PPP over SSL or SSH, since it operates directly on the IP
packets and preserves a one-to-one correspondence between packets
inside and outside the network. In the case of tunneling PPP over
an encrypted TCP connection, any packet loss in the public network
would trigger a TCP retransmission, stalling the link until the packet
was delivered. In particular, running Voice Over IP (VoIP) traffic
through a TCP/PPP tunnel would largely defeat the RTP protocol used
for VoIP; IPSEC is better suited in this case.
Next: Kerberos Protocol Overview
Connected: An Internet Encyclopedia
IPSEC Protocol Overview
разделы
луковичный цвет
эдас-134 аденома предст.ж-зы
съемный зубной протез
кислород
пвс
измеритель температры
сварочный пост
время ярославль
ваттметр
огнезащитный покрытие
северный корона
билет мхат
операторский центр
холодный штамповка
купить минимойку
холодильник норд
иномарка
помидор купля
фарфор
одевание бахила
inerta краска
уцененный холодильник
спецобувь
беременность род
электрокамин dimplex model silver (sp4)
5440.11 (крышка)
холодильный централь
datamax
медикаментозный прерывание беременность
теплолюкс
жила кострома
лечение иглоукалыванием
купля производственный комплекс
задний зеркало
вино роза
трубогиб
эфирный антенна
программа шифрование данный
деловой костюм
защитный краска
вспучивающийся краска
гостинницы спб
купить ломтерезку
кострома коммерческий
ливнесборные решетка
узи сделать
переводческий бюро
дулевский фарфор
санфаянс
кулер процессорный
snr
купить отвед
решетка ливнесборная
светлогорск
иномарка
спб доставка
лак orly
tognana фарфор
тройник
вино заказ
герб область
хлеборезка ахм
винный холодильник
доставка санкт
телефонный анкетирование
время иваново
холодильник оптом
александр вертинский. желтый танго
предохранитель пкэ
купить каболка
купить угольник перех
knauf гипсокартон
сборщик долг
мурано
измеритель rlc
pki
kyiv apartments service
изготовление пленка
нестандартный коробка
трехфазный электросчетчик
купить видеокарту
гелусил лак
холодильник бош
швейцария культура
сервис alfa laval
теплолюкс
селин дион билет
braas
телематические служба
ваза 2114
вакансия красноярск
поливомоечная машина
двухтарифные электросчетчик
ножной пластырь
очки ночной видение
обрезание
анимация 3d график
велюкс
автобетононасосы
цвет ламината класс 32
нужен фотограф
кофе колониальный товар
госпиталь мэш
помещение шиномонтаж
фмс
стопный пластырь
шампанский заказ
набор гинекологический
гравировальный бур
куллер 478
полиолефиновая пленка
бензопила stihl
снос любой конструкция
зеркало багуа
доставка напиток
магнитный решетка
кулер комп
юр.адрес
антенна радиочастотный
купить блинницу
планирование день
выборочный лак
измеритель освещенность
полноцвет кружок
бестраншейный облицовка
иномарка
тестоокруглитель ленточный
лечение зарубежом
аэробика
устройство плавный пуск
braas
автономный электроснабжение
конкурентный стратегия
вышивка флаг
адресный база данный
тренировка память
купить ниппель
доставка суша
французский вина
охота лис
рукавица
газовый заправка
вымпел
купить ниппель
управление кострома
охота лис
электропечь dimplex model lee rc
pki
raymond weil
геомаш-центр
nokia 3230 купить
продажа кофе
помещение шиномонтаж
кулер процессор
ipsec