Изменения

Так как ESP не создаёт препятствий при использовании NAT, то он более распространён, чем AH.[[Файл:IPSec состоит из следующих протоколов:-ESP-Transport-Mode.gif|мини|Наглядное представление ESP-пакета]]

Основной режим включает в себя три процедуры двунаправленного обмена. Сначала стороны * Стороны согласуют базовые алгоритмы и используемые хеш-функции(может использоваться MD5, функции семейства SHA и другие). Затем осуществляется * Осуществляется обмен открытыми ключами в рамках алгоритма Диффи — Хеллмана и случайными псевдослучайными числами (''nonce''), которые подписываются принимающими сторонами и отправляются обратно для идентификации. * Наконец, в ходе третьего обмена по пришедшим обратно подписанным значениям ''nonce '' проверяется подлинность сторон.==== Агрессивный режим ====Не шарю, TBD.=== Вторая фаза ===Вторая фаза происходит после создания безопасного канала в ходе первой фазы. В её ходе согласуется общую политику IPsec, происходит обмен общими секретные ключи для алгоритмов протоколов IPsec (AH или ESP), устанавливается IPsec Security Association. Использование последовательных номеров обеспечивает защиту от атак повторной передачи. Также быстрый режим используется для пересмотра текущей IPsec SA и выбора новой, когда время жизни SA истекает. Стандартно быстрый режим проводит обновление общих секретных ключей, используя алгоритм Диффи — Хеллмана из первой фазы.

== Протоколы защиты передаваемых данных ===== Authentification Header Агрессивный режим (RFC 2402Aggressive Mode) ====Добавляет в IP-пакет заголовокЭтот режим обходится меньшим числом обменов и, соответственно, обеспечивающий целостность путём проверки тогочислом пакетов. В первом сообщении помещается практически вся нужная для установления IKE SA информация: открытый ключ Диффи —Хеллмана, что ни один бит в защищаемой части пакета (весь пакетдля синхронизации пакетов, за исключением полей вроде [[TTL]] и контрольной суммы заголовка) не был изменён во время передачи. Это создаёт проблемы при использовании [[NAT]]подтверждаемое другим участником, так как он меняет содержимое идентификатор пакета, подменяя обратный адрес на свой. NAT мог бы подменить и контрольную суммуПолучатель посылает в ответ всё, но при её подсчёте используется Integrity Check Value — секретное значение (ключ), известное на обоих концах до начала передачичто надо для завершения обмена. Таким образом, использовать AH за NAT не представляется возможнымПервому узлу требуется только подтвердить соединение.

=== Encapsulating Security Payload (RFC 2406) Вторая фаза ===Инкапсулирующий протокол безопасностиВторая фаза происходит после создания безопасного канала в ходе первой фазы в одном режиме — быстром (Quick Mode). В её ходе согласуется общая политика IPsec, который происходит обмен общими секретные ключи для алгоритмов протоколов IPsec (AH или ESP), устанавливается IPsec Security Association. Использование последовательных номеров обеспечивает защиту от атак повторной передачи. Также быстрый режим используется для пересмотра текущей IPsec SA и целостностьвыбора новой, и конфиденциальностькогда время жизни SA истекает. В режиме транспорта ESP заголовок находится между оригинальным IP заголовком и заголовком TCP или UDP. В режиме туннеля заголовок ESP размещается между новым IP заголовком и полностью зашифрованным оригинальным IP пакетомСтандартно быстрый режим проводит обновление общих секретных ключей, используя алгоритм Диффи — Хеллмана из первой фазы. = Режимы ==== Transport mode ====== Tunnel mode ===