 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
 |
תבניות
AH מגיע אחרי ה-IP הבסיסי ומכיל גיבובים הצפנתים של מידע ומידע מזהה. המגבבים
יכולים גם לכסות את החלקים שלא משתנים של ה-IP Header עצמו. ישנם מספר RFC-ים שונים שנותנים מבחר של אלגוריתמים ממשיים שבהם ניתן
להשתמש ב-AH, אך הם כולם חייבים לעקוב
אחרי הקווים המנחים שמפורטים ב-RFC2402.
ה-ESP
Header מאפשר כתיבה מחדש
של מטען ההכנסה (payload) בצורת מוצפנת. ה-ESP Header לא מחשיב את השדות של ה-IP Header שלפניו, ובכך לא נותן ערבויות על שום דבר מלבד
מטען ההכנסה. הסוגים השונים של ESP שהם ברי יישום, חייבים לעקוב אחר RFC2406.
ESP Header יכול גם לספק אותנטיות עבור מטען ההכנסה (אבל
לא ה-Header
החיצוני).
חלוקה אורתוגונלית (לרוב) של
IPsec פונקציונלית, מיושמת
אם נקודת הסיום כשעושים את כימוס ה-IPsec היא המקור המקורי של המידע או השער:
8
מצב משלוח (Transport)
בא לידי שימוש ע"י מארח שיוצר את החבילות. במצב משלוח, ה-Header-ים של האבטחה מתווספים לפני ה-Header-ים
של שכבת המשלוח, (לדוגמה, TCP,
UDP) לפני שה-IP Header מוכנס לחבילה. במלים אחרות, AH שמתווסף לחבילה יכסה את הגיבוב של ה-TCP
Header וגם מספר שדות של
ה-IP Header
של הקצה-לקצה (end-to-end),
וגם ESP Header
יכסה את ההצפנה של ה-TCP
Header והמידע, אבל לא את
ה-IP Header
של הקצה-לקצה.
8
מצב מנהרה (Tunnel)
בא לידי שימוש כאשר ה-IP
Header של הקצה-לקצה כבר
קשור לחבילה, ואחד הקצוות של החיבור המוגן הוא רק שער. במצב זה, ה-Header-ים של ה-AH וה-ESP באים לידי שימוש כדי לכסות את כל החבילה, כולל את ה-Header
של הקצה-לקצה, ו-IP Header
חדש מוכנס לחבילה שמכסה את הדילוג לקצה השני של החיבור המוגן (למרות שזה
כמובן יכול להיות מספר דילוגים של IP).
הקישורים המוגנים של IPsec מוגדרים במונחים של Security Associations (SA-ים). כל SA מוגדר עבור זרימה אחת חד-כיוונית של מידע, ובדרך כלל
(כשמתעלמים מהסבה מרובה) מנקודה אחת לשניה, מכסים
תנועה שניתן להבחין בה ע"י סלקטור מיוחד. כל התנועה שזורמת על גבי SA בודד מטופלת בצורה דומה. חלק מהתנועה יכולה להיות כפופה
למספר SA-ים,
שכל אחד מהם מיישם מספר שינויים. קבוצות של SA-ים נקראות צרור SA (Bundle). חבילות נכנסות יכולות לקבל SA מסוים ע"י שלושת השדות המגדירים (כתובת IP
של היעד, אינדקס של פרמטר האבטחה, פרוטוקול האבטחה). אינדקס של פרמטר אבטחה
– SPI (Security Paramter Index) יכול להיחשב בתור עוגיה (Cookie)
שנתרמת ע"י המקבל של ה-SA
כאשר הפרמטרים של החיבור נידונים במשא ומתן. פרוטוקול האבטחה חייב להיות
AH או ESP. מאחר שכתובת ה-IP של המקבל היא חלק משלישיה, זהו ערך ייחודי מובטח. הם
יכולים להימצא מה-IP Header החיצוני וה-Header האבטחה הראשון (שמכיל את ה-SPI ואת פרוטוקול האבטחה).
דוגמא של מצב מנהרה של חבילת AH:
|
IP Header |
AH |
IP Header 2 |
TCP Header |
מידע |
דוגמא של מצב משלוח של חבילת AH:
|
IP Header |
AH |
TCP Header |
מידע |
מאחר ש-Header
ESP לא יכול לספק אותנטיות עבור ה-IP Header החיצוני, זה שימושי לשלב Header של AH ו-ESP כדי לקבל את הדבר הבא:
|
IP Header |
AH |
ESP |
TCP Header |
מידע |
דבר זה נקרא משלוח שכנות. גרסת
המנהרה תיראה כך:
|
IP Header |
AH |
ESP |
IP Header 2 |
TCP Header |
מידע |
למרות זאת, זה לא מוזכר באופן מדויק ב-RFC. כמו עם שכנות משלוח, זה מספק אותנטיות לחבילה כולה, מלבד כמה Header-ים מעטים ב-IP Header, וגם מצפין את מטען ההכנסה. כאשר Header-ים של AH ו-ESP מיושמים יחדיו כמו כאן, הסדר של ה-Header-ים צריך להיות כפי שהוצג. זה אפשרי במצב מנהרה, לעשות כימוסים רקורסיביים שרירותיים כך שהסדר לא מפורט.
