Professional Documents
Culture Documents
Chapter 9 IP Security
Chapter 9 IP Security
บทที่ 9. IP Security
ในสังคมอินเตอรเน็ต ไดมีความตระหนักในเรื่องของความปลอดภัยและความเปนสวนตัวมานานแลว
ดังจะเห็นไดจากความพยายามในการสรางระบบความปลอดภัยสําหรับงานตาง ๆ ขึ้นมา เชน E-Mail Security
(PGP, S/MIME), Authentication (Kerberos), Web Access (SSL : Secure Socket Layer) และระบบอื่น ๆ
อยางไรก็ตาม ในการเชื่อมตอระหวางคอมพิวเตอร คงไมไดมีเพียงแอปพลิเคชันดังที่ไดกลาวมาเทานั้น และการ
สรางระบบความปลอดภัยใหกับแตละแอปพลิเคชัน ก็เปนเรื่องที่ไมงาย เพราะจะเกี่ยวของกับการกําหนด
มาตรฐานใหม ๆ ขึ้นเปนจํานวนมาก ดังนั้นวิธีการหนึ่งที่ดีกวา คือ การนําระบบความปลอดภัย ใสเขาไปใน
ระดับ IP เสียเลย ซึ่งทําใหแอปพลิเคชันอะไรก็ตามที่ทํางานอยูบนระดับ IP ก็จะไดอานิสงค แหงความปลอดภัย
นั้นไปดวย
IP Security Overview
ประโยชนของ IPSec
IP Security Architecture
- SPI (Security Parameter Index) เปน Bit String ที่กําหนดใหกับ SA โดย SPI นี้จะสงไปพรอมกับ
IPSec Packet เพื่อใหฝงตรงขาม สามารถเลือก SA ที่ถูกตองมาใชงานได
- IP Destination Address เปน IP Address ของเครื่องหรืออุปกรณเปาหมาย
- Security Protocol Identifier เปนตัวบอกวา SA นี้สัมพันธกับสวนของ AH หรือ ESP ดังนั้นถาจะใช
ทั้งคู ก็ตองใช SA จํานวน 2 ชุด
Authentication Header
จากรูปจะมีรายละเอียดดังนี้
Router หรือ Firewall โดยเครื่องคอมพิวเตอรหรือ User จะตอง Authenticate กับ Router หรือ
Firewall เพื่อขอใชบริการเพือ่ ออกสูภายนอก สําหรับ Firewall หรือ Router ของทั้ง 2 ฝง ก็จะตองมี
การ Authenticate ซึ่งกันและกันเอง โดยเมือ่ แพ็กเกจไปถึง Firewall หรือ Router ก็จะมีการจับใส
Packet ใหม และเมื่อถึง Router หรือ Firewall ปลายทาง ก็จะมีการถอดแพ็กเกจขางนอกออก ให
เหลือแตแพ็กเกจขางใน แลวสงตอไป
แบบที่ 3 คือ ใช Transport –Tunnel Bundle โดยจะมีการใช AH กอน ทั้งนี้เพื่อใหการ Authenticate
กระทํากับขอมูลที่ยังไมเขารหัส เพราะขอมูลที่เขารหัสนั้น ปกติก็เปลีย่ นแปลงระหวางทางไดยากอยูแลว จึงไม
จําเปนตอง Authenticate และการนํา Authenticate ไวขางในจะทําใหสามารถเก็บขอมูลที่ใช Authenticate ไวใช
ภายหลังไดอีกดวย โดยใช Transport SA ที่ทํา AH ไวขางในและ ESP Tunnel SA ไวขา งนอก สําหรับสาเหตุที่
ใชแบบ Tunnel ก็เพื่อใหมีการใช AH กับทั้ง Packet จากนั้นก็จะนําขอมูลที่ไดไปเขารหัส
Key Management