Page 295 - Computer Network
P. 295

286                                                      บทที่ 34. ความปลอดภัยของเน็ตเวิร์ค



                           ทั่วไปแล้ว จะรวมถึงการใช้เมสเสจไดเจสต์ เพื่อให้แน่ใจว่าเมสเสจไม่มีการเปลี่ยนแปลง และเมสเสจทั้งหมด
                           ถูกเข้ารหัสโดยใช้ซิมเมตริกไซเฟอร์ โดยทั่วไปจะเป็นอัลกอริทึม RC2 หรือ RC4 แม้จะสามารถใช้ DES,
                           triple-DES และ IDEA ได้ตามข้อกำหนดของโพรโตคอล



                     34.5.3 ความปลอดภัยใน Network Layer


                     IP ถือได้ว่าเป็นโพรโตคอลที่สำคัญใน Network Layer ดังนั้น โพรโตคอลที่สำคัญในเลเยอร์นี้ ได้แก่ IP Security
                     หรือ IPSec เป็นโพรโตคอลที่ถูกออกแบบสำหรับการใช้งานกับ IPv4 และ IPv6 ในการใช้กับ IPv4 ส่วนของเฮดเดอร์
                     ใน IPsec จะถูกแทรกอยู่หลังเฮดเดอร์ของ IPv4 ก่อนในส่วนของเฮดเดอร์ถัดไป หากเป็นใน IPv6 เนื่องจากได้เผื่อ
                     ส่วนของที่เป็นส่วนต่อขยายของเฮดเดอร์ (Header extension) ไว้แล้วทำให้สามารถที่จะใช้ในส่วนนี้ได้เลย
                         IPSec ประกอบด้วยส่วนสำคัญสองส่วน ส่วนแรกคือรูปแบบของแพกเกต (packet format) และข้อกำหนด
                     ที่เกี่ยวเพื่อกำหนดความลับ และความถูกต้องสำหรับข้อมูล ส่วนถัดมาคือส่วนของการบริหารจัดการคีย์ (key
                                                                           book)
                     management) เรียกว่า Internet Key Exchange (IKE) [16] หรือส่วนปรับปรุง IKEv2 [25, 6]

                         การทำงานของ IPSec อยู่บนพื้นฐานของโพรโตคอลสองโพรโตคอล ได้แก่ ส่วนที่ใช้กับเฮดเดอร์ของโพรโตคอล
                     เพื่อการพิสูจน์ทราบตัวตนเรียกว่า Authentication Header (AH) และส่วนที่เป็นการทำงานร่วมกันของการทำงาน
                     ของโปรโคตอล encryption/authentication ออกแบบไว้ในส่วนของแพกเกตเรียกว่า Encapsulating Secure
                                                          (partial
                     Payload (ESP) โดยที่โพรโตคอลทั้งสองอาจใช้งานแยกจากกันหรือทำงานร่วมกัน โดยการทำงานของโพรโตคอล
                     ทั้งสองสามารถสนับสนุนการทำงานเช่น การทำกลไกการควบคุมการเข้าถึง (Access Control), การพิสูจน์ความถูก

                     ต้องของข้อมูลต้นฉบับ (Data origin authentication) และจำกัดการไหลของทราฟฟิกที่เป็นความลับ (Limited
                     traffic flow confidentiality) เป็นต้น

                                               only
                     Security Associations

                     Security Associations (SA) ถือได้ว่าเป็นส่วนประกอบพื้นฐานของ IPsec ซึ่ง SA ถือเป็นคอนเน็คชันแบบทาง

                     เดียว (simplex) ระหว่างปลายทางและมีการระบุถึงความปลอดภัยที่ทำงานด้วย ทำให้หากความปลอดภัยต้องการ
                                    KKU
                     ในลักษณะที่เป็นทั้งไปและกลับ เราต้องมี SA ทั้งขาไปและกลับ ข้อมูลที่ใช้ในการะบุถึงความปลอดภัย จะถูกใส่ไว้
                     แพกเกตเพื่อส่งไปในคอนเน็คชันและข้อมูลดังกล่าวจะถูกใช้เพื่อตรวจสอบถึงคีย์ที่ใช้เช่นความยาว และข้อมูลอื่นที่
                     เกี่ยวข้อง เมื่อได้รับแพกเกตดังกล่าวแล้ว คุณลักษณะทั่วไปของ SA สามารถสรุปได้ดังนี้


                         • ระบุถึงอัลกอริทึมของการเข้ารหัสและการพิสูจน์ทราบตัวตนที่ใช้

                         • ระบุถึงคีย์ที่ใช้ในการสื่อสาร

                         • พารามิเตอร์ต่างๆที่เกี่ยวข้องกับอัลกอริทึมที่ใช้


                         • ช่วงเวลาของคีย์ที่สามารถใช้ได้

                         • ความสำคัญของข้อมูลที่ถูกเก็บรักษา



                     Tunnel and Transport Mode

                     การทำงานของ IPsec สามารถทำได้สองโหมดคือ ทันเนลลิ่งโหมด และ ทรานสปอร์ตโหมด

                         • ทรานสปอร์ตโหมด : ใช้ในการป้องกันข้อมูลที่มาจาก Transport Layer และเป็นการใช้สำหรับโนดปลาย

                           ทาง (end-nodes) การใช้งานของทรานสปอร์ตโหมดเป็นการป้องกันในลักษณะต้นทางไปยังปลายทาง
   290   291   292   293   294   295   296   297   298   299   300