Home Úvod Očekávání Adresy Unicast Anycast Multicast Paket Rozšiřující hlavičky Velikost paketu Autokonfigurace Bezpečnost Mobilita Kvalita služeb DNS Přechod na IPv6 Implementace Využití Použité zdroje  

Bezpečnost

Konkrétní mechanismy řešení bezpečnosti již jsou delší čas známy (např. IPsec), nicméně nebyly povinnou součástí všech implementací. Nedalo se tedy plně spolehnout na zajištění bezpečnosti na všech spojích v Internetu. Pakety mohly být podvrhovány, měněny a čteny relativně snadno, takže tíha zajištění zůstávala na aplikacích.

V IPv6 je bezpečnost postavená právě na technologii IPSec (známé už z IPv4) a je povinnou součástí implementace. Není tedy potřeba šifrování nebo autentizaci speciálně implementovat v aplikacích, stačí použít příslušnou bezpečnostní IP hlavičku. Nicméně záleží na aplikacích a konfiguraci uzlů, jestli bezpečnostní mechanismy použijí, či nikoliv.

Autentizace

Neboli ověření integrity příchozího paketu je povinné pro všechny implementace a vytvoří se jím základní bezpečné prostředí, kde by vydávání za někoho jiného bylo velmi nesnadnou záležitostí. Aplikace se na tuto vlastnost síťové vrstvy mohou plně spolehnout.

Hlavička AH – Authentication Header sloužící k ověření původce paketu, ochraně před zopakováním odposlechnuté sekvence paketů a ověření jejich integrity – toho, zda nebyly v průběhu cesty někým změněny. Paket se na zdrojovém uzlu pomocí kryptografických technik "podepíše" – vypočte se kontrolní integritní hodnota (ICV), která se uloží do této hlavičky a na cílovém uzlu se hodnota dalším výpočtem ověří. Přenášená data nejsou šifrována a jsou běžně čitelná. Používá se jednosměrných hashovacích mechanismů SHA a MD5.

Šifrování

Neboli převedení dat do formy využitelné jedině oprávněným adresátem se použije až v případech, kdy je aplikace skutečně vyžaduje. Podpora šifrování ve standardech IPv6 pak zjednoduší implementaci bezpečnostních mechanismů a vytvoří standardní prostředí pro komunikaci šifrovaných dat, protože nebude třeba implementovat různá proprietární řešení.

Hlavička ESP – Encapsulation Security Payload sloužící pro šifrování paketu, která je zároveň ochranou integrity, částečnou autentizací a ochranou před zopakováním. Přenášená data za touto hlavičkou jsou na vysílajícím uzlu zašifrována a po odposlechnutí bez dalších znalostí nečitelná. Cílový uzel tyto znalosti (klíče) má a data zpět rozšifruje do čitelné formy. Povinné je použití algoritmu DES v CBC režimu.

Fungování mechanismů

AH i ESP spoléhají na nějaký stanovený mechanismus výměny kryptografických klíčů mezi uzly, například IKE (Internet Key Exchange), SKIP nebo Kerberos, aby mohly spolehlivě fungovat.

Při komunikaci je možno použít jednu nebo obě hlavičky podle aktuální potřeby aplikace a prostředí, ve kterém budou data přenášena. Základní datovou strukturou bezpečnostního modelu IPv6 je databáze bezpečnostních politik. Ta posuzuje datagramy podle obvyklých kritérií, jako jsou zdrojová/cílová IP adresa, porty, protokoly, jména a podobně. Na jejich základě je datagramu určena jedna ze tří možností zpracování:

  • zahodit
  • akceptovat, aniž by byl podroben další bezpečnostní prověrce
  • aplikovat bezpečnostní mechanismy
Rozdíly oproti IPv4:
  • Implementace zabezpečení je v IPv6 povinná.
<<předchozí
následující>>