IPSecurity
- перехват пароля, переданного по сети в незашифрованной форме, путем «прослушивания» канала (password sniffing);
- посредничество в обмене незашифрованными ключами (man-in-the-middle). Если атаки трех предыдущих типов увенчались успехом, их автор может вмешаться в процесс передачи ключей между сторонами и подсунуть им собственный ключ для последующего использования.
Нетрудно увидеть, что перечислены сетевые атаки возможные в силу ряда причин. Во-первых, аутентификация отправителя осуществляется исключительно по его IP-адресу. Во-вторых, процедура аутентификации выполняется только на стадии установления соединения, а в дальнейшем действительность принятых пакетов не проверяется. Наконец, важнейшие данные, которые имеют отношение к системе защиты, передаются по сети в незашифрованном виде.
Устранить эти слабые места и призванные процедуры, регламентированные протоколами IPSec.
3. Действующие лица и элементы архитектуры
Пользователь воспринимает сеть как надежно защищена среда только в том случае, если он уверен, что его «собеседник» — именно тот, за кого он себя выдает (аутентификация сторон), что переданные пакеты не просматриваются посторонними лицами (конфиденциальность связи) и что получаемые данные не поддались изменению в процессе передачи (целостность данных). Чтобы достичь соответствия перечисленным критериям, розроблювачи IPSec предлагают воспользоваться тремя инструментальными средствами защиты:
Протоколом аутентификации (Authentication Header, AH), что «привязывает» данные в составе пакета к своеобразной подписи, что позволяет удостовериться как в действительности отправителя, так и в целостности принятых от него данных;