|
AH ve ESP
Ya manuel olarak yada IKE kullanılarak konfigüre
edilmiş paylaşılmış bir oturum anahtarı için, AH sadece bütünlük
koruması sağlarken, ESP şifreleme ve/veya bütünlük doğrulaması
sağlayabilir. Bazı ufak farklılıklar olmasına rağmen, sadece bütünlük
koruması yapan bir ESP AH ile aynıdır. Bu nedenle olayları daha basite
indirgemek adına bu bölümde sadece ESPyi açıklayacağız.
Büyük ihtimal ile alıcı birçok kaynaktan IPsec paketi alacaktır.
Dolayısıyla hangi paketler için hangi anahtar ve algoritmanın
kullanılacağının karar verileceği bir prosedür oluşturulmalıdır. Bu
IPsecte Güvenlik İlişkileri-Security Associations-SA kurularak
sağlanır. IPsec başlığında SPI (Security Parameter Index) isminde
göndericinin kendi SA (Güvenlik ilişileri) veritabanından gerekli
bilgileri bulmasına olanak sağlayan Güvenlik İlişkisini belirlemeye
yarayan bir alan bulunur. SA tek yönlü olarak düşünülür, SPI değeri ise
alıcı tarafından seçilir.
SA veritabanı dışında, ne tip paketlere nasıl bir koruma sağlanacağı ile
ilgili kuralların bulunduğu güvenlik politikası veritabanı isminde bir
başka veritabanı daha vardır. Paketler IP paket alanındaki herhangi bir
alan baz alınarak ayırt edilebilirler. Aşağıdaki şekil ESP zarfındaki
alanları göstermektedir.
Figür 3. ESP zarfındaki alanlar
|
|
|