таким образом, предоставляет различные услуги по обеспечению безопасности
для этих IP-узлов, когда они связываются в внешними IP-узлами, также
использующими IPsec-протоколы (либо напрямую, либо через другой шлюз
безопасности).
Индекс параметров безопасности ( SPI ) . Представляет собой совокупность
IP-адреса получателя, протокол безопасности и уникальный SPI-индекс,
которая однозначно определяет конкретное защищенное виртуальное
соединение. SPI транслируется в сообщениях AH- и ESP-протоколов для того,
чтобы приемная система могла определить SA, по которому был передан IP-
пакет, в целях последующей IPsec-обработки последнего. SPI имеет только
локальное значение, так как он указывается программным IPsec-модулем,
который сформировал SA (обычно приемный IPsec-модуль, получивший IP-
пакет, транслирует SPI дальше). Таким образом, SPI в целом рассматривается
как зашифрованная последовательность битов. Однако, программный IPsec-
модуль, который сформировал SA, может выбрать иное представление битов в
SPI с целью обеспечения более “удобной” локальной IPsec-обработки.
Анализ трафика. Анализ сетевого потока трафика преследует цель
добывания информации о состоянии сети и ее элементах и других субъектах
информационного обмена, которая может быть весьма полезна для нарушителя.
К такой информации могут относиться: частота установления виртуального
соединения (активность информационного обмена), субъекты
информационного обмена, размеры IP-пакетов, идентификаторы потоков и др.
Доверенная подсеть. Это подсеть, которая имеет в своем составе IP-узлы
и маршрутизаторы, которые “доверяют” друг другу, с точки зрения отказа от
проведения активных или рассивных атак по отношению друг к другу. Кроме
того, предполагается, что каналы связи между элементами доверенной подсети
не подвергаются атакам со стороны каких-либо нарушителей.
В. Анализ процедуры фрагментации
В.1. Бит “ DF ”
Часто возникает вопрос о том, что в тех системах (IP-узел или шлюз
безопасности), в которых добавляется внешний заголовок (например, ESP-
протокол в РТУ), целесообразно или обязательно копировать бит “DF” из
внутреннего IP-заголовка во внешний?
Фрагментирование сообщений в некоторых ситуациях весьма полезно,
например, это может быть фрагментация IP-пакетов в сетях, в которых
используются IP-пакеты с очень маленьким разрешенным размером поля данных
(например, пакетные радиосети). В других случаях, может возникнуть
необходимость отправки бита “DF” с целью установления обратной связи с
последующими маршрутизаторами для получения информации PMTU-