Приложение 20. ТРЕБОВАНИЯ К ПРОТОКОЛУ IPSEC

Приложение N 20
к Правилам применения оборудования
коммутации сетей подвижной
радиотелефонной связи. Часть VII.
Правила применения оборудования
коммутации стандарта LTE,
утвержденным приказом Министерства
цифрового развития, связи
и массовых коммуникаций
Российской Федерации
от 25.06.2018 N 319

ТРЕБОВАНИЯ К ПРОТОКОЛУ IPSEC

1. Требования к идентификационному заголовку AH:

1.1. идентификационный заголовок протокола IPSec (AH) должен использоваться для обеспечения целостности дейтаграмм IP и идентификации источника данных без организации специальных соединений и защиты против повторного использования пакетов. AH может использоваться в комбинации с ESP или путем вложения. Услуги по защите могут обеспечиваться между парой взаимодействующих элементов сети IP.

1.2. формат заголовка идентификации AH приведены на рисунке 1.

Следующий заголовок
Длина заголовка
Резерв
Идентификатор параметров защиты (SPI)
Порядковый номер
Аутентификационные данные (Значение контрольной суммы (ICV)) (перемен.)

Рисунок 1

Примечание:

поле "Следующий заголовок" (1 октет) должно показывать тип информации, расположенной после идентификационного заголовка AH. Значения этого поля должны выбираться из списка номеров протоколов, предоставленного Администрацией адресного пространства Интернет IANA;

поле "Длина заголовка" (1 октет) должно содержать информацию о размере заголовка AH в 32-битовых словах (4-байтовых блоках) минус 2;

поле "Резерв" (2 октета) должно быть резервным, равно "0" и игнорируется получателем. Значение этого поля должно учитываться при вычислении ICV, но игнорироваться получателем;

поле "Идентификатор параметров защиты" (SPI) должно быть произвольным 32-битовым значением, используемым получателем для идентификации SA, с которой связан входящий пакет. Для индивидуальных SA значение SPI может идентифицировать SA или использоваться в комбинации с типом протокола IPsec (в данном случае АН). Поле SPI должно быть обязательным и механизм отображения входящего трафика на индивидуальные SA должен поддерживаться всеми реализациями AH;

поле "Порядковый номер" (4 октета) должно содержать значение счетчика пакетов, увеличиваемое на "1" для каждого переданного пакета (счетчик пакетов для SA). Это поле должно быть обязательным и присутствовать даже в случае, когда получатель не пользуется услугами по предотвращению повторного использования пакетов для конкретной SA. Отправитель должен передавать указанное поле, но получатель не обязан принимать его во внимание. Счетчики на стороне отправителя и получателя должны инициализироваться при значении поля "Порядковый номер" равном "0" при создании SA (первый пакет, переданный с использованием данной SA, будет иметь порядковый номер - "1"). Если предотвращение повторного использования пакетов включено (используется по умолчанию), передаваемые порядковые номера никогда не должны повторяться. Расширенный порядковый номер должен позволять использовать для SA 64-битовые порядковые номера. В заголовке AH каждого пакета должны передаваться только младшие 32 бита расширенного порядкового номера, а старшие 32 бита должны учитываться как часть порядкового номера отправителем и получателем и включаться в расчет ICV, но не должны передаваться;

поле "Аутентификационные данные" должно содержать значение контрольной суммы ICV для данного пакета. Размер поля должен быть кратным 32 битам как для IPv4, так и для IPv6. Указанное поле может включать заполнение для обеспечения кратности размера заголовка AH в целом 32 (IPv4) или 64 (IPv6) битам. Заполнение должны поддерживать все реализации и размер заполнения должен быть минимально достаточным для выравнивания заголовков в соответствии с требованиями IPv4/IPv6;

1.3. местонахождение заголовка AH:

AH должно обеспечивать работу в двух режимах: транспортном и туннельном:

а) в транспортном режиме AH должен помещаться между заголовком протокола IP и заголовком протокола транспортного уровня или перед другими заголовками IPsec при наличии. Требования к местонахождению заголовка AH в транспортном режиме приведены на рисунке 2.

Заголовок исходного IP пакета
Заголовок AH
Заголовок TCP (UDP)
Данные

Рисунок 2

При использовании IPv4 AH должен размещаться после заголовка IP (после всех опций заголовка IP), но перед заголовком протокола следующего уровня. При использовании IPv6 заголовок AH должен размещаться после заголовков IP и расширения. В расширенном заголовке необходимо обеспечить расположение опций получателя перед заголовком AH, после него или по обе стороны;

б) в туннельном режиме заголовок AH должен защищать исходный IP - пакет целиком (включая его заголовок).

Требования к местонахождению заголовка AH в туннельном режиме приведены на рисунке 3;

Заголовок внешнего IP пакета
Заголовок AH
Заголовок исходного IP пакета
Заголовок TCP (UDP)
Данные

Рисунок 3

2. Требования к протоколу ESP:

2.1. протокол ESP (IP Encapsulating Security Payload) должен использоваться для обеспечения целостности и конфиденциальности данных путем их шифрования. В зависимости от пользовательских требований к безопасности этот механизм следует применять для шифрования пакетов транспортного уровня (например, TCP, UDP, ICMP, IGMP) или дейтаграмм IP полностью. В протоколе ESP должно быть обеспечено одновременное или раздельное использование функций аутентификации и криптографической защиты вместе;

2.2. Должна обеспечиваться возможность содержания ESP в любом месте между заголовком IP и конечным протоколом транспортного уровня. Для протокола ESP должен использоваться идентификатор IANA 50. Заголовок, расположенный непосредственно перед заголовком ESP, должен всегда содержать значение равное "50" в поле "Следующий заголовок" для IPv6 или "Протокол" для IPv4. ESP должен состоять из нешифрованного заголовка, за которым должны следовать зашифрованные данные. Шифруемые данные должны включать в себя защищенные поля заголовка ESP и защищаемые пользовательские данные: дейтаграмму IP или пакет протокола вышележащего уровня.

Формат заголовка ESP приведен на рисунке 4.

Идентификатор параметров защиты (SPI)
Порядковый номер
Данные (перемен.)
Данные (перемен.)
Заполнитель
Заполнитель
Длина заполнителя
Следующий заголовок
Аутентификационные данные (перемен.)

Рисунок 4

2.3. местонахождение заголовка ESP:

Должна обеспепечиваться возможность работы ESP в транспортном и туннельном режимах.

а) в транспортном режиме зашифрованные данные должны транспортироваться между хостами, заголовок исходного IP-пакета должен оставаться внешним, а Заголовок ESP должен помещаться в передаваемый пакет между заголовками протоколов третьего и четвертого уровней.

Шифроваться должны только данные исходного IP-пакета и заключительная часть ESP заголовка. В этом режиме ESP не должен шифровать заголовок IP-пакета, поля "SPI" и "Порядковый номер".

б) Функции туннельного режима должны реализовываться в шлюзах безопасности.

В туннельном режиме в качестве внешнего заголовка должен создаваться новый заголовок IP, ESP заголовок должен помещаться перед заголовком исходного IP-пакета, а весь исходный IP-пакет и заключительная часть заголовка ESP должны шифроваться. Заголовок внешнего IP-пакета не должен защищаться протоколом ESP.