6.2. IPsec

Red Hat Enterprise Linux поддерживает IPsec для соединения удалённых узлов и сетей друг с другом через безопасный туннель в открытой несущей сети, например, в Интернете. IPsec может работать в конфигурации узел-узел (один компьютер соединяется с другим) или сеть-сеть (одна локальная/глобальная сеть соединяется с другой). Реализация IPsec, встроенная в Red Hat Enterprise Linux, использует протокол обмена ключами в Интернете (Internet Key Exchange, IKE), разработанный комитетом по техническому развитию Интернета (Internet Engineering Task Force, IETF) для взаимной проверки подлинности и сопоставления параметров безопасности между подключающимися системами.

Процесс соединения IPsec разделяется на две логические фазы. На первой фазе узел IPsec устанавливает подключение к удалённому узлу или сети. Удалённый узел/сеть проверяет учётные данные запрашивающего узла и обе стороны согласуют способ проверки подлинности, используемый для соединения. В системах Red Hat Enterprise Linux для проверки подлинности узла IPSec используется алгоритм с предварительным общим ключом. В случае с IPsec-соединением с применением предварительного общего ключа, оба узла должны использовать один ключ, только тогда они смогут перейти ко второй фазе соединения IPSec.

На второй фазе соединения IPsec между узлами IPSec создаётся сопоставление безопасности (security association, SA). При этом в базу данных SA вносится информация о конфигурации, в частности, метод шифрвоания, параметры обмена секретными ключами сеанса и т.п. Эта фаза собственно управляет соединением IPsec между удалёнными узлами и сетями.

Протокол IPsec в Red Hat Enterprise Linux использует IKE для согласования ключей между узлами через Интернет. Распределением и обменом ключей IKE занимается демон ключей racoon.