IPSec, joka tarkoittaa Internet-protokollan suojaus, on joukko salausprotokollia, jotka suojaavat tietoliikennettä Internet Protocol -verkkojen kautta. IP-verkoilta, mukaan lukien World Wide Web sellaisena kuin me sen tunnemme, puuttuu salaus ja yksityisyys. IPSec-VPN:t korjaavat tämän heikkouden tarjoamalla puitteet salatulle ja yksityiselle viestintälle Internetissä. Tässä on lähempi katsaus siihen, mitä IPSec on ja kuinka se toimii VPN-tunneleiden kanssa suojaamattomien verkkojen tietojen suojaamiseksi.
IPSecin lyhyt historia
Kun Internet-protokollaa kehitettiin 1980-luvun alussa, turvallisuus ei ollut prioriteettilistalla. Internetin käyttäjien määrän kasvun jatkuessa turvallisuuden lisäämisen tarve tuli kuitenkin ilmeiseksi. Vastatakseen tähän tarpeeseen National Security Agency sponsoroi turvaprotokollien kehittämistä Secure Data Network Systems -ohjelman puitteissa 1980-luvun puolivälissä. Tämä johti suojausprotokollan kehittämiseen Layer 3:ssa ja lopulta Network Layer Security Protocolin kehittämiseen. Useat insinöörit työskentelivät vielä tämän projektin parissa 1990-luvulla, ja IPSec kasvoi näistä ponnisteluista. IPSec on nyt avoimen lähdekoodin standardi osana IPv4-pakettia.
Kuinka IPSec toimii
Kun kaksi tietokonetta muodostavat VPN-yhteyden, niiden on sovittava joukko suojausprotokollia ja salausalgoritmeja ja vaihdettava salausavaimia salattujen tietojen lukituksen avaamiseksi ja tarkastelemiseksi. Siellä IPSec tulee mukaan. IPSec toimii VPN-tunneleiden kanssa yksityisen kaksisuuntaisen yhteyden muodostamiseksi laitteiden välille. IPSec ei ole yksittäinen protokolla; pikemminkin se on täydellinen sarja protokollia ja standardeja, jotka toimivat yhdessä varmistaakseen VPN-tunnelin läpi virtaavien Internet-datapakettien luottamuksellisuuden, eheyden ja todentamisen. Näin IPSec luo suojatun VPN-tunnelin:
- Se tarkistaa tiedot varmistaakseen siirrettävien tietopakettien eheyden.
- Se salaa Internet-liikenteen VPN-tunneleiden kautta, jotta tietoja ei voida tarkastella.
- Se suojaa vastaan toista tiedot hyökkäyksiä, jotka voivat johtaa luvattomiin kirjautumisiin.
- Se mahdollistaa salausavainten turvallisen vaihdon tietokoneiden välillä.
- Se tarjoaa kaksi turvamuotoa: tunneli ja kuljetus.
VPN IPSec suojaa isännästä isäntään, verkosta verkkoon, isännästä verkkoon ja portista yhdyskäytävään (ns. tunnelitilakun koko IP-paketti on salattu ja vahvistettu).
IPSec-protokollat ja niitä tukevat komponentit
IPSec-standardi on jaettu useisiin ydinprotokolliin ja tukikomponentteihin.
IPSec-ydinprotokollat
- IPSec Authentication Header (AH): Tämä protokolla suojaa tietojen vaihtoon osallistuvien tietokoneiden IP-osoitteita varmistaakseen, ettei tietoja katoa, muuteta tai vaurioidu siirron aikana. AH myös tarkistaa, onko tiedot lähettänyt henkilö todella lähettänyt ne, ja suojaa tunnelia luvattomien käyttäjien tunkeutumiselta.
- Encapsulating Security Payload (ESP): ESP-protokolla tarjoaa IPSecin salausosuuden, joka varmistaa laitteiden välisen tietoliikenteen luottamuksellisuuden. ESP salaa datapaketit/hyötykuorman ja todentaa hyötykuorman ja sen alkuperän IPSec-protokollapaketissa. Tämä protokolla sekoittaa tehokkaasti Internet-liikenteen niin, että kukaan tunneliin katsova ei näe, mitä siellä on.
ESP salaa ja tarkistaa tiedot, kun taas AH vain vahvistaa tiedot.
IPsec-tukikomponentit
- Turvayhdistykset (SA): Suojausyhdistykset ja -käytännöt määrittävät vaihdossa käytettävät erilaiset turvasopimukset. Nämä sopimukset voivat määrittää käytettävien salaus- ja hajautusalgoritmien tyypin. Nämä käytännöt ovat usein joustavia, joten laitteet voivat päättää, miten ne haluavat toimia.
- Internet-avainten vaihto (IKE): Jotta salaus toimisi, yksityiseen viestintään osallistuvien tietokoneiden on jaettava salausavaimet. IKE:n avulla kaksi tietokonetta voivat turvallisesti vaihtaa ja jakaa salausavaimia VPN-yhteyttä muodostettaessa.
- Salaus- ja hajautusalgoritmit: Salausavain toimii hajautusarvon kanssa, joka luodaan hajautusalgoritmilla. AH ja ESP ovat yleisiä, koska ne eivät määritä tiettyä koodaustyyppiä. IPsec käyttää kuitenkin usein salaukseen Message Digest 5:tä tai Secure Hash Algorithm 1:tä.
- Toistosuojaus: IPSec sisältää myös standardeja, jotka estävät onnistuneeseen kirjautumisprosessiin kuuluvien datapakettien uudelleentoiston. Tämä standardi estää hakkereita käyttämästä toistuvia tietoja itse kirjautumisen kopioimiseen.
IPSec on täydellinen VPN-protokollaratkaisu yksinään tai salausprotokollana L2TP:ssä ja IKEv2:ssa.
Tunnelointitavat: Tunneli ja kuljetus
IPSec välittää tietoja tunnelin tai kuljetusmuodon kautta. Nämä tilat liittyvät läheisesti käytettävään protokollatyyppiin, AH tai ESP.
- Tunnelitila: Tunnelitilassa koko paketti on suojattu. IPSec pakkaa datapaketin uudeksi paketiksi, salaa sen ja lisää uuden IP-otsikon. Sitä käytetään yleisesti VPN-kokoonpanoissa paikoista toiseen.
- Kuljetusmuoto: Siirtotilassa alkuperäinen IP-otsikko säilyy, eikä sitä salata. Vain hyötykuorma ja ESP-perävaunu on salattu. Siirtotilaa käytetään usein asiakkaiden välisissä VPN-kokoonpanoissa.
Mitä tulee VPN-verkkoihin, yleisin näkemäsi IPSec-kokoonpano on ESP tunnelitilan todennuksella. Tämä rakenne auttaa Internet-liikennettä liikkumaan turvallisesti ja nimettömästi VPN-tunnelissa suojaamattomien verkkojen yli.