IPSecconceptimage 248ec79801d64810aff0ab5672499313

IPSec, joka tarkoittaa Internet-protokollan suojaus, on joukko salausprotokollia, jotka suojaavat tietoliikennettä Internet Protocol -verkkojen kautta. IP-verkoilta, mukaan lukien World Wide Web sellaisena kuin me sen tunnemme, puuttuu salaus ja yksityisyys. IPSec-VPN:t korjaavat tämän heikkouden tarjoamalla puitteet salatulle ja yksityiselle viestintälle Internetissä. Tässä on lähempi katsaus siihen, mitä IPSec on ja kuinka se toimii VPN-tunneleiden kanssa suojaamattomien verkkojen tietojen suojaamiseksi.

IPSecin lyhyt historia

Kun Internet-protokollaa kehitettiin 1980-luvun alussa, turvallisuus ei ollut prioriteettilistalla. Internetin käyttäjien määrän kasvun jatkuessa turvallisuuden lisäämisen tarve tuli kuitenkin ilmeiseksi. Vastatakseen tähän tarpeeseen National Security Agency sponsoroi turvaprotokollien kehittämistä Secure Data Network Systems -ohjelman puitteissa 1980-luvun puolivälissä. Tämä johti suojausprotokollan kehittämiseen Layer 3:ssa ja lopulta Network Layer Security Protocolin kehittämiseen. Useat insinöörit työskentelivät vielä tämän projektin parissa 1990-luvulla, ja IPSec kasvoi näistä ponnisteluista. IPSec on nyt avoimen lähdekoodin standardi osana IPv4-pakettia.

Kuinka IPSec toimii

Kun kaksi tietokonetta muodostavat VPN-yhteyden, niiden on sovittava joukko suojausprotokollia ja salausalgoritmeja ja vaihdettava salausavaimia salattujen tietojen lukituksen avaamiseksi ja tarkastelemiseksi. Siellä IPSec tulee mukaan. IPSec toimii VPN-tunneleiden kanssa yksityisen kaksisuuntaisen yhteyden muodostamiseksi laitteiden välille. IPSec ei ole yksittäinen protokolla; pikemminkin se on täydellinen sarja protokollia ja standardeja, jotka toimivat yhdessä varmistaakseen VPN-tunnelin läpi virtaavien Internet-datapakettien luottamuksellisuuden, eheyden ja todentamisen. Näin IPSec luo suojatun VPN-tunnelin:

  • Se tarkistaa tiedot varmistaakseen siirrettävien tietopakettien eheyden.
  • Se salaa Internet-liikenteen VPN-tunneleiden kautta, jotta tietoja ei voida tarkastella.
  • Se suojaa vastaan toista tiedot hyökkäyksiä, jotka voivat johtaa luvattomiin kirjautumisiin.
  • Se mahdollistaa salausavainten turvallisen vaihdon tietokoneiden välillä.
  • Se tarjoaa kaksi turvamuotoa: tunneli ja kuljetus.

VPN IPSec suojaa isännästä isäntään, verkosta verkkoon, isännästä verkkoon ja portista yhdyskäytävään (ns. tunnelitilakun koko IP-paketti on salattu ja vahvistettu).

IPSec-protokollat ​​ja niitä tukevat komponentit

IPSec-standardi on jaettu useisiin ydinprotokolliin ja tukikomponentteihin.

IPSec-ydinprotokollat

  • IPSec Authentication Header (AH): Tämä protokolla suojaa tietojen vaihtoon osallistuvien tietokoneiden IP-osoitteita varmistaakseen, ettei tietoja katoa, muuteta tai vaurioidu siirron aikana. AH myös tarkistaa, onko tiedot lähettänyt henkilö todella lähettänyt ne, ja suojaa tunnelia luvattomien käyttäjien tunkeutumiselta.
  • Encapsulating Security Payload (ESP): ESP-protokolla tarjoaa IPSecin salausosuuden, joka varmistaa laitteiden välisen tietoliikenteen luottamuksellisuuden. ESP salaa datapaketit/hyötykuorman ja todentaa hyötykuorman ja sen alkuperän IPSec-protokollapaketissa. Tämä protokolla sekoittaa tehokkaasti Internet-liikenteen niin, että kukaan tunneliin katsova ei näe, mitä siellä on.

ESP salaa ja tarkistaa tiedot, kun taas AH vain vahvistaa tiedot.

IPsec-tukikomponentit

  • Turvayhdistykset (SA): Suojausyhdistykset ja -käytännöt määrittävät vaihdossa käytettävät erilaiset turvasopimukset. Nämä sopimukset voivat määrittää käytettävien salaus- ja hajautusalgoritmien tyypin. Nämä käytännöt ovat usein joustavia, joten laitteet voivat päättää, miten ne haluavat toimia.
  • Internet-avainten vaihto (IKE): Jotta salaus toimisi, yksityiseen viestintään osallistuvien tietokoneiden on jaettava salausavaimet. IKE:n avulla kaksi tietokonetta voivat turvallisesti vaihtaa ja jakaa salausavaimia VPN-yhteyttä muodostettaessa.
  • Salaus- ja hajautusalgoritmit: Salausavain toimii hajautusarvon kanssa, joka luodaan hajautusalgoritmilla. AH ja ESP ovat yleisiä, koska ne eivät määritä tiettyä koodaustyyppiä. IPsec käyttää kuitenkin usein salaukseen Message Digest 5:tä tai Secure Hash Algorithm 1:tä.
  • Toistosuojaus: IPSec sisältää myös standardeja, jotka estävät onnistuneeseen kirjautumisprosessiin kuuluvien datapakettien uudelleentoiston. Tämä standardi estää hakkereita käyttämästä toistuvia tietoja itse kirjautumisen kopioimiseen.

IPSec on täydellinen VPN-protokollaratkaisu yksinään tai salausprotokollana L2TP:ssä ja IKEv2:ssa.

Tunnelointitavat: Tunneli ja kuljetus

IPSec välittää tietoja tunnelin tai kuljetusmuodon kautta. Nämä tilat liittyvät läheisesti käytettävään protokollatyyppiin, AH tai ESP.

  • Tunnelitila: Tunnelitilassa koko paketti on suojattu. IPSec pakkaa datapaketin uudeksi paketiksi, salaa sen ja lisää uuden IP-otsikon. Sitä käytetään yleisesti VPN-kokoonpanoissa paikoista toiseen.
  • Kuljetusmuoto: Siirtotilassa alkuperäinen IP-otsikko säilyy, eikä sitä salata. Vain hyötykuorma ja ESP-perävaunu on salattu. Siirtotilaa käytetään usein asiakkaiden välisissä VPN-kokoonpanoissa.

Mitä tulee VPN-verkkoihin, yleisin näkemäsi IPSec-kokoonpano on ESP tunnelitilan todennuksella. Tämä rakenne auttaa Internet-liikennettä liikkumaan turvallisesti ja nimettömästi VPN-tunnelissa suojaamattomien verkkojen yli.

Por Markus