Skip to content

Mikä on IPSec?

8 de heinäkuu de 2021

IPSec, joka tarkoittaa Internet-protokollan suojaus, on sarja salausprotokollia, jotka suojaavat dataliikennettä Internet Protocol -verkkojen kautta. IP-verkoista – mukaan lukien maailmanlaajuinen verkko sellaisena kuin me sen tunnemme – puuttuu salaus ja yksityisyys. IPSec VPN: t korjaavat tämän heikkouden tarjoamalla puitteet salatulle ja yksityiselle viestinnälle verkossa. Tässä on tarkempi kuvaus siitä, mikä IPSec on ja miten se toimii VPN-tunneleiden kanssa suojaamaan tietoja suojaamattomissa verkoissa.

Lyhyt IPSec-historia

Kun Internet-protokolla kehitettiin 80-luvun alussa, turvallisuus ei ollut prioriteettien listalla. Internetin käyttäjien määrän kasvu jatkoi kuitenkin tarvetta lisätä turvallisuutta. Tähän tarpeeseen vastaamiseksi kansallinen turvallisuusvirasto sponsoroi suojausprotokollien kehittämistä 80-luvun puolivälissä Secure Data Network Systems -ohjelmassa. Tämä johti suojausprotokollan kehittämiseen kerroksessa 3 ja lopulta verkkokerroksen suojausprotokollaan. Useat muut insinöörit työskentelivät tämän projektin parissa 90-luvulla, ja IPSec kasvoi näistä ponnisteluista. IPSec on nyt avoimen lähdekoodin standardi osana IPv4-pakettia.

Kuinka IPSec toimii

Kun kaksi tietokonetta muodostaa VPN-yhteyden, heidän on sovittava joukosta suojausprotokollia ja salausalgoritmeja ja vaihdettava salausavaimet salattujen tietojen lukituksen avaamiseksi ja tarkastelemiseksi. Siellä IPSec tulee kuvaan. IPSec muodostaa VPN-tunneleiden kanssa yksityisen kaksisuuntaisen yhteyden laitteiden välille. IPSec ei ole yksi protokolla; pikemminkin se on täydellinen sarja protokollia ja standardeja, jotka yhdessä auttavat varmistamaan VPN-tunnelin läpi kulkevien Internet-datapakettien luottamuksellisuuden, eheyden ja todennuksen. Näin IPSec luo suojatun VPN-tunnelin:

  • Se todentaa tietoja varmistaakseen datapakettien eheyden kuljetuksen aikana.
  • Se salaa Internet-liikenteen VPN-tunneleiden kautta, joten tietoja ei voida tarkastella.
  • Se suojaa tietojen toisto hyökkäykset, jotka voivat johtaa luvattomaan kirjautumiseen.
  • Se mahdollistaa turvallisen salausavainten vaihdon tietokoneiden välillä.
  • Se tarjoaa kaksi turvamuotoa: tunneli ja kuljetus.

VPN IPSec suojaa isännältä isännälle, verkosta verkkoon, isännästä verkkoon ja portista yhdyskäytävään -tietoa (kutsutaan) tunnelitila, kun koko IP-paketti on salattu ja todennettu).

IPSec-protokollat ​​ja tukikomponentit

IPSec-standardi hajoaa useiksi ydinprotokolliksi ja tukikomponenteiksi.

IPSec-ydinprotokollat

  • IPSec-todennusotsikko (AH): Tämä protokolla suojaa tiedonsiirtoon osallistuvien tietokoneiden IP-osoitteita varmistaakseen, että datapalat eivät katoa, muutu tai vahingoitu lähetyksen aikana. AH tarkistaa myös, että datan lähettänyt henkilö tosiasiallisesti lähetti ne, suojaamalla tunnelia luvattomien käyttäjien pääsyltä sisään.
  • Kotelointiturvan hyötykuorma (ESP): ESP-protokolla tarjoaa IPSec-salauksen osan, joka varmistaa laitteiden välisen dataliikenteen luottamuksellisuuden. ESP salaa datapaketit / hyötykuorman ja todentaa hyötykuorman ja sen alkuperän IPSec-protokollapaketissa. Tämä protokolla sekoittaa tehokkaasti Internet-liikennettä, joten kukaan tunneliin katsoja ei näe mitä siellä on.

ESP sekä salaa että todentaa tiedot, kun taas AH vain todentaa tiedot.

IPsec-tuetut komponentit

  • Turvallisuusyhdistykset (SA): Turvallisuusyhdistykset ja -politiikat laativat vaihdossa käytettävät erilaiset turvasopimukset. Nämä sopimukset saattavat määritellä käytettävän salauksen tyypin ja hajautusalgoritmit. Nämä käytännöt ovat usein joustavia, jolloin laitteet voivat päättää, miten he haluavat käsitellä asioita.
  • Internet-avaimenvaihto (IKE): Jotta salaus toimisi, yksityiseen tiedonsiirtoon osallistuvien tietokoneiden on jaettava salausavaimet. IKE sallii kahden tietokoneen vaihtaa ja jakaa salausavaimia turvallisesti VPN-yhteyttä muodostettaessa.
  • Salaus- ja hajautusalgoritmit: Salausavain toimii käyttämällä hajautusarvoa, joka luodaan hajautusalgoritmilla. AH ja ESP ovat yleisiä, koska ne eivät määritä tietyn tyyppistä salausta. IPsec käyttää kuitenkin salaukseen usein Message Digest 5: tä tai Secure Hash Algorithm 1: tä.
  • Toiston esto: IPSec sisältää myös standardeja estämään kaikkien onnistuneeseen kirjautumisprosessiin kuuluvien datapakettien toistamisen. Tämä standardi estää hakkereita käyttämästä toistettuja tietoja sisäänkirjautumisen kopioimiseksi itse.

IPSec on täydellinen VPN-protokollaratkaisu yksinään tai salausprotokollana L2TP: ssä ja IKEv2: ssa.

Tunnelointitilat: Tunneli ja kuljetus

IPSec lähettää dataa joko tunneli- tai siirtotilassa. Nämä tilat liittyvät läheisesti käytettyjen protokollien tyyppiin, joko AH tai ESP.

  • Tunnelitila: Tunnelitilassa koko paketti on suojattu. IPSec kääri datapaketin uuteen pakettiin, salaa sen ja lisää uuden IP-otsikon. Sitä käytetään yleisesti sivustojen välisten VPN-asetusten yhteydessä.
  • Kuljetustila: Siirtotilassa alkuperäinen IP-otsikko säilyy eikä sitä ole salattu. Vain hyötykuorma ja ESP-perävaunu on salattu. Kuljetustilaa käytetään usein asiakaskohtaisten VPN-asetusten yhteydessä.

Sikäli kuin VPN: t menevät, yleisin IPSec-kokoonpano, jonka näet, on ESP, jossa on todennus tunnelitilassa. Tämä rakenne auttaa Internet-liikennettä liikkumaan turvallisesti ja nimettömästi VPN-tunnelissa suojaamattomien verkkojen yli.