Τι είναι το IPSec;

Το IPSec, συντομογραφία του Internet Protocol Security, είναι ένα σύνολο κρυπτογραφικών πρωτοκόλλων που προστατεύουν την κυκλοφορία δεδομένων μέσω δικτύων Πρωτοκόλλου Διαδικτύου (IP).

Τα δίκτυα IP - συμπεριλαμβανομένου του Παγκόσμιου Ιστού - δεν διαθέτουν κρυπτογράφηση και προστασία απορρήτου. Τα IPSec VPN αντιμετωπίζουν αυτήν την αδυναμία, παρέχοντας ένα πλαίσιο για κρυπτογραφημένη και ιδιωτική επικοινωνία στον Ιστό.

Ακολουθεί μια πιο προσεκτική ματιά στο IPSec και πώς λειτουργεί με σήραγγες VPN για την προστασία των δεδομένων σε μη ασφαλή δίκτυα.

Μια σύντομη ιστορία του IPSec

Όταν αναπτύχθηκε το Πρωτόκολλο Διαδικτύου στις αρχές της δεκαετίας του '80, η ασφάλεια δεν ήταν υψηλή προτεραιότητα. Ωστόσο, καθώς ο αριθμός των χρηστών του Διαδικτύου συνεχίζει να αυξάνεται, η ανάγκη για υψηλή ασφάλεια αυξάνεται επίσης.

Για την αντιμετώπιση αυτής της ανάγκης, η Εθνική Υπηρεσία Ασφαλείας χρηματοδότησε την ανάπτυξη πρωτοκόλλων ασφαλείας στα μέσα της δεκαετίας του '80, στο πλαίσιο του προγράμματος Secure Data Network Systems. Αυτό οδήγησε στην ανάπτυξη του πρωτοκόλλου ασφαλείας επιπέδου 3 και τελικά του πρωτοκόλλου ασφαλείας επιπέδου δικτύου. Πολλοί μηχανικοί εργάστηκαν σε αυτό το έργο κατά τη διάρκεια της δεκαετίας του '90 και το IPSec προέκυψε από αυτές τις προσπάθειες. Το IPSec είναι πλέον πρότυπο ανοιχτού κώδικα και αποτελεί μέρος του IPv4.

Πώς λειτουργεί το IPSec

Το IPSec συνεργάζεται με σήραγγες VPN για τη δημιουργία ιδιωτικών αμφίδρομων συνδέσεων μεταξύ συσκευών

Όταν δύο υπολογιστές δημιουργούν μια σύνδεση VPN , πρέπει να συμφωνήσουν σε ένα σύνολο πρωτοκόλλων ασφαλείας και αλγορίθμων κρυπτογράφησης και να ανταλλάξουν κρυπτογραφικά κλειδιά για να ξεκλειδώσουν και να προβάλουν κρυπτογραφημένα δεδομένα.

Εδώ μπαίνει στο παιχνίδι το IPSec. Το IPSec συνεργάζεται με σήραγγες VPN για τη δημιουργία ιδιωτικών αμφίδρομων συνδέσεων μεταξύ συσκευών. Το IPSec δεν είναι ένα ενιαίο πρωτόκολλο. Αντίθετα, είναι ένα πλήρες σύνολο πρωτοκόλλων και προτύπων που συνεργάζονται για να διασφαλίσουν την εμπιστευτικότητα, την ακεραιότητα και την αυθεντικότητα των πακέτων δεδομένων Διαδικτύου που διέρχονται από μια σήραγγα VPN.

Δείτε πώς το IPSec δημιουργεί μια ασφαλή σήραγγα VPN:

• Το IPSec ελέγχει τα δεδομένα για να διασφαλίσει την ακεραιότητα του πακέτου κατά τη μετάδοση.
• Το IPSec κρυπτογραφεί την κυκλοφορία του Διαδικτύου μέσω τούνελ VPN, έτσι ώστε να μην είναι δυνατή η προβολή των δεδομένων.
• Το IPSec προστατεύει τα δεδομένα από επιθέσεις επανάληψης, οι οποίες μπορεί να οδηγήσουν σε μη εξουσιοδοτημένες συνδέσεις.
• Το IPSec επιτρέπει την ασφαλή ανταλλαγή κρυπτογραφικών κλειδιών μεταξύ υπολογιστών.
• Το IPSec παρέχει δύο τρόπους ασφαλείας: Tunnel και Transport.

Το IPSec VPN προστατεύει τα δεδομένα που μεταδίδονται από κεντρικό υπολογιστή σε κεντρικό υπολογιστή, από δίκτυο σε δίκτυο, από κεντρικό υπολογιστή σε δίκτυο και από πύλη σε πύλη (ονομάζεται λειτουργία σήραγγας, όταν ολόκληρο το πακέτο IP είναι κρυπτογραφημένο και πιστοποιημένο).

Πρωτόκολλα IPSec και υποστηρικτικά στοιχεία

Το πρότυπο IPSec χωρίζεται σε πολλά βασικά πρωτόκολλα και υποστηρικτικά στοιχεία.

Βασικό πρωτόκολλο IPSec

- IPSec Authentication Header (AH) : Αυτό το πρωτόκολλο προστατεύει τις διευθύνσεις IP των υπολογιστών που συμμετέχουν στη διαδικασία ανταλλαγής δεδομένων, για να διασφαλίσει ότι τα bit δεδομένων δεν θα χαθούν, δεν αλλάξουν ή θα καταστραφούν κατά τη διάρκεια της μετάδοσης. Η AH επαληθεύει επίσης ότι το άτομο που στέλνει τα δεδομένα τα έστειλε πράγματι, προστατεύοντας τη σήραγγα από εισβολή από μη εξουσιοδοτημένους χρήστες.

- Encapsulating Security Payload (ESP) : Το πρωτόκολλο ESP παρέχει το τμήμα κρυπτογράφησης του IPSec, διασφαλίζοντας την ασφάλεια της κίνησης δεδομένων μεταξύ συσκευών. Το ESP κρυπτογραφεί πακέτα δεδομένων/ωφέλιμο φορτίο, επαληθεύει την ταυτότητα του ωφέλιμου φορτίου και την προέλευσή του εντός της σουίτας πρωτοκόλλων IPSec. Αυτό το πρωτόκολλο ανακατεύει αποτελεσματικά την κυκλοφορία του Διαδικτύου, έτσι ώστε όποιος κοιτάζει μέσα στη σήραγγα δεν μπορεί να δει τίποτα σε αυτό.

Το ESP κρυπτογραφεί και επαληθεύει δεδομένα, ενώ το AH ελέγχει μόνο δεδομένα.

Στοιχεία που υποστηρίζουν IPSec

- Ενώσεις Ασφαλείας (SA) : Οι Ενώσεις Ασφαλείας και οι πολιτικές θεσπίζουν διάφορες συμφωνίες ασφαλείας, που χρησιμοποιούνται σε ανταλλαγές. Αυτές οι συμφωνίες μπορούν να καθορίσουν τον τύπο της κρυπτογράφησης και του αλγόριθμου κατακερματισμού που θα χρησιμοποιηθεί. Αυτές οι πολιτικές είναι συχνά ευέλικτες, επιτρέποντας στις συσκευές να αποφασίζουν πώς θέλουν να χειριστούν τα πράγματα.

- Internet Key Exchange (IKE) : Για να λειτουργήσει η κρυπτογράφηση, οι υπολογιστές που εμπλέκονται στην ανταλλαγή ιδιωτικών επικοινωνιών πρέπει να μοιράζονται ένα κλειδί κρυπτογράφησης. Το IKE επιτρέπει σε δύο υπολογιστές να ανταλλάσσουν με ασφάλεια και να μοιράζονται κλειδιά κρυπτογράφησης κατά τη δημιουργία μιας σύνδεσης VPN.

- Αλγόριθμοι κρυπτογράφησης και κατακερματισμού : Τα κρυπτογραφικά κλειδιά λειτουργούν χρησιμοποιώντας τιμές κατακερματισμού, που δημιουργούνται με χρήση αλγόριθμου κατακερματισμού. Το AH και το ESP είναι πολύ γενικά, δεν καθορίζουν συγκεκριμένο τύπο κωδικοποίησης. Ωστόσο, το IPsec χρησιμοποιεί συχνά το Message Digest 5 ή τον Secure Hash Algorithm 1 για κρυπτογράφηση.

- Προστασία από επιθέσεις επανάληψης : Το IPSec ενσωματώνει επίσης πρότυπα για την πρόληψη της επανάληψης πακέτων δεδομένων που αποτελούν μέρος μιας επιτυχημένης διαδικασίας σύνδεσης. Αυτό το πρότυπο αποτρέπει τους χάκερ από τη χρήση αναπαραγόμενων πληροφοριών για να αντιγράψουν οι ίδιοι τις πληροφορίες σύνδεσης.

Το IPSec είναι μια ολοκληρωμένη λύση πρωτοκόλλου VPN και μπορεί επίσης να χρησιμεύσει ως πρωτόκολλο κρυπτογράφησης σε L2TP και IKEv2.

Τρόποι διάνοιξης σήραγγας: Tunnel και Transport

Το IPSec στέλνει δεδομένα χρησιμοποιώντας τη λειτουργία Tunnel ή Transport

Το IPSec στέλνει δεδομένα χρησιμοποιώντας τη λειτουργία Tunnel ή Transport. Αυτοί οι τρόποι λειτουργίας σχετίζονται στενά με τον τύπο του πρωτοκόλλου που χρησιμοποιείται, AH ή ESP.

- Λειτουργία σήραγγας : Στη λειτουργία σήραγγας, ολόκληρο το πακέτο προστατεύεται. Το IPSec αναδιπλώνει το πακέτο δεδομένων σε ένα νέο πακέτο, το κρυπτογραφεί και προσθέτει μια νέα κεφαλίδα IP. Χρησιμοποιείται συνήθως σε ρυθμίσεις VPN site-to-site.

- Λειτουργία μεταφοράς : Στη λειτουργία μεταφοράς, η αρχική κεφαλίδα IP παραμένει και δεν είναι κρυπτογραφημένη. Μόνο το ωφέλιμο φορτίο και το τρέιλερ ESP είναι κρυπτογραφημένα. Η λειτουργία μεταφοράς χρησιμοποιείται συνήθως σε ρυθμίσεις VPN από πελάτη σε τοποθεσία.

Για VPN, η πιο κοινή διαμόρφωση IPSec που θα δείτε είναι το ESP με έλεγχο ταυτότητας σε λειτουργία Tunnel. Αυτή η δομή βοηθά την κυκλοφορία του Διαδικτύου να μετακινείται με ασφάλεια και ανώνυμα μέσα στη σήραγγα VPN μέσω μη ασφαλών δικτύων.

Ποια είναι λοιπόν η διαφορά μεταξύ της λειτουργίας Tunnel και της λειτουργίας Transport στο IPsec;

Η λειτουργία σήραγγας στο IPsec χρησιμοποιείται μεταξύ δύο αποκλειστικών δρομολογητών, με κάθε δρομολογητή να λειτουργεί ως το ένα άκρο μιας εικονικής «σήραγγας» μέσω του δημόσιου δικτύου. Στη λειτουργία Tunnel, η αρχική κεφαλίδα IP περιέχει τον τελικό προορισμό του κρυπτογραφημένου πακέτου, μαζί με το ωφέλιμο φορτίο του πακέτου. Για να γνωρίζουν οι ενδιάμεσοι δρομολογητές πού να προωθήσουν πακέτα, το IPsec προσθέτει μια νέα κεφαλίδα IP. Σε κάθε άκρο της σήραγγας, οι δρομολογητές αποκωδικοποιούν τις κεφαλίδες IP για να παραδώσουν πακέτα στον προορισμό τους.

Στη λειτουργία μεταφοράς, το ωφέλιμο φορτίο κάθε πακέτου είναι κρυπτογραφημένο, αλλά η αρχική κεφαλίδα IP όχι. Επομένως, οι ενδιάμεσοι δρομολογητές μπορούν να δουν τον τελικό προορισμό κάθε πακέτου - εκτός εάν χρησιμοποιείται ξεχωριστό πρωτόκολλο σήραγγας (όπως το GRE).

Ποια θύρα χρησιμοποιεί το IPsec;

Μια θύρα δικτύου είναι η εικονική τοποθεσία όπου τα δεδομένα μεταφέρονται στον υπολογιστή. Οι θύρες είναι ο τρόπος με τον οποίο ο υπολογιστής παρακολουθεί διαφορετικές διαδικασίες και συνδέσεις. Εάν τα δεδομένα πηγαίνουν σε μια συγκεκριμένη θύρα, το λειτουργικό σύστημα του υπολογιστή γνωρίζει σε ποια διαδικασία ανήκουν. Το IPsec χρησιμοποιεί συνήθως τη θύρα 500.

Πώς επηρεάζει το IPsec το MSS και το MTU;

Το MSS και το MTU είναι δύο μετρήσεις του μεγέθους του πακέτου. Τα πακέτα μπορούν να φτάσουν μόνο ένα συγκεκριμένο μέγεθος (σε byte) προτού οι υπολογιστές, οι δρομολογητές και οι μεταγωγείς δεν μπορούν να τα επεξεργαστούν. Το MSS μετρά το μέγεθος ωφέλιμου φορτίου κάθε πακέτου, ενώ το MTU μετρά ολόκληρο το πακέτο, συμπεριλαμβανομένων των κεφαλίδων. Τα πακέτα που υπερβαίνουν το MTU δικτύου μπορούν να κατακερματιστούν, δηλαδή να σπάσουν σε μικρότερα πακέτα και στη συνέχεια να συναρμολογηθούν εκ νέου. Τα πακέτα που υπερβαίνουν το MSS απλώς απορρίπτονται.

Το πρωτόκολλο IPsec προσθέτει έναν αριθμό κεφαλίδων και τρέιλερ στα πακέτα, τα οποία καταλαμβάνουν όλα μερικά byte. Για δίκτυα που χρησιμοποιούν IPsec, το MSS και το MTU πρέπει να προσαρμοστούν ανάλογα, διαφορετικά τα πακέτα θα κατακερματιστούν και θα καθυστερήσουν ελαφρώς. Συνήθως, το MTU για ένα δίκτυο είναι 1.500 byte. Η κανονική κεφαλίδα IP έχει μήκος 20 byte και η κεφαλίδα TCP έχει επίσης μήκος 20 byte, που σημαίνει ότι κάθε πακέτο μπορεί να περιέχει 1.460 byte ωφέλιμου φορτίου. Ωστόσο, το IPsec προσθέτει μια κεφαλίδα ελέγχου ταυτότητας, μια κεφαλίδα ESP και σχετικά τρέιλερ. Προσθέτουν 50 - 60 byte σε ένα πακέτο ή περισσότερα.