Mikä on IPSec?

IPSec, lyhenne sanoista Internet Protocol Security, on joukko salausprotokollia, jotka suojaavat tietoliikennettä Internet Protocol (IP) -verkkojen kautta.

IP-verkoista – mukaan lukien World Wide Web – puuttuu salaus ja yksityisyyden suoja. IPSec VPN:t korjaavat tämän heikkouden tarjoamalla puitteet salatulle ja yksityiselle viestintälle verkossa.

Tässä on lähempi tarkastelu IPSecistä ja siitä, miten se toimii VPN-tunneleiden kanssa suojaamattomien verkkojen tietojen suojaamiseksi.

Lyhyt IPSecin historia

Kun Internet-protokollaa kehitettiin 80-luvun alussa, turvallisuus ei ollut tärkeä prioriteetti. Internetin käyttäjien määrän kasvaessa kuitenkin myös korkean tietoturvan tarve kasvaa.

Vastatakseen tähän tarpeeseen National Security Agency sponsoroi turvaprotokollien kehittämistä 80-luvun puolivälissä Secure Data Network Systems -ohjelman puitteissa. Tämä johti Layer 3 Security Protocolin ja lopulta Network Layer Security Protocolin kehittämiseen. Monet insinöörit työskentelivät tämän projektin parissa 90-luvun ajan, ja IPSec kasvoi näistä ponnisteluista. IPSec on nyt avoimen lähdekoodin standardi ja osa IPv4:ää.

Kuinka IPSec toimii

IPSec toimii VPN-tunneleiden kanssa yksityisten kaksisuuntaisten yhteyksien luomiseksi laitteiden välille

Kun kaksi tietokonetta muodostavat VPN- yhteyden , niiden on sopia joukko suojausprotokollia ja salausalgoritmeja ja vaihdettava salausavaimia avatakseen ja tarkastellakseen salattuja tietoja.

Tässä IPSec tulee peliin. IPSec toimii VPN-tunneleiden kanssa yksityisten kaksisuuntaisten yhteyksien luomiseksi laitteiden välille. IPSec ei ole yksittäinen protokolla; Sen sijaan se on täydellinen sarja protokollia ja standardeja, jotka toimivat yhdessä varmistaakseen VPN-tunnelin läpi kulkevien Internet-datapakettien luottamuksellisuuden, eheyden ja aitouden.

Näin IPSec luo suojatun VPN-tunnelin:

• IPSec todentaa tiedot varmistaakseen pakettien eheyden lähetyksen aikana.
• IPSec salaa Internet-liikenteen VPN-tunneleiden kautta, jotta tietoja ei voida tarkastella.
• IPSec suojaa tietoja toistohyökkäyksiltä, ​​jotka voivat johtaa luvattomiin sisäänkirjautumiseen.
• IPSec mahdollistaa turvallisen salausavainten vaihdon tietokoneiden välillä.
• IPSec tarjoaa kaksi suojaustilaa: Tunnel ja Transport.

IPSec VPN suojaa isännältä isännälle, verkosta verkkoon, isännästä verkkoon ja yhdyskäytävästä yhdyskäytävään siirrettyä dataa (kutsutaan tunnelitilaksi, kun koko IP-paketti on salattu ja todennettu).

IPSec-protokollat ​​ja niitä tukevat komponentit

IPSec-standardi on jaettu useisiin ydinprotokolliin ja tukikomponentteihin.

Ydin IPSec-protokolla

- IPSec Authentication Header (AH) : Tämä protokolla suojaa tiedonvaihtoprosessiin osallistuvien tietokoneiden IP-osoitteita varmistaakseen, että databitit eivät katoa, muutu tai vioittu prosessin aikana. AH myös varmistaa, että tiedon lähettäjä on todella lähettänyt ne, ja suojaa tunnelia luvattomalta tunkeutumiselta.

- Encapsulating Security Payload (ESP) : ESP-protokolla tarjoaa IPSecin salausosan, mikä varmistaa laitteiden välisen tietoliikenteen turvallisuuden. ESP salaa datapaketit/hyötykuorman, todentaa hyötykuorman ja sen alkuperän IPSec-protokollapaketissa. Tämä protokolla sekoittaa tehokkaasti Internet-liikenteen, joten kukaan, joka katsoo tunneliin, ei näe siinä mitään.

ESP sekä salaa että todentaa tiedot, kun taas AH todentaa vain tiedot.

IPSeciä tukevat komponentit

- Turvayhdistykset (SA) : Turvayhdistykset ja -käytännöt tekevät erilaisia ​​tietoturvasopimuksia, joita käytetään vaihdoissa. Nämä sopimukset voivat määrittää käytettävän salaustyypin ja hash-algoritmin. Nämä käytännöt ovat usein joustavia, joten laitteet voivat päättää, miten ne haluavat käsitellä asioita.

- Internet Key Exchange (IKE) : Jotta salaus toimisi, yksityisen viestinnän vaihtoon osallistuvien tietokoneiden on jaettava salausavain. IKE:n avulla kaksi tietokonetta voivat turvallisesti vaihtaa ja jakaa salausavaimia VPN-yhteyttä muodostettaessa.

- Salaus- ja tiivistysalgoritmit : Salausavaimet toimivat hash-arvojen avulla, jotka on luotu hash-algoritmilla. AH ja ESP ovat hyvin yleisiä, ne eivät määritä tiettyä koodaustyyppiä. IPsec käyttää kuitenkin usein Message Digest 5:tä tai Secure Hash Algorithm 1:tä salaukseen.

- Suojaus toistohyökkäyksiä vastaan : IPSec sisältää myös standardeja, jotka estävät onnistuneeseen kirjautumisprosessiin kuuluvien datapakettien uudelleentoiston. Tämä standardi estää hakkereita käyttämästä toistettuja tietoja kirjautumistietojen kopioimiseen itse.

IPSec on täydellinen VPN-protokollaratkaisu, ja se voi toimia myös salausprotokollana L2TP:ssä ja IKEv2:ssa.

Tunnelimuodot: Tunneli ja kuljetus

IPSec lähettää tiedot tunneli- tai kuljetustilassa

IPSec lähettää tiedot tunneli- tai kuljetustilassa. Nämä tilat liittyvät läheisesti käytetyn protokollan tyyppiin, AH tai ESP.

- Tunnelitila : Tunnelitilassa koko paketti on suojattu. IPSec kääri datapaketin uudeksi paketiksi, salaa sen ja lisää uuden IP-otsikon. Sitä käytetään yleisesti VPN-asetuksissa sivustosta toiseen.

- Siirtotila : Siirtotilassa alkuperäinen IP-otsikko säilyy, eikä sitä salata. Vain hyötykuorma ja ESP-perävaunu on salattu. Siirtotilaa käytetään yleisesti asiakkaiden välisissä VPN-asetuksissa.

VPN-verkoissa yleisin näkemäsi IPSec-kokoonpano on ESP tunnelitilassa. Tämä rakenne auttaa Internet-liikennettä liikkumaan turvallisesti ja anonyymisti VPN-tunnelin sisällä suojaamattomien verkkojen yli.

Joten mitä eroa on tunneli- ja kuljetustilan välillä IPsecissä?

IPsec-tunnelitilaa käytetään kahden erillisen reitittimen välillä, ja jokainen reititin toimii julkisen verkon kautta kulkevan virtuaalisen "tunnelin" toisena päänä. Tunnelitilassa alkuperäinen IP-otsikko sisältää salatun paketin lopullisen määränpään sekä paketin hyötykuorman. IPsec lisää uuden IP-otsikon, jotta välireitittimet tietävät, mihin paketit edelleen lähetetään. Tunnelin kummassakin päässä reitittimet dekoodaavat IP-otsikot toimittaakseen paketit määränpäähänsä.

Kuljetustilassa jokaisen paketin hyötykuorma on salattu, mutta alkuperäinen IP-otsikko ei. Siksi välireitittimet voivat nähdä jokaisen paketin lopullisen määränpään - ellei erillistä tunneliprotokollaa (kuten GRE) käytetä.

Mitä porttia IPsec käyttää?

Verkkoportti on virtuaalinen paikka, johon tiedot kulkevat tietokoneen sisällä. Portit ovat tapa, jolla tietokone seuraa erilaisia ​​prosesseja ja yhteyksiä. Jos tiedot menevät tiettyyn porttiin, tietokoneen käyttöjärjestelmä tietää, mihin prosessiin ne kuuluvat. IPsec käyttää yleensä porttia 500.

Miten IPsec vaikuttaa MSS:ään ja MTU:hun?

MSS ja MTU ovat kaksi paketin koon mittaa. Paketit voivat saavuttaa vain tietyn koon (tavuina), ennen kuin tietokoneet, reitittimet ja kytkimet eivät pysty käsittelemään niitä. MSS mittaa kunkin paketin hyötykuorman koon, kun taas MTU mittaa koko paketin otsikot mukaan lukien. Paketit, jotka ylittävät verkon MTU:n, voidaan pilkkoa eli pilkkoa pienempiin paketteihin ja sitten koota uudelleen. MSS:n ylittävät paketit yksinkertaisesti pudotetaan.

IPsec-protokolla lisää paketteihin useita otsikoita ja trailereita, jotka kaikki vievät muutaman tavun. IPsec-verkoissa MSS ja MTU on säädettävä vastaavasti, muuten paketit pirstoutuvat ja viivästyvät hieman. Tyypillisesti verkon MTU on 1 500 tavua. Normaali IP-otsikko on 20 tavua pitkä ja TCP-otsikko on myös 20 tavua pitkä, mikä tarkoittaa, että jokainen paketti voi sisältää 1 460 tavua hyötykuormaa. IPsec kuitenkin lisää Authentication Headerin, ESP-otsikon ja niihin liittyvät trailerit. Ne lisäävät 50-60 tavua pakettiin tai enemmän.