IPSec, lyhenne sanoista Internet Protocol Security, on joukko salausprotokollia, jotka suojaavat tietoliikennettä Internet Protocol (IP) -verkkojen kautta.
IP-verkoista – mukaan lukien World Wide Web – puuttuu salaus ja yksityisyyden suoja. IPSec VPN:t korjaavat tämän heikkouden tarjoamalla puitteet salatulle ja yksityiselle viestintälle verkossa.
Tässä on lähempi tarkastelu IPSecistä ja siitä, miten se toimii VPN-tunneleiden kanssa suojaamattomien verkkojen tietojen suojaamiseksi.
Lyhyt IPSecin historia
Kun Internet-protokollaa kehitettiin 80-luvun alussa, turvallisuus ei ollut tärkeä prioriteetti. Internetin käyttäjien määrän kasvaessa kuitenkin myös korkean tietoturvan tarve kasvaa.
Vastatakseen tähän tarpeeseen National Security Agency sponsoroi turvaprotokollien kehittämistä 80-luvun puolivälissä Secure Data Network Systems -ohjelman puitteissa. Tämä johti Layer 3 Security Protocolin ja lopulta Network Layer Security Protocolin kehittämiseen. Monet insinöörit työskentelivät tämän projektin parissa 90-luvun ajan, ja IPSec kasvoi näistä ponnisteluista. IPSec on nyt avoimen lähdekoodin standardi ja osa IPv4:ää.
Kuinka IPSec toimii
IPSec toimii VPN-tunneleiden kanssa yksityisten kaksisuuntaisten yhteyksien luomiseksi laitteiden välille
Kun kaksi tietokonetta muodostavat VPN- yhteyden , niiden on sopia joukko suojausprotokollia ja salausalgoritmeja ja vaihdettava salausavaimia avatakseen ja tarkastellakseen salattuja tietoja.
Tässä IPSec tulee peliin. IPSec toimii VPN-tunneleiden kanssa yksityisten kaksisuuntaisten yhteyksien luomiseksi laitteiden välille. IPSec ei ole yksittäinen protokolla; Sen sijaan se on täydellinen sarja protokollia ja standardeja, jotka toimivat yhdessä varmistaakseen VPN-tunnelin läpi kulkevien Internet-datapakettien luottamuksellisuuden, eheyden ja aitouden.
Näin IPSec luo suojatun VPN-tunnelin:
IPSec VPN suojaa isännältä isännälle, verkosta verkkoon, isännästä verkkoon ja yhdyskäytävästä yhdyskäytävään siirrettyä dataa (kutsutaan tunnelitilaksi, kun koko IP-paketti on salattu ja todennettu).
IPSec-protokollat ja niitä tukevat komponentit
IPSec-standardi on jaettu useisiin ydinprotokolliin ja tukikomponentteihin.
Ydin IPSec-protokolla
- IPSec Authentication Header (AH) : Tämä protokolla suojaa tiedonvaihtoprosessiin osallistuvien tietokoneiden IP-osoitteita varmistaakseen, että databitit eivät katoa, muutu tai vioittu prosessin aikana. AH myös varmistaa, että tiedon lähettäjä on todella lähettänyt ne, ja suojaa tunnelia luvattomalta tunkeutumiselta.
- Encapsulating Security Payload (ESP) : ESP-protokolla tarjoaa IPSecin salausosan, mikä varmistaa laitteiden välisen tietoliikenteen turvallisuuden. ESP salaa datapaketit/hyötykuorman, todentaa hyötykuorman ja sen alkuperän IPSec-protokollapaketissa. Tämä protokolla sekoittaa tehokkaasti Internet-liikenteen, joten kukaan, joka katsoo tunneliin, ei näe siinä mitään.
ESP sekä salaa että todentaa tiedot, kun taas AH todentaa vain tiedot.
IPSeciä tukevat komponentit
- Turvayhdistykset (SA) : Turvayhdistykset ja -käytännöt tekevät erilaisia tietoturvasopimuksia, joita käytetään vaihdoissa. Nämä sopimukset voivat määrittää käytettävän salaustyypin ja hash-algoritmin. Nämä käytännöt ovat usein joustavia, joten laitteet voivat päättää, miten ne haluavat käsitellä asioita.
- Internet Key Exchange (IKE) : Jotta salaus toimisi, yksityisen viestinnän vaihtoon osallistuvien tietokoneiden on jaettava salausavain. IKE:n avulla kaksi tietokonetta voivat turvallisesti vaihtaa ja jakaa salausavaimia VPN-yhteyttä muodostettaessa.
- Salaus- ja tiivistysalgoritmit : Salausavaimet toimivat hash-arvojen avulla, jotka on luotu hash-algoritmilla. AH ja ESP ovat hyvin yleisiä, ne eivät määritä tiettyä koodaustyyppiä. IPsec käyttää kuitenkin usein Message Digest 5:tä tai Secure Hash Algorithm 1:tä salaukseen.
- Suojaus toistohyökkäyksiä vastaan : IPSec sisältää myös standardeja, jotka estävät onnistuneeseen kirjautumisprosessiin kuuluvien datapakettien uudelleentoiston. Tämä standardi estää hakkereita käyttämästä toistettuja tietoja kirjautumistietojen kopioimiseen itse.
IPSec on täydellinen VPN-protokollaratkaisu, ja se voi toimia myös salausprotokollana L2TP:ssä ja IKEv2:ssa.
Tunnelimuodot: Tunneli ja kuljetus
IPSec lähettää tiedot tunneli- tai kuljetustilassa
IPSec lähettää tiedot tunneli- tai kuljetustilassa. Nämä tilat liittyvät läheisesti käytetyn protokollan tyyppiin, AH tai ESP.
- Tunnelitila : Tunnelitilassa koko paketti on suojattu. IPSec kääri datapaketin uudeksi paketiksi, salaa sen ja lisää uuden IP-otsikon. Sitä käytetään yleisesti VPN-asetuksissa sivustosta toiseen.
- Siirtotila : Siirtotilassa alkuperäinen IP-otsikko säilyy, eikä sitä salata. Vain hyötykuorma ja ESP-perävaunu on salattu. Siirtotilaa käytetään yleisesti asiakkaiden välisissä VPN-asetuksissa.
VPN-verkoissa yleisin näkemäsi IPSec-kokoonpano on ESP tunnelitilassa. Tämä rakenne auttaa Internet-liikennettä liikkumaan turvallisesti ja anonyymisti VPN-tunnelin sisällä suojaamattomien verkkojen yli.
Joten mitä eroa on tunneli- ja kuljetustilan välillä IPsecissä?
IPsec-tunnelitilaa käytetään kahden erillisen reitittimen välillä, ja jokainen reititin toimii julkisen verkon kautta kulkevan virtuaalisen "tunnelin" toisena päänä. Tunnelitilassa alkuperäinen IP-otsikko sisältää salatun paketin lopullisen määränpään sekä paketin hyötykuorman. IPsec lisää uuden IP-otsikon, jotta välireitittimet tietävät, mihin paketit edelleen lähetetään. Tunnelin kummassakin päässä reitittimet dekoodaavat IP-otsikot toimittaakseen paketit määränpäähänsä.
Kuljetustilassa jokaisen paketin hyötykuorma on salattu, mutta alkuperäinen IP-otsikko ei. Siksi välireitittimet voivat nähdä jokaisen paketin lopullisen määränpään - ellei erillistä tunneliprotokollaa (kuten GRE) käytetä.
Mitä porttia IPsec käyttää?
Verkkoportti on virtuaalinen paikka, johon tiedot kulkevat tietokoneen sisällä. Portit ovat tapa, jolla tietokone seuraa erilaisia prosesseja ja yhteyksiä. Jos tiedot menevät tiettyyn porttiin, tietokoneen käyttöjärjestelmä tietää, mihin prosessiin ne kuuluvat. IPsec käyttää yleensä porttia 500.
Miten IPsec vaikuttaa MSS:ään ja MTU:hun?
MSS ja MTU ovat kaksi paketin koon mittaa. Paketit voivat saavuttaa vain tietyn koon (tavuina), ennen kuin tietokoneet, reitittimet ja kytkimet eivät pysty käsittelemään niitä. MSS mittaa kunkin paketin hyötykuorman koon, kun taas MTU mittaa koko paketin otsikot mukaan lukien. Paketit, jotka ylittävät verkon MTU:n, voidaan pilkkoa eli pilkkoa pienempiin paketteihin ja sitten koota uudelleen. MSS:n ylittävät paketit yksinkertaisesti pudotetaan.
IPsec-protokolla lisää paketteihin useita otsikoita ja trailereita, jotka kaikki vievät muutaman tavun. IPsec-verkoissa MSS ja MTU on säädettävä vastaavasti, muuten paketit pirstoutuvat ja viivästyvät hieman. Tyypillisesti verkon MTU on 1 500 tavua. Normaali IP-otsikko on 20 tavua pitkä ja TCP-otsikko on myös 20 tavua pitkä, mikä tarkoittaa, että jokainen paketti voi sisältää 1 460 tavua hyötykuormaa. IPsec kuitenkin lisää Authentication Headerin, ESP-otsikon ja niihin liittyvät trailerit. Ne lisäävät 50-60 tavua pakettiin tai enemmän.
Windowsin palomuuri lisäsuojauksella on palomuuri, joka toimii Windows Server 2012:ssa ja on oletuksena käytössä. Windows Server 2012:n palomuuriasetuksia hallitaan Windowsin palomuurin Microsoft Management Consolessa.
Kun vaihdat Vigor Draytek -modeemin ja reitittimen sisäänkirjautumisen järjestelmänvalvojan sivun salasanan, käyttäjät rajoittavat luvatonta pääsyä modeemin salasanan vaihtamiseen ja suojaavat tärkeitä verkkotietoja.
Onneksi AMD Ryzen -suorittimia käyttävien Windows-tietokoneiden käyttäjät voivat käyttää Ryzen Masteria RAM-muistin ylikellotukseen ilman kosketusta BIOSiin.
USB-C-portista on tullut standardi tiedonsiirrolle, videolähdölle ja lataukselle nykyaikaisissa Windows-kannettavissa. Vaikka tämä on kätevää, se voi olla turhauttavaa, kun liität kannettavan tietokoneen USB-C-laturiin, mutta se ei lataudu.
Ei voi luoda palvelua -virhe Ultraviewerissa ilmenee, kun asennamme ohjelmiston, jonka virhekoodi on 1072.
Virhe, jossa tunnistetta ei näytetä Ultraviewerissa, vaikuttaa etätietokoneeseen.
Ultraviewer ohjaa tietokonetta etänä ja siinä on tila tiedostojen lähettämiseen ja vastaanottamiseen.
Normaalisti, kun tiedosto poistetaan Windowsissa, tiedostoa ei poisteta heti, vaan se tallennetaan roskakoriin. Sen jälkeen sinun on tehtävä vielä yksi vaihe: tyhjennä roskakori. Mutta jos et halua tehdä tätä toista vaihetta, näytämme sinulle, kuinka voit poistaa tiedoston pysyvästi alla olevassa artikkelissa.
Pimeä verkko on salaperäinen paikka, jolla on loistava maine. Pimeän verkon löytäminen ei ole vaikeaa. Turvallisen navigoinnin oppiminen on kuitenkin toinen asia, varsinkin jos et tiedä mitä olet tekemässä tai mitä odottaa.
Teknisesti Adrozek ei ole virus. Se on selaimen kaappaaja, joka tunnetaan myös nimellä selaimen muokkaaja. Tämä tarkoittaa, että tietokoneellesi on asennettu haittaohjelma tietämättäsi.
