Što je IPSec?

IPSec, kratica za Internet Protocol Security, skup je kriptografskih protokola koji štite podatkovni promet preko mreža Internet Protocol (IP).

IP mreže - uključujući World Wide Web - nemaju enkripciju i zaštitu privatnosti. IPSec VPN-ovi rješavaju tu slabost pružajući okvir za šifriranu i privatnu komunikaciju na webu.

Evo bližeg pogleda na IPSec i kako radi s VPN tunelima za zaštitu podataka preko nezaštićenih mreža.

Kratka povijest IPSec-a

Kada je ranih 80-ih razvijen internetski protokol, sigurnost nije bila visoki prioritet. Međutim, kako broj korisnika interneta nastavlja rasti, potreba za visokom sigurnošću također raste.

Kako bi odgovorila na ovu potrebu, Agencija za nacionalnu sigurnost sponzorirala je razvoj sigurnosnih protokola sredinom 80-ih, u okviru programa Secure Data Network Systems. To je dovelo do razvoja sigurnosnog protokola sloja 3 i na kraju sigurnosnog protokola mrežnog sloja. Mnogi inženjeri radili su na ovom projektu tijekom 90-ih i IPSec je izrastao iz tih napora. IPSec je sada standard otvorenog koda i dio je IPv4.

Kako radi IPSec

IPSec radi s VPN tunelima za uspostavljanje privatnih dvosmjernih veza između uređaja

Kada dva računala uspostave VPN vezu , moraju se dogovoriti oko skupa sigurnosnih protokola i algoritama šifriranja te razmijeniti kriptografske ključeve za otključavanje i pregled šifriranih podataka.

Ovdje IPSec stupa na scenu. IPSec radi s VPN tunelima za uspostavljanje privatnih dvosmjernih veza između uređaja. IPSec nije jedan protokol; umjesto toga, to je kompletan skup protokola i standarda koji rade zajedno kako bi osigurali povjerljivost, cjelovitost i autentičnost internetskih podatkovnih paketa koji prolaze kroz VPN tunel.

Evo kako IPSec stvara siguran VPN tunel:

• IPSec provjerava autentičnost podataka kako bi se osigurao integritet paketa tijekom prijenosa.
• IPSec kriptira internetski promet kroz VPN tunele tako da se podaci ne mogu vidjeti.
• IPSec štiti podatke od napada ponavljanja, koji mogu dovesti do neovlaštenih prijava.
• IPSec omogućuje sigurnu razmjenu kriptografskih ključeva između računala.
• IPSec pruža dva sigurnosna načina: Tunnel i Transport.

IPSec VPN štiti podatke koji se prenose od hosta do hosta, mreže do mreže, hosta do mreže i od pristupnika do pristupnika (naziva se tunelski način rada, kada je cijeli IP paket šifriran i autentificiran).

IPSec protokoli i prateće komponente

IPSec standard podijeljen je na nekoliko temeljnih protokola i pratećih komponenti.

Jezgreni IPSec protokol

- IPSec Authentication Header (AH) : Ovaj protokol štiti IP adrese računala koja sudjeluju u procesu razmjene podataka, kako bi se osiguralo da se bitovi podataka ne izgube, promijene ili oštete tijekom procesa prijenosa. AH također provjerava je li osoba koja šalje podatke stvarno poslala, štiteći tunel od upada neovlaštenih korisnika.

- Encapsulating Security Payload (ESP) : ESP protokol pruža enkripcijski dio IPSec-a, osiguravajući sigurnost podatkovnog prometa između uređaja. ESP šifrira pakete podataka/korisni teret, provjerava autentičnost korisnog tereta i njegovog podrijetla unutar IPSec skupa protokola. Ovaj protokol učinkovito kodira internetski promet, tako da svatko tko gleda u tunel ne može vidjeti ništa u njemu.

ESP šifrira i provjerava autentičnost podataka, dok AH samo provjerava autentičnost podataka.

Komponente koje podržavaju IPSec

- Sigurnosne udruge (SA) : Sigurnosne udruge i politike uspostavljaju različite sigurnosne sporazume koji se koriste u razmjenama. Ovi ugovori mogu odrediti vrstu enkripcije i hash algoritma koji će se koristiti. Ta su pravila često fleksibilna, dopuštajući uređajima da odluče kako žele postupati sa stvarima.

- Internetska razmjena ključeva (IKE) : Da bi enkripcija radila, računala uključena u razmjenu privatnih komunikacija moraju dijeliti enkripcijski ključ. IKE omogućuje dvama računalima sigurnu razmjenu i dijeljenje ključeva za šifriranje prilikom uspostavljanja VPN veze.

- Algoritmi šifriranja i raspršivanja : Kriptografski ključevi rade pomoću hash vrijednosti, generiranih pomoću hash algoritma. AH i ESP su vrlo općeniti, ne specificiraju određenu vrstu kodiranja. Međutim, IPsec često koristi Message Digest 5 ili Secure Hash Algorithm 1 za enkripciju.

- Zaštita od napada ponavljanjem : IPSec također uključuje standarde za sprječavanje ponavljanja bilo kojeg paketa podataka koji su dio uspješnog procesa prijave. Ovaj standard sprječava hakere da koriste ponovno reproducirane podatke za kopiranje podataka za prijavu.

IPSec je cjelovito rješenje VPN protokola i može poslužiti i kao protokol šifriranja u L2TP i IKEv2.

Načini tuneliranja: tunel i transport

IPSec šalje podatke korištenjem tunelskog ili transportnog načina

IPSec šalje podatke korištenjem tunelskog ili transportnog načina. Ovi načini rada usko su povezani s vrstom korištenog protokola, AH ili ESP.

- Tunelski način rada : U tunelskom načinu rada cijeli je paket zaštićen. IPSec omotava paket podataka u novi paket, šifrira ga i dodaje novo IP zaglavlje. Obično se koristi u postavkama VPN-a od mjesta do mjesta.

- Način prijenosa : u načinu prijenosa izvorno IP zaglavlje ostaje i nije šifrirano. Šifrirani su samo nosivost i ESP trailer. Način prijenosa obično se koristi u postavkama VPN-a od klijenta do mjesta.

Za VPN, najčešća IPSec konfiguracija koju ćete vidjeti je ESP s autentifikacijom u tunelskom načinu rada. Ova struktura pomaže da se internetski promet kreće sigurno i anonimno unutar VPN tunela preko nezaštićenih mreža.

Dakle, koja je razlika između tunelskog i transportnog načina rada u IPsec-u?

Način tunela u IPsec-u koristi se između dva namjenska usmjerivača, pri čemu svaki usmjerivač djeluje kao jedan kraj virtualnog "tunela" kroz javnu mrežu. U tunelskom načinu, početno IP zaglavlje sadrži konačno odredište šifriranog paketa, zajedno s sadržajem paketa. Kako bi međuusmjerivači znali kamo proslijediti pakete, IPsec dodaje novo IP zaglavlje. Na svakom kraju tunela usmjerivači dekodiraju IP zaglavlja kako bi isporučili pakete na njihovo odredište.

U načinu prijenosa, sadržaj svakog paketa je šifriran, ali početno IP zaglavlje nije. Stoga posredni usmjerivači mogu vidjeti konačno odredište svakog paketa - osim ako se ne koristi zasebni protokol tunela (kao što je GRE).

Koji port koristi IPsec?

Mrežni priključak je virtualna lokacija gdje podaci idu unutar računala. Priključci su način na koji računalo prati različite procese i veze. Ako podaci idu na određeni priključak, operativni sustav računala zna kojem procesu pripadaju. IPsec obično koristi port 500.

Kako IPsec utječe na MSS i MTU?

MSS i MTU dvije su mjere veličine paketa. Paketi mogu doseći samo određenu veličinu (u bajtovima) prije nego što ih računala, usmjerivači i preklopnici ne mogu obraditi. MSS mjeri veličinu korisnog opterećenja svakog paketa, dok MTU mjeri cijeli paket, uključujući zaglavlja. Paketi koji prelaze mrežni MTU mogu se fragmentirati, odnosno razbiti u manje pakete i zatim ponovno sastaviti. Paketi koji premašuju MSS jednostavno se ispuštaju.

IPsec protokol dodaje niz zaglavlja i najava paketima, a svi zauzimaju nekoliko bajtova. Za mreže koje koriste IPsec, MSS i MTU moraju se prilagoditi u skladu s tim, inače će paketi biti fragmentirani i blago odgođeni. Obično je MTU za mrežu 1500 bajtova. Normalno IP zaglavlje dugo je 20 bajtova, a TCP zaglavlje je također dugo 20 bajtova, što znači da svaki paket može sadržavati 1460 bajtova korisnog sadržaja. Međutim, IPsec dodaje Authentication Header, ESP header i povezane najave. Oni dodaju 50 - 60 bajtova paketu ili više.