Hvað er IPSec?

IPSec, skammstöfun fyrir Internet Protocol Security, er sett af dulmálssamskiptareglum sem vernda gagnaumferð um Internet Protocol (IP) net.

IP net - þar á meðal veraldarvefinn - skortir dulkóðun og persónuvernd. IPSec VPN taka á þessum veikleika með því að bjóða upp á ramma fyrir dulkóðuð og einkasamskipti á vefnum.

Hér er nánari skoðun á IPSec og hvernig það virkar með VPN göngum til að vernda gögn yfir ótryggð net.

Stutt saga IPSec

Þegar netbókunin var þróuð snemma á níunda áratugnum var öryggi ekki í miklum forgangi. Hins vegar, þar sem fjöldi netnotenda heldur áfram að aukast, eykst þörfin fyrir mikið öryggi einnig.

Til að mæta þessari þörf, styrkti Þjóðaröryggisstofnun þróun öryggissamskiptareglna um miðjan níunda áratuginn, undir öryggisgagnanetkerfisáætluninni. Þetta leiddi til þróunar Layer 3 Security Protocol og að lokum Network Layer Security Protocol. Margir verkfræðingar unnu að þessu verkefni á tíunda áratugnum og IPSec ólst upp úr þessari viðleitni. IPSec er nú opinn staðall og er hluti af IPv4.

Hvernig IPSec virkar

IPSec vinnur með VPN-göngum til að koma á einkatengingum á milli tækja

Þegar tvær tölvur koma á VPN- tengingu verða þær að koma sér saman um öryggissamskiptareglur og dulkóðunaralgrím og skiptast á dulkóðunarlyklum til að opna og skoða dulkóðuð gögn.

Þetta er þar sem IPSec kemur við sögu. IPSec vinnur með VPN göngum til að koma á einkatengingum á milli tækja. IPSec er ekki ein samskiptaregla; í staðinn er þetta fullkomið sett af samskiptareglum og stöðlum sem vinna saman til að tryggja trúnað, heiðarleika og áreiðanleika netgagnapakka sem fara í gegnum VPN göng.

Svona býr IPSec til örugg VPN göng:

• IPSec auðkennir gögn til að tryggja heilleika pakka við sendingu.
• IPSec dulkóðar netumferð í gegnum VPN göng þannig að ekki er hægt að skoða gögnin.
• IPSec verndar gögn fyrir endurspilunarárásum, sem getur leitt til óviðkomandi innskráningar.
• IPSec gerir örugga skipti á dulmálslykla milli tölva.
• IPSec býður upp á tvær öryggisstillingar: Tunnel og Transport.

IPSec VPN verndar gögn sem send eru frá hýsil til hýsingaraðila, neti yfir í net, hýsil í net og gátt að gátt (kallað Tunnel mode, þegar allur IP pakkinn er dulkóðaður og auðkenndur).

IPSec samskiptareglur og stuðningsíhlutir

IPSec staðlinum er skipt í nokkrar kjarnasamskiptareglur og stuðningshluta.

Kjarna IPSec samskiptareglur

- IPSec Authentication Header (AH) : Þessi samskiptaregla verndar IP vistföng tölva sem taka þátt í gagnaskiptaferlinu, til að tryggja að gagnabitar glatist ekki, breytist eða skemmist á meðan á sendingu stendur. AH sannreynir einnig að sá sem sendir gögnin hafi raunverulega sent þau og verndar göngin gegn ágangi óviðkomandi notenda.

- Encapsulating Security Payload (ESP) : ESP-samskiptareglur veita dulkóðunarhluta IPSec, sem tryggir öryggi gagnaumferðar milli tækja. ESP dulkóðar gagnapakka/burðarhleðslu, auðkennir farmið og uppruna þess innan IPSec samskiptareglunnar. Þessi samskiptareglur rugla í raun netumferð, þannig að hver sem horfir inn í göngin getur ekki séð neitt í þeim.

ESP bæði dulkóðar og auðkennir gögn, en AH auðkennir aðeins gögn.

Íhlutir sem styðja IPSec

- Öryggissamtök (SA) : Öryggissamtök og stefnur koma á ýmsum öryggissamningum sem notaðir eru í skiptum. Þessir samningar geta ákvarðað tegund dulkóðunar og kjötkássa reiknirit sem á að nota. Þessar reglur eru oft sveigjanlegar og gera tækjum kleift að ákveða hvernig þau vilja höndla hlutina.

- Internet Key Exchange (IKE) : Til að dulkóðun virki þurfa tölvurnar sem taka þátt í skiptum á einkasamskiptum að deila dulkóðunarlykli. IKE gerir tveimur tölvum kleift að skiptast á og deila dulkóðunarlyklum á öruggan hátt þegar VPN-tengingu er komið á.

- Dulkóðun og kjötkássa reiknirit : Dulmálslyklar vinna með því að nota kjötkássagildi, búin til með því að nota kjötkássa reiknirit. AH og ESP eru mjög almenn, þau tilgreina ekki sérstaka kóðun. Hins vegar notar IPsec oft Message Digest 5 eða Secure Hash Algorithm 1 fyrir dulkóðun.

- Vörn gegn endurspilunarárásum : IPSec inniheldur einnig staðla til að koma í veg fyrir endurspilun gagnapakka sem eru hluti af farsælu innskráningarferli. Þessi staðall kemur í veg fyrir að tölvuþrjótar noti endurspilaðar upplýsingar til að afrita sjálfir innskráningarupplýsingar.

IPSec er heildarlausn fyrir VPN samskiptareglur og getur einnig þjónað sem dulkóðunarsamskiptareglur í L2TP og IKEv2.

Jarðgöng: Jarðgöng og samgöngur

IPSec sendir gögn með Tunnel eða Transport ham

IPSec sendir gögn með Tunnel eða Transport ham. Þessar stillingar eru nátengdar tegund samskiptareglunnar sem notuð er, AH eða ESP.

- Tunnel mode : Í Tunnel mode er allur pakkinn varinn. IPSec vefur gagnapakkanum inn í nýjan pakka, dulkóðar hann og bætir við nýjum IP-haus. Það er almennt notað í VPN uppsetningum frá síðu til staðar.

- Flutningshamur : Í flutningsham er upprunalegi IP-hausinn áfram og er ekki dulkóðaður. Aðeins farmurinn og ESP kerruna eru dulkóðuð. Flutningshamur er almennt notaður í VPN-uppsetningum viðskiptavinar til staðar.

Fyrir VPN er algengasta IPSec stillingin sem þú munt sjá ESP með auðkenningu í Tunnel ham. Þessi uppbygging hjálpar netumferð að fara á öruggan og nafnlausan hátt inni í VPN göngunum yfir ótryggð net.

Svo hver er munurinn á Tunnel og Transport mode í IPsec?

Tunnel mode í IPsec er notað á milli tveggja sérstakra beina, þar sem hver beini virkar sem annar endi sýndar „göng“ í gegnum almenna netið. Í Tunnel-ham inniheldur upphafs-IP-hausinn lokaáfangastað dulkóðaða pakkans, ásamt pakkanum. Til að láta millibeina vita hvert á að framsenda pakka, bætir IPsec við nýjum IP-haus. Í hvorum enda ganganna afkóða beinar IP-hausa til að afhenda pakka á áfangastað.

Í flutningsham er farmur hvers pakka dulkóðaður, en upphaflegi IP-hausinn er það ekki. Þess vegna geta millileiðir séð lokaáfangastað hvers pakka - nema aðskilin göngasamskiptaregla (eins og GRE) sé notuð.

Hvaða tengi notar IPsec?

Netgátt er sýndarstaðurinn þar sem gögn fara í tölvuna. Gáttir eru hvernig tölvan heldur utan um mismunandi ferla og tengingar. Ef gögn fara í ákveðna höfn veit stýrikerfi tölvunnar hvaða ferli það tilheyrir. IPsec notar venjulega port 500.

Hvernig hefur IPsec áhrif á MSS og MTU?

MSS og MTU eru tvær mælingar á pakkastærð. Pakkar geta aðeins náð ákveðinni stærð (í bætum) áður en tölvur, beinar og rofar geta ekki unnið úr þeim. MSS mælir farmstærð hvers pakka en MTU mælir allan pakkann, þar með talið hausa. Hægt er að sundra pakka sem fara yfir net MTU, það er að segja, brjóta niður í smærri pakka og síðan setja saman aftur. Pökkum sem fara yfir MSS er einfaldlega sleppt.

IPsec samskiptareglur bætir fjölda hausa og tengivagna við pakka, sem allir taka upp nokkur bæti. Fyrir netkerfi sem nota IPsec verður að stilla MSS og MTU í samræmi við það, annars verða pakkar sundraðir og seinkar örlítið. Venjulega er MTU fyrir net 1.500 bæti. Venjulegur IP-haus er 20 bæti langur og TCP-hausinn er líka 20 bæti langur, sem þýðir að hver pakki getur innihaldið 1.460 bæti af hleðslu. Hins vegar bætir IPsec við auðkenningarhaus, ESP haus og tengdum tengivögnum. Þeir bæta 50 - 60 bætum við pakka eða meira.