Що таке IPSec?

IPSec, який позначає Internet Protocol Security, є набором криптографічних протоколів, що використовуються для захисту трафіку даних по мережах Internet Protocol (IP).

Мережі Інтернет-протоколу (IP), включаючи всесвітню павутину, як ми її знаємо, не мають шифрування і конфіденційності. IPSec VPN були розроблені для усунення цього недоліку, надаючи платформу для зашифрованого і приватного зв'язку в мережі.

Нижче детально розглянемо, що таке IPSec і як він працює з VPN-тунелями для захисту даних в незахищених мережах.

Коротка історія IPSec

Коли інтернет-протокол був розроблений ще на початку 80-х років, безпека не була високою в іншому списку пріоритетів. Однак, оскільки число користувачів Інтернету продовжувало зростати, необхідність більшої безпеки стала очевидною.

Щоб задовольнити цю потребу, NSA (Агентство національної безпеки) почало фінансувати розробку протоколів безпеки ще в середині 80-х років в рамках програми Secure Data Network Systems (SDNS). Це призвело до розробки протоколу безпеки на рівні 3 (SP3) і, в кінцевому підсумку, протоколу безпеки мережевого рівня (NLSP). Ще кілька інженерів працювали над цим проектом у 90-х роках, і IPSec виросла з цих зусиль. IPSec тепер є стандартом з відкритим вихідним кодом як частина пакета IPv4.

Як працює IPSec

Коли два комп'ютери хочуть встановити VPN-з'єднання, необхідно створити кілька речей для створення зашифрованого тунелю. Вони повинні узгодити набір протоколів безпеки та алгоритмів шифрування і обмінюватися криптографічними ключами, щоб розблокувати і переглядати зашифровані дані.

Ось де IPSec входить в картину. IPSec працює з VPN-тунелями для встановлення приватного двостороннього з'єднання між пристроями. IPSec не є єдиним протоколом; швидше це повний набір протоколів і стандартів, які працюють разом, щоб забезпечити конфіденційність, цілісність і автентифікацію інтернет-пакетів даних, що проходять через VPN-тунель.

Ось як IPSec створює безпечний VPN-тунель:

• Він автентифікує дані для забезпечення цілісності пакета даних при передачі.
• Він шифрує інтернет-трафік через VPN-тунелі, тому дані не можуть бути переглянуті.
• Він захищає від атак відтворення даних, які можуть призвести до несанкціонованого входу в систему.
• Це забезпечує безпечний обмін криптографічними ключами між комп'ютерами.
• Він пропонує два режими безпеки: тунель і транспорт.

VPN IPSec захищає дані, що передаються від хосту до хосту, від мережі до мережі, від хосту до мережі і від шлюзу до шлюзу (так званий тунельний режим, коли весь IP-пакет зашифрований і автентифікований).

Протоколи IPSec і допоміжні компоненти

Стандарт IPSec можна розбити на основні протоколи і підтримуючі компоненти. Ось подивіться на кожного.

Основні протоколи IPSec

• Заголовок автентифікації IPSec (AH): цей протокол використовується для захисту IP-адрес комп'ютерів, що беруть участь в обміні даними. Це гарантує, що біти даних не будуть втрачені, змінені або пошкоджені під час передачі. AH також перевіряє, що особа, яка відправила дані, дійсно відправила їх, захищаючи тунель від проникнення сторонніх користувачів.
• Encapsulation Security Payload (ESP): Протокол ESP забезпечує частину шифрування IPSec, яка забезпечує конфіденційність трафіку даних між пристроями. ESP шифрує пакети даних/корисне навантаження і автентифікує корисне навантаження і його джерело в наборі протоколів IPSec. Цей протокол ефективно скремблює інтернет-трафік, тому будь-хто, хто дивиться на тунель, не бачить, що там.

ESP може використовуватися як для шифрування, так і для автентифікації даних, тоді як AH може використовуватися тільки для автентифікації даних.

Компоненти IPsec

• Асоціації безпеки (SA): Асоціації безпеки і політики використовуються для встановлення різних «контрактів» безпеки, що використовуються при обміні. Ці контракти можуть визначати тип використовуваних алгоритмів шифрування та хешування. Ці політики часто бувають гнучкими, дозволяючи пристроям вирішувати, як вони хочуть щось робити.
• Обмін ключами в Інтернеті (IKE). Щоб шифрування працювало, комп'ютери, які беруть участь у приватному обміні даними, повинні спільно використовувати ключі шифрування. IKE дозволяє двом комп'ютерам безпечно обмінюватися і спільно використовувати криптографічні ключі при встановленні VPN-з'єднання.
• Алгоритми шифрування і хешування: криптографічний ключ працює з використанням хеш-значення, яке генерується з використанням хеш-алгоритму. AH і ESP є спільними в тому, що вони не вказують конкретний тип шифрування. Однак IPsec часто використовує Message Digest 5 (MD5) або Secure Hash Algorithm 1 (SHA-1) для шифрування.
• Захист від повторного відтворення: IPSec також включає стандарти для запобігання відтворення будь-яких пакетів даних, які є частиною успішного процесу входу в систему. Це не дозволяє хакерам використовувати відтворену інформацію для реплікації імені входу.

IPSec використовується як самостійне рішення для протоколу VPN або як протокол шифрування в L2TP і IKEv2.

Режими тунелювання: тунель і транспорт

IPSec має можливість відправляти дані, використовуючи тунель або транспортний режим. Ці режими тісно пов'язані з типом протоколів, що використовуються, AH або ESP.

• Тунельний режим: у тунельному режимі весь пакет захищено. IPSec запаковує пакет даних у новий пакет, шифрує його і додає новий заголовок IP. Він зазвичай використовується в налаштуваннях VPN типу «мережа-мережа».
• Транспортний режим: у транспортному режимі оригінальний заголовок IP залишається і не шифрується. Тільки корисне навантаження і трейлер ESP зашифровані. Транспортний режим часто використовується в налаштуваннях VPN «клієнт-сайт».

Що стосується VPN, то найбільш поширеною конфігурацією IPSec, яку ви бачите, є ESP з автентифікацією в тунельному режимі. Це дозволяє інтернет-трафіку безпечно і анонімно переміщатися всередині VPN-тунелю по незахищених мережах.