logo

TechCodeview

Bezpieczeństwo IP (IPSec)

Warunek wstępny: Rodzaje protokołów internetowych

IP Sec (Internet Protocol Security) to standardowy zestaw protokołów opracowany przez Internet Engineering Task Force (IETF) pomiędzy dwoma punktami komunikacyjnymi w sieci IP, który zapewnia uwierzytelnianie, integralność i poufność danych. Definiuje także zaszyfrowane, odszyfrowane i uwierzytelnione pakiety. Zdefiniowano w nim protokoły potrzebne do bezpiecznej wymiany kluczy i zarządzania kluczami.



Zastosowania zabezpieczeń IP

Protokołu IPsec można używać do następujących celów:

  • Do szyfrowania danych warstwy aplikacji.
  • Aby zapewnić bezpieczeństwo routerów wysyłających dane o routingu w publicznym Internecie.
  • Aby zapewnić uwierzytelnianie bez szyfrowania, na przykład potwierdź, że dane pochodzą od znanego nadawcy.
  • Aby chronić dane sieciowe, konfigurując obwody wykorzystujące tunelowanie IPsec, w którym wszystkie dane przesyłane między dwoma punktami końcowymi są szyfrowane, tak jak w przypadku połączenia wirtualnej sieci prywatnej (VPN).

Składniki bezpieczeństwa IP

Posiada następujące komponenty:

  1. Hermetyzujący ładunek zabezpieczający (ESP)
  2. Nagłówek uwierzytelniania (AH)
  3. Internetowa wymiana kluczy (IKE)

1. Enkapsulujący ładunek bezpieczeństwa (ESP): Zapewnia integralność danych, szyfrowanie, uwierzytelnianie i ochronę przed powtarzaniem. Zapewnia również uwierzytelnianie ładunku.



2. Nagłówek uwierzytelniający (AH): Zapewnia także integralność danych, uwierzytelnianie i funkcję zapobiegania powtarzaniu, ale nie zapewnia szyfrowania. Zabezpieczenie anti-replay chroni przed nieautoryzowaną transmisją pakietów. Nie chroni poufności danych.

Nagłówek IP

Nagłówek IP

3. Internetowa wymiana kluczy (IKE): Jest to protokół bezpieczeństwa sieci przeznaczony do dynamicznej wymiany kluczy szyfrujących i znajdowania sposobu na skojarzenie zabezpieczeń (SA) między 2 urządzeniami. Stowarzyszenie zabezpieczeń (SA) ustanawia wspólne atrybuty bezpieczeństwa pomiędzy 2 jednostkami sieciowymi w celu obsługi bezpiecznej komunikacji. Protokół zarządzania kluczami (ISAKMP) i stowarzyszenie Internet Security zapewniają strukturę uwierzytelniania i wymiany kluczy. ISAKMP informuje, w jaki sposób konfiguracja skojarzeń zabezpieczeń (SA) i w jaki sposób bezpośrednie połączenia między dwoma hostami korzystają z protokołu IPsec. Internet Key Exchange (IKE) zapewnia ochronę treści wiadomości, a także otwartą ramkę do implementacji standardowych algorytmów, takich jak SHA i MD5. Użytkownicy IP sec algorytmu tworzą unikalny identyfikator dla każdego pakietu. Identyfikator ten pozwala następnie urządzeniu określić, czy pakiet był poprawny, czy nie. Pakiety nieautoryzowane są odrzucane i nie przekazywane do odbiorcy.



Pakiet w protokole internetowym

Pakiety w protokole internetowym

Architektura bezpieczeństwa IP

Architektura IPSec (IP Security) wykorzystuje dwa protokoły do ​​zabezpieczenia ruchu lub przepływu danych. Te protokoły to ESP (ładunek zabezpieczający enkapsulację) i AH (nagłówek uwierzytelniający). Architektura IPSec obejmuje protokoły, algorytmy, DOI i zarządzanie kluczami. Wszystkie te elementy są bardzo ważne, aby zapewnić trzy główne usługi:

  • Poufność
  • Autentyczność
  • Uczciwość
Architektura bezpieczeństwa IP

Architektura bezpieczeństwa IP

Praca nad bezpieczeństwem IP

  • Host sprawdza, czy pakiet powinien być przesyłany przy użyciu protokołu IPsec, czy nie. Ten ruch pakietowy sam uruchamia politykę bezpieczeństwa. Dzieje się tak, gdy system wysyłający pakiet zastosuje odpowiednie szyfrowanie. Przychodzące pakiety są również sprawdzane przez hosta, czy są prawidłowo zaszyfrowane.
  • Następnie rozpoczyna się faza IKE 1, w której 2 hosty (przy użyciu protokołu IPsec) uwierzytelniają się między sobą, aby uruchomić bezpieczny kanał. Posiada 2 tryby. Tryb główny zapewnia większe bezpieczeństwo, a tryb agresywny umożliwia hostowi szybsze ustanowienie obwodu IPsec.
  • Kanał utworzony w ostatnim kroku jest następnie używany do bezpiecznego negocjowania sposobu, w jaki obwód IP będzie szyfrować dane w obwodzie IP.
  • Teraz faza 2 IKE jest prowadzona za pośrednictwem bezpiecznego kanału, w którym oba hosty negocjują typ algorytmów kryptograficznych, które mają być używane w sesji, i uzgadniają tajny materiał kluczowy, który będzie używany z tymi algorytmami.
  • Następnie dane są wymieniane poprzez nowo utworzony szyfrowany tunel IPsec. Pakiety te są szyfrowane i deszyfrowane przez hosty przy użyciu certyfikatów IPsec SA.
  • Po zakończeniu komunikacji między hostami lub upływie limitu czasu sesji tunel IPsec zostaje zakończony poprzez odrzucenie kluczy przez oba hosty.

Funkcje protokołu IPSec

  1. Uwierzytelnianie: IPSec zapewnia uwierzytelnianie pakietów IP przy użyciu podpisów cyfrowych lub współdzielonych sekretów. Dzięki temu można mieć pewność, że pakiety nie zostaną naruszone ani sfałszowane.
  2. Poufność: IPSec zapewnia poufność poprzez szyfrowanie pakietów IP, zapobiegając podsłuchiwaniu ruchu sieciowego.
  3. Uczciwość: IPSec zapewnia integralność, zapewniając, że pakiety IP nie zostały zmodyfikowane ani uszkodzone podczas transmisji.
  4. Zarządzanie kluczami: IPSec świadczy usługi zarządzania kluczami, w tym wymianę kluczy i unieważnianie kluczy, aby zapewnić bezpieczne zarządzanie kluczami kryptograficznymi.
  5. Tunelowanie: IPSec obsługuje tunelowanie, umożliwiając enkapsulację pakietów IP w ramach innego protokołu, takiego jak GRE (Generic Routing Encapsulation) lub L2TP (protokół tunelowania warstwy 2).
  6. Elastyczność: Protokół IPSec można skonfigurować tak, aby zapewniał bezpieczeństwo szerokiego zakresu topologii sieci, w tym połączeń punkt-punkt, lokacja-lokacja i dostępu zdalnego.
  7. Interoperacyjność: IPSec jest protokołem o otwartym standardzie, co oznacza, że ​​jest obsługiwany przez wielu dostawców i może być używany w środowiskach heterogenicznych.

Zalety protokołu IPSec

  1. Silne bezpieczeństwo: IPSec zapewnia silne usługi bezpieczeństwa kryptograficznego, które pomagają chronić wrażliwe dane oraz zapewniają prywatność i integralność sieci.
  2. Szeroka kompatybilność: IPSec to otwarty standard protokołu, który jest szeroko obsługiwany przez dostawców i może być używany w środowiskach heterogenicznych.
  3. Elastyczność: Protokół IPSec można skonfigurować tak, aby zapewniał bezpieczeństwo szerokiego zakresu topologii sieci, w tym połączeń punkt-punkt, lokacja-lokacja i dostępu zdalnego.
  4. Skalowalność: Protokół IPSec można stosować do zabezpieczania sieci o dużej skali i można go skalować w górę lub w dół w zależności od potrzeb.
  5. Poprawiona wydajność sieci: Protokół IPSec może pomóc w poprawie wydajności sieci poprzez zmniejszenie jej przeciążenia i poprawę wydajności sieci.

Wady protokołu IPSec

  1. Złożoność konfiguracji: Konfiguracja protokołu IPSec może być skomplikowana i wymaga specjalistycznej wiedzy i umiejętności.
  2. Problemy ze zgodnością: Protokół IPSec może powodować problemy ze zgodnością z niektórymi urządzeniami sieciowymi i aplikacjami, co może prowadzić do problemów ze współdziałaniem.
  3. Wpływ na wydajność: Protokół IPSec może wpływać na wydajność sieci ze względu na obciążenie związane z szyfrowaniem i deszyfrowaniem pakietów IP.
  4. Zarządzanie kluczami: IPSec wymaga skutecznego zarządzania kluczami, aby zapewnić bezpieczeństwo kluczy kryptograficznych używanych do szyfrowania i uwierzytelniania.
  5. Ograniczona ochrona: Protokół IPSec zapewnia jedynie ochronę ruchu IP, a inne protokoły, takie jak ICMP, DNS i protokoły routingu, mogą w dalszym ciągu być podatne na ataki.