Hvad er IPsec og hvad gør det for en VPN?

Internet Engineering Task Force (IETF) udviklede IPsec som reaktion på sikkerhedssvaghederne i Internet Protocol (IPv4). Det var ikke en udfordrende opgave for nogen at aflytte data på internettet, der blev leveret over IPv4. Derfor kom IPsec i spil. IPsec adresserer sikkerhedsmanglerne i IPv4 ved at bruge et sæt af sikkerhedsprotokoller for at sikre, at kommunikation over internettet er sikker.

Opererer på netværkslaget i Open Systems Interconnection (OSI)-modellen, kan du bruge IPsec til at kommunikere sikkert mellem netværk og værter. Som et resultat forekommer IPsec-implementeringer i vært-til-vært, netværk-til-vært og netværk-til-netværk kommunikationer. 

IPsec er populært i enhver industri, der kræver ende-til-ende sikkerhed mellem to endepunkter, især VPN-industrien. Blandt andre protokoller bruger VPN’er IPsec til at sikre data under overførsel, da det giver dataintegritet, fortrolighed og autentifikation. Denne artikel fokuserer på at forstå IPsec og hvorfor VPN’er er afhængige af det til at beskytte deres forbrugeres internettrafik.

Hvad er IPsec?

Internet Protocol Security (IPsec) er en protokolsuite eller en gruppe af protokoller, der arbejder sammen om at oprette en sikker forbindelse mellem computere over internettet. IPsec leverer krypterede forbindelser, hvilket forhindrer tredjeparter i at se indholdet af kommunikationen mellem de involverede computere. Udover kryptering tilbyder IPsec også en mekanisme til at autentificere datapakker for at være sikker på, at de kommer fra den rigtige kilde. Lad os se på de standard sikkerhedsfunktioner, som IPsec tilbyder nedenfor.

1. Autentificering: Ved at autentificere data i begge ender af forbindelsen sikrer IPsec, at endepunkterne er troværdige, før dataoverførslen begynder. 

2. Fortrolighed: Ved at tilbyde ende-til-ende datakryptering sikrer IPsec, at ondsindede enheder ikke kan infiltrere netværket, stjæle data eller aflytte netværket. 

3. Integritet: IPsec bruger hashing til at tjekke dataintegritet, hvilket sikrer, at det opfanger ændrede data. 

4. Anti-replay: Ved brug af sekvensnumre sikrer IPsec, at ondsindede aktører ikke kan replikere datapakker for at infiltrere netværket. 

Du kan bruge IPsec mellem to værter (vært-til-vært), mellem to netværk/gateways (netværk-til-netværk) eller mellem en vært og et netværk (netværk-til-vært). Derudover vil du finde implementeringen af IPsec i sikkerhedsdomæner såsom Virtuelle Private Netværk (VPN’er), routing sikkerhed og sikkerhed på applikationsniveau. IPsec alene er måske ikke effektivt nok til højniveau sikkerhed, hvilket er grunden til, at det i nogle tilfælde implementeres sammen med andre protokoller. 

IPSec Protokoller

Der er tre protokoller, der er en del af IPsec-suiten. Disse protokoller arbejder sammen for at tilbyde dataautentifikation, integritet, fortrolighed og anti-genafspilning. Lad os se på dem nedenfor. 

1. Godkendelseshoved (AH)

Authentication Headerens hovedopgave er at autentificere IP-datapakker. Ved at bruge hashfunktioner og en hemmelig nøgle validerer den hver pakke fra hver ende af VPN-tunnelen. Dette forhindrer ondsindede enheder i at ændre data og udgive det for at være ægte. AH tilbyder autentifikation, integritet og beskyttelse mod replay-angreb. Den tilbyder dog ikke nogen form for kryptering.

2. Encapsulating Security Payload (ESP)

Encapsulating Security Payloads hovedopgave er at kryptere datapakker. Afhængigt af IPsec-tilstanden krypterer den kun nyttelasten eller både nyttelasten og IP-headeren. Transporttilstand tillader kun ESP at kryptere transportlagsegmentet og nyttelasten, hvilket efterlader IP-headeren ukrypteret. På den anden side krypterer ESP i tunneltilstand IP-headeren sammen med transportlagsegmentet og nyttelasten. ESP tilbyder autentifikation, integritet, fortrolighed og beskyttelse mod replay-angreb. 

3. Sikkerhedsassociation (SA)

IPSec bruger sikkerhedsassociationer til at etablere sikkerhedsprotokoller, som endepunkterne bruger til at forhandle krypteringsalgoritmer og nøgler. I simple termer er en sikkerhedsassociation bare en måde for de to endepunkter at blive enige om parametre, der vil etablere og holde IPsec-tunnelen sikker.

Sikkerhedsassociationer i IPsec kræver tre ting: et Sikkerhedsparameterindeks (SPI), destinations-IP-adressen og IPsec-protokollen (AH eller ESP). SAs fungerer i én retning; derfor har du brug for to SAs (udgående og indgående) for hvert slutpunkt. IPsec bruger Internet Security Association and Key Management Protocol (ISAKMP) til at etablere SAs.

Hvordan Fungerer IPsec?

Nedenfor ser vi på, hvordan IPsec etablerer en sikker forbindelse mellem to endepunkter og beskytter data fra dets oprindelse til destination. 

1. Nøgleudveksling

Internet Key Exchange-protokollen (IKE) håndterer forhandlingen af nøgler og algoritmer, som begge endepunkter vil bruge. Som et resultat er det en vital proces i brugen af IPsec til at etablere en sikker og pålidelig forbindelse. IKEv1 har to faser: IKE fase 1 og IKE fase 2. 

Formålet med IKE fase 1 er, at endepunkterne udveksler forslag om, hvordan de skal autentificere og sikre forbindelsen mellem dem. De udveksler forslag til sikkerhedsparametre såsom krypteringsalgoritmer, autentificeringsalgoritmer, Diffie-Hellman (DH) gruppe og foruddefinerede nøgler eller RSA/DSA certifikater. Som resultat, ved slutningen af denne fase, bør der mindst være etableret en enkelt bi-direktionel ISAKMP SA mellem parterne. Du kan bruge fase 1 i enten Hovedtilstand (i alt seks beskeder mellem endepunkter) eller Aggressiv Tilstand (i alt tre beskeder mellem endepunkter). 

IKE fase 2 begynder, efter at endepunkterne eller peerne har etableret en sikker forbindelse. I denne fase forhandler endepunkterne SAs, der vil holde data, som passerer gennem IPsec-tunnelen, sikre. En sikkerhedsprotokol (ESP eller AH), krypteringsalgoritmer og autentificeringsalgoritmer forhandles i denne fase. Derudover kan en Diffie-Hellman (DH) gruppe og Perfect Forward Secrecy også være en del af forslaget. 

IKEv2, den opdaterede version af IKEv1, har ikke en fase 1 eller fase 2. Dog udveksler endepunkterne fire beskeder for at forhandle sikkerhedsparametre for IPsec-tunnelen. VPN’er foretrækker at bruge IKEv2, fordi det er lettere at konfigurere og mere sikkert.

2. Pakkehoveder og -slutninger

Efter endepunkterne er blevet enige om sikkerhedsparametre, kan de nu sende data til hinanden. Først skal IP-pakker kapsles ind. Afhængigt af om du bruger tunnel- eller transporttilstand, tilføjer IPsec de nødvendige header(s) og trailer(s) til hver pakke, der skal transporteres. 

3. Autentifikation og Kryptering

IPsec anvender autentifikation og kryptering ved hjælp af AH og ESP. AH tilbyder ikke kryptering, men autentificerer datapakker. På den anden side tilbyder ESP både kryptering og autentifikation. 

4. Transmission

IP-pakker kan nu bevæge sig gennem IPsec-forbindelsen til endepunkterne med hjælp fra et transportprotokol (helst UDP).

5. Dekryptering

Dekryptering sker i modtagerenden af forbindelsen. Når data er dekrypteret, flyttes det til den applikation, der har brug for det. 

IPsec Transporttilstand Vs. Tunneltilstand

IPsec har to driftsformer: Tunnel og Transport. Lad os se på, hvad der gør hver af dem forskellig fra den anden nedenfor. 

Transportform

En IPsec-kreds, der fungerer i transporttilstand, er normalt en direkte forbindelse mellem to værter. Endepunkterne krypterer eller autentificerer ikke hele IP-pakken i transporttilstand, kun nyttelasten. Da IP-headeren ikke ændres eller indkapsles, kan tredjepartsenheder uden for de to endepunkter se destinationen og oprindelsen af pakkerne. 

Tunneltilstand

En IPsec-kreds, der fungerer i tunneltilstand, er normalt mellem to gateways (netværk-til-netværk kommunikation): to routere eller en router og en firewall. Dog kan du bruge den til vært-til-vært og vært-til-netværk kommunikation. I denne tilstand er det ikke kun nyttelasten, der er krypteret; hele IP-pakken er krypteret og autentificeret. VPN’er bruger IPsec tunneltilstand, fordi det sikrer hele netværket ved hjælp af ende-til-ende kryptering og ikke kun de data, der passerer igennem det. 

IPsec i en VPN

Da en VPN giver en måde, hvorpå du sikkert kan kommunikere over internettet, er det kun rimeligt, at IPsec er en af de protokoller, som VPN’er bruger. Når VPN’er bruger IPsec, bruger de normalt ESP i tunneltilstand på grund af den ende-til-ende-kryptering, som den tilbyder. I nogle tilfælde vil du se enten IKEv2/IPsec eller IKEv2 som VPN-protokoller, du kan bruge. De betyder begge det samme, da IKEv2 bruger IPsec-tunneltilstand til at etablere en sikker forbindelse. 

Derudover kombinerer VPN’er mindre sikre protokoller som L2TP med IPsec for at sikre sikre forbindelser. Det er grunden til, at du vil se L2TP/IPsec som en mulighed i nogle VPN-applikationer. Nu, lad os se på den grundlæggende måde, IPsec fungerer på, når du klikker på forbindelsesknappen i din VPN-applikation. 

1. Når du klikker på “Forbind”-knappen, begynder IPsec at etablere en sikker forbindelse ved brug af ESP og Tunnel Mode. 

2. Endepunkterne af tunnelen bliver enige om sikkerhedsparametre ved hjælp af Sikkerhedsassociationer (SAs). 

3. Data kan nu bevæge sig fra den ene ende til den anden sikkert, da kryptering og dekryptering finder sted i begge endepunkter. Et endepunkt modtager IP-pakker, krypterer dem og overfører dem til det andet endepunkt. Ved modtagelsen dekrypterer det andet endepunkt IP-pakkerne og sender dem til den nødvendige applikation. 

Det ovenstående er ikke en udførlig forklaring, men det burde give dig en idé om, hvordan IPsec fungerer i en VPN. 

Konklusion

IPsec er vigtigt, hvis du har brug for datafortrolighed, integritet og autentifikation mellem to endepunkter. De fleste VPN’er inkluderer IPsec (IKEv2/IPsec eller L2TP/IPsec) som en del af de sikre VPN-protokoller, de tilbyder. Vi håber, at denne artikel hjælper dig med at forstå IPsec og hvordan det er en vigtig protokolsuite, som VPN’er bruger til at sikre kommunikation på internettet.