Mikä on IPsec ja mitä se tekee VPN:lle?

Internet Engineering Task Force (IETF) kehitti IPsecin vastauksena Internet-protokollan (IPv4) turvallisuuspuutteisiin. Kelle tahansa ei ollut haastavaa tehtävää siepata tietoja internetissä, jotka välitettiin IPv4:n yli. Siksi IPsec otettiin käyttöön. IPsec puuttuu IPv4:n turvallisuuspuutteisiin käyttämällä joukkoa turvallisuusprotokollia varmistaakseen, että internetin yli tapahtuvat viestinnät ovat turvallisia. 

Toimien Open Systems Interconnection (OSI) -mallin verkkokerroksessa, voit käyttää IPseciä turvalliseen viestintään verkkojen ja isäntien välillä. Tämän seurauksena IPsec-toteutukset tapahtuvat isännästä isäntään, verkolta isännälle ja verkolta verkolle -viestinnässä.

IPsec on suosittu kaikilla aloilla, jotka vaativat päästä päähän -turvallisuutta kahden päätelaitteen välillä, erityisesti VPN-alalla. Muiden protokollien joukossa VPN:t käyttävät IPseciä turvaamaan siirrossa olevat tiedot, sillä se tarjoaa datan eheyden, luottamuksellisuuden ja autentikoinnin. Tämä teksti keskittyy ymmärtämään IPseciä ja siihen, miksi VPN:t luottavat siihen suojatakseen kuluttajiensa internet-liikennettä. 

## Mikä on IPsec?

Internet Protocol Security (IPsec) on protokollakokonaisuus tai joukko protokollia, jotka toimivat yhdessä luodakseen turvallisen yhteyden tietokoneiden välille internetin yli. IPsec tarjoaa salatut yhteydet, estäen kolmansia osapuolia näkemästä tietokoneiden välisen viestinnän sisältöä. Salauksen lisäksi IPsec tarjoaa myös mekanismin datan pakettien autentikointiin varmistaakseen, että ne tulevat oikeasta lähteestä. Katsotaanpa alla IPsecin tarjoamia standarditurvaominaisuuksia. 

1. Autentikointi: Autentikoimalla tiedot yhteyden molemmissa päissä, IPsec varmistaa, että päätepisteet ovat luotettavia ennen datan siirron aloittamista. 

2. Luottamuksellisuus: Tarjoamalla päästä päähän -tietojen salauksen, IPsec varmistaa, että pahantahtoiset tahot eivät voi tunkeutua verkkoon, varastaa tietoja tai salakuunnella verkkoa. 

3. Eheys: IPsec käyttää tiivistefunktioita datan eheyden tarkistamiseen, varmistaen, että se havaitsee muutetun datan. 

4. Anti-replay: Käyttäen sekvenssinumeroita, IPsec varmistaa, että haitalliset toimijat eivät voi kopioida datapaketteja tunkeutuakseen verkkoon. 

Voit käyttää IPsec-protokollaa kahden isännän välillä (isäntä-isäntä), kahden verkon/porttien välillä (verkko-verkkoon) tai isännän ja verkon välillä (verkko-isäntä). Lisäksi löydät IPsecin toteutuksen turvallisuusalueilta, kuten virtuaaliset yksityisverkot (VPN:t), reititysturvallisuus ja sovellustason turvallisuus. Pelkkä IPsec ei välttämättä ole tarpeeksi tehokas korkean tason turvallisuuden saavuttamiseksi, minkä vuoksi sitä käytetään joissakin tapauksissa yhdessä muiden protokollien kanssa. 

## IPSec-protokollat

IPsec-sarjaan kuuluu kolme protokollaa. Nämä protokollat toimivat yhdessä tarjoten datan autentikoinnin, eheyden, luottamuksellisuuden ja uudelleentoistamisen eston. Katsotaan niitä alla.

### 1. Autentikointiotsikko (AH)

Authentication Headerin päätehtävä on IP-datapakettien autentikointi. Käyttäen hajautusfunktioita ja salaisen avaimen, se validoii jokaisen paketin VPN-tunnelin kummastakin päästä. Tämä estää pahantahtoisia tahoja muokkaamasta dataa ja esittämästä sitä aitona. AH tarjoaa autentikoinnin, eheyden ja uudelleentoistamisen eston. Se ei tarjoa minkäänlaista salausta. 

### 2. Encapsulating Security Payload (ESP)

Encapsulating Security Payloadin päätehtävä on salata datapaketteja. Riippuen IPsec-tilasta, se salaa vain kuorman tai sekä kuorman että IP-otsikon. Kuljetustilassa ESP saa salata vain kuljetuskerroksen segmentin ja kuorman, jättäen IP-otsikon salaamatta. Toisaalta, tunnelitilassa ESP salaa IP-otsikon sekä kuljetuskerroksen segmentin että kuorman. ESP tarjoaa autentikoinnin, eheyden, luottamuksellisuuden ja uudelleentoistosuojan. 

### 3. Turvayhteys (SA)

IPSec käyttää turvayhteyksiä turvaprotokollien perustamiseen, joita päätelaitteet käyttävät salausalgoritmien ja avainten neuvotteluun. Yksinkertaisesti sanottuna turvayhteys on vain tapa, jolla kaksi päätelaitetta sopii parametreista, jotka perustavat ja pitävät IPsec-tunnelin turvallisena.

IPsecin turvallisuusyhteydet vaativat kolme asiaa: turvaparametri-indeksin (SPI), kohde-IP-osoitteen ja IPsec-protokollan (AH tai ESP). SA:t toimivat yhteen suuntaan; siksi tarvitset kaksi SA:ta (lähtevän ja saapuvan) kullekin päätelaitteelle. IPsec käyttää Internet Security Association and Key Management Protocol (ISAKMP) -protokollaa SA:iden muodostamiseen.

## Miten IPsec toimii?

Alla tarkastelemme, miten IPsec luo turvallisen yhteyden kahden päätepisteen välille ja suojaa tiedot niiden alkuperästä määränpäähän. 

### 1. Avainvaihto

Internet Key Exchange -protokolla (IKE) käsittelee avainten ja algoritmien neuvottelun, joita molemmat päätteet käyttävät. Tämän seurauksena se on olennainen prosessi IPsecin käytössä turvallisen ja luotettavan yhteyden muodostamiseksi. IKEv1:ssä on kaksi vaihetta: IKE-vaihe 1 ja IKE-vaihe 2.

IKE-vaiheen 1 tarkoitus on, että päätelaitteet vaihtavat ehdotuksia siitä, miten ne voivat todentaa ja suojata yhteyden niiden välillä. Ne vaihtavat ehdotuksia turvaparametreista, kuten salausalgoritmeista, todennusalgoritmeista, Diffie-Hellman (DH) -ryhmästä ja ennalta jaetuista avaimista tai RSA/DSA-sertifikaateista. Tuloksena tämän vaiheen lopussa pitäisi olla vähintään yksi kaksisuuntainen ISAKMP SA perustettuna vertaisten välille. Voit käyttää vaihetta 1 joko Päätilassa (yhteensä kuusi viestiä päätelaitteiden välillä) tai Aggressiivisessa tilassa (yhteensä kolme viestiä päätelaitteiden välillä).

IKE-vaihe 2 alkaa sen jälkeen, kun päätelaitteet tai vertaiset ovat muodostaneet turvallisen yhteyden. Tässä vaiheessa päätelaitteet neuvottelevat SA:ta (Security Associations), jotka pitävät IPsec-tunnelin kautta kulkevan datan turvassa. Tässä vaiheessa neuvotellaan turvaprotokolla (ESP tai AH), salausalgoritmit ja todennusalgoritmit. Lisäksi ehdotukseen voi kuulua myös Diffie-Hellman (DH) -ryhmä ja täydellinen eteenpäin salaus (Perfect Forward Secrecy).

IKEv2, IKEv1:n päivitetty versio, ei sisällä vaihetta 1 tai vaihetta 2. Sen sijaan päätelaitteet vaihtavat neljä viestiä neuvotellakseen turvaparametreja IPsec-tunnelia varten. VPN:t suosivat IKEv2:n käyttöä, koska se on helpompi konfiguroida ja turvallisempi.

### 2. Pakettien otsikot ja lopputiedot

Kun päätelaitteet ovat sopineet turvaparametreista, ne voivat nyt lähettää tietoa toisilleen. Ensiksi, IP-paketit on kapseloitava. Riippuen siitä, käytätkö tunneli- vai kuljetustilaa, IPsec lisää tarvittavat otsikot ja peräosat jokaiseen pakettiin, joka tarvitsee kuljetusta. 

### 3. Autentikointi ja salaus

IPsec soveltaa autentikointia ja salakirjoitusta käyttäen AH:ta ja ESP:tä. AH ei tarjoa salakirjoitusta, mutta autentikoi datapaketteja. Toisaalta, ESP tarjoaa sekä salakirjoituksen että autentikoinnin. 

### 4. Lähetys

IP-paketit voivat nyt liikkua IPsec-yhteyden kautta päätepisteisiin kuljetusprotokollan (mieluiten UDP) avulla.

### 5. Salauksen purku

Salaus puretaan yhteyden vastaanottopäässä. Puretun datan siirtyy sitten sovellukseen, joka sitä tarvitsee. 

## IPsec Transport Mode Vs. Tunnel Mode

IPsec:llä on kaksi toimintatilaa: Tunneli ja Kuljetus. Katsotaan, mikä tekee kummastakin erilaisen alla. 

### Kuljetustila

IPsec-yhteys, joka toimii kuljetustilassa, on yleensä suora yhteys kahden isännän välillä. Päätepisteet eivät salaa tai todenna koko IP-pakettia kuljetustilassa, ainoastaan kuorman. Koska IP-otsikkoa ei muuteta tai kapseloida, kolmannen osapuolen laitteet kahden päätepisteen ulkopuolella voivat nähdä pakettien määränpään ja lähteen. 

### Tunnelitila

IPsec-yhteys tunnelitilassa toimii yleensä kahden yhdyskäytävän välillä (verkosta verkkoon -viestintä): kahden reitittimen tai reitittimen ja palomuurin välillä. Voit kuitenkin käyttää sitä myös isäntä-isäntä- ja isäntä-verkko-viestintään. Tässä tilassa ei vain kuormaa salata; koko IP-paketti salataan ja todennetaan. VPN:t käyttävät IPsec-tunnelitilaa, koska se turvaa koko verkon päästä päähän -salauksella eikä vain sen läpi kulkevia tietoja.

## IPsec VPN:ssä

Koska VPN tarjoaa tavan, jolla voit kommunikoida turvallisesti internetin välityksellä, on vain järkevää, että IPsec on yksi protokollista, joita VPN:t käyttävät. Kun VPN:t käyttävät IPseciä, ne käyttävät yleensä ESP:tä tunnelitilassa sen tarjoaman päästä päähän -salauksen vuoksi. Joissakin tapauksissa saatat nähdä joko IKEv2/IPsecin tai IKEv2:n VPN-protokollina, joita voit käyttää. Molemmat tarkoittavat samaa, sillä IKEv2 käyttää IPsecin tunnelitilaa turvallisen yhteyden muodostamiseen.

Lisäksi VPN:t yhdistävät vähemmän turvallisia protokollia, kuten L2TP:tä IPsecin kanssa, varmistaakseen turvalliset yhteydet. Siksi näet L2TP/IPsecin vaihtoehtona joissakin VPN-sovelluksissa. Katsotaan nyt, miten IPsec toimii perustavanlaatuisesti, kun klikkaat yhdistä-painiketta VPN-sovelluksessasi.

1. Kun napsautat ”Yhdistä”-painiketta, IPsec alkaa muodostaa turvallisen yhteyden käyttäen ESP:tä ja Tunnel Modea. 

2. Tunnelin päätepisteet sopivat turvaparametreista käyttäen turva-assosiaatioita (SAs). 

3. Tiedot voivat nyt liikkua päästä päähän turvallisesti, koska salaus ja purku tapahtuvat molemmissa päissä. Toinen päätepiste vastaanottaa IP-paketteja, salaa ne ja siirtää ne toiselle päätepisteelle. Vastaanottavassa päässä toinen päätepiste purkaa IP-pakettien salauksen ja lähettää ne tarvittavalle sovellukselle.

Yllä oleva ei ole perusteellinen selitys, mutta sen pitäisi antaa sinulle käsitys siitä, miten IPsec toimii VPN:ssä. 

## Yhteenveto

IPsec on tärkeä, jos tarvitset tietojen luottamuksellisuutta, eheyttä ja aitentikointia kahden päätepisteen välillä. Useimmat VPN:t sisältävät IPsecin (IKEv2/IPsec tai L2TP/IPsec) osana turvallisia VPN-protokollia, joita ne tarjoavat. Toivomme, että tämä artikkeli auttaa sinua ymmärtämään IPsecin ja sen, kuinka se on tärkeä protokollakokonaisuus, jota VPN:t käyttävät viestinnän turvaamiseen internetissä.