Cos’è IPsec e cosa fa per una VPN?
L’Internet Engineering Task Force (IETF) ha sviluppato IPsec in risposta alle vulnerabilità di sicurezza del Protocollo Internet (IPv4). Non era un compito difficile per nessuno intercettare dati su internet trasmessi tramite IPv4. Pertanto, è entrato in gioco IPsec. IPsec affronta le carenze di sicurezza di IPv4 utilizzando un insieme di protocolli di sicurezza per garantire che le comunicazioni su internet siano sicure.
Operando al livello di rete del modello di Interconnessione di Sistemi Aperti (OSI), puoi utilizzare IPsec per comunicare in modo sicuro tra reti e host. Di conseguenza, le implementazioni di IPsec avvengono nelle comunicazioni host-to-host, network-to-host e network-to-network.
IPsec è popolare in ogni settore che richiede sicurezza end-to-end tra due endpoint, specialmente nell’industria delle VPN. Tra gli altri protocolli, le VPN utilizzano IPsec per proteggere i dati in transito poiché garantisce integrità dei dati, riservatezza e autenticazione. Questo articolo si concentra sulla comprensione di IPsec e sul motivo per cui le VPN si affidano ad esso per proteggere il traffico internet dei loro consumatori.
Cos’è IPsec?
La sicurezza del protocollo Internet (IPsec) è una suite di protocolli o un gruppo di protocolli che lavorano insieme per stabilire una connessione sicura tra computer attraverso internet. IPsec fornisce connessioni crittografate, impedendo a terze parti di vedere il contenuto della comunicazione tra i computer coinvolti. Oltre alla crittografia, IPsec fornisce anche un meccanismo per autenticare i pacchetti di dati per essere sicuri che provengano dalla fonte giusta. Vediamo di seguito le caratteristiche di sicurezza standard fornite da IPsec.
1. Autenticazione: Autenticando i dati ad entrambe le estremità della connessione, IPsec assicura che i punti finali siano affidabili prima che inizi la trasmissione dei dati.
2. Riservatezza: Fornendo una crittografia dei dati end-to-end, IPsec garantisce che entità malevole non possano infiltrarsi nella rete, rubare dati o intercettare la rete.
3. Integrità: IPsec utilizza l’hashing per controllare l’integrità dei dati, assicurando di intercettare dati alterati.
4. Anti-replay: Utilizzando numeri di sequenza, IPsec assicura che gli attori malevoli non possano replicare pacchetti di dati per infiltrarsi nella rete.
Puoi utilizzare IPsec tra due host (host-to-host), tra due reti/gateway (rete-a-rete), o tra un host e una rete (rete-a-host). Inoltre, troverai l’implementazione di IPsec in domini di sicurezza come le reti private virtuali (VPN), la sicurezza del routing e la sicurezza a livello di applicazione. Da solo, IPsec potrebbe non essere sufficientemente efficace per una sicurezza di alto livello, motivo per cui in alcuni casi viene implementato insieme ad altri protocolli.
Protocolli IPSec
Ci sono tre protocolli che fanno parte della suite IPsec. Questi protocolli lavorano insieme per fornire autenticazione dei dati, integrità, riservatezza e anti-riproduzione. Vediamoli di seguito.
1. Intestazione di Autenticazione (AH)
L’obiettivo principale dell’Intestazione di Autenticazione è autenticare i pacchetti di dati IP. Utilizzando funzioni hash e una chiave segreta, valida ogni pacchetto da entrambe le estremità del tunnel VPN. Ciò impedisce a entità malevole di modificare i dati e di spacciarli per autentici. L’AH fornisce autenticazione, integrità e protezione anti-ripetizione. Non offre alcuna forma di crittografia.
2. Encapsulating Security Payload (ESP)
Il principale compito dell’Encapsulating Security Payload è criptare i pacchetti di dati. A seconda della modalità IPsec, cripta solo il payload o il payload e l’intestazione IP. La modalità di trasporto permette a ESP di criptare solo il segmento del livello di trasporto e il payload, lasciando l’intestazione IP senza criptazione. D’altra parte, ESP in modalità tunnel cripta l’intestazione IP insieme al segmento del livello di trasporto e al payload. L’ESP fornisce autenticazione, integrità, confidenzialità e protezione anti-ripetizione.
3. Associazione di Sicurezza (SA)
IPSec utilizza associazioni di sicurezza per stabilire protocolli di sicurezza che i punti finali usano per negoziare algoritmi di crittografia e chiavi. In termini semplici, un’associazione di sicurezza è semplicemente un modo per i due punti finali di concordare sui parametri che stabiliranno e manterranno sicuro il tunnel IPsec.
Le Associazioni di Sicurezza di IPsec richiedono tre cose: un Indice dei Parametri di Sicurezza (SPI), l’indirizzo IP di destinazione e il protocollo IPsec (AH o ESP). Le SA operano in una singola direzione; quindi, sono necessarie due SA (in entrata e in uscita) per ogni endpoint. IPsec utilizza il protocollo Internet Security Association and Key Management Protocol (ISAKMP) per stabilire le SA.
Come Funziona IPsec?
Di seguito, vediamo come IPsec stabilisce una connessione sicura tra due punti terminali e protegge i dati dalla loro origine alla destinazione.
1. Scambio di Chiavi
Il Protocollo di Scambio Chiavi Internet (IKE) gestisce la negoziazione delle chiavi e degli algoritmi che entrambi gli endpoint utilizzeranno. Di conseguenza, è un processo vitale nell’uso di IPsec per stabilire una connessione sicura e affidabile. IKEv1 ha due fasi: fase 1 di IKE e fase 2 di IKE.
Lo scopo della fase 1 di IKE è quello di permettere agli endpoint di scambiarsi proposte su come autenticare e proteggere la connessione tra di loro. Essi scambiano proposte per parametri di sicurezza come algoritmi di crittografia, algoritmi di autenticazione, gruppo Diffie-Hellman (DH) e chiavi pre-condivise o certificati RSA/DSA. Di conseguenza, al termine di questa fase, dovrebbe essere stabilita almeno una singola SA ISAKMP bidirezionale tra i peer. È possibile utilizzare la fase 1 in Modalità Principale (totale di sei messaggi tra gli endpoint) o in Modalità Aggressiva (totale di tre messaggi tra gli endpoint).
La fase IKE 2 inizia dopo che gli endpoint o i peer hanno stabilito una connessione sicura. In questa fase, gli endpoint negoziano gli SA che manterranno al sicuro i dati che passano attraverso il tunnel IPsec. Un protocollo di sicurezza (ESP o AH), algoritmi di crittografia e algoritmi di autenticazione sono negoziati in questa fase. Inoltre, un gruppo Diffie-Hellman (DH) e la Perfect Forward Secrecy possono anche essere parte della proposta.
IKEv2, la versione aggiornata di IKEv1, non ha una fase 1 o fase 2. Tuttavia, i punti finali scambiano quattro messaggi per negoziare i parametri di sicurezza per il tunnel IPsec. Le VPN preferiscono utilizzare IKEv2 perché è più facile da configurare e più sicuro.
2. Intestazioni e Trailer dei Pacchetti
Dopo che i punti finali hanno concordato sui parametri di sicurezza, possono ora inviarsi dati reciprocamente. Prima di tutto, i pacchetti IP devono essere incapsulati. A seconda che tu stia utilizzando la modalità tunnel o trasporto, IPsec aggiunge l’intestazione(i) e il trailer(i) necessari a ogni pacchetto che deve essere trasportato.
3. Autenticazione e Crittografia
IPsec applica autenticazione e crittografia utilizzando AH e ESP. AH non fornisce crittografia ma autentica i pacchetti di dati. D’altra parte, ESP offre crittografia e autenticazione.
4. Transmission
I pacchetti IP possono ora muoversi attraverso la connessione IPsec verso i punti finali con l’aiuto di un protocollo di trasporto (preferibilmente UDP).
5. Decrittazione
La decrittazione avviene all’estremità ricevente della connessione. Una volta decrittati, i dati vengono inviati all’applicazione che ne ha bisogno.
Modalità Trasporto IPsec Vs. Modalità Tunnel
IPsec ha due modalità di funzionamento: Tunnel e Trasporto. Vediamo cosa rende ognuna diversa dall’altra qui sotto.
Modalità di Trasporto
Un circuito IPsec che opera in modalità trasporto è solitamente una connessione diretta tra due host. Gli endpoint non criptano o autenticano l’intero pacchetto IP in modalità trasporto, solo il payload. Poiché l’intestazione IP non viene modificata o incapsulata, dispositivi terzi esterni ai due endpoint possono vedere la destinazione e l’origine dei pacchetti.
Modalità Tunnel
Un circuito IPsec che opera in modalità tunnel è solitamente tra due gateway (comunicazioni da rete a rete): due router o un router e un firewall. Tuttavia, è possibile utilizzarlo anche per comunicazioni da host a host e da host a rete. In questa modalità, non è solo il payload ad essere criptato; l’intero pacchetto IP è criptato e autenticato. Le VPN utilizzano la modalità tunnel IPsec perché protegge l’intera rete utilizzando la crittografia end-to-end e non solo i dati che vi passano attraverso.
IPsec in una VPN
Poiché una VPN offre un modo per comunicare in modo sicuro su internet, è ragionevole che IPsec sia uno dei protocolli utilizzati dalle VPN. Quando le VPN utilizzano IPsec, di solito usano ESP in modalità tunnel a causa della crittografia end-to-end che fornisce. In alcuni casi, vedrai IKEv2/IPsec o IKEv2 come protocolli VPN che puoi utilizzare. Entrambi significano la stessa cosa poiché IKEv2 utilizza la modalità tunnel IPsec per stabilire una connessione sicura.
Inoltre, le VPN combinano protocolli meno sicuri come L2TP con IPsec per garantire connessioni sicure. È per questo che vedrai L2TP/IPsec come opzione in alcune applicazioni VPN. Ora, vediamo il modo fondamentale in cui IPsec funziona quando fai clic sul pulsante di connessione nella tua applicazione VPN.
1. Una volta che clicchi sul pulsante “Connetti”, IPsec inizia a stabilire una connessione sicura utilizzando ESP e la Modalità Tunnel.
2. Gli estremi del tunnel concordano sui parametri di sicurezza utilizzando le Associazioni di Sicurezza (SAs).
3. I dati possono ora spostarsi da un’estremità all’altra in modo sicuro poiché la crittografia e la decrittografia avvengono in entrambi i punti finali. Un punto finale riceve i pacchetti IP, li crittografa e li trasferisce all’altro punto finale. All’estremità ricevente, l’altro punto finale decritta i pacchetti IP e li invia all’applicazione necessaria.
La spiegazione sopra non è dettagliata, ma dovrebbe darvi un’idea di come funziona IPsec in una VPN.
Conclusione
IPsec è importante se hai bisogno di confidenzialità, integrità e autenticazione dei dati tra due punti finali. La maggior parte delle VPN include IPsec (IKEv2/IPsec o L2TP/IPsec) come parte dei protocolli VPN sicuri che offrono. Speriamo che questo articolo ti aiuti a comprendere IPsec e come sia un importante insieme di protocolli che le VPN utilizzano per proteggere le comunicazioni su internet.