Kva Er IPsec og Kva Gjer Det for ein VPN?

Internet Engineering Task Force (IETF) utvikla IPsec som svar på sikkerheitsproblema til Internet Protocol (IPv4). Det var ikkje ei utfordrande oppgåve for nokon å avlytte data på internett levert over IPv4. Derfor kom IPsec inn i biletet. IPsec adresserer sikkerheitsmanglane til IPv4 ved å bruke eit sett med sikkerheitsprotokollar for å sikre at kommunikasjon over internett er trygg. 

Opererer på nettverkslaget i Open Systems Interconnection (OSI)-modellen, kan du bruke IPsec til å kommunisere trygt mellom nettverk og vertar. Som eit resultat skjer IPsec-implementeringar i vert-til-vert, nettverk-til-vert, og nettverk-til-nettverk-kommunikasjon. 

IPsec er populært i alle industrier som krev ende-til-ende-sikkerheit mellom to endepunkt, særleg VPN-industrien. Blant andre protokollar brukar VPN-ane IPsec til å sikre data under overføring sidan det gir dataintegritet, konfidensialitet og autentisering. Denne teksten fokuserer på å forstå IPsec og kvifor VPN-ane er avhengige av det for å beskytte internett-trafikken til forbrukarane sine. 

Kva er IPsec?

Internet Protocol Security (IPsec) er eit protokollsett eller ei gruppe protokollar som arbeider saman for å setje opp ei sikker tilkopling mellom datamaskiner over internett. IPsec gir krypterte tilkoplingar, som hindrar tredjepartar i å sjå innhaldet i kommunikasjonen mellom dei involverte datamaskinane. I tillegg til kryptering gir IPsec også ein mekanisme for å autentisere datapakkar for å vere sikker på at dei kjem frå rett kjelde. La oss sjå på dei standard sikkerheitsfunksjonane IPsec tilbyr nedanfor. 

1. Autentisering: Ved å autentisere data i begge endar av tilkoplinga, sikrar IPsec at endepunkta er til å stole på før dataoverføringa startar. 

2. Konfidensialitet: Ved å tilby ende-til-ende datakryptering, sikrar IPsec at ondsinna einingar ikkje kan infiltrere nettverket, stjele data, eller avlytte nettverket. 

3. Integritet: IPsec brukar hashing for å sjekke dataintegritet, og sikrar slik at det oppdagar endra data. 

4. Anti-replay: Ved å bruke sekvensnummer, sikrar IPsec at uønskte aktørar ikkje kan kopiere datapakkar for å infiltrere nettverket. 

Du kan bruke IPsec mellom to vertar (vert-til-vert), mellom to nettverk/portar (nettverk-til-nettverk), eller mellom ein vert og eit nettverk (nettverk-til-vert). I tillegg vil du finne implementeringa av IPsec i sikkerheitsdomene som Virtuelle Private Nettverk (VPNar), rutingssikkerheit, og applikasjonsnivåsikkerheit. IPsec åleine er kanskje ikkje effektivt nok for høgnivåsikkerheit, noko som er grunnen til at det i nokre tilfelle blir implementert saman med andre protokollar. 

IPSec-protokollar

Det er tre protokollar som er ein del av IPsec-pakken. Desse protokollane arbeider saman for å tilby dataautentisering, integritet, konfidensialitet og anti-replay. La oss sjå på dei nedanfor. 

1. Autentiseringshovud (AH)

Hovudoppgåva til Autentiseringshovudet er å autentisere IP-datapakkar. Ved å bruke hash-funksjonar og ein hemmeleg nøkkel, validerer det kvar pakke frå kvar ende av VPN-tunnelen. Dette hindrar ondsinna einingar frå å endre data og presentere det som ekte. AH gir autentisering, integritet og beskyttelse mot avspeling. Det tilbyr ikkje nokon form for kryptering.

2. Innkapslande Sikkerheitslast (ESP)

Hovudoppgåva til Encapsulating Security Payload er å kryptere datapakkar. Avhengig av IPsec-modus, krypterer den berre nyttelasten eller både nyttelasten og IP-hovudet. Transportmodus lar berre ESP kryptere transportlagsegmentet og nyttelasten, og let IP-hovudet vere ukryptert. På den andre sida krypterer ESP i tunnelmodus IP-hovudet saman med transportlagsegmentet og nyttelasten. ESP gir autentisering, integritet, konfidensialitet og beskyttelse mot replay-angrep. 

3. Sikkerheitsassosiasjon (SA)

IPSec brukar sikkerheitsassosiasjonar for å etablere sikkerheitsprotokollar som endepunkta brukar til å forhandle om krypteringsalgoritmar og nøklar. I enkle ordelag er ein sikkerheitsassosiasjon berre ein måte for dei to endepunkta å bli einige om parameterar som vil etablere og halde IPsec-tunnelen sikker. 

Sikkerheitsassosiasjonar i IPsec krev tre ting: eit Sikkerheitsparameterindeks (SPI), IP-adressa til mottakaren, og IPsec-protokollen (AH eller ESP). SAs fungerer i éi retning; derfor treng du to SAs (utgåande og innkommande) for kvar endepunkt. IPsec brukar Internet Security Association and Key Management Protocol (ISAKMP) for å etablere SAs.

Korleis fungerer IPsec?

Nedanfor ser vi på korleis IPsec opprettar ein sikker tilkobling mellom to endepunkt og beskyttar data frå opphavet til bestemmingsstaden. 

1. Nøkkelutveksling

Internett nøkkelutvekslingsprotokollen (IKE) handterer forhandlinga av nøklar og algoritmar som begge endepunkta vil bruke. Som eit resultat er det ein vital prosess i bruk av IPsec for å etablere ein sikker og påliteleg tilkobling. IKEv1 har to fasar: IKE fase 1 og IKE fase 2. 

Formålet med IKE-fasen 1 er for endepunkta å utveksle forslag om korleis dei skal autentisere og sikre tilkoblinga mellom dei. Dei utvekslar forslag for sikkerheitsparametrar som krypteringsalgoritmar, autentiseringsalgoritmar, Diffie-Hellman (DH)-gruppe, og førehandsdelte nøklar eller RSA/DSA-sertifikat. Som eit resultat, ved slutten av denne fasen, bør minst ein enkelt tovegs ISAKMP SA vere etablert mellom partane. Du kan bruke fase 1 i anten Hovudmodus (totalt seks meldingar mellom endepunkta) eller Aggressiv Modus (totalt tre meldingar mellom endepunkta). 

IKE fase 2 startar etter at endepunkta eller partane har etablert ei sikker tilkopling. I denne fasen forhandlar endepunkta om SA-er som vil halde data som passerer gjennom IPsec-tunnelen trygge. Eit sikkerheitsprotokoll (ESP eller AH), krypteringsalgoritmar og autentiseringsalgoritmar blir forhandla i denne fasen. I tillegg kan ein Diffie-Hellman (DH) gruppe og Perfekt Framover Hemmelegheit også vere ein del av forslaget. 

IKEv2, den oppdaterte versjonen av IKEv1, har ikkje ein fase 1 eller fase 2. Likevel utvekslar endepunkta fire meldingar for å forhandle fram sikkerheitsparametrar for IPsec-tunnelen. VPNar føretrekk å bruke IKEv2 fordi det er enklare å konfigurere og meir sikkert.

2. Pakkeheaderar og -sluttar

Etter at endepunkta har blitt einige om sikkerheitsparametrar, kan dei no sende data til kvarandre. Først må IP-pakkar kapslast inn. Avhengig av om du brukar tunnel- eller transportmodus, legg IPsec til dei nødvendige hovud(delane) og slutt(delane) til kvar pakke som treng å transporterast. 

3. Autentisering og Kryptering

IPsec nyttar autentisering og kryptering ved hjelp av AH og ESP. AH gir ikkje kryptering, men autentiserer datapakkar. På den andre sida tilbyr ESP både kryptering og autentisering. 

4. Overføring

IP-pakkar kan no flytte seg gjennom IPsec-tilkoplinga til endepunkta med hjelp av eit transportprotokoll (helst UDP).

5. Dekryptering

Dekryptering skjer på mottakarsida av tilkoplinga. Når data er dekryptert, blir det flytta til applikasjonen som treng det. 

IPsec Transportmodus Vs. Tunnelmodus

IPsec har to driftsmodusar: Tunnel og Transport. La oss sjå på kva som gjer kvar av dei ulike frå den andre nedanfor. 

Transportmodus

Ein IPsec-krets som opererer i transportmodus er vanlegvis ei direkte tilkopling mellom to vertar. Endepunkta krypterer eller autentiserer ikkje heile IP-pakken i transportmodus, berre nyttelasten. Sidan IP-hovudet ikkje blir endra eller kapsla inn, kan tredjeparts einingar utanfor dei to endepunkta sjå destinasjonen og opphavet til pakkane. 

Tunnelmodus

Ein IPsec-krets som opererer i tunnelmodus er vanlegvis mellom to portar (nettverk-til-nettverk-kommunikasjon): to ruterar eller ein ruter og ein brannmur. Likevel kan du bruke det for vert-til-vert og vert-til-nettverk-kommunikasjon. I denne modusen er det ikkje berre nyttelasten som er kryptert; heile IP-pakken er kryptert og autentisert. VPNar brukar IPsec tunnelmodus fordi det sikrar heile nettverket med ende-til-ende-kryptering og ikkje berre dataene som passerer gjennom det. 

IPsec i ein VPN

Sidan ein VPN gir ein måte du kan kommunisere trygt over internett på, er det berre rimeleg at IPsec er ein av protokollane som VPNar brukar. Når VPNar brukar IPsec, brukar dei vanlegvis ESP i tunnelmodus på grunn av ende-til-ende-krypteringa som det gir. I nokre tilfelle vil du sjå anten IKEv2/IPsec eller IKEv2 som VPN-protokollar du kan bruke. Dei begge tyder det same sidan IKEv2 brukar IPsec-tunnelmodus for å etablere ein trygg tilkobling. 

I tillegg kombinerer VPN-ar mindre sikre protokollar som L2TP med IPsec for å sikre trygge tilkoplingar. Det er grunnen til at du vil sjå L2TP/IPsec som eit alternativ i nokre VPN-applikasjonar. No, la oss sjå på den grunnleggjande måten IPsec fungerer på når du klikkar på kople til-knappen i VPN-applikasjonen din. 

1. Når du klikkar på «Kople til»-knappen, byrjar IPsec å etablere ei sikker tilkopling ved hjelp av ESP og Tunnelmodus. 

2. Endepunkta i tunnelen blir einige om tryggingsparametrar ved hjelp av tryggingsassosiasjonar (SAs). 

3. Data kan no flytte seg frå den eine enden til den andre på ein sikker måte sidan kryptering og dekryptering skjer ved begge endepunkta. Eitt endepunkt mottar IP-pakkar, krypterer dei, og overfører dei til det andre endepunktet. Ved mottakande ende dekrypterer det andre endepunktet IP-pakkane og sender dei til den nødvendige applikasjonen. 

Det over er ikkje ein grundig forklaring, men det bør gi deg ein ide om korleis IPsec fungerer i ein VPN. 

Konklusjon

IPsec er viktig om du treng konfidensialitet, integritet og autentisering mellom to endepunkt. Dei fleste VPN-ane inkluderer IPsec (IKEv2/IPsec eller L2TP/IPsec) som ein del av dei sikre VPN-protokollane dei tilbyr.  Vi håpar denne artikkelen hjelper deg å forstå IPsec og korleis det er eit viktig protokollsett VPN-ane brukar for å sikre kommunikasjon på internett.