Ce este IPsec și ce face pentru un VPN? - TechRobot

Ce este IPsec și ce face pentru un VPN?

Forța de Lucru în Ingineria Internetului (IETF) a dezvoltat IPsec ca răspuns la vulnerabilitățile de securitate ale Protocolului Internet (IPv4). Nu era o sarcină dificilă pentru nimeni să intercepteze datele pe internet transmise prin IPv4. Prin urmare, IPsec a intrat în joc. IPsec abordează deficiențele de securitate ale IPv4 utilizând un set de protocoale de securitate pentru a asigura că comunicațiile pe internet sunt securizate. 

Operând la nivelul de rețea al modelului Interconectare a Sistemelor Deschise (OSI), puteți utiliza IPsec pentru a comunica în siguranță între rețele și gazde. Ca urmare, implementările IPsec au loc în comunicații de la gazdă la gazdă, de la rețea la gazdă și de la rețea la rețea.

IPsec este popular în orice industrie care necesită securitate de la un capăt la altul între două puncte terminale, în special în industria VPN. Printre alte protocoale, VPN-urile folosesc IPsec pentru a securiza datele în tranzit, deoarece asigură integritatea datelor, confidențialitatea și autentificarea. Acest articol se concentrează pe înțelegerea IPsec și de ce VPN-urile se bazează pe acesta pentru a proteja traficul de internet al consumatorilor lor.

Ce este IPsec?

Securitatea Protocolului Internet (IPsec) este un set de protocoale sau un grup de protocoale care lucrează împreună pentru a stabili o conexiune sigură între computere pe internet. IPsec oferă conexiuni criptate, prevenind astfel ca terțe părți să vadă conținutul comunicațiilor între computerele implicate. Pe lângă criptare, IPsec oferă de asemenea un mecanism pentru autentificarea pachetelor de date pentru a fi siguri că acestea provin din sursa corectă. Să aruncăm o privire la caracteristicile standard de securitate pe care IPsec le oferă mai jos.

1. Autentificare: Prin autentificarea datelor la ambele capete ale conexiunii, IPsec asigură că punctele de terminație sunt de încredere înainte de începerea transmiterii datelor. 

2. Confidențialitate: Oferind criptare a datelor de la un capăt la altul, IPsec asigură că entitățile rău intenționate nu pot infiltra rețeaua, fura date sau asculta în secret rețeaua. 

3. Integritate: IPsec utilizează hashing pentru a verifica integritatea datelor, asigurându-se că interceptează datele modificate. 

4. Anti-replay: Folosind numere de secvență, IPsec asigură că actorii rău intenționați nu pot replica pachetele de date pentru a infiltra rețeaua. 

Puteți utiliza IPsec între doi gazde (host-to-host), între două rețele/poarte (network-to-network) sau între o gazdă și o rețea (network-to-host). În plus, veți găsi implementarea IPsec în domenii de securitate precum Rețele Private Virtuale (VPN-uri), securitatea rutării și securitatea la nivel de aplicație. IPsec singur s-ar putea să nu fie suficient de eficace pentru securitate de nivel înalt, motiv pentru care este implementat împreună cu alte protocoale în unele cazuri. 

Protocoale IPSec

Există trei protocoale care fac parte din suita IPsec. Aceste protocoale lucrează împreună pentru a oferi autentificarea datelor, integritatea, confidențialitatea și protecția împotriva reluării. Să le examinăm mai jos. 

1. Antet de Autentificare (AH)

Rolul principal al Antetului de Autentificare este de a autentifica pachetele de date IP. Folosind funcții hash și o cheie secretă, acesta validează fiecare pachet de la fiecare capăt al tunelului VPN. Acest lucru împiedică entitățile rău intenționate să modifice datele și să le prezinte ca fiind autentice. AH oferă autentificare, integritate și protecție împotriva reluării. Nu oferă nicio formă de criptare.

2. Encapsulating Security Payload (ESP)

Principala sarcină a Encapsulating Security Payload este de a cripta pachetele de date. În funcție de modul IPsec, acesta criptează doar payload-ul sau payload-ul și antetul IP. Modul de transport permite ESP să cripteze doar segmentul stratului de transport și payload-ul, lăsând antetul IP fără criptare. Pe de altă parte, ESP în modul tunel criptează antetul IP împreună cu segmentul stratului de transport și payload-ul. ESP oferă autentificare, integritate, confidențialitate și protecție împotriva reluării.

3. Asocierea de Securitate (SA)

IPSec folosește asocieri de securitate pentru a stabili protocoale de securitate pe care punctele finale le folosesc pentru a negocia algoritmi de criptare și chei. În termeni simpli, o asociație de securitate este doar o modalitate prin care cele două puncte finale se pun de acord asupra parametrilor care vor stabili și menține tunelul IPsec în siguranță.

Asociațiile de securitate ale IPsec necesită trei lucruri: un Index de Parametri de Securitate (SPI), adresa IP de destinație și protocolul IPsec (AH sau ESP). SA-urile funcționează într-o singură direcție; prin urmare, aveți nevoie de două SA-uri (de ieșire și de intrare) pentru fiecare punct terminal. IPsec utilizează Protocolul de Asociere și Management al Cheilor de Securitate pe Internet (ISAKMP) pentru a stabili SA-urile. 

Cum Funcționează IPsec?

Mai jos, vom analiza cum IPsec stabilește o conexiune sigură între două puncte terminale și protejează datele de la origine până la destinație. 

1. Schimb de Chei

Protocolul de Schimb de Chei Internet (IKE) gestionează negocierea cheilor și a algoritmilor pe care ambele puncte terminale le vor utiliza. Ca urmare, este un proces vital în utilizarea IPsec pentru a stabili o conexiune sigură și fiabilă. IKEv1 are două faze: IKE faza 1 și IKE faza 2.

Scopul fazei 1 IKE este ca punctele terminale să schimbe propuneri despre cum să se autentifice și să securizeze conexiunea dintre ele. Acestea schimbă propuneri pentru parametrii de securitate cum ar fi algoritmii de criptare, algoritmii de autentificare, grupul Diffie-Hellman (DH) și cheile pre-partajate sau certificatele RSA/DSA. Ca rezultat, până la sfârșitul acestei faze, cel puțin un singur ISAKMP SA bidirecțional ar trebui să fie stabilit între perechi. Puteți utiliza faza 1 fie în Modul Principal (total de șase mesaje între punctele terminale) fie în Modul Agresiv (total de trei mesaje între punctele terminale). 

Faza IKE 2 începe după ce punctele terminale sau perechile au stabilit o conexiune sigură. În această fază, punctele terminale negociază SA-uri care vor menține datele care trec prin tunelul IPsec în siguranță. Un protocol de securitate (ESP sau AH), algoritmi de criptare și algoritmi de autentificare sunt negociați în această fază. În plus, un grup Diffie-Hellman (DH) și Perfect Forward Secrecy pot face, de asemenea, parte din propunere.

IKEv2, versiunea actualizată a IKEv1, nu are o fază 1 sau fază 2. Totuși, punctele terminale schimbă patru mesaje pentru a negocia parametrii de securitate pentru tunelul IPsec. VPN-urile preferă să utilizeze IKEv2 deoarece este mai ușor de configurat și mai sigur. 

2. Antete și trailere de pachete

După ce punctele terminale au convenit asupra parametrilor de securitate, acum pot să își trimită date unul altuia. În primul rând, pachetele IP trebuie să fie încapsulate. În funcție de faptul că utilizați modul tunel sau modul transport, IPsec adaugă antetul (anteturile) și trailerul (trailerele) necesare fiecărui pachet care trebuie transportat.

3. Autentificare și Criptare

IPsec aplică autentificarea și criptarea folosind AH și ESP. AH nu oferă criptare, dar autentifică pachetele de date. Pe de altă parte, ESP oferă criptare și autentificare.

4. Transmisie

Pachetele IP pot acum să se deplaseze prin conexiunea IPsec către punctele finale cu ajutorul unui protocol de transport (de preferință UDP).

5. Decodare

Decriptarea are loc la capătul receptor al conexiunii. Odată decriptate, datele sunt trimise către aplicația care are nevoie de ele. 

Modul de transport IPsec vs. Modul tunel

IPsec are două moduri de funcționare: Tunnel și Transport. Să vedem ce face fiecare dintre ele diferit de celălalt mai jos.

Modul de Transport

Un circuit IPsec care funcționează în modul de transport este de obicei o conexiune directă între două gazde. Punctele terminale nu criptează sau nu autentifică întregul pachet IP în modul de transport, ci doar încărcătura. Deoarece antetul IP nu este modificat sau încapsulat, dispozitivele terțe din afara celor două puncte terminale pot vedea destinația și originea pachetelor. 

Modul Tunel

Un circuit IPsec care funcționează în modul tunel este de obicei între două gateway-uri (comunicații rețea-la-rețea): două routere sau un router și un firewall. Totuși, îl poți folosi pentru comunicații gazdă-la-gazdă și gazdă-la-rețea. În acest mod, nu doar sarcina utilă este criptată; întregul pachet IP este criptat și autentificat. VPN-urile folosesc modul tunel IPsec pentru că securizează întreaga rețea folosind criptare capăt-la-capăt și nu doar datele care trec prin ea.

IPsec într-un VPN

Deoarece un VPN oferă o modalitate prin care poți comunica în siguranță pe internet, este doar rezonabil ca IPsec să fie unul dintre protocoalele pe care VPN-urile le folosesc. Când VPN-urile utilizează IPsec, ele folosesc de obicei ESP în modul tunel datorită criptării end-to-end pe care o oferă. În unele cazuri, vei vedea fie IKEv2/IPsec, fie IKEv2 ca protocoale VPN pe care le poți utiliza. Ambele înseamnă același lucru, deoarece IKEv2 folosește modul tunel IPsec pentru a stabili o conexiune sigură.

În plus, VPN-urile combină protocoale mai puțin sigure precum L2TP cu IPsec pentru a asigura conexiuni securizate. De aceea veți vedea L2TP/IPsec ca o opțiune în unele aplicații VPN. Acum, să ne uităm la modul fundamental în care funcționează IPsec atunci când faceți clic pe butonul de conectare în aplicația dvs. VPN. 

Odată ce faceți clic pe butonul „Conectare”, IPsec începe să stabilească o conexiune sigură folosind ESP și Modul Tunel. 

2. Capetele tunelului se pun de acord asupra parametrilor de securitate folosind Asociații de Securitate (SAs). 

3. Datele pot acum să se deplaseze de la un capăt la altul în siguranță, deoarece criptarea și decriptarea au loc la ambele puncte terminale. Un punct terminal primește pachete IP, le criptează și le transferă către celălalt punct terminal. La capătul receptor, celălalt punct terminal decriptează pachetele IP și le trimite către aplicația necesară.

Explicația de mai sus nu este una detaliată, dar ar trebui să vă ofere o idee despre modul în care funcționează IPsec într-un VPN. 

Concluzie

IPsec este important dacă aveți nevoie de confidențialitatea datelor, integritate și autentificare între două puncte terminale. Majoritatea VPN-urilor includ IPsec (IKEv2/IPsec sau L2TP/IPsec) ca parte a protocolurilor de VPN sigure pe care le oferă. Sperăm că acest articol vă ajută să înțelegeți IPsec și cum este un pachet de protocoale important pe care VPN-urile îl folosesc pentru a securiza comunicațiile pe internet.