logo

TechCodeview

IP zabezpečení (IPSec)

Předpoklad: Typy internetového protokolu

IP Sec (Internet Protocol Security) je standardní sada protokolů IETF (Internet Engineering Task Force) mezi dvěma komunikačními body v síti IP, které zajišťují autentizaci dat, integritu a důvěrnost. Definuje také šifrované, dešifrované a ověřené pakety. Jsou v něm definovány protokoly potřebné pro bezpečnou výměnu klíčů a správu klíčů.



Použití zabezpečení IP

IPsec lze použít k následujícím věcem:

  • K šifrování dat aplikační vrstvy.
  • Zajistit zabezpečení pro routery odesílající směrovací data přes veřejný internet.
  • Chcete-li poskytnout ověření bez šifrování, rádi ověříte, že data pocházejí od známého odesílatele.
  • Chcete-li chránit síťová data nastavením okruhů pomocí tunelování IPsec, ve kterém jsou všechna data odesílaná mezi dvěma koncovými body šifrována, jako u připojení k virtuální privátní síti (VPN).

Součásti zabezpečení IP

Má následující součásti:

  1. Encapsulation Security Payload (ESP)
  2. Authentication Header (AH)
  3. Internet Key Exchange (IKE)

1. Encapsulation Security Payload (ESP): Poskytuje integritu dat, šifrování, ověřování a ochranu proti opakovanému přehrávání. Poskytuje také autentizaci pro užitečné zatížení.



2. Authentication Header (AH): Poskytuje také integritu dat, autentizaci a ochranu proti opakovanému přehrávání a neposkytuje šifrování. Anti-replay ochrana chrání před neoprávněným přenosem paketů. Nechrání důvěrnost dat.

IP záhlaví

IP záhlaví

3. Internet Key Exchange (IKE): Jedná se o síťový bezpečnostní protokol navržený pro dynamickou výměnu šifrovacích klíčů a nalezení cesty přes Security Association (SA) mezi 2 zařízeními. Security Association (SA) zavádí sdílené bezpečnostní atributy mezi 2 síťovými entitami pro podporu zabezpečené komunikace. Key Management Protocol (ISAKMP) a Internet Security Association poskytují rámec pro ověřování a výměnu klíčů. ISAKMP říká, jak nastavení přidružení zabezpečení (SA) a jak přímá spojení mezi dvěma hostiteli používají IPsec. Internet Key Exchange (IKE) poskytuje ochranu obsahu zpráv a také otevřený rámec pro implementaci standardních algoritmů, jako jsou SHA a MD5. Uživatelé IP sec algoritmu vytvářejí pro každý paket jedinečný identifikátor. Tento identifikátor pak umožňuje zařízení určit, zda byl paket správný nebo ne. Pakety, které nejsou autorizovány, jsou vyřazeny a nejsou předány příjemci.



Paket v internetovém protokolu

Pakety v internetovém protokolu

Architektura zabezpečení IP

Architektura IPSec (IP Security) používá k zabezpečení provozu nebo datového toku dva protokoly. Těmito protokoly jsou ESP (Encapsulation Security Payload) a AH (Authentication Header). Architektura IPSec zahrnuje protokoly, algoritmy, DOI a správu klíčů. Všechny tyto komponenty jsou velmi důležité pro poskytování tří hlavních služeb:

  • Důvěrnost
  • Pravost
  • Integrita
Architektura zabezpečení IP

Architektura zabezpečení IP

Práce na zabezpečení IP

  • Hostitel zkontroluje, zda má být paket přenášen pomocí IPsec nebo ne. Tento paketový provoz sám o sobě spouští bezpečnostní politiku. To se provádí, když systém odesílající paket použije vhodné šifrování. Příchozí pakety jsou také kontrolovány hostitelem, zda jsou správně zašifrovány nebo ne.
  • Poté se spustí fáze 1 IKE, ve které se 2 hostitelé (pomocí IPsec) vzájemně ověří a spustí zabezpečený kanál. Má 2 režimy. Hlavní režim poskytuje vyšší zabezpečení a agresivní režim, který hostiteli umožňuje rychlejší vytvoření okruhu IPsec.
  • Kanál vytvořený v posledním kroku se pak používá k bezpečnému vyjednávání způsobu, jakým bude IP okruh šifrovat data napříč IP okruhem.
  • Nyní je fáze IKE 2 vedena přes zabezpečený kanál, ve kterém si dva hostitelé vyjednají typ kryptografických algoritmů, které se mají v relaci použít, a dohodnou se na tajném klíčovacím materiálu, který se má s těmito algoritmy použít.
  • Poté se data vyměňují přes nově vytvořený šifrovaný tunel IPsec. Tyto pakety jsou šifrovány a dešifrovány hostiteli pomocí IPsec SA.
  • Po dokončení komunikace mezi hostiteli nebo vypršení časového limitu relace je tunel IPsec ukončen zahozením klíčů oběma hostiteli.

Vlastnosti IPSec

  1. Ověření: IPSec poskytuje autentizaci IP paketů pomocí digitálních podpisů nebo sdílených tajemství. To pomáhá zajistit, že pakety nebudou zfalšovány nebo padělány.
  2. Důvěrnost: IPSec poskytuje důvěrnost šifrováním IP paketů, což zabraňuje odposlechu síťového provozu.
  3. Integrita: IPSec poskytuje integritu tím, že zajišťuje, že pakety IP nebyly během přenosu změněny nebo poškozeny.
  4. Správa klíčů: IPSec poskytuje služby správy klíčů, včetně výměny klíčů a odvolání klíčů, aby bylo zajištěno bezpečné spravování kryptografických klíčů.
  5. Tunelování: IPSec podporuje tunelování, což umožňuje zapouzdření IP paketů do jiného protokolu, jako je GRE (Generic Routing Encapsulation) nebo L2TP (Layer 2 Tunneling Protocol).
  6. Flexibilita: IPSec lze nakonfigurovat tak, aby poskytoval zabezpečení pro širokou škálu síťových topologií, včetně připojení typu point-to-point, site-to-site a vzdáleného přístupu.
  7. Interoperabilita: IPSec je otevřený standardní protokol, což znamená, že jej podporuje široká škála dodavatelů a lze jej použít v heterogenních prostředích.

Výhody IPSec

  1. Silné zabezpečení: IPSec poskytuje silné kryptografické bezpečnostní služby, které pomáhají chránit citlivá data a zajišťují soukromí a integritu sítě.
  2. Široká kompatibilita: IPSec je otevřený standardní protokol, který je široce podporován dodavateli a lze jej použít v heterogenních prostředích.
  3. Flexibilita: IPSec lze nakonfigurovat tak, aby poskytoval zabezpečení pro širokou škálu síťových topologií, včetně připojení typu point-to-point, site-to-site a vzdáleného přístupu.
  4. Škálovatelnost: IPSec lze použít k zabezpečení rozsáhlých sítí a lze jej podle potřeby zvětšovat nebo zmenšovat.
  5. Vylepšený výkon sítě: IPSec může pomoci zlepšit výkon sítě snížením přetížení sítě a zlepšením efektivity sítě.

Nevýhody IPSec

  1. Složitost konfigurace: Konfigurace protokolu IPSec může být složitá a vyžaduje specializované znalosti a dovednosti.
  2. Problémy s kompatibilitou: IPSec může mít problémy s kompatibilitou s některými síťovými zařízeními a aplikacemi, což může vést k problémům s interoperabilitou.
  3. Dopad na výkon: IPSec může ovlivnit výkon sítě kvůli režii šifrování a dešifrování IP paketů.
  4. Správa klíčů: IPSec vyžaduje efektivní správu klíčů pro zajištění bezpečnosti kryptografických klíčů používaných pro šifrování a ověřování.
  5. Omezená ochrana: IPSec poskytuje ochranu pouze pro IP provoz a další protokoly jako ICMP, DNS a směrovací protokoly mohou být stále zranitelné vůči útokům.