logo

TechCodeview

IP-suojaus (IPSec)

Edellytys: Internet-protokollan tyypit

IP Sec (Internet Protocol Security) on Internet Engineering Task Force (IETF) -standardi protokollapaketti kahden IP-verkon viestintäpisteen välillä, joka tarjoaa tietojen todentamisen, eheyden ja luottamuksellisuuden. Se määrittää myös salatut, salatut ja todetut paketit. Siinä määritellään turvalliseen avainten vaihtoon ja avaintenhallintaan tarvittavat protokollat.



IP-suojauksen käyttötarkoitukset

IPsecillä voidaan tehdä seuraavat asiat:

  • Sovelluskerroksen tietojen salaamiseen.
  • Turvallisuuden takaamiseksi reitittimille, jotka lähettävät reititystietoja julkisen Internetin kautta.
  • Todennuksen tarjoamiseksi ilman salausta, kuten todentaaksesi, että tiedot ovat peräisin tunnetulta lähettäjältä.
  • Verkkotietojen suojaaminen asettamalla piirejä käyttämällä IPsec-tunnelointia, jossa kaikki kahden päätepisteen välillä lähetettävä data on salattu, kuten VPN (Virtual Private Network) -yhteydessä.

IP-suojauksen komponentit

Siinä on seuraavat komponentit:

  1. Encapsulating Security Payload (ESP)
  2. Todennusotsikko (AH)
  3. Internet-avainten vaihto (IKE)

1. Encapsulating Security Payload (ESP): Se tarjoaa tietojen eheyden, salauksen, todennuksen ja toiston eston. Se tarjoaa myös hyötykuorman todennuksen.



2. Todennusotsikko (AH): Se tarjoaa myös tietojen eheyden, todennuksen ja toiston eston, eikä se tarjoa salausta. Toistosuojaus suojaa pakettien luvattomalta siirrolta. Se ei suojaa tietojen luottamuksellisuutta.

IP-otsikko

IP-otsikko

3. Internet Key Exchange (IKE): Se on verkon suojausprotokolla, joka on suunniteltu vaihtamaan dynaamisesti salausavaimia ja löytämään tie Security Associationin (SA) yli kahden laitteen välillä. Security Association (SA) perustaa jaetut suojausattribuutit kahden verkkoolion välillä turvallisen viestinnän tukemiseksi. Key Management Protocol (ISAKMP) ja Internet Security Association tarjoavat puitteet todennukseen ja avainten vaihtoon. ISAKMP kertoo, kuinka suojausyhdistykset (SA) määritetään ja kuinka suorat yhteydet kahden isännän välillä käyttävät IPseciä. Internet Key Exchange (IKE) tarjoaa viestin sisällön suojauksen ja myös avoimen kehyksen standardialgoritmien, kuten SHA:n ja MD5:n, toteuttamiseen. Algoritmin IP sec -käyttäjät tuottavat jokaiselle paketille yksilöllisen tunnisteen. Tämän tunnisteen avulla laite voi sitten määrittää, onko paketti ollut oikea vai ei. Paketit, joita ei ole valtuutettu, hylätään, eikä niitä anneta vastaanottajalle.



Paketti Internet-protokollassa

Paketit Internet-protokollassa

IP-suojausarkkitehtuuri

IPSec (IP Security) -arkkitehtuuri käyttää kahta protokollaa liikenteen tai tietovirran suojaamiseen. Nämä protokollat ​​ovat ESP (Encapsulation Security Payload) ja AH (Authentication Header). IPSec-arkkitehtuuri sisältää protokollat, algoritmit, DOI:n ja avaintenhallinnan. Kaikki nämä komponentit ovat erittäin tärkeitä kolmen pääpalvelun tarjoamiseksi:

  • Luottamuksellisuus
  • Aitous
  • Rehellisyys
IP-suojausarkkitehtuuri

IP-suojausarkkitehtuuri

Työskentely IP-suojauksen parissa

  • Isäntä tarkistaa, pitäisikö paketti lähettää IPsecillä vai ei. Tämä pakettiliikenne laukaisee suojauspolitiikan itselleen. Tämä tehdään, kun paketin lähettävä järjestelmä käyttää asianmukaista salausta. Isäntä tarkistaa myös saapuvat paketit, onko ne salattu oikein vai ei.
  • Sitten alkaa IKE-vaihe 1, jossa kaksi isäntäkonetta (IPsecin avulla) todennetaan toisilleen suojatun kanavan käynnistämiseksi. Siinä on 2 tilaa. Päätila tarjoaa paremman turvallisuuden ja Aggressive-tila, jonka avulla isäntä voi muodostaa IPsec-piirin nopeammin.
  • Viimeisessä vaiheessa luotua kanavaa käytetään sitten neuvottelemaan turvallisesti tapaa, jolla IP-piiri salaa tiedot IP-piirissä.
  • Nyt IKE-vaihe 2 suoritetaan suojatulla kanavalla, jossa kaksi isäntäkonetta neuvottelevat istunnossa käytettävän salausalgoritmin tyypistä ja sopivat näiden algoritmien kanssa käytettävästä salaisesta avainmateriaalista.
  • Sitten tiedot vaihdetaan äskettäin luodun IPsec-salatun tunnelin kautta. Isännät salaavat nämä paketit ja purkavat niiden salauksen IPsec SA:n avulla.
  • Kun isäntien välinen viestintä on valmis tai istunto aikakatkaistaan, IPsec-tunneli lopetetaan hylkäämällä molempien isäntien avaimet.

IPSecin ominaisuudet

  1. Todennus: IPSec tarjoaa IP-pakettien todennuksen käyttämällä digitaalisia allekirjoituksia tai jaettuja salaisuuksia. Tämä auttaa varmistamaan, että paketteja ei peukaloida tai väärennetä.
  2. Luottamuksellisuus: IPSec tarjoaa luottamuksellisuutta salaamalla IP-paketit, mikä estää verkkoliikenteen salakuuntelun.
  3. Eheys: IPSec tarjoaa eheyden varmistamalla, että IP-paketteja ei ole muokattu tai vioittunut lähetyksen aikana.
  4. Avaintenhallinta: IPSec tarjoaa avainten hallintapalveluita, mukaan lukien avainten vaihtoa ja avainten peruuttamista, varmistaakseen, että salausavaimia hallitaan turvallisesti.
  5. Tunnelointi: IPSec tukee tunnelointia, mikä mahdollistaa IP-pakettien kapseloinnin toiseen protokollaan, kuten GRE (Generic Routing Encapsulation) tai L2TP (Layer 2 Tunneling Protocol).
  6. Joustavuus: IPSec voidaan konfiguroida tarjoamaan suojausta useille verkkotopologioille, mukaan lukien pisteestä pisteeseen, sivustojen välisille yhteyksille ja etäkäyttöyhteyksille.
  7. Yhteentoimivuus: IPSec on avoimen standardin protokolla, mikä tarkoittaa, että useat toimittajat tukevat sitä ja sitä voidaan käyttää heterogeenisissä ympäristöissä.

IPSecin edut

  1. Vahva turvallisuus: IPSec tarjoaa vahvoja kryptografisia suojauspalveluita, jotka auttavat suojaamaan arkaluontoisia tietoja ja varmistamaan verkon yksityisyyden ja eheyden.
  2. Laaja yhteensopivuus: IPSec on avoimen standardin protokolla, jota toimittajat tukevat laajasti ja jota voidaan käyttää heterogeenisissä ympäristöissä.
  3. Joustavuus: IPSec voidaan konfiguroida tarjoamaan suojausta useille verkkotopologioille, mukaan lukien pisteestä pisteeseen, sivustojen välisille yhteyksille ja etäkäyttöyhteyksille.
  4. Skaalautuvuus: IPSecillä voidaan suojata suuria verkkoja, ja sitä voidaan skaalata ylös tai alas tarpeen mukaan.
  5. Parempi verkon suorituskyky: IPSec voi auttaa parantamaan verkon suorituskykyä vähentämällä verkon ruuhkautumista ja parantamalla verkon tehokkuutta.

IPSecin huonot puolet

  1. Kokoonpanon monimutkaisuus: IPSec voi olla monimutkaista määrittää ja vaatii erikoisosaamista ja -taitoja.
  2. Yhteensopivuusongelmat: IPSecillä voi olla yhteensopivuusongelmia joidenkin verkkolaitteiden ja sovellusten kanssa, mikä voi johtaa yhteentoimivuusongelmiin.
  3. Vaikutus suorituskykyyn: IPSec voi vaikuttaa verkon suorituskykyyn IP-pakettien salauksen ja salauksen purkamisen ylikuormituksen vuoksi.
  4. Avaintenhallinta: IPSec edellyttää tehokasta avainten hallintaa salaukseen ja todentamiseen käytettyjen salausavainten turvallisuuden varmistamiseksi.
  5. Rajoitettu suojaus: IPSec suojaa vain IP-liikennettä, ja muut protokollat, kuten ICMP, DNS ja reititysprotokollat, voivat silti olla alttiina hyökkäyksille.