logo

TechCodeview

Varnost IP (IPSec)

Predpogoj: Vrste internetnih protokolov

IP Sec (Internet Protocol Security) je standardna zbirka protokolov Internet Engineering Task Force (IETF) med dvema komunikacijskima točkama v omrežju IP, ki zagotavljajo avtentikacijo podatkov, celovitost in zaupnost. Definira tudi šifrirane, dešifrirane in overjene pakete. V njem so definirani protokoli, potrebni za varno izmenjavo ključev in upravljanje ključev.



Uporaba zaščite IP

IPsec se lahko uporablja za naslednje stvari:

  • Za šifriranje podatkov sloja aplikacije.
  • Za zagotavljanje varnosti za usmerjevalnike, ki pošiljajo usmerjevalne podatke po javnem internetu.
  • Če želite zagotoviti avtentikacijo brez šifriranja, na primer potrdite, da podatki izvirajo od znanega pošiljatelja.
  • Za zaščito omrežnih podatkov z nastavitvijo vezij s tuneliranjem IPsec, pri katerem so vsi podatki, ki se pošiljajo med dvema končnima točkama, šifrirani, kot pri povezavi Virtual Private Network (VPN).

Komponente zaščite IP

Ima naslednje komponente:

  1. Encapsulating Security Payload (ESP)
  2. Glava za preverjanje pristnosti (AH)
  3. Internetna izmenjava ključev (IKE)

1. Enkapsulacija varnostnega tovora (ESP): Zagotavlja celovitost podatkov, šifriranje, avtentikacijo in zaščito pred ponovnim predvajanjem. Zagotavlja tudi avtentikacijo koristnega tovora.



2. Glava za preverjanje pristnosti (AH): Zagotavlja tudi celovitost podatkov, avtentikacijo in zaščito pred ponovnim predvajanjem ter ne zagotavlja šifriranja. Zaščita pred ponovnim predvajanjem ščiti pred nepooblaščenim prenosom paketov. Ne varuje zaupnosti podatkov.

Glava IP

Glava IP

3. Internetna izmenjava ključev (IKE): To je omrežni varnostni protokol, zasnovan za dinamično izmenjavo šifrirnih ključev in iskanje poti prek varnostne povezave (SA) med dvema napravama. Varnostno združenje (SA) vzpostavi skupne varnostne atribute med dvema omrežnima entitetama za podporo varne komunikacije. Protokol za upravljanje ključev (ISAKMP) in Internet Security Association zagotavljata okvir za preverjanje pristnosti in izmenjavo ključev. ISAKMP pove, kako nastavitev varnostnih povezav (SA) in kako neposredne povezave med dvema gostiteljema uporabljajo IPsec. Internetna izmenjava ključev (IKE) zagotavlja zaščito vsebine sporočila in tudi odprt okvir za izvajanje standardnih algoritmov, kot sta SHA in MD5. Uporabniki IP sec algoritma ustvarijo edinstven identifikator za vsak paket. Ta identifikator nato omogoči napravi, da ugotovi, ali je bil paket pravilen ali ne. Paketi, ki niso avtorizirani, se zavržejo in ne predajo prejemniku.



Paket v internetnem protokolu

Paketi v internetnem protokolu

Varnostna arhitektura IP

Arhitektura IPSec (IP Security) uporablja dva protokola za zaščito prometa ali pretoka podatkov. Ta protokola sta ESP (Encapsulation Security Payload) in AH (Authentication Header). Arhitektura IPSec vključuje protokole, algoritme, DOI in upravljanje ključev. Vse te komponente so zelo pomembne za zagotavljanje treh glavnih storitev:

  • Zaupnost
  • Pristnost
  • Integriteta
Varnostna arhitektura IP

Varnostna arhitektura IP

Delo na IP varnosti

  • Gostitelj preveri, ali naj se paket prenese z uporabo IPsec ali ne. Ta paketni promet sam sproži varnostno politiko. To se naredi, ko sistem, ki pošilja paket, uporabi ustrezno šifriranje. Dohodne pakete gostitelj preveri tudi, ali so pravilno šifrirani ali ne.
  • Nato se začne 1. faza IKE, v kateri se 2 gostitelja (z uporabo IPsec) medsebojno overita, da zaženeta varen kanal. Ima 2 načina. Glavni način zagotavlja večjo varnost, agresivni način pa gostitelju omogoča hitrejšo vzpostavitev vezja IPsec.
  • Kanal, ustvarjen v zadnjem koraku, se nato uporabi za varno pogajanje o načinu, kako bo vezje IP šifriralo podatke v vezju IP.
  • Zdaj se 2. faza IKE izvaja prek varnega kanala, v katerem se gostitelja pogajata o vrsti kriptografskih algoritmov, ki jih bosta uporabila v seji, in se dogovorita o materialu za skrivno ključevanje, ki bo uporabljen s temi algoritmi.
  • Nato se podatki izmenjajo po novo ustvarjenem šifriranem tunelu IPsec. Te pakete gostitelji šifrirajo in dešifrirajo z uporabo IPsec SA.
  • Ko je komunikacija med gostitelji končana ali seja poteče, se tunel IPsec zaključi tako, da oba gostitelja zavržeta ključe.

Značilnosti IPSec

  1. Preverjanje pristnosti: IPSec zagotavlja avtentikacijo paketov IP z uporabo digitalnih podpisov ali skupnih skrivnosti. To pomaga zagotoviti, da paketi niso spremenjeni ali ponarejeni.
  2. Zaupnost: IPSec zagotavlja zaupnost s šifriranjem IP paketov in preprečuje prisluškovanje omrežnemu prometu.
  3. Integriteta: IPSec zagotavlja celovitost z zagotavljanjem, da paketi IP med prenosom niso bili spremenjeni ali poškodovani.
  4. Upravljanje ključev: IPSec zagotavlja storitve upravljanja ključev, vključno z izmenjavo ključev in preklicem ključev, da se zagotovi varno upravljanje kriptografskih ključev.
  5. Tuneliranje: IPSec podpira tuneliranje, kar omogoča enkapsulacijo paketov IP znotraj drugega protokola, kot je GRE (Generic Routing Encapsulation) ali L2TP (Layer 2 Tunneling Protocol).
  6. Prilagodljivost: IPSec je mogoče konfigurirati tako, da zagotavlja varnost za široko paleto omrežnih topologij, vključno s povezavami od točke do točke, od mesta do mesta in povezavami za oddaljeni dostop.
  7. Interoperabilnost: IPSec je odprt standardni protokol, kar pomeni, da ga podpira širok nabor ponudnikov in se lahko uporablja v heterogenih okoljih.

Prednosti IPSec

  1. Močna varnost: IPSec zagotavlja močne kriptografske varnostne storitve, ki pomagajo zaščititi občutljive podatke ter zagotoviti zasebnost in celovitost omrežja.
  2. Široka združljivost: IPSec je protokol odprtega standarda, ki ga prodajalci široko podpirajo in se lahko uporablja v heterogenih okoljih.
  3. Prilagodljivost: IPSec je mogoče konfigurirati tako, da zagotavlja varnost za široko paleto omrežnih topologij, vključno s povezavami od točke do točke, od mesta do mesta in povezavami za oddaljeni dostop.
  4. Razširljivost: IPSec se lahko uporablja za zaščito obsežnih omrežij in se lahko po potrebi poveča ali zmanjša.
  5. Izboljšana zmogljivost omrežja: IPSec lahko pomaga izboljšati zmogljivost omrežja z zmanjšanjem prezasedenosti omrežja in izboljšanjem učinkovitosti omrežja.

Slabosti IPSec

  1. Kompleksnost konfiguracije: IPSec je lahko zapleten za konfiguriranje in zahteva posebno znanje in veščine.
  2. Težave z združljivostjo: IPSec ima lahko težave z združljivostjo z nekaterimi omrežnimi napravami in aplikacijami, kar lahko povzroči težave z interoperabilnostjo.
  3. Vpliv na uspešnost: IPSec lahko vpliva na zmogljivost omrežja zaradi dodatnih stroškov šifriranja in dešifriranja paketov IP.
  4. Upravljanje ključev: IPSec zahteva učinkovito upravljanje ključev za zagotovitev varnosti kriptografskih ključev, ki se uporabljajo za šifriranje in avtentikacijo.
  5. Omejena zaščita: IPSec zagotavlja samo zaščito za promet IP, drugi protokoli, kot so ICMP, DNS in usmerjevalni protokoli, pa so lahko še vedno ranljivi za napade.