logo

TechCodeview

Zabezpečenie IP (IPSec)

Predbežná požiadavka: Typy internetového protokolu

IP Sec (Internet Protocol Security) je štandardná sada protokolov Internet Engineering Task Force (IETF) medzi dvoma komunikačnými bodmi v rámci siete IP, ktoré poskytujú autentifikáciu údajov, integritu a dôvernosť. Definuje tiež šifrované, dešifrované a overené pakety. Sú v nej definované protokoly potrebné na bezpečnú výmenu kľúčov a správu kľúčov.



Použitie zabezpečenia IP

IPsec je možné použiť na nasledujúce činnosti:

  • Na šifrovanie údajov aplikačnej vrstvy.
  • Na zabezpečenie bezpečnosti smerovačov odosielajúcich smerovacie údaje cez verejný internet.
  • Ak chcete poskytnúť autentifikáciu bez šifrovania, chcete overiť, že údaje pochádzajú od známeho odosielateľa.
  • Na ochranu sieťových údajov nastavením okruhov pomocou tunelovania IPsec, v ktorom sú všetky údaje odosielané medzi dvoma koncovými bodmi šifrované, ako pri pripojení k virtuálnej súkromnej sieti (VPN).

Komponenty IP bezpečnosti

Má nasledujúce komponenty:

  1. Encapsulation Security Payload (ESP)
  2. Autentifikačná hlavička (AH)
  3. Internetová výmena kľúčov (IKE)

1. Encapsulation Security Payload (ESP): Poskytuje integritu údajov, šifrovanie, autentifikáciu a ochranu pred opakovaním. Poskytuje tiež autentifikáciu pre užitočné zaťaženie.



2. Autentifikačná hlavička (AH): Poskytuje tiež integritu údajov, autentifikáciu a ochranu pred opakovaním a neposkytuje šifrovanie. Antireplay ochrana chráni pred neoprávneným prenosom paketov. Nechráni dôvernosť údajov.

Hlavička IP

IP hlavička

3. Internetová výmena kľúčov (IKE): Ide o sieťový bezpečnostný protokol navrhnutý na dynamickú výmenu šifrovacích kľúčov a nájdenie cesty cez Security Association (SA) medzi 2 zariadeniami. Security Association (SA) vytvára zdieľané bezpečnostné atribúty medzi 2 sieťovými entitami na podporu bezpečnej komunikácie. Key Management Protocol (ISAKMP) a Internet Security Association poskytujú rámec pre autentifikáciu a výmenu kľúčov. ISAKMP hovorí o tom, ako sú nastavené bezpečnostné asociácie (SA) a ako priame spojenia medzi dvoma hostiteľmi využívajú IPsec. Internet Key Exchange (IKE) poskytuje ochranu obsahu správ a tiež otvorený rámec pre implementáciu štandardných algoritmov, ako sú SHA a MD5. Používatelia IP sec algoritmu vytvárajú jedinečný identifikátor pre každý paket. Tento identifikátor potom umožňuje zariadeniu určiť, či bol paket správny alebo nie. Pakety, ktoré nie sú autorizované, sú vyradené a nie sú odovzdané príjemcovi.



Paket v internetovom protokole

Pakety v internetovom protokole

IP bezpečnostná architektúra

Architektúra IPSec (IP Security) využíva dva protokoly na zabezpečenie prevádzky alebo dátového toku. Týmito protokolmi sú ESP (Encapsulation Security Payload) a AH (Authentication Header). Architektúra IPSec zahŕňa protokoly, algoritmy, DOI a správu kľúčov. Všetky tieto komponenty sú veľmi dôležité pre poskytovanie troch hlavných služieb:

  • Dôvernosť
  • Autenticita
  • bezúhonnosť
IP bezpečnostná architektúra

IP bezpečnostná architektúra

Práca na zabezpečení IP

  • Hostiteľ skontroluje, či sa má paket preniesť pomocou IPsec alebo nie. Tento paketový prenos sám pre seba spúšťa bezpečnostnú politiku. Toto sa vykoná, keď systém odosielajúci paket použije vhodné šifrovanie. Prichádzajúce pakety sú tiež kontrolované hostiteľom, či sú zašifrované správne alebo nie.
  • Potom sa spustí fáza 1 IKE, v ktorej sa 2 hostitelia (pomocou IPsec) navzájom autentifikujú, aby spustili zabezpečený kanál. Má 2 režimy. Hlavný režim poskytuje vyššiu bezpečnosť a agresívny režim, ktorý umožňuje hostiteľovi rýchlejšie vytvoriť okruh IPsec.
  • Kanál vytvorený v poslednom kroku sa potom použije na bezpečné vyjednanie spôsobu, akým bude IP okruh šifrovať dáta v rámci IP okruhu.
  • Teraz je fáza IKE 2 vedená cez zabezpečený kanál, v ktorom si dvaja hostitelia dohodnú typ kryptografických algoritmov, ktoré sa majú použiť v relácii, a dohodnú sa na tajnom kľúčovom materiáli, ktorý sa má použiť s týmito algoritmami.
  • Potom sa údaje vymieňajú cez novovytvorený šifrovaný tunel IPsec. Tieto pakety sú šifrované a dešifrované hostiteľmi pomocou IPsec SA.
  • Po dokončení komunikácie medzi hostiteľmi alebo po vypršaní časového limitu relácie sa tunel IPsec ukončí zahodením kľúčov oboma hostiteľmi.

Vlastnosti IPSec

  1. Overenie: IPSec poskytuje autentifikáciu IP paketov pomocou digitálnych podpisov alebo zdieľaných tajomstiev. To pomáha zabezpečiť, aby sa s paketmi nemanipulovalo ani nefalšovali.
  2. Dôvernosť: IPSec poskytuje dôvernosť šifrovaním IP paketov, čím zabraňuje odpočúvaniu sieťovej prevádzky.
  3. Integrita: IPSec poskytuje integritu tým, že zabezpečuje, že IP pakety neboli počas prenosu zmenené alebo poškodené.
  4. Správa kľúčov: IPSec poskytuje služby správy kľúčov, vrátane výmeny kľúčov a ich odvolania, aby sa zabezpečilo bezpečné spravovanie kryptografických kľúčov.
  5. Tunelovanie: IPSec podporuje tunelovanie, čo umožňuje zapuzdrenie IP paketov v rámci iného protokolu, ako je GRE (Generic Routing Encapsulation) alebo L2TP (Layer 2 Tunneling Protocol).
  6. Flexibilita: IPSec je možné nakonfigurovať tak, aby poskytoval bezpečnosť pre širokú škálu sieťových topológií, vrátane pripojení point-to-point, site-to-site a pripojení vzdialeného prístupu.
  7. Interoperabilita: IPSec je otvorený štandardný protokol, čo znamená, že je podporovaný širokou škálou dodávateľov a môže byť použitý v heterogénnych prostrediach.

Výhody IPSec

  1. Silné zabezpečenie: IPSec poskytuje silné kryptografické bezpečnostné služby, ktoré pomáhajú chrániť citlivé údaje a zabezpečujú súkromie a integritu siete.
  2. Široká kompatibilita: IPSec je otvorený štandardný protokol, ktorý je široko podporovaný dodávateľmi a môže byť použitý v heterogénnych prostrediach.
  3. Flexibilita: IPSec je možné nakonfigurovať tak, aby poskytoval zabezpečenie pre širokú škálu sieťových topológií, vrátane pripojení point-to-point, site-to-site a pripojení vzdialeného prístupu.
  4. Škálovateľnosť: IPSec možno použiť na zabezpečenie rozsiahlych sietí a podľa potreby ho možno zväčšiť alebo zmenšiť.
  5. Vylepšený výkon siete: IPSec môže pomôcť zlepšiť výkon siete znížením preťaženia siete a zlepšením efektívnosti siete.

Nevýhody IPSec

  1. Zložitosť konfigurácie: Konfigurácia protokolu IPSec môže byť zložitá a vyžaduje si špecializované znalosti a zručnosti.
  2. Problémy s kompatibilitou: IPSec môže mať problémy s kompatibilitou s niektorými sieťovými zariadeniami a aplikáciami, čo môže viesť k problémom s interoperabilitou.
  3. Vplyv na výkon: IPSec môže ovplyvniť výkon siete kvôli réžii šifrovania a dešifrovania IP paketov.
  4. Správa kľúčov: IPSec vyžaduje efektívnu správu kľúčov na zaistenie bezpečnosti kryptografických kľúčov používaných na šifrovanie a autentifikáciu.
  5. Obmedzená ochrana: IPSec poskytuje ochranu iba pre IP prevádzku a ďalšie protokoly, ako napríklad ICMP, DNS a smerovacie protokoly, môžu byť stále zraniteľné voči útokom.