logo

TechCodeview

Безпека IP (IPSec)

Попередні умови: Типи Інтернет-протоколу

IP Sec (Internet Protocol Security) — це стандартний набір протоколів Internet Engineering Task Force (IETF) між двома точками зв’язку в мережі IP, які забезпечують автентифікацію даних, цілісність і конфіденційність. Він також визначає зашифровані, розшифровані та автентифіковані пакети. У ньому визначено протоколи, необхідні для безпечного обміну ключами та керування ключами.



Використання безпеки IP

IPsec можна використовувати для таких речей:

  • Для шифрування даних прикладного рівня.
  • Для забезпечення безпеки маршрутизаторів, які надсилають дані маршрутизації через загальнодоступний Інтернет.
  • Щоб забезпечити автентифікацію без шифрування, подібно до автентифікації, що дані походять від відомого відправника.
  • Щоб захистити мережеві дані, налаштуйте схеми за допомогою тунелювання IPsec, у якому всі дані, що надсилаються між двома кінцевими точками, зашифровані, як у випадку з’єднання віртуальної приватної мережі (VPN).

Компоненти безпеки IP

Він має такі компоненти:

  1. Інкапсуляція корисного навантаження безпеки (ESP)
  2. Заголовок автентифікації (AH)
  3. Інтернет-обмін ключами (IKE)

1. Інкапсуляція корисного навантаження безпеки (ESP): Він забезпечує цілісність даних, шифрування, автентифікацію та захист від повторного відтворення. Він також забезпечує автентифікацію корисного навантаження.



2. Заголовок автентифікації (AH): Він також забезпечує цілісність даних, автентифікацію та захист від повторного відтворення та не забезпечує шифрування. Захист від повторного відтворення захищає від несанкціонованої передачі пакетів. Це не захищає конфіденційність даних.

IP-заголовок

IP-заголовок

3. Інтернет-обмін ключами (IKE): Це протокол безпеки мережі, розроблений для динамічного обміну ключами шифрування та пошуку шляху через асоціацію безпеки (SA) між 2 пристроями. Асоціація безпеки (SA) встановлює спільні атрибути безпеки між 2 об’єктами мережі для підтримки безпечного зв’язку. Протокол керування ключами (ISAKMP) і Internet Security Association забезпечують основу для автентифікації та обміну ключами. ISAKMP розповідає, як налаштовано асоціації безпеки (SA) і як прямі з’єднання між двома хостами використовують IPsec. Обмін ключами в Інтернеті (IKE) забезпечує захист вмісту повідомлення, а також відкритий фрейм для реалізації стандартних алгоритмів, таких як SHA та MD5. Користувачі алгоритму IP sec створюють унікальний ідентифікатор для кожного пакета. Потім цей ідентифікатор дозволяє пристрою визначити, чи правильний пакет чи ні. Пакети, які не авторизовані, відкидаються та не передаються одержувачу.



Пакет в Інтернет-протоколу

Пакети в Інтернет-протоколі

Архітектура безпеки IP

Архітектура IPSec (IP Security) використовує два протоколи для захисту трафіку або потоку даних. Це протоколи ESP (Encapsulation Security Payload) і AH (Authentication Header). Архітектура IPSec включає протоколи, алгоритми, DOI та керування ключами. Усі ці компоненти дуже важливі для надання трьох основних послуг:

  • Конфіденційність
  • Автентичність
  • Цілісність
Архітектура безпеки IP

Архітектура безпеки IP

Робота над захистом IP

  • Хост перевіряє, чи потрібно передати пакет за допомогою IPsec чи ні. Цей пакетний трафік запускає для себе політику безпеки. Це робиться, коли система, яка надсилає пакет, застосовує відповідне шифрування. Вхідні пакети також перевіряються хостом, чи правильно вони зашифровані чи ні.
  • Потім починається фаза 1 IKE, на якій 2 хости (за допомогою IPsec) автентифікуються один перед одним, щоб запустити безпечний канал. Має 2 режими. Основний режим забезпечує більшу безпеку, а агресивний режим дає змогу хосту швидше встановити канал IPsec.
  • Канал, створений на останньому кроці, потім використовується для безпечного узгодження того, як IP-ланцюг шифруватиме дані через IP-ланцюг.
  • Тепер Фаза 2 IKE проводиться через захищений канал, у якому два хости узгоджують тип криптографічних алгоритмів для використання в сеансі та узгоджують матеріал секретного ключа, який буде використовуватися з цими алгоритмами.
  • Потім відбувається обмін даними через щойно створений зашифрований тунель IPsec. Ці пакети шифруються та розшифровуються хостами за допомогою IPsec SA.
  • Коли зв’язок між хостами завершується або час очікування сеансу завершується, тунель IPsec припиняється шляхом відкидання ключів обома хостами.

Особливості IPSec

  1. Автентифікація: IPSec забезпечує автентифікацію IP-пакетів за допомогою цифрових підписів або спільних секретів. Це допомагає гарантувати, що пакети не будуть підроблені або підроблені.
  2. Конфіденційність: IPSec забезпечує конфіденційність, шифруючи IP-пакети, запобігаючи прослуховування мережевого трафіку.
  3. Цілісність: IPSec забезпечує цілісність, гарантуючи, що IP-пакети не були змінені або пошкоджені під час передачі.
  4. Керування ключами: IPSec надає послуги керування ключами, включаючи обмін ключами та відкликання ключів, щоб забезпечити безпечне керування криптографічними ключами.
  5. Тунелювання: IPSec підтримує тунелювання, дозволяючи інкапсулювати IP-пакети в інший протокол, наприклад GRE (загальна інкапсуляція маршрутизації) або L2TP (протокол тунелювання рівня 2).
  6. Гнучкість: IPSec можна налаштувати для забезпечення безпеки для широкого діапазону мережевих топологій, включаючи з’єднання «точка-точка», «сайт-сайт» і віддалений доступ.
  7. сумісність: IPSec є відкритим стандартним протоколом, що означає, що він підтримується багатьма постачальниками та може використовуватися в гетерогенних середовищах.

Переваги IPSec

  1. Сильна безпека: IPSec надає надійні служби криптографічної безпеки, які допомагають захистити конфіденційні дані та забезпечити конфіденційність і цілісність мережі.
  2. Широка сумісність: IPSec — це відкритий стандартний протокол, який широко підтримується постачальниками та може використовуватися в гетерогенних середовищах.
  3. Гнучкість: IPSec можна налаштувати для забезпечення безпеки для широкого діапазону мережевих топологій, включаючи з’єднання «точка-точка», «сайт-сайт» і віддалений доступ.
  4. Масштабованість: IPSec можна використовувати для захисту великомасштабних мереж і за потреби можна збільшити або зменшити.
  5. Покращена продуктивність мережі: IPSec може допомогти покращити продуктивність мережі, зменшивши перевантаження мережі та підвищивши ефективність мережі.

Недоліки IPSec

  1. Складність конфігурації: IPSec може бути складним для налаштування та вимагає спеціальних знань і навичок.
  2. Проблеми сумісності: IPSec може мати проблеми сумісності з деякими мережевими пристроями та програмами, що може призвести до проблем сумісності.
  3. Вплив продуктивності: IPSec може впливати на продуктивність мережі через накладні витрати на шифрування та дешифрування IP-пакетів.
  4. Керування ключами: IPSec вимагає ефективного керування ключами для забезпечення безпеки криптографічних ключів, які використовуються для шифрування та автентифікації.
  5. Обмежений захист: IPSec забезпечує захист лише для IP-трафіку, а інші протоколи, такі як ICMP, DNS і протоколи маршрутизації, можуть бути вразливими до атак.