logo

TechCodeview

IP drošība (IPSec)

Priekšnosacījums: Interneta protokola veidi

IP Sec (Internet Protocol Security) ir interneta inženierijas darba grupas (IETF) standarta protokolu komplekts starp diviem sakaru punktiem visā IP tīklā, kas nodrošina datu autentifikāciju, integritāti un konfidencialitāti. Tas arī nosaka šifrētās, atšifrētās un autentificētās paketes. Tajā ir definēti drošai atslēgu apmaiņai un atslēgu pārvaldībai nepieciešamie protokoli.



IP drošības lietojumi

IPsec var izmantot, lai veiktu šādas darbības:

  • Lai šifrētu lietojumprogrammas slāņa datus.
  • Lai nodrošinātu drošību maršrutētājiem, kas sūta maršrutēšanas datus pa publisko internetu.
  • Lai nodrošinātu autentifikāciju bez šifrēšanas, piemēram, autentificētu, ka dati ir no zināma sūtītāja.
  • Lai aizsargātu tīkla datus, iestatot shēmas, izmantojot IPsec tunelēšanu, kurā visi dati, kas tiek sūtīti starp diviem galapunktiem, tiek šifrēti, tāpat kā ar virtuālā privātā tīkla (VPN) savienojumu.

IP drošības sastāvdaļas

Tam ir šādas sastāvdaļas:

  1. Iekapsulēšanas drošības kravnesība (ESP)
  2. Autentifikācijas galvene (AH)
  3. Interneta atslēgu apmaiņa (IKE)

1. Incapsulating Security Payload (ESP): Tas nodrošina datu integritāti, šifrēšanu, autentifikāciju un pretatskaņošanu. Tas nodrošina arī lietderīgās slodzes autentifikāciju.



2. Autentifikācijas galvene (AH): Tas arī nodrošina datu integritāti, autentifikāciju un pretatkārtošanu, un tas nenodrošina šifrēšanu. Aizsardzība pret atkārtošanu aizsargā pret nesankcionētu pakešu pārsūtīšanu. Tas neaizsargā datu konfidencialitāti.

IP galvene

IP galvene

3. Interneta atslēgu apmaiņa (IKE): Tas ir tīkla drošības protokols, kas izstrādāts, lai dinamiski apmainītos ar šifrēšanas atslēgām un atrastu ceļu pār drošības asociāciju (SA) starp 2 ierīcēm. Drošības asociācija (SA) izveido kopīgus drošības atribūtus starp 2 tīkla entītijām, lai atbalstītu drošu saziņu. Atslēgu pārvaldības protokols (ISAKMP) un interneta drošības asociācija nodrošina autentifikācijas un atslēgu apmaiņas sistēmu. ISAKMP stāsta, kā tiek iestatītas drošības asociācijas (SA) un kā tiešie savienojumi starp diviem resursdatoriem tiek izmantoti, izmantojot IPsec. Interneta atslēgu apmaiņa (IKE) nodrošina ziņojumu satura aizsardzību un arī atvērtu rāmi standarta algoritmu, piemēram, SHA un MD5, ieviešanai. Algoritma IP sec lietotāji katrai paketei izveido unikālu identifikatoru. Pēc tam šis identifikators ļauj ierīcei noteikt, vai pakete ir bijusi pareiza. Paketes, kas nav autorizētas, tiek izmestas un netiek nodotas saņēmējam.



Pakete interneta protokolā

Paketes interneta protokolā

IP drošības arhitektūra

IPSec (IP Security) arhitektūra izmanto divus protokolus, lai nodrošinātu trafika vai datu plūsmu. Šie protokoli ir ESP (Encapsulation Security Payload) un AH (autentifikācijas galvene). IPSec arhitektūra ietver protokolus, algoritmus, DOI un atslēgu pārvaldību. Visas šīs sastāvdaļas ir ļoti svarīgas, lai nodrošinātu trīs galvenos pakalpojumus:

  • Konfidencialitāte
  • Autentiskums
  • Integritāte
IP drošības arhitektūra

IP drošības arhitektūra

Darbs pie IP drošības

  • Resursdators pārbauda, ​​vai pakete ir jāpārsūta, izmantojot IPsec. Šī pakešu trafika pati iedarbina drošības politiku. Tas tiek darīts, ja sistēma, kas nosūta paketi, piemēro atbilstošu šifrēšanu. Ienākošās paketes arī pārbauda resursdators, vai tās ir pareizi šifrētas.
  • Pēc tam sākas IKE 1. fāze, kurā divi saimniekdatori (izmantojot IPsec) autentificējas viens otram, lai sāktu drošu kanālu. Tam ir 2 režīmi. Galvenais režīms nodrošina lielāku drošību un Agresīvais režīms, kas ļauj saimniekdatoram ātrāk izveidot IPsec ķēdi.
  • Pēdējā darbībā izveidotais kanāls tiek izmantots, lai droši vienoties par veidu, kādā IP ķēde šifrēs datus visā IP ķēdē.
  • Tagad IKE 2. fāze tiek veikta, izmantojot drošu kanālu, kurā abi resursdatori vienojas par sesijā izmantojamo kriptogrāfisko algoritmu veidu un vienojas par slepeno atslēgu materiālu, kas tiks izmantots ar šiem algoritmiem.
  • Pēc tam dati tiek apmainīti jaunizveidotajā IPsec šifrētajā tunelī. Šīs paketes šifrē un atšifrē saimniekdatori, izmantojot IPsec SA.
  • Kad saziņa starp resursdatoriem ir pabeigta vai sesijas noildze tiek pārtraukta, IPsec tunelis tiek pārtraukts, abiem resursdatoriem atmetot atslēgas.

IPSec funkcijas

  1. Autentifikācija: IPSec nodrošina IP pakešu autentifikāciju, izmantojot ciparparakstus vai koplietotus noslēpumus. Tas palīdz nodrošināt, ka paketes netiek bojātas vai viltotas.
  2. Konfidencialitāte: IPSec nodrošina konfidencialitāti, šifrējot IP paketes, novēršot tīkla trafika noklausīšanos.
  3. Integritāte: IPSec nodrošina integritāti, nodrošinot, ka IP paketes pārraides laikā nav mainītas vai bojātas.
  4. Atslēgu pārvaldība: IPSec nodrošina atslēgu pārvaldības pakalpojumus, tostarp atslēgu apmaiņu un atslēgu atsaukšanu, lai nodrošinātu kriptogrāfisko atslēgu drošu pārvaldību.
  5. Tunelēšana: IPSec atbalsta tunelēšanu, ļaujot IP paketes iekapsulēt citā protokolā, piemēram, GRE (Generic Routing Encapsulation) vai L2TP (2. slāņa tunelēšanas protokols).
  6. Elastība: IPSec var konfigurēt, lai nodrošinātu drošību plašam tīkla topoloģiju klāstam, tostarp no punkta līdz punktam, no vienas vietas uz vietni un attālās piekļuves savienojumiem.
  7. Sadarbspēja: IPSec ir atvērtā standarta protokols, kas nozīmē, ka to atbalsta plašs pārdevēju klāsts un to var izmantot neviendabīgās vidēs.

IPSec priekšrocības

  1. Spēcīga drošība: IPSec nodrošina spēcīgus kriptogrāfijas drošības pakalpojumus, kas palīdz aizsargāt sensitīvus datus un nodrošina tīkla privātumu un integritāti.
  2. Plaša saderība: IPSec ir atvērtā standarta protokols, ko plaši atbalsta pārdevēji un ko var izmantot neviendabīgās vidēs.
  3. Elastība: IPSec var konfigurēt, lai nodrošinātu drošību plašam tīkla topoloģiju klāstam, tostarp no punkta līdz punktam, no vienas vietas uz vietni un attālās piekļuves savienojumiem.
  4. Mērogojamība: IPSec var izmantot, lai nodrošinātu liela mēroga tīklus, un pēc vajadzības to var palielināt vai samazināt.
  5. Uzlabota tīkla veiktspēja: IPSec var palīdzēt uzlabot tīkla veiktspēju, samazinot tīkla pārslodzes un uzlabojot tīkla efektivitāti.

IPSec trūkumi

  1. Konfigurācijas sarežģītība: IPSec konfigurēšana var būt sarežģīta, un tai ir nepieciešamas īpašas zināšanas un prasmes.
  2. Saderības problēmas: IPSec var rasties saderības problēmas ar dažām tīkla ierīcēm un lietojumprogrammām, kas var izraisīt sadarbspējas problēmas.
  3. Ietekme uz veiktspēju: IPSec var ietekmēt tīkla veiktspēju IP pakešu šifrēšanas un atšifrēšanas pārslodzes dēļ.
  4. Atslēgu pārvaldība: IPSec ir nepieciešama efektīva atslēgu pārvaldība, lai nodrošinātu šifrēšanai un autentifikācijai izmantoto kriptogrāfisko atslēgu drošību.
  5. Ierobežota aizsardzība: IPSec nodrošina tikai IP trafika aizsardzību, un citi protokoli, piemēram, ICMP, DNS un maršrutēšanas protokoli, joprojām var būt neaizsargāti pret uzbrukumiem.