logo

TechCodeview

IP-sikkerhet (IPSec)

Forutsetning: Typer Internett-protokoller

IP Sec (Internet Protocol Security) er en Internet Engineering Task Force (IETF) standardpakke med protokoller mellom to kommunikasjonspunkter på tvers av IP-nettverket som gir dataautentisering, integritet og konfidensialitet. Den definerer også de krypterte, dekrypterte og autentiserte pakkene. Protokollene som trengs for sikker nøkkelutveksling og nøkkelhåndtering er definert i den.



Bruk av IP-sikkerhet

IPsec kan brukes til å gjøre følgende:

  • For å kryptere applikasjonslagsdata.
  • For å gi sikkerhet for rutere som sender rutingdata over det offentlige internett.
  • For å gi autentisering uten kryptering, lik å autentisere at dataene stammer fra en kjent avsender.
  • For å beskytte nettverksdata ved å sette opp kretser ved hjelp av IPsec-tunneling der alle data som sendes mellom de to endepunktene er kryptert, som med en VPN-tilkobling (Virtual Private Network).

Komponenter av IP-sikkerhet

Den har følgende komponenter:

  1. Encapsulating Security Payload (ESP)
  2. Autentiseringshode (AH)
  3. Internet Key Exchange (IKE)

1. Encapsulating Security Payload (ESP): Det gir dataintegritet, kryptering, autentisering og anti-replay. Det gir også autentisering for nyttelast.



2. Autentiseringshode (AH): Den gir også dataintegritet, autentisering og anti-replay, og den gir ikke kryptering. Antireplay-beskyttelsen beskytter mot uautorisert overføring av pakker. Det beskytter ikke datakonfidensialitet.

IP-overskrift

IP-overskrift

3. Internet Key Exchange (IKE): Det er en nettverkssikkerhetsprotokoll designet for å dynamisk utveksle krypteringsnøkler og finne en vei over Security Association (SA) mellom 2 enheter. Security Association (SA) etablerer delte sikkerhetsattributter mellom 2 nettverksenheter for å støtte sikker kommunikasjon. Key Management Protocol (ISAKMP) og Internet Security Association gir et rammeverk for autentisering og nøkkelutveksling. ISAKMP forteller hvordan oppsettet av Security Associations (SAs) og hvordan direkte forbindelser mellom to verter bruker IPsec. Internet Key Exchange (IKE) gir beskyttelse av meldingsinnhold og også en åpen ramme for implementering av standardalgoritmer som SHA og MD5. Algoritmens IP sek-brukere produserer en unik identifikator for hver pakke. Denne identifikatoren lar deretter en enhet bestemme om en pakke har vært riktig eller ikke. Pakker som ikke er autorisert, blir kastet og ikke gitt til mottakeren.



Pakke i Internett-protokoll

Pakker i Internett-protokoll

IP-sikkerhetsarkitektur

IPSec-arkitekturen (IP Security) bruker to protokoller for å sikre trafikken eller dataflyten. Disse protokollene er ESP (Encapsulation Security Payload) og AH (Authentication Header). IPSec Architecture inkluderer protokoller, algoritmer, DOI og nøkkeladministrasjon. Alle disse komponentene er svært viktige for å kunne tilby de tre hovedtjenestene:

  • konfidensialitet
  • Autentisitet
  • Integritet
IP-sikkerhetsarkitektur

IP-sikkerhetsarkitektur

Jobber med IP-sikkerhet

  • Verten sjekker om pakken skal overføres med IPsec eller ikke. Denne pakketrafikken utløser sikkerhetspolitikken for seg selv. Dette gjøres når systemet som sender pakken bruker passende kryptering. De innkommende pakkene sjekkes også av verten at de er riktig kryptert eller ikke.
  • Deretter starter IKE fase 1 der de 2 vertene (ved hjelp av IPsec) autentiserer seg overfor hverandre for å starte en sikker kanal. Den har 2 moduser. Hovedmodusen gir større sikkerhet og den aggressive modusen som gjør det mulig for verten å etablere en IPsec-krets raskere.
  • Kanalen som ble opprettet i det siste trinnet, brukes deretter til å forhandle sikkert frem måten IP-kretsen vil kryptere data på tvers av IP-kretsen.
  • Nå gjennomføres IKE-fase 2 over den sikre kanalen der de to vertene forhandler om typen kryptografiske algoritmer som skal brukes på økten og blir enige om hemmelig nøkkelmateriale som skal brukes med disse algoritmene.
  • Deretter utveksles dataene over den nyopprettede IPsec-krypterte tunnelen. Disse pakkene er kryptert og dekryptert av vertene ved hjelp av IPsec SA-er.
  • Når kommunikasjonen mellom vertene er fullført eller økten blir tidsavbrutt, avsluttes IPsec-tunnelen ved å forkaste nøklene av begge vertene.

Funksjoner til IPSec

  1. Autentisering: IPSec gir autentisering av IP-pakker ved hjelp av digitale signaturer eller delte hemmeligheter. Dette bidrar til å sikre at pakkene ikke blir tuklet med eller forfalsket.
  2. Konfidensialitet: IPSec gir konfidensialitet ved å kryptere IP-pakker, og forhindrer avlytting av nettverkstrafikken.
  3. Integritet: IPSec gir integritet ved å sikre at IP-pakker ikke har blitt endret eller ødelagt under overføring.
  4. Nøkkelledelse: IPSec tilbyr nøkkeladministrasjonstjenester, inkludert nøkkelutveksling og tilbaketrekking av nøkkel, for å sikre at kryptografiske nøkler administreres sikkert.
  5. Tunnelering: IPSec støtter tunneling, slik at IP-pakker kan innkapsles i en annen protokoll, for eksempel GRE (Generic Routing Encapsulation) eller L2TP (Layer 2 Tunneling Protocol).
  6. Fleksibilitet: IPSec kan konfigureres for å gi sikkerhet for et bredt spekter av nettverkstopologier, inkludert punkt-til-punkt, sted-til-sted og fjerntilgangstilkoblinger.
  7. Interoperabilitet: IPSec er en åpen standardprotokoll, noe som betyr at den støttes av et bredt spekter av leverandører og kan brukes i heterogene miljøer.

Fordeler med IPSec

  1. Sterk sikkerhet: IPSec tilbyr sterke kryptografiske sikkerhetstjenester som bidrar til å beskytte sensitive data og sikre nettverkspersonvern og integritet.
  2. Bred kompatibilitet: IPSec er en åpen standardprotokoll som er bredt støttet av leverandører og kan brukes i heterogene miljøer.
  3. Fleksibilitet: IPSec kan konfigureres for å gi sikkerhet for et bredt spekter av nettverkstopologier, inkludert punkt-til-punkt, sted-til-sted og fjerntilgangstilkoblinger.
  4. Skalerbarhet: IPSec kan brukes til å sikre storskala nettverk og kan skaleres opp eller ned etter behov.
  5. Forbedret nettverksytelse: IPSec kan bidra til å forbedre nettverksytelsen ved å redusere nettverksoverbelastning og forbedre nettverkseffektiviteten.

Ulemper med IPSec

  1. Konfigurasjonskompleksitet: IPSec kan være komplisert å konfigurere og krever spesialisert kunnskap og ferdigheter.
  2. Kompatibilitetsproblemer: IPSec kan ha kompatibilitetsproblemer med enkelte nettverksenheter og applikasjoner, noe som kan føre til interoperabilitetsproblemer.
  3. Ytelsespåvirkning: IPSec kan påvirke nettverksytelsen på grunn av overhead av kryptering og dekryptering av IP-pakker.
  4. Nøkkelledelse: IPSec krever effektiv nøkkeladministrasjon for å sikre sikkerheten til de kryptografiske nøklene som brukes til kryptering og autentisering.
  5. Begrenset beskyttelse: IPSec gir kun beskyttelse for IP-trafikk, og andre protokoller som ICMP, DNS og rutingprotokoller kan fortsatt være sårbare for angrep.