logo

TechCodeview

IP-säkerhet (IPSec)

Nödvändig förutsättning: Typer av Internetprotokoll

IP Sec (Internet Protocol Security) är en standardsvit för Internet Engineering Task Force (IETF) med protokoll mellan två kommunikationspunkter över IP-nätverket som tillhandahåller datautentisering, integritet och konfidentialitet. Den definierar också de krypterade, dekrypterade och autentiserade paketen. De protokoll som behövs för säker nyckelutbyte och nyckelhantering definieras i den.



Användning av IP-säkerhet

IPsec kan användas för att göra följande:

  • För att kryptera applikationslagerdata.
  • För att tillhandahålla säkerhet för routrar som skickar routingdata över det offentliga internet.
  • För att tillhandahålla autentisering utan kryptering, gillar att autentisera att data kommer från en känd avsändare.
  • För att skydda nätverksdata genom att sätta upp kretsar med IPsec-tunnling där all data som skickas mellan de två ändpunkterna krypteras, som med en VPN-anslutning (Virtual Private Network).

Komponenter i IP-säkerhet

Den har följande komponenter:

  1. Encapsulating Security Payload (ESP)
  2. Autentiseringshuvud (AH)
  3. Internet Key Exchange (IKE)

1. Encapsulating Security Payload (ESP): Det ger dataintegritet, kryptering, autentisering och anti-replay. Det ger också autentisering för nyttolast.



2. Autentiseringshuvud (AH): Det ger också dataintegritet, autentisering och anti-replay och det ger inte kryptering. Antireplay-skyddet skyddar mot obehörig överföring av paket. Det skyddar inte datakonfidentialitet.

IP Header

IP Header

3. Internet Key Exchange (IKE): Det är ett nätverkssäkerhetsprotokoll designat för att dynamiskt utbyta krypteringsnycklar och hitta en väg över Security Association (SA) mellan 2 enheter. Security Association (SA) upprättar delade säkerhetsattribut mellan 2 nätverksenheter för att stödja säker kommunikation. Key Management Protocol (ISAKMP) och Internet Security Association tillhandahåller ett ramverk för autentisering och nyckelutbyte. ISAKMP berättar hur konfigurationen av säkerhetsföreningarna (SA) och hur direkta anslutningar mellan två värdar använder IPsec. Internet Key Exchange (IKE) ger skydd för meddelandeinnehåll och även en öppen ram för implementering av standardalgoritmer som SHA och MD5. Algoritmens IP-sek-användare producerar en unik identifierare för varje paket. Denna identifierare tillåter sedan en enhet att avgöra om ett paket har varit korrekt eller inte. Paket som inte är auktoriserade kasseras och ges inte till mottagaren.



Paket i Internet Protocol

Paket i Internet Protocol

IP-säkerhetsarkitektur

IPSec-arkitekturen (IP Security) använder två protokoll för att säkra trafiken eller dataflödet. Dessa protokoll är ESP (Encapsulation Security Payload) och AH (Authentication Header). IPSec Architecture inkluderar protokoll, algoritmer, DOI och nyckelhantering. Alla dessa komponenter är mycket viktiga för att kunna tillhandahålla de tre huvudtjänsterna:

  • Sekretess
  • Äkthet
  • Integritet
IP-säkerhetsarkitektur

IP-säkerhetsarkitektur

Jobbar med IP-säkerhet

  • Värden kontrollerar om paketet ska överföras med IPsec eller inte. Denna pakettrafik utlöser säkerhetspolicyn för sig själv. Detta görs när systemet som skickar paketet tillämpar lämplig kryptering. De inkommande paketen kontrolleras också av värden att de är korrekt krypterade eller inte.
  • Sedan startar IKE Fas 1 där de två värdarna (med IPsec) autentiserar sig för varandra för att starta en säker kanal. Den har 2 lägen. Huvudläget ger större säkerhet och det aggressiva läget som gör att värden kan etablera en IPsec-krets snabbare.
  • Kanalen som skapades i det sista steget används sedan för att säkert förhandla om hur IP-kretsen kommer att kryptera data över IP-kretsen.
  • Nu genomförs IKE-fasen 2 över den säkra kanalen där de två värdarna förhandlar om vilken typ av kryptografiska algoritmer som ska användas på sessionen och kommer överens om hemligt nyckelmaterial som ska användas med dessa algoritmer.
  • Sedan utbyts data över den nyskapade IPsec-krypterade tunneln. Dessa paket krypteras och dekrypteras av värdarna som använder IPsec SA.
  • När kommunikationen mellan värdarna är klar eller sessionen tar slut, avslutas IPsec-tunneln genom att nycklarna kasseras av båda värdarna.

Funktioner hos IPSec

  1. Autentisering: IPSec tillhandahåller autentisering av IP-paket med hjälp av digitala signaturer eller delade hemligheter. Detta hjälper till att säkerställa att paketen inte manipuleras eller förfalskas.
  2. Sekretess: IPSec ger konfidentialitet genom att kryptera IP-paket, vilket förhindrar avlyssning av nätverkstrafiken.
  3. Integritet: IPSec tillhandahåller integritet genom att säkerställa att IP-paket inte har modifierats eller skadats under överföringen.
  4. Nyckelhantering: IPSec tillhandahåller nyckelhanteringstjänster, inklusive nyckelutbyte och nycklaråterkallelse, för att säkerställa att kryptografiska nycklar hanteras säkert.
  5. Tunnling: IPSec stöder tunnling, vilket gör att IP-paket kan kapslas in i ett annat protokoll, såsom GRE (Generic Routing Encapsulation) eller L2TP (Layer 2 Tunneling Protocol).
  6. Flexibilitet: IPSec kan konfigureras för att tillhandahålla säkerhet för ett brett utbud av nätverkstopologier, inklusive punkt-till-punkt-, plats-till-plats- och fjärråtkomstanslutningar.
  7. Interoperabilitet: IPSec är ett öppet standardprotokoll, vilket innebär att det stöds av ett brett utbud av leverantörer och kan användas i heterogena miljöer.

Fördelar med IPSec

  1. Stark säkerhet: IPSec tillhandahåller starka kryptografiska säkerhetstjänster som hjälper till att skydda känslig data och säkerställa nätverkets integritet och integritet.
  2. Bred kompatibilitet: IPSec är ett öppet standardprotokoll som stöds brett av leverantörer och som kan användas i heterogena miljöer.
  3. Flexibilitet: IPSec kan konfigureras för att tillhandahålla säkerhet för ett brett utbud av nätverkstopologier, inklusive punkt-till-punkt-, plats-till-plats- och fjärråtkomstanslutningar.
  4. Skalbarhet: IPSec kan användas för att säkra storskaliga nätverk och kan skalas upp eller ner efter behov.
  5. Förbättrad nätverksprestanda: IPSec kan hjälpa till att förbättra nätverkets prestanda genom att minska nätverksöverbelastning och förbättra nätverkseffektiviteten.

Nackdelar med IPSec

  1. Konfigurationskomplexitet: IPSec kan vara komplex att konfigurera och kräver specialiserade kunskaper och färdigheter.
  2. Kompatibilitetsproblem: IPSec kan ha kompatibilitetsproblem med vissa nätverksenheter och applikationer, vilket kan leda till interoperabilitetsproblem.
  3. Resultatpåverkan: IPSec kan påverka nätverkets prestanda på grund av överkostnaderna för kryptering och dekryptering av IP-paket.
  4. Nyckelhantering: IPSec kräver effektiv nyckelhantering för att säkerställa säkerheten för de kryptografiska nycklar som används för kryptering och autentisering.
  5. Begränsat skydd: IPSec ger endast skydd för IP-trafik, och andra protokoll som ICMP, DNS och routingprotokoll kan fortfarande vara sårbara för attacker.