logo

TechCodeview

IP-sikkerhed (IPSec)

Forudsætning: Typer af internetprotokol

IP Sec (Internet Protocol Security) er en Internet Engineering Task Force (IETF) standardpakke af protokoller mellem to kommunikationspunkter på tværs af IP-netværket, der giver datagodkendelse, integritet og fortrolighed. Den definerer også de krypterede, dekrypterede og autentificerede pakker. De nødvendige protokoller til sikker nøgleudveksling og nøglehåndtering er defineret i den.



Brug af IP-sikkerhed

IPsec kan bruges til at gøre følgende:

  • For at kryptere applikationslagsdata.
  • For at give sikkerhed for routere, der sender routingdata over det offentlige internet.
  • For at give godkendelse uden kryptering, gerne godkende, at dataene stammer fra en kendt afsender.
  • For at beskytte netværksdata ved at opsætte kredsløb ved hjælp af IPsec-tunneling, hvor alle data, der sendes mellem de to endepunkter, er krypteret, som med en Virtual Private Network (VPN)-forbindelse.

Komponenter i IP-sikkerhed

Den har følgende komponenter:

  1. Encapsulating Security Payload (ESP)
  2. Authentication Header (AH)
  3. Internet Key Exchange (IKE)

1. Encapsulating Security Payload (ESP): Det giver dataintegritet, kryptering, autentificering og anti-genafspilning. Det giver også godkendelse for nyttelast.



2. Authentication Header (AH): Det giver også dataintegritet, autentificering og anti-afspilning, og det giver ikke kryptering. Anti-genafspilningsbeskyttelsen beskytter mod uautoriseret transmission af pakker. Det beskytter ikke datafortrolighed.

IP Header

IP Header

3. Internet Key Exchange (IKE): Det er en netværkssikkerhedsprotokol designet til dynamisk at udveksle krypteringsnøgler og finde en vej over Security Association (SA) mellem 2 enheder. Security Association (SA) etablerer delte sikkerhedsattributter mellem 2 netværksenheder for at understøtte sikker kommunikation. Key Management Protocol (ISAKMP) og Internet Security Association giver en ramme for godkendelse og nøgleudveksling. ISAKMP fortæller, hvordan opsætningen af ​​sikkerhedsforeningerne (SA'er) og hvordan direkte forbindelser mellem to værter bruger IPsec. Internet Key Exchange (IKE) giver beskyttelse af beskedindhold og også en åben ramme til implementering af standardalgoritmer som SHA og MD5. Algoritmens IP sec-brugere producerer en unik identifikator for hver pakke. Denne identifikator giver derefter en enhed mulighed for at bestemme, om en pakke har været korrekt eller ej. Pakker, der ikke er godkendt, kasseres og gives ikke til modtageren.



Pakke i internetprotokol

Pakker i internetprotokol

IP-sikkerhedsarkitektur

IPSec (IP Security) arkitektur bruger to protokoller til at sikre trafikken eller datastrømmen. Disse protokoller er ESP (Encapsulation Security Payload) og AH (Authentication Header). IPSec Architecture inkluderer protokoller, algoritmer, DOI og Key Management. Alle disse komponenter er meget vigtige for at kunne levere de tre hovedtjenester:

  • Fortrolighed
  • Autenticitet
  • Integritet
IP-sikkerhedsarkitektur

IP-sikkerhedsarkitektur

Arbejder med IP-sikkerhed

  • Værten tjekker, om pakken skal transmitteres ved hjælp af IPsec eller ej. Denne pakketrafik udløser sikkerhedspolitikken for sig selv. Dette gøres, når systemet, der sender pakken, anvender passende kryptering. De indkommende pakker kontrolleres også af værten, om de er krypteret korrekt eller ej.
  • Så starter IKE fase 1, hvor de 2 værter (ved hjælp af IPsec) godkender sig selv over for hinanden for at starte en sikker kanal. Den har 2 tilstande. Hovedtilstanden giver større sikkerhed og Aggressiv tilstand, som gør det muligt for værten at etablere et IPsec-kredsløb hurtigere.
  • Den kanal, der blev oprettet i det sidste trin, bruges derefter til sikkert at forhandle den måde, IP-kredsløbet vil kryptere data på tværs af IP-kredsløbet.
  • Nu udføres IKE fase 2 over den sikre kanal, hvor de to værter forhandler hvilken type kryptografiske algoritmer, der skal bruges på sessionen, og aftaler hemmeligt nøglemateriale, der skal bruges med disse algoritmer.
  • Derefter udveksles data på tværs af den nyoprettede IPsec-krypterede tunnel. Disse pakker krypteres og dekrypteres af værterne ved hjælp af IPsec SA'er.
  • Når kommunikationen mellem værterne er afsluttet, eller sessionen timeout, afsluttes IPsec-tunnelen ved at kassere nøglerne af begge værter.

Funktioner i IPSec

  1. Godkendelse: IPSec giver godkendelse af IP-pakker ved hjælp af digitale signaturer eller delte hemmeligheder. Dette er med til at sikre, at pakkerne ikke bliver pillet ved eller forfalsket.
  2. Fortrolighed: IPSec giver fortrolighed ved at kryptere IP-pakker, hvilket forhindrer aflytning af netværkstrafikken.
  3. Integritet: IPSec giver integritet ved at sikre, at IP-pakker ikke er blevet ændret eller ødelagt under transmissionen.
  4. Nøglestyring: IPSec leverer nøgleadministrationstjenester, herunder nøgleudveksling og nøgletilbagekaldelse, for at sikre, at kryptografiske nøgler administreres sikkert.
  5. Tunnelering: IPSec understøtter tunneling, hvilket tillader IP-pakker at blive indkapslet i en anden protokol, såsom GRE (Generic Routing Encapsulation) eller L2TP (Layer 2 Tunneling Protocol).
  6. Fleksibilitet: IPSec kan konfigureres til at give sikkerhed for en bred vifte af netværkstopologier, herunder punkt-til-punkt-, site-to-site- og fjernadgangsforbindelser.
  7. Interoperabilitet: IPSec er en åben standardprotokol, hvilket betyder, at den understøttes af en lang række leverandører og kan bruges i heterogene miljøer.

Fordele ved IPSec

  1. Stærk sikkerhed: IPSec leverer stærke kryptografiske sikkerhedstjenester, der hjælper med at beskytte følsomme data og sikre netværkets privatliv og integritet.
  2. Bred kompatibilitet: IPSec er en åben standardprotokol, der er bredt understøttet af leverandører og kan bruges i heterogene miljøer.
  3. Fleksibilitet: IPSec kan konfigureres til at give sikkerhed for en bred vifte af netværkstopologier, herunder punkt-til-punkt-, site-to-site- og fjernadgangsforbindelser.
  4. Skalerbarhed: IPSec kan bruges til at sikre store netværk og kan skaleres op eller ned efter behov.
  5. Forbedret netværksydelse: IPSec kan hjælpe med at forbedre netværkets ydeevne ved at reducere netværksoverbelastning og forbedre netværkseffektiviteten.

Ulemper ved IPSec

  1. Konfigurationskompleksitet: IPSec kan være kompleks at konfigurere og kræver specialiseret viden og færdigheder.
  2. Problemer med kompatibilitet: IPSec kan have kompatibilitetsproblemer med nogle netværksenheder og applikationer, hvilket kan føre til interoperabilitetsproblemer.
  3. Effektivitet: IPSec kan påvirke netværkets ydeevne på grund af overhead af kryptering og dekryptering af IP-pakker.
  4. Nøglestyring: IPSec kræver effektiv nøglehåndtering for at sikre sikkerheden af ​​de kryptografiske nøgler, der bruges til kryptering og godkendelse.
  5. Begrænset beskyttelse: IPSec giver kun beskyttelse af IP-trafik, og andre protokoller såsom ICMP, DNS og routing-protokoller kan stadig være sårbare over for angreb.