logo

TechCodeview

IP sauga (IPSec)

Būtina sąlyga: Interneto protokolo tipai

IP Sec (Internet Protocol Security) yra interneto inžinerijos darbo grupės (IETF) standartinis protokolų rinkinys tarp dviejų ryšio taškų visame IP tinkle, užtikrinantis duomenų autentifikavimą, vientisumą ir konfidencialumą. Jis taip pat apibrėžia užšifruotus, iššifruotus ir autentifikuotus paketus. Jame apibrėžti protokolai, reikalingi saugiam raktų mainams ir raktų valdymui.



IP saugos naudojimas

IPsec gali būti naudojamas šiems dalykams:

  • Norėdami užšifruoti taikomojo sluoksnio duomenis.
  • Suteikti saugumą kelvedžiams, siunčiantiems maršruto duomenis viešuoju internetu.
  • Jei norite užtikrinti autentifikavimą be šifravimo, kaip autentifikuoti, kad duomenys gaunami iš žinomo siuntėjo.
  • Norėdami apsaugoti tinklo duomenis, nustatydami grandines naudojant IPsec tuneliavimą, kuriame visi duomenys, siunčiami tarp dviejų galinių taškų, yra užšifruoti, kaip ir naudojant virtualiojo privataus tinklo (VPN) ryšį.

IP saugumo komponentai

Jame yra šie komponentai:

  1. Encapsulating Security Payload (ESP)
  2. Autentifikavimo antraštė (AH)
  3. Interneto raktų keitimas (IKE)

1. Apsaugos naudingoji apkrova (ESP): Tai užtikrina duomenų vientisumą, šifravimą, autentifikavimą ir apsaugą nuo atkūrimo. Tai taip pat suteikia naudingos apkrovos autentifikavimą.



2. Autentifikavimo antraštė (AH): Jis taip pat užtikrina duomenų vientisumą, autentifikavimą ir apsaugą nuo atkūrimo, o ne šifruoja. Apsauga nuo atkūrimo apsaugo nuo neteisėto paketų perdavimo. Tai neapsaugo duomenų konfidencialumo.

IP antraštė

IP antraštė

3. Interneto raktų keitimas (IKE): Tai tinklo saugos protokolas, sukurtas dinamiškai keistis šifravimo raktais ir rasti kelią per saugos asociaciją (SA) tarp 2 įrenginių. Saugumo asociacija (SA) nustato bendrus saugos atributus tarp 2 tinklo objektų, kad palaikytų saugų ryšį. Raktų valdymo protokolas (ISAKMP) ir interneto saugos asociacija suteikia autentifikavimo ir keitimosi raktais sistemą. ISAKMP nurodo, kaip nustatomos saugos asociacijos (SA) ir kaip tiesioginiai ryšiai tarp dviejų kompiuterių naudoja IPsec. „Internet Key Exchange“ (IKE) suteikia pranešimų turinio apsaugą ir atvirą rėmą standartiniams algoritmams, pvz., SHA ir MD5, įgyvendinti. Algoritmo IP sek vartotojai sukuria unikalų kiekvieno paketo identifikatorių. Šis identifikatorius leidžia įrenginiui nustatyti, ar paketas buvo teisingas, ar ne. Nepatvirtinti paketai išmetami ir neteikiami gavėjui.



Paketas interneto protokole

Paketai interneto protokole

IP saugumo architektūra

IPSec (IP Security) architektūra naudoja du protokolus, kad apsaugotų srautą arba duomenų srautą. Šie protokolai yra ESP (Encapsulation Security Payload) ir AH (autentifikavimo antraštė). IPSec architektūra apima protokolus, algoritmus, DOI ir raktų valdymą. Visi šie komponentai yra labai svarbūs norint teikti tris pagrindines paslaugas:

  • Konfidencialumas
  • Autentiškumas
  • Sąžiningumas
IP saugumo architektūra

IP saugumo architektūra

Darbas su IP apsauga

  • Priegloba tikrina, ar paketas turi būti perduotas naudojant IPsec, ar ne. Šis paketų srautas suaktyvina saugaus politiką. Tai daroma, kai paketą siunčianti sistema taiko atitinkamą šifravimą. Įeinantys paketai taip pat tikrinami pagrindinio kompiuterio, ar jie tinkamai užšifruoti, ar ne.
  • Tada prasideda IKE 1 fazė, kurioje 2 pagrindiniai kompiuteriai (naudojantys IPsec) patvirtina save vienas kitam, kad paleistų saugų kanalą. Jis turi 2 režimus. Pagrindinis režimas užtikrina didesnį saugumą, o agresyvus režimas leidžia pagrindiniam kompiuteriui greičiau sukurti IPsec grandinę.
  • Paskutiniame etape sukurtas kanalas naudojamas saugiai derėtis, kaip IP grandinė užšifruos duomenis IP grandinėje.
  • Dabar IKE 2 fazė vykdoma saugiu kanalu, kuriame du pagrindiniai kompiuteriai derasi dėl seanso naudojamų kriptografinių algoritmų tipo ir susitaria dėl slaptos raktų medžiagos, kuri bus naudojama su tais algoritmais.
  • Tada duomenimis keičiamasi per naujai sukurtą IPsec šifruotą tunelį. Šiuos paketus užšifruoja ir iššifruoja kompiuteriai naudodami IPsec SA.
  • Kai ryšys tarp prieglobų baigiamas arba pasibaigia seanso laikas, IPsec tunelis nutraukiamas abiem kompiuteriams atmetus raktus.

IPSec ypatybės

  1. Autentifikavimas: IPSec suteikia IP paketų autentifikavimą naudojant skaitmeninius parašus arba bendras paslaptis. Tai padeda užtikrinti, kad paketai nebūtų sugadinti ar suklastoti.
  2. Konfidencialumas: IPSec užtikrina konfidencialumą šifruodama IP paketus ir neleidžia pasiklausyti tinklo srauto.
  3. Vientisumas: IPSec užtikrina vientisumą užtikrindama, kad IP paketai nebuvo pakeisti ar sugadinti perdavimo metu.
  4. Raktų valdymas: IPSec teikia raktų valdymo paslaugas, įskaitant raktų keitimą ir raktų atšaukimą, kad užtikrintų, jog kriptografiniai raktai būtų saugiai valdomi.
  5. Tuneliavimas: IPSec palaiko tuneliavimą, leidžiantį IP paketus įtraukti į kitą protokolą, pvz., GRE (bendrojo maršruto įterpimo) arba L2TP (2 sluoksnio tuneliavimo protokolą).
  6. Lankstumas: IPSec galima sukonfigūruoti taip, kad būtų užtikrintas įvairių tinklo topologijų saugumas, įskaitant tašką į tašką, vietos į svetainę ir nuotolinės prieigos ryšius.
  7. Sąveika: IPSec yra atviro standarto protokolas, o tai reiškia, kad jį palaiko daugybė tiekėjų ir jis gali būti naudojamas nevienalytėje aplinkoje.

IPSec pranašumai

  1. Stiprus saugumas: IPSec teikia stiprias kriptografines saugos paslaugas, kurios padeda apsaugoti jautrius duomenis ir užtikrinti tinklo privatumą bei vientisumą.
  2. Platus suderinamumas: IPSec yra atviro standarto protokolas, kurį plačiai palaiko pardavėjai ir kuris gali būti naudojamas nevienalytėje aplinkoje.
  3. Lankstumas: IPSec galima sukonfigūruoti taip, kad būtų užtikrintas įvairių tinklo topologijų saugumas, įskaitant tašką į tašką, vietos į svetainę ir nuotolinės prieigos ryšius.
  4. Mastelio keitimas: IPSec gali būti naudojamas didelio masto tinklams apsaugoti ir, jei reikia, gali būti padidintas arba sumažintas.
  5. Pagerintas tinklo našumas: IPSec gali padėti pagerinti tinklo našumą mažinant tinklo perkrovą ir didinant tinklo efektyvumą.

IPSec trūkumai

  1. Konfigūracijos sudėtingumas: „IPSec“ gali būti sudėtinga konfigūruoti ir reikalauja specialių žinių bei įgūdžių.
  2. Suderinamumo problemos: IPSec gali turėti suderinamumo problemų su kai kuriais tinklo įrenginiais ir programomis, todėl gali kilti sąveikos problemų.
  3. Našumo poveikis: IPSec gali turėti įtakos tinklo našumui dėl papildomų šifravimo ir IP paketų iššifravimo išlaidų.
  4. Raktų valdymas: Norint užtikrinti šifravimui ir autentifikavimui naudojamų kriptografinių raktų saugumą, IPSec reikalingas veiksmingas raktų valdymas.
  5. Ribota apsauga: IPSec apsaugo tik IP srautą, o kiti protokolai, tokie kaip ICMP, DNS ir maršruto parinkimo protokolai, vis tiek gali būti pažeidžiami atakų.