logo

TechCodeview

securitate IP (IPSec)

Cerință prealabilă: Tipuri de protocol de internet

IP Sec (Internet Protocol Security) este o suită standard de protocoale IETF (Internet Engineering Task Force) între două puncte de comunicație din rețeaua IP care asigură autentificarea, integritatea și confidențialitatea datelor. De asemenea, definește pachetele criptate, decriptate și autentificate. În acesta sunt definite protocoalele necesare pentru schimbul securizat de chei și managementul cheilor.



Utilizări ale securității IP

IPsec poate fi folosit pentru a face următoarele lucruri:

  • Pentru a cripta datele stratului de aplicație.
  • Pentru a oferi securitate pentru routerele care trimit date de rutare prin internetul public.
  • Pentru a oferi autentificare fără criptare, vă place să vă autentificați că datele provin de la un expeditor cunoscut.
  • Pentru a proteja datele rețelei prin configurarea circuitelor folosind tunelul IPsec în care toate datele trimise între cele două puncte finale sunt criptate, ca și în cazul unei conexiuni la rețea privată virtuală (VPN).

Componentele securității IP

Are următoarele componente:

  1. Încapsularea sarcinii utile de securitate (ESP)
  2. Antet de autentificare (AH)
  3. Schimb de chei pe internet (IKE)

1. Încărcătura utilă de securitate încapsulată (ESP): Oferă integritatea datelor, criptare, autentificare și anti-reluare. De asemenea, oferă autentificare pentru încărcarea utilă.



2. Antet de autentificare (AH): De asemenea, oferă integritatea datelor, autentificare și anti-reluare și nu oferă criptare. Protecția anti-reluare protejează împotriva transmiterii neautorizate a pachetelor. Nu protejează confidențialitatea datelor.

Antet IP

Antet IP

3. Schimb de chei pe internet (IKE): Este un protocol de securitate al rețelei conceput pentru a schimba în mod dinamic cheile de criptare și pentru a găsi o cale peste Asociația de Securitate (SA) între 2 dispozitive. Asociația de securitate (SA) stabilește atribute de securitate partajate între 2 entități de rețea pentru a sprijini comunicarea securizată. Protocolul de gestionare a cheilor (ISAKMP) și Asociația de securitate a internetului oferă un cadru pentru autentificare și schimb de chei. ISAKMP spune cum se configurează Asociațiile de Securitate (SA) și cum conexiunile directe între două gazde folosesc IPsec. Internet Key Exchange (IKE) oferă protecție pentru conținutul mesajelor și, de asemenea, un cadru deschis pentru implementarea algoritmilor standard, cum ar fi SHA și MD5. Utilizatorii IP sec ai algoritmului produc un identificator unic pentru fiecare pachet. Acest identificator permite apoi unui dispozitiv să determine dacă un pachet a fost corect sau nu. Pachetele care nu sunt autorizate sunt aruncate și nu sunt date destinatarului.



Pachetul în protocol Internet

Pachete în Internet Protocol

Arhitectura de securitate IP

Arhitectura IPSec (Securitate IP) folosește două protocoale pentru a securiza traficul sau fluxul de date. Aceste protocoale sunt ESP (Encapsulation Security Payload) și AH (Authentication Header). Arhitectura IPSec include protocoale, algoritmi, DOI și managementul cheilor. Toate aceste componente sunt foarte importante pentru a oferi cele trei servicii principale:

  • Confidențialitate
  • Autenticitate
  • Integritate
Arhitectura de securitate IP

Arhitectura de securitate IP

Lucrează la securitatea IP

  • Gazda verifică dacă pachetul trebuie transmis folosind IPsec sau nu. Acest trafic de pachete declanșează singur politica de securitate. Acest lucru se face atunci când sistemul care trimite pachetul aplică criptarea adecvată. Pachetele primite sunt, de asemenea, verificate de gazdă dacă sunt criptate corect sau nu.
  • Apoi începe faza 1 IKE, în care cele 2 gazde (folosind IPsec) se autentifică între ele pentru a porni un canal securizat. Are 2 moduri. Modul principal oferă o securitate mai mare, iar modul agresiv, care permite gazdei să stabilească un circuit IPsec mai rapid.
  • Canalul creat în ultimul pas este apoi folosit pentru a negocia în siguranță modul în care circuitul IP va cripta datele prin circuitul IP.
  • Acum, Faza 2 IKE se desfășoară pe canalul securizat în care cele două gazde negociază tipul de algoritmi criptografici pe care să îi folosească în sesiune și convin asupra materialului secret de cheie care urmează să fie utilizat cu acești algoritmi.
  • Apoi datele sunt schimbate prin tunelul criptat IPsec nou creat. Aceste pachete sunt criptate și decriptate de către gazde folosind IPsec SA.
  • Când comunicarea dintre gazde este finalizată sau sesiunea expiră, tunelul IPsec este încheiat prin eliminarea cheilor de către ambele gazde.

Caracteristicile IPSec

  1. Autentificare: IPSec oferă autentificarea pachetelor IP folosind semnături digitale sau secrete partajate. Acest lucru vă ajută să vă asigurați că pachetele nu sunt modificate sau falsificate.
  2. Confidențialitate: IPSec oferă confidențialitate prin criptarea pachetelor IP, prevenind interceptarea traficului de rețea.
  3. Integritate: IPSec asigură integritate prin asigurarea faptului că pachetele IP nu au fost modificate sau corupte în timpul transmisiei.
  4. Managementul cheilor: IPSec oferă servicii de gestionare a cheilor, inclusiv schimbul de chei și revocarea cheilor, pentru a se asigura că cheile criptografice sunt gestionate în siguranță.
  5. Tunnel: IPSec acceptă tunelarea, permițând pachetelor IP să fie încapsulate într-un alt protocol, cum ar fi GRE (Generic Routing Encapsulation) sau L2TP (Layer 2 Tunneling Protocol).
  6. Flexibilitate: IPSec poate fi configurat pentru a oferi securitate pentru o gamă largă de topologii de rețea, inclusiv conexiuni punct la punct, de la site la site și de la distanță.
  7. Interoperabilitate: IPSec este un protocol standard deschis, ceea ce înseamnă că este susținut de o gamă largă de furnizori și poate fi utilizat în medii eterogene.

Avantajele IPSec

  1. Securitate puternică: IPSec oferă servicii de securitate criptografică puternice care ajută la protejarea datelor sensibile și asigură confidențialitatea și integritatea rețelei.
  2. Compatibilitate largă: IPSec este un protocol standard deschis care este acceptat pe scară largă de furnizori și poate fi utilizat în medii eterogene.
  3. Flexibilitate: IPSec poate fi configurat pentru a oferi securitate pentru o gamă largă de topologii de rețea, inclusiv conexiuni punct la punct, de la site la site și de la distanță.
  4. Scalabilitate: IPSec poate fi folosit pentru a securiza rețele la scară largă și poate fi mărit sau micșorat după cum este necesar.
  5. Performanță îmbunătățită a rețelei: IPSec poate ajuta la îmbunătățirea performanței rețelei prin reducerea congestionării rețelei și îmbunătățirea eficienței rețelei.

Dezavantajele IPSec

  1. Complexitatea configurației: IPSec poate fi complex de configurat și necesită cunoștințe și abilități specializate.
  2. Probleme de compatibilitate: IPSec poate avea probleme de compatibilitate cu unele dispozitive și aplicații de rețea, ceea ce poate duce la probleme de interoperabilitate.
  3. Impactul asupra performanței: IPSec poate afecta performanța rețelei din cauza supraîncărcării de criptare și decriptare a pachetelor IP.
  4. Managementul cheilor: IPSec necesită un management eficient al cheilor pentru a asigura securitatea cheilor criptografice utilizate pentru criptare și autentificare.
  5. Protecție limitată: IPSec oferă doar protecție pentru traficul IP, iar alte protocoale, cum ar fi ICMP, DNS și protocoalele de rutare, pot fi în continuare vulnerabile la atacuri.