Skip to content
Home Networking

Co je IPSec?

16 de Červenec de 2021
IPSecconceptimage 248ec79801d64810aff0ab5672499313

IPSec, což je zkratka pro Zabezpečení internetového protokolu, je sada kryptografických protokolů chránících datový provoz v sítích internetového protokolu. Sítě IP – včetně World Wide Web, jak jej známe – postrádají šifrování a soukromí. IPSec VPN tuto slabost řeší tím, že poskytují rámec pro šifrovanou a soukromou komunikaci na webu. Zde je bližší pohled na to, co je IPSec a jak funguje s tunely VPN na ochranu dat přes nezabezpečené sítě.

Stručná historie protokolu IPSec

Když byl internetový protokol vyvíjen počátkem 80. let, nebyla bezpečnost na seznamu priorit. Jak však počet uživatelů internetu stále rostl, byla zřejmá potřeba větší bezpečnosti. Abychom tuto potřebu vyřešili, sponzorovala Národní bezpečnostní agentura v polovině 80. let v rámci programu Secure Data Network Systems vývoj bezpečnostních protokolů. To vedlo k vývoji bezpečnostního protokolu na vrstvě 3 a nakonec k protokolu zabezpečení na síťové vrstvě. V průběhu 90. let na tomto projektu pracovalo několik dalších inženýrů a IPSec z těchto snah vyrostl. IPSec je nyní standardem otevřeného zdroje jako součást sady IPv4.

Jak funguje IPSec

Když dva počítače naváží připojení VPN, musí se dohodnout na sadě bezpečnostních protokolů a šifrovacích algoritmů a vyměnit si kryptografické klíče, aby odemkly a zobrazily zašifrovaná data. Tam vstupuje do obrazu IPSec. IPSec pracuje s tunely VPN k navázání soukromého obousměrného připojení mezi zařízeními. IPSec není jediný protokol; je to spíše kompletní sada protokolů a standardů, které společně pomáhají zajistit důvěrnost, integritu a autentizaci internetových datových paketů protékajících tunelem VPN. Zde je návod, jak IPSec vytváří zabezpečený tunel VPN:

  • Ověřuje data, aby byla zajištěna integrita datového paketu při přenosu.
  • Šifruje internetový provoz přes tunely VPN, takže data nelze zobrazit.
  • Chrání před přehrání dat útoky, které mohou vést k neoprávněnému přihlášení.
  • Umožňuje bezpečnou výměnu kryptografických klíčů mezi počítači.
  • Nabízí dva režimy zabezpečení: tunel a transport.

VPN IPSec chrání tok dat z hostitele na hostitele, sítě na síť, hostitele na síť a brány k bráně (tzv. režim tunelu, když je celý IP paket šifrován a ověřen).

Protokoly IPSec a podpůrné komponenty

Standard IPSec se dělí na několik základních protokolů a podpůrných komponent.

Základní protokoly IPSec

  • Záhlaví ověřování IPSec (AH): Tento protokol chrání adresy IP počítačů zapojených do výměny dat, aby bylo zajištěno, že během přenosu nedojde ke ztrátě, změně nebo poškození bitů dat. AH také ověří, že osoba, která data odeslala, je skutečně poslala, čímž chrání tunel před infiltrací neoprávněnými uživateli.
  • Zapouzdření bezpečnostního užitečného zatížení (ESP): Protokol ESP poskytuje šifrovací část IPSec, která zajišťuje důvěrnost datového provozu mezi zařízeními. ESP šifruje datové pakety / užitečné zatížení a ověřuje užitečné zatížení a jeho původ v sadě protokolů IPSec. Tento protokol účinně zakóduje internetový provoz, takže nikdo, kdo se dívá na tunel, nevidí, co tam je.

ESP šifruje a ověřuje data, zatímco AH pouze ověřuje data.

Komponenty podporující protokol IPsec

  • Security Associations (SA): Sdružení a zásady zabezpečení stanoví různé bezpečnostní smlouvy používané při výměně. Tyto smlouvy mohou definovat typ šifrování a hashovacích algoritmů, které se mají použít. Tyto zásady jsou často flexibilní a umožňují zařízením rozhodnout, jak chtějí věci řešit.
  • Internetová výměna klíčů (IKE): Aby šifrování fungovalo, musí počítače zapojené do výměny soukromé komunikace sdílet šifrovací klíče. IKE umožňuje dvěma počítačům bezpečně si vyměňovat a sdílet kryptografické klíče při navazování připojení VPN.
  • Šifrovací a hashovací algoritmy: Kryptografický klíč funguje pomocí hashovací hodnoty, která je generována pomocí hashovacího algoritmu. AH a ESP jsou obecné v tom, že neurčují konkrétní typ šifrování. IPsec však pro šifrování často používá Message Digest 5 nebo Secure Hash Algorithm 1.
  • Ochrana proti opětovnému přehrávání: IPSec také zahrnuje standardy, které zabraňují přehrávání všech datových paketů, které jsou součástí úspěšného procesu přihlášení. Tento standard brání hackerům v používání přehraných informací k replikaci přihlášení sami.

IPSec je kompletní řešení protokolu VPN samostatně nebo jako šifrovací protokol v rámci L2TP a IKEv2.

Režimy tunelování: tunel a doprava

IPSec odesílá data pomocí tunelového nebo transportního režimu. Tyto režimy úzce souvisí s typem použitých protokolů, AH nebo ESP.

  • Režim tunelu: V tunelovém režimu je chráněn celý paket. IPSec zabalí datový paket do nového paketu, zašifruje ho a přidá novou hlavičku IP. Běžně se používá v nastavení VPN typu site-to-site.
  • Přepravní režim: V transportním režimu zůstává původní záhlaví IP a není šifrováno. Šifrováno je pouze užitečné zatížení a přívěs ESP. Režim dopravy se často používá při nastavování VPN typu klient-web.

Pokud jde o VPN, nejběžnější konfigurací IPSec, kterou uvidíte, je ESP s ověřováním v režimu tunelu. Tato struktura pomáhá internetovému provozu bezpečně a anonymně se pohybovat uvnitř tunelu VPN přes nezabezpečené sítě.