IPSec, som står för Internetprotokollsäkerhet, är en serie kryptografiska protokoll som skyddar datatrafik över Internetprotokollnätverk. IP-nätverk – inklusive Internet som vi känner det – saknar kryptering och integritet. IPSec VPN: er hanterar denna svaghet genom att tillhandahålla en ram för krypterad och privat kommunikation på nätet. Här är en närmare titt på vad IPSec är och hur det fungerar med VPN-tunnlar för att skydda data över osäkra nätverk.
En kort historia av IPSec
När Internetprotokollet utvecklades i början av 80-talet stod säkerhet inte högt på prioriteringslistan. Eftersom antalet internetanvändare fortsatte att växa blev behovet av större säkerhet uppenbart. För att möta detta behov sponsrade National Security Agency utvecklingen av säkerhetsprotokoll redan i mitten av 80-talet under programmet Secure Data Network Systems. Detta ledde till utvecklingen av säkerhetsprotokoll vid Layer 3 och slutligen Network Layer Security Protocol. Flera fler ingenjörer arbetade med detta projekt under 90-talet, och IPSec växte ut ur dessa ansträngningar. IPSec är nu en öppen källkodsstandard som en del av IPv4-sviten.
Hur IPSec fungerar
När två datorer upprättar en VPN-anslutning måste de komma överens om en uppsättning säkerhetsprotokoll och krypteringsalgoritmer och utbyta kryptografiska nycklar för att låsa upp och visa krypterad data. Det är där IPSec går in i bilden. IPSec arbetar med VPN-tunnlar för att skapa en privat tvåvägsanslutning mellan enheter. IPSec är inte ett enda protokoll; snarare är det en komplett uppsättning protokoll och standarder som arbetar tillsammans för att säkerställa konfidentialitet, integritet och autentisering av internetdatapaket som flyter genom en VPN-tunnel. Så här skapar IPSec en säker VPN-tunnel:
- Det autentiserar data för att säkerställa datapaketets integritet under transport.
- Det krypterar internettrafik över VPN-tunnlar så att data inte kan visas.
- Det skyddar mot datauppspelning attacker som kan leda till obehöriga inloggningar.
- Det möjliggör säkert kryptografiskt nyckelutbyte mellan datorer.
- Den erbjuder två säkerhetslägen: tunnel och transport.
VPN IPSec skyddar data som flyter från värd-till-värd, nätverk-till-nätverk, värd-till-nätverk och gate till gateway (kallas tunnelläge, när ett helt IP-paket är krypterat och autentiserat).
IPSec-protokoll och stödjande komponenter
IPSec-standarden bryter in i flera kärnprotokoll och stödjande komponenter.
IPSec Core-protokoll
- IPSec Authentication Header (AH): Detta protokoll skyddar IP-adresserna till datorerna som är involverade i ett datautbyte för att säkerställa att databitar inte går förlorade, ändras eller skadas under överföringen. AH verifierar också att personen som skickade uppgifterna faktiskt skickade den och skyddar tunneln från infiltration av obehöriga användare.
- Encapsulating Security Payload (ESP): ESP-protokollet tillhandahåller krypteringsdelen av IPSec, vilket säkerställer konfidentialitet för datatrafik mellan enheter. ESP krypterar datapaket / nyttolast och autentiserar nyttolasten och dess ursprung i IPSec-protokollsviten. Detta protokoll krypterar effektivt internettrafik, så att alla som tittar på tunneln inte kan se vad som finns där.
ESP krypterar och autentiserar data medan AH endast autentiserar data.
IPsec-stödjande komponenter
- Säkerhetsföreningar (SA): Säkerhetsföreningar och policyer fastställer de olika säkerhetsavtal som används i ett utbyte. Dessa kontrakt kan definiera typen av krypterings- och hashingalgoritmer som ska användas. Dessa policyer är ofta flexibla, så att enheter kan bestämma hur de vill hantera saker.
- Internetnyckelutbyte (IKE): För att kryptering ska fungera måste datorerna som deltar i ett privat kommunikationsutbyte dela krypteringsnycklar. IKE tillåter två datorer att säkert utbyta och dela kryptografiska nycklar när en VPN-anslutning upprättas.
- Kryptering och Hashing-algoritmer: En kryptografisk nyckel använder ett hash-värde som genereras med en hash-algoritm. AH och ESP är generiska genom att de inte anger en viss typ av kryptering. IPsec använder dock ofta Message Digest 5 eller Secure Hash Algorithm 1 för kryptering.
- Anti-replay-skydd: IPSec innehåller också standarder för att förhindra återuppspelning av datapaket som ingår i en lyckad inloggningsprocess. Denna standard hindrar hackare från att använda omspelad information för att replikera inloggningen själva.
IPSec är en komplett VPN-protokolllösning ensam eller som ett krypteringsprotokoll inom L2TP och IKEv2.
Tunnellägen: Tunnel och transport
IPSec skickar data antingen i tunnel- eller transportläge. Dessa lägen är nära relaterade till den typ av protokoll som används, antingen AH eller ESP.
- Tunnelläge: I tunnelläge är hela paketet skyddat. IPSec slår datapaketet i ett nytt paket, krypterar det och lägger till ett nytt IP-huvud. Det används ofta i VPN-inställningar från plats till plats.
- Transportläge: I transportläge förblir den ursprungliga IP-rubriken och krypteras inte. Endast nyttolasten och ESP-trailern är krypterade. Transportläge används ofta i VPN-inställningar från klient till plats.
När det gäller VPN är den vanligaste IPSec-konfigurationen du ser ESP med autentisering i tunnelläge. Denna struktur hjälper internettrafiken att röra sig säkert och anonymt inuti en VPN-tunnel över osäkra nätverk.