Поговорим про IPsec
Сейчас невозможно представить наш мир без компьютерных сетей: проводных, беспроводных, виртуальных и т. д. Мы ежедневно используем сети в самых разных формах. Однако с ростом использования сетей увеличивается и риск атак со стороны злоумышленников. Для защиты наших данных был разработан протокол IPsec, который обеспечивает шифрование и аутентификацию данных на уровне сетевого протокола и часто используется для создания виртуальных частных сетей (VPN).
Итак, IPsec — набор протоколов для обеспечения защиты данных, передаваемых по межсетевому протоколу IP (Internet Protocol).
Защита наших данных может быть реализована на разных протоколах. IPsec же реализован на сетевом уровне (network layer).
Ядро нашего сегодняшнего гостя состоит из трех протоколов:
- Authentication Header (АН) — гарантирует, что данные не были изменены во время передачи, проверяет, откуда пришла информация, и защищает от повторной отправки одних и тех же данных.
- Encapsulating Security Payload (ESP) — обеспечивает конфиденциальность передаваемой информации с помощью шифрования и контролирует поток конфиденциальных данных. Кроме того, он может выполнять функции AH. При использовании ESP обязательно указывать, какие именно функции безопасности будут применяться, так как их можно включать по желанию.
- Internet Security Association and Key Management Protocol (ISAKMP) — протокол, который используется для первоначальной настройки соединения, взаимной проверки подлинности между конечными устройствами и обмена секретными ключами.
Теперь, когда мы знаем о «внутрянке» IPsec, давайте рассмотрим режимы его работы. Их, к слову, два: транспортный и туннельный.
Транспортный, как правило, используется для установления соединения между хостами. В этом режиме шифруются или подписываются только данные IP-пакета. Другими словами, шифруется только полезная нагрузка, а заголовок остается неизменным
В туннельном же режиме шифруется весь пакет. Такой режим может использоваться для задач, требующих максимальной защищенности, например для передачи защищенных данных, через открытые каналы связи (Интернет).
Далее мы рассмотрим режим работы IPsec, но перед этим нужно знать, что такое IKE.
IKE (Internet Key Exchange) — протокол, связывающий все компоненты IPsec в работающее целое. В частности, IKE обеспечивает первоначальную аутентификацию сторон, а также их обмен общими секретными ключами. Он работает через порт 500 UDP и имеет две фазы.
Создание безопасного канала (IKE SA) и согласование сессионного ключа с использованием алгоритма Диффи-Хеллмана. В это фазе есть два режима:
- Основной режим: три двусторонних обмена для согласования алгоритмов и проверки идентификации.
- Агрессивный режим: меньше обменов, но менее безопасен, так как информация передается до установления безопасного канала.
Выполняется только в одном быстром режиме после создания безопасного канала. Он согласует политику IPsec, устанавливает IPsec SA и обновляет секретные ключи, используя алгоритм Диффи-Хеллмана.
Наконец, как работает IPsec:
- На первом этапе создаются политики безопасности на каждом узле, поддерживающем стандарт IPsec.
- Второй этап, по сути, является первой фазой IKE. Здесь организовывается безопасный канал между сторонами.
- Третий этап является второй фазой IKE. Его задачей является создание IPsec-туннеля.
- Четвертый этап — рабочий этап. Все настроено, начинается процесс передачи данных.
- На пятом этапе IPsec SA прекращают действовать. Их либо удаляют, либо истекает время жизни. При надобности продолжить передачу данных запускается вторая фаза IKE (если требуется, то и первая)
Внимательный читатель заметил, что мы не говорили об IPsec SA… Исправим это!
IPsec SA — это база IPsec. Без SA не существовало бы и IPsec.
SA (Security Association) — симплексный набор правил по отношению к трафику: что шифровать и как шифровать.
Теперь самый главный вопрос «Для чего и где это используется?», ответ на который нетривиальный.
IPsec в большей степени используется для организации VPN-туннелей, которые, к слову, сейчас на каждом шагу. Помимо туннелей, при правильной настройке, IPsec можно использовать для создания межсетевого экрана.
Сколько раз в статье было использовано «IPsec»?
Всем добра!