Что такое IPSec?

IPSec, который обозначает Internet Protocol Security, представляет собой набор криптографических протоколов, используемых для защиты трафика данных по сетям Internet Protocol (IP).

Сети Интернет-протокола (IP), включая всемирную паутину, как мы ее знаем, не имеют шифрования и конфиденциальности. IPSec VPN были разработаны для устранения этого недостатка, предоставляя платформу для зашифрованной и частной связи в сети.

Ниже подробно рассмотрим, что такое IPSec и как он работает с VPN-туннелями для защиты данных в незащищенных сетях.

Краткая история IPSec

Когда интернет-протокол был разработан еще в начале 80-х годов, безопасность не была высокой в ​​списке приоритетов. Однако, поскольку число пользователей Интернета продолжало расти, необходимость большей безопасности стала очевидной.

Чтобы удовлетворить эту потребность, NSA (Агентство национальной безопасности) начало финансировать разработку протоколов безопасности еще в середине 80-х в рамках программы Secure Data Network Systems (SDNS). Это привело к разработке протокола безопасности на уровне 3 (SP3) и, в конечном итоге, протокола безопасности сетевого уровня (NLSP). Еще несколько инженеров работали над этим проектом в течение 90-х годов, и IPSec вырос из этих усилий. IPSec теперь является стандартом с открытым исходным кодом как часть пакета IPv4.

Как работает IPSec

Когда два компьютера хотят установить VPN-соединение, необходимо создать несколько вещей для создания зашифрованного туннеля. Они должны согласовать набор протоколов безопасности и алгоритмов шифрования и обмениваться криптографическими ключами, чтобы разблокировать и просматривать зашифрованные данные.

Вот где IPSec входит в картину. IPSec работает с VPN-туннелями для установления частного двустороннего соединения между устройствами. IPSec не является единым протоколом; скорее это полный набор протоколов и стандартов, которые работают вместе, чтобы обеспечить конфиденциальность, целостность и аутентификацию интернет-пакетов данных, проходящих через VPN-туннель.

Вот как IPSec создает безопасный VPN-туннель:

• Он аутентифицирует данные для обеспечения целостности пакета данных при передаче.
• Он шифрует интернет-трафик через VPN-туннели, поэтому данные не могут быть просмотрены.
• Он защищает от атак воспроизведения данных, которые могут привести к несанкционированному входу в систему.
• Это обеспечивает безопасный обмен криптографическими ключами между компьютерами.
• Он предлагает два режима безопасности: туннель и транспорт.

VPN IPSec защищает данные, передаваемые от хоста к хосту, от сети к сети, от хоста к сети и от шлюза к шлюзу (так называемый туннельный режим, когда весь IP-пакет зашифрован и аутентифицирован).

Протоколы IPSec и вспомогательные компоненты

Стандарт IPSec можно разбить на основные протоколы и поддерживающие компоненты. Вот посмотрите на каждого.

Основные протоколы IPSec

• Заголовок аутентификации IPSec (AH): Этот протокол используется для защиты IP-адресов компьютеров, участвующих в обмене данными. Это гарантирует, что биты данных не будут потеряны, изменены или повреждены во время передачи. AH также проверяет, что лицо, отправившее данные, действительно отправило их, защищая туннель от проникновения посторонних пользователей.
• Инкапсуляция полезной нагрузки (ESP)Протокол ESP обеспечивает часть шифрования IPSec, которая обеспечивает конфиденциальность трафика данных между устройствами. ESP шифрует пакеты данных / полезную нагрузку и аутентифицирует полезную нагрузку и ее источник в наборе протоколов IPSec. Этот протокол эффективно скремблирует интернет-трафик, поэтому любой, кто смотрит на туннель, не видит, что там.

ESP может использоваться как для шифрования, так и для аутентификации данных, тогда как AH может использоваться только для аутентификации данных.

Компоненты поддержки IPsec

• Ассоциации безопасности (SA): Ассоциации безопасности и политики используются для установления различных «контрактов» безопасности, используемых при обмене. Эти контракты могут определять тип используемых алгоритмов шифрования и хэширования. Эти политики часто бывают гибкими, позволяя устройствам решать, как они хотят обрабатывать вещи.
• Обмен ключами в Интернете (IKE): Чтобы шифрование работало, компьютеры, участвующие в частном обмене данными, должны совместно использовать ключи шифрования. IKE позволяет двум компьютерам безопасно обмениваться и обмениваться криптографическими ключами при установлении VPN-подключения.
• Алгоритмы шифрования и хешированияКриптографический ключ работает с использованием хеш-значения, которое генерируется с использованием хеш-алгоритма. AH и ESP являются общими в том, что они не указывают конкретный тип шифрования. Однако IPsec часто использует Message Digest 5 (MD5) или Secure Hash Algorithm 1 (SHA-1) для шифрования. 
• Анти-повторная защитаIPSec также включает в себя стандарты для предотвращения воспроизведения любых пакетов данных, которые являются частью успешного процесса входа в систему. Это не позволяет хакерам использовать воспроизведенную информацию для репликации имени входа.

IPSec используется как самостоятельное решение для протокола VPN или как протокол шифрования в L2TP и IKEv2.

Режимы туннелирования: туннель и транспорт

IPSec имеет возможность отправлять данные в туннельном или транспортном режиме. Эти режимы тесно связаны с типом используемых протоколов, AH или ESP.

• Туннельный режим: В туннельном режиме весь пакет защищен. IPSec упаковывает пакет данных в новый пакет, шифрует его и добавляет новый заголовок IP. Он обычно используется при настройке VPN типа «сеть-сеть».
• Транспортный режим: В транспортном режиме исходный заголовок IP остается и не шифруется. Только полезная нагрузка и трейлер ESP зашифрованы. Транспортный режим часто используется в настройках VPN «клиент-сайт».

Что касается VPN, то наиболее распространенной конфигурацией IPSec, которую вы видите, является ESP с аутентификацией в туннельном режиме. Это позволяет интернет-трафику безопасно и анонимно перемещаться внутри VPN-туннеля по незащищенным сетям.