IPSec VPN: wat is het en hoe werkt het?
Internet Protocol Security (IPSec) is een reeks protocollen die gewoonlijk door VPN’s worden gebruikt om een beveiligde verbinding via internet tot stand te brengen.
De IPSec suite biedt functies zoals tunneling en cryptografie voor veiligheidsdoeleinden. Daarom gebruiken VPN’s meestal IPSec om veilige tunnels te maken.
IPSec VPN staat ook algemeen bekend als ‘VPN over IPSec.’
Korte samenvatting
IPSec wordt meestal geïmplementeerd op de IP-laag van een netwerk. IPSec maakt gebruik van twee bedrijfsmodi; tunnelmodus en transportmodus.
De meeste VPN-providers gebruiken de tunnelmodus om de volledige IP-pakketten te beveiligen en in te kapselen. Transportmodus beveiligt alleen de lading en niet het hele IP-pakket.
Over het algemeen biedt de IPSec VPN-protocolsuite geavanceerde authenticatie-, compressie- en versleutelingsdiensten voor VPN-verbindingen.
IPSec biedt de vrijheid om algoritmen, beveiligingsprotocollen en de wijze van uitwisseling van beveiligingscodes tussen communicatiehosts te kiezen.
Wat is IPSec?
De IPSec suite omvat de protocollen Authentication Header (AH), Encapsulated Security Payload (ESP), Internet Security Association en Key Management Protocol (ISAKMP) en IP Payload Compression (IPComp).
- Authentication Header (AH): AH biedt authenticatie van de herkomst van gegevens van IP-pakketten (datagrammen), garandeert verbindingsloze integriteit en biedt bescherming tegen replay-aanvallen (dankzij de sliding window-techniek). Dit protocol biedt ook belangrijke authenticaties voor zowel IP-headers als bovenlaagprotocollen.
- Encapsulation Security Payload (ESP): ESP is verantwoordelijk voor het aanbieden van authenticatie, integriteit en vertrouwelijkheid van gegevens. ESP biedt ook vertrouwelijkheid van de payload en authenticatie van berichten binnen de IPSec-protocolsuite. In tunnelmodus wordt het volledige IP-pakket ingekapseld, terwijl in transportmodus alleen de payload beschermd is.
- Internet Security Association en Key Management Protocol (ISAKMP): ISAKMP is belast met beveiligingsassociaties (Security Associations, oftewel SA’s) – een set van vooraf overeengekomen sleutels en algoritmen die door partijen worden gebruikt bij het opzetten van een VPN-tunnel. Hieronder vallen Kerberized Internet Negotiation of Keys (KINK) en Internet Key Exchange (IKE en IKEv2).
- IP Payload Compression (IPComp): IPComp is een compressieprotocol op laag niveau dat de grootte van IP-pakketten verkleint, waardoor de communicatieniveaus tussen twee partijen worden verbeterd. Dit is handig wanneer de communicatie te traag is, bijvoorbeeld bij overbelaste links. IPComp biedt geen beveiliging en moet worden gebruikt met AH of ESP via VPN-tunnels.
De bedieningsmodi van IPSec VPN
Laten we de twee modi van IPSec VPN eens vergelijken:
IPSec-tunnelmodus
VPN-versleuteling in tunnelmodus kapselt elk uitgaand pakket in met nieuwe IPSec-pakketten met behulp van ESP. Tunnelmodus gebruikt ook AH om de serverkant te authenticeren.
Daarom gebruikt IPSec de tunnelmodus op beveiligde gateways, zoals een firewall, die de twee communicerende partijen met elkaar verbindt.
Transportmodus
Transportmodus versleutelt en authenticeert de IP-pakketten die tussen twee communicerende partijen worden verzonden.
Als zodanig is de transportmodus vaak gereserveerd voor eindpunt-communicatie tussen partijen, aangezien het de IP-header van de uitgaande pakketten niet verandert.
Cryptografische algoritmen voor IPsec
IPSec berust op veilige algoritmen die voldoen aan vertrouwelijkheid, integriteit en authenticiteit.
Dit zijn onder andere de volgende:
- Authenticatiealgoritmen zoals RSA, PSK en Elliptic Curve-cryptografie
- Symmetrische versleutelingsalgoritmen zoals AES-CBC en GCM, HMAC-SHA, TripleDES en ChaCha20-Poly1305
- Sleuteluitwisselingsalgoritmen zoals Elliptic Curve Diffie-Hellman en het Diffie-Hellman sleuteluitwisselingsprotocol
Hoe werkt IPSec?
Hieronder vind je een algemene stap-voor-stap beschrijving van hoe IPSec werkt.
Meestal begint het proces met hosts (communicerende partijen) die vaststellen dat inkomende of uitgaande pakketten IPSec moeten gebruiken.
Als de pakketten het IPSec-beleid activeren, gaat het proces als volgt verder:
- Onderhandeling en sleuteloverdracht: deze stap omvat de authenticatie van hosts en het te gebruiken beleid. In de eerste fase creëren de hosts een beveiligd kanaal. De onderhandelingen worden gevoerd in de hoofdmodus (voor meer veiligheid) of de agressieve modus (voor snellere instelling van het IP-circuit).
Alle hosts stemmen in met een IKE voor het opzetten van het IP-circuit in de hoofdmodus. In de agressieve modus stelt de initiërende host de IKE voor om het IP-circuit op te zetten, en de andere host gaat hiermee akkoord.
In de tweede fase onderhandelen de hosts en bereiken zij overeenstemming over het type cryptografische algoritmen dat tijdens de sessie zal worden gebruikt. - Transmissie: hierbij gaat het om de uitwisseling van gegevens tussen de hosts. Gewoonlijk splitst IPSec gegevens in pakketten voordat ze over het netwerk worden verzonden. De pakketten bevatten verschillende segmenten, zoals de payload en headers. IPSec voegt ook trailers en andere segmenten toe die verificatie- en versleutelingsgegevens bevatten.
- Einde van de transmissie: dit is de laatste stap, en het gaat om de beëindiging van het door IPSec beveiligde kanaal. Beëindiging vindt plaats wanneer de gegevensuitwisseling is voltooid of de sessie is verlopen. Cryptografische sleutels worden ook gewist.
IPsec VPN vs SSL VPN
Naast IPSec VPN kunnen de bester VPN-providers ook SSL VPN gebruiken om je verbinding online te beveiligen. Afhankelijk van het vereiste beveiligingsniveau, kunnen VPN-providers beide opties implementeren of voor een van beide kiezen.
SSL VPN’s berusten op het Transport Layer Security (TLS) protocol. In tegenstelling tot IPSec, dat op de IP-laag werkt, werkt TLS op de transportlaag. De beveiliging en toepassingen van IPSec VPN en SSL VPN variëren dus.
Met IPSec VPN is je verkeer beveiligd als het zich verplaatst van en naar privé netwerken en verschillende hosts; zo kun je dus je hele netwerk beschermen. IPSec VPN is daarom betrouwbaar voor IP-gebaseerde toepassingen.
SSL VPN beschermt het verkeer tussen externe gebruikers. In de meeste gevallen werken SSL-VPN’s met hosts die browsergebaseerde toepassingen ondersteunen.
Veelgestelde vragen
Sommige mensen vonden de antwoorden op deze vragen nuttig
Welke netwerkpoort gebruikt IPSec vaak?
IPSec gebruikt vaak UDP poort 500 voor ISAKMP en UDP poort 4500 om door firewalls te heen te kunnen, waarbij NAT is toegestaan.
Wat is beter, SSL VPN of IPSec VPN?
De toepassingen van elk protocol verschillen. Met IPSec VPN kunnen gebruikers bijvoorbeeld op afstand toegang krijgen tot het hele netwerk en diens apps. SSL VPN biedt gebruikers echter toegang tot bepaalde apps op het netwerk via een externe tunnel.
Kan IPSec worden gehackt?
Internet Protocol Security (IPSec) wordt over algemeen als veilig beschouwd. Volgens de uitgelekte informatie van Snowden heeft de NSA zich echter gericht op de IPSec-versleutelingen door er verschillende kwetsbaarheden in aan te brengen. Volgens andere rapporten kunnen hackers een deel van de versleuteling van IPSec breken. Het hangt allemaal af van de gebruikte implementatie.
Wat zijn de toepassingen van IPSec?
Internet Protocol Security (IPSec) is een protocol-suite die pakketverkeer over een netwerk beveiligt. Je kunt IPSec gebruiken om informatie tussen twee partijen te beveiligen. Bovendien is IPSec verantwoordelijk voor gegevensintegriteit, originaliteit, authenticatie en vertrouwelijkheid.
Is IPSec hetzelfde als een VPN?
Simpel gezegd is het Internet Protocol Security (IPSec) vergelijkbaar met een traditionele VPN-technologie. De protocolsuite werd voor het eerst gelanceerd in 1990 en heeft sindsdien aanzienlijke upgrades doorgemaakt, waardoor het een veelgebruikt protocol is in de VPN-industrie.