IPSec VPN: что это такое и как это работает
Интернет-протокол безопасности (IPSec) представляет собой набор протоколов, обычно используемых VPN-сервисами для создания безопасного соединения через интернет.
Набор протоколов IPSec предлагает такие функции, как туннелирование и криптография для обеспечения безопасности. Вот почему VPN-сервисы в основном используют IPSec для создания защищенных туннелей.
IPSec VPN также широко известен как «VPN поверх IPSec».
Краткое изложение
IPSec обычно применяется на уровне IP в рамках сетевой инфраструктуры. Он функционирует в двух основных режимах: туннельном и транспортном.
В большинстве случаев VPN-сервисы используют туннельный режим для обеспечения безопасности и инкапсуляции всех IP-пакетов, в то время как транспортный режим обеспечивает защиту только содержимого данных внутри IP-пакета, не затрагивая его внешнюю оболочку.
В комплекте протоколов IPSec VPN предоставляются продвинутые функции аутентификации, сжатия данных и шифрования для защиты VPN-соединений.
IPSec дает возможность выбирать из разнообразных алгоритмов, протоколов безопасности и методов обмена ключами для защиты взаимодействия между сетевыми узлами.
Что такое IPSec?
Набор протоколов IPSec для VPN включает в себя Заголовок аутентификации (AH), Защищенный карго (ESP), Протокол ассоциации и управления ключами безопасности интернета (ISAKMP) и Сжатие полезной нагрузки IP (IPComp).
- Заголовок аутентификации (AH): AH предлагает аутентификацию источника данных IP-пакетов (датаграмм), обеспечивает целостность без подключения и защиту от атак повторного воспроизведения (благодаря методу скользящего окна). AH также предлагает значительную аутентификацию как для IP-заголовков, так и для протоколов верхнего уровня.
- Защищенный карго (ESP): ESP отвечает за предоставление аутентификации, целостности и конфиденциальности данных. ESP также обеспечивает конфиденциальность полезной нагрузки и аутентификацию сообщений в рамках набора протоколов IPSec.
В режиме туннеля он инкапсулирует весь IP-пакет, а в режиме транспорта защищается только полезная нагрузка.
- Протокол ассоциации и управления ключами безопасности интернета (ISAKMP): ISAKMP занимается ассоциациями безопасности (SAs) — набором предварительно согласованных ключей и алгоритмов, используемых сторонами при создании VPN-туннеля. К ним относятся Kerberized Internet Negotiation of Keys (KINK) и обмен ключами интернета (IKE и IKEv2).
- Сжатие полезной нагрузки IP (IPComp): IPComp — это протокол сжатия низкого уровня, который уменьшает размер IP-пакетов, улучшая тем самым уровень связи между двумя сторонами. Это полезно, когда связь слишком медленная, например, при перегруженных каналах связи.
IPComp не предлагает безопасности и должен использоваться с AH или ESP через VPN-туннели.
Режимы работы IPSec VPN
Давайте рассмотрим, как сравниваются два режима работы IPSec VPN:
Туннельный режим IPSec
VPN-шифрование в туннельном режиме инкапсулирует каждый исходящий пакет с новыми IPSec-пакетами, используя ESP. Туннельный режим также использует AH для аутентификации серверной стороны.
Таким образом, IPSec использует туннельный режим на безопасных шлюзах, таких как брандмауэр, который соединяет две общающиеся стороны.
Транспортный режим
Транспортный режим шифрует и аутентифицирует IP-пакеты, отправляемые между двумя общающимися сторонами.
В связи с этим транспортный режим часто используется для связи «точка-точка» между сторонами, учитывая, что он не изменяет IP-заголовок исходящих пакетов.
Криптографические алгоритмы для IPSec
IPSec опирается на безопасные алгоритмы, соответствующие принципам конфиденциальности, целостности и подлинности.
Олгоритмы включают в себя:
- Алгоритмы аутентификации, такие как RSA, PSK и криптография на эллиптических кривых.
- Симметричные алгоритмы шифрования, такие как AES-CBC и GCM, HMAC-SHA, TripleDES и ChaCha20-Poly1305.
- Алгоритмы обмена ключами, такие как обмен ключами с использованием эллиптических кривых Диффи-Хеллмана и обмен ключами Диффи-Хеллмана.
Как работает IPSec?
Ниже представлен общий пошаговый план того, как работает IPSec.
Обычно процесс начинается с того, что хосты (общающиеся стороны) устанавливают, что входящие или исходящие пакеты должны использовать IPSec.
Если пакеты активируют политики IPSec, то процесс продолжается следующим образом:
- Переговоры и обмен ключами: На этом этапе происходит аутентификация хостов и определение используемых политик. В первой фазе хосты создают безопасный канал. Переговоры проводятся либо в основном режиме (для большей безопасности), либо в агрессивном режиме (для более быстрого установления IP-канала).
Все хосты соглашаются использовать IKE для настройки IP-канала в основном режиме. В агрессивном режиме инициирующий хост предлагает IKE для настройки IP-канала, и другой хост соглашается.
Во второй фазе хосты договариваются и соглашаются на использование криптографических алгоритмов во время сеанса. - Передача: На этом этапе происходит обмен данными между хостами. Обычно IPSec разбивает данные на пакеты перед отправкой по сети. Пакеты включают в себя несколько сегментов, таких как полезная нагрузка и заголовки. IPSec также добавляет трейлеры и другие сегменты, содержащие информацию об аутентификации и шифровании.
- Окончание передачи: Это последний шаг, и он включает завершение работы IPSec защищенного канала. Завершение происходит, когда обмен данными завершен или сеанс истек. Криптографические ключи также удаляются.
IPsec VPN против SSL VPN
Помимо IPSec VPN, многие из лучших VPN-провайдеров также могут использовать SSL VPN для обеспечения безопасного подключения через интернет. В зависимости от необходимого уровня безопасности, VPN-провайдеры могут реализовывать оба протокола или выбирать один из них.
SSL VPN-соединения основаны на протоколе Transport Layer Security (TLS). В отличие от IPSec, который работает на уровне IP, TLS работает на транспортном уровне. Таким образом, безопасность и применение IPSec VPN и SSL VPN различаются.
С IPSec VPN ваш трафик защищен при передаче между частными сетями и хостами; вкратце, вы можете защитить всю свою сеть. Таким образом, IPSec VPN надежен для IP-ориентированных использований и приложений.
SSL VPN защищает трафик между удаленными пользователями. В большинстве случаев SSL VPN-соединения работают с хостами, поддерживающими приложения на основе браузера.
Frequently Asked Questions
Some people found answers to these questions helpful
What network port does IPSec often use?
IPSec often uses UDP port 500 for ISAKMP and UDP port 4500 to pass through firewalls, NAT is allowed.
Which one is better, SSL VPN or IPSec VPN?
The applications of each protocol set them apart. For instance, IPSec VPN lets users remotely access the entire network and its apps. However, SSL VPN allows users remote tunnel access to particular apps on the network.
Can IPSec be hacked?
Internet Protocol Security (IPSec) is widely regarded as secure. However, according to Snowden leaks, NSA targeted the IPSec encryptions by inserting various vulnerabilities. According to other reports, hackers can break some of IPSec’s encryption. It all depends on the implementation used.
What are the uses of IPSec?
Internet Protocol Security (IPSec) is a protocol suite that secures packet-level traffic over a network. You can use IPSec to secure information between two parties. Furthermore, IPSec is responsible for data integrity, originality, authentication, and confidentiality.
Is IPSec the same as VPN?
Simply put, Internet Protocol Security (IPSec) is like a traditional VPN technology. The protocol suite was first launched in 1990 and has received significant upgrades since, making it a widely used protocol in the VPN industry.