IPsec — Interneti-protokollide turvalisus: krüpteerimine ja autentimine

IPsec — turvaline Interneti-protokoll: krüpteerimine ja autentimine. Õpi, kuidas IPsec kaitseb andmevooge, haldab turvaväravaid ja tagab privaatsed, usaldusväärsed ühendused.

Interneti-protokollide turvalisus (IPsec) on viis, kuidas muuta Interneti-side turvalisemaks ja privaatsemaks.

IPsec on protokollide kogumik, mille eesmärk on kaitsta Interneti-protokolli (IP) sidet, autentides (ja valikuliselt krüpteerides) andmevoo iga IP-paketi. IPsec sisaldab ka protokolle, mille abil luuakse vastastikune autentimine agentide vahel seansi alguses ja peetakse läbirääkimisi seansi ajal kasutatavate krüptograafiliste võtmete üle. IPsec'i saab kasutada andmevoogude kaitsmiseks kahe hosti (nt arvutikasutajate või serverite) vahel, kahe turvavärava (nt marsruuter või tulemüür) vahel või turvavärava ja hosti vahel. RFC 2406

Mis teenuseid IPsec pakub

IPsec annab mitut tüüpi turbefunktsioone, mida saab eraldi või kombineeritult rakendada:

• Autentimine — kinnitab andmepakettide ja nende allikate ehtsust (tagab, et andmed tulevad lubatud osapooltelt).
• Andmete terviklikkus — kaitseb pakette muutmise eest transitil, kasutades signatuure või MAC-väärtusi (nt HMAC-SHA1, HMAC-SHA256).
• Konfidentsiaalsus (krüpteerimine) — hoiab sisu varjatuna, kui kasutatakse ESP-protokolli koos krüpteerimisalgoritmidega (nt AES).
• Taastumine korduvkasutusest (anti-replay) — rünnakute tõkestamine, kus vanu pakette taasesitatakse.

Põhikomponendid ja protokollid

IPsec koosneb mitmest põhikomponendist:

• ESP (Encapsulating Security Payload) — pakub andmete krüpteerimist ja/või autentimist; kasutusel siis, kui on vaja konfidentsiaalsust.
• AH (Authentication Header) — pakub paketitasandi autentimist ja terviklikkuse kontrolli, kuid ei paku krüpteerimist.
• IKE (Internet Key Exchange) — protokoll võtmete vahetamiseks ja turbeühenduse (Security Association, SA) loomisega seotud läbirääkimisteks; IKEv2 (RFC 7296) on tänapäeval tavapärane versioon.
• Security Association (SA) — kaks osapoolt kokku lepivad parameetrites (algoritmid, võtmed, kestvus), iga SA-l on identifikaator SPI (Security Parameters Index).

Töömoodid: transport vs tunnel

IPsec töötab kahes põhimoodis:

• Transportmood — kaitstakse ainult IP-paketi andmeosa (payload); lähte- ja siht-IP-aadressid jäävad muutmata. Sobib host-host ühendustele.
• Tunnelmood — kogu IP-pakett kapseldatakse uude IP-paketisse ja kaitstakse; algsed aadressid peidetakse. Sageli kasutatav turvaväravate (site-to-site VPN) vahel.

Protokollinumbrid ja portide märkus

AH ja ESP on IP-protokolli tasemel eraldi protokollid (AH protokolli number on 51, ESP on 50). IKE kasutab UDP porte 500 (algne IKE) ja NAT-traversal (NAT-T) puhul UDP 4500, et lubada IPsec-i tööd NAT-i taga.

Turvalisus ja algoritmid

IPsec toetab mitmeid krüpto- ja autentimisalgoritme. Tänapäeval eelistatakse:

• Krüpteerimiseks: AES (CBC, GCM), mõnikord 3DES vaid tagavaralahendustena.
• Autentimiseks ja terviklikkuse kontrolliks: HMAC-SHA1, HMAC-SHA256 jm.
• Võtmevahetuseks: IKE kasutab Diffie–Hellmani gruppe (DH) ja päris sertifikaate või jagatud võtmeid (pre-shared keys).

Kasutusjuhtumid

• Site-to-site VPN — kaks kontorit ühendatakse krüpteeritud kanali kaudu (tunnelmood), nii et võrguvahetus toimib turvaliselt üle avaliku Interneti.
• Remote access VPN — kaugtöötaja ühendatakse ettevõtte võrguga (host–gateway või host–host).
• Turvaline serveritevaheline side — kaitstud andmevahetus kahe serveri vahel ilma rakendusepoolsete muudatusteta.

Rakendamine ja tugi

Paljud operatsioonisüsteemid (Linux, Windows, macOS) ja võrguseadmed toetavad IPsec-i kas kerneli tasemel või rakendustarkvarana. IPsec võib olla konfigureeritud käsitsi või halduslahenduste abil (VPN-gateways, keskne poliitikahaldus). Kuna IPsec töötab võrgu (või interneti) kihil, saab see kaitsta paljusid rakendusi korraga ilma neid ümber kirjutamata.

NAT ja piirangud

NAT (võrguaadresside tõlkimine) tekitab IPsec-ile probleeme, eriti AH ja ESP ilma kapselduseta võivad NAT-ga mitte toimida. Sellele vastuseks on NAT-T (NAT Traversal), mis kapseldab ESP UDP 4500 sisse. Lisaks võivad tulemüürid ja võrguseadmed vajada erisätteid IKE ja ESP liikluse lubamiseks.

Standardid ja edasiarendused

Mõiste "IPsec" on ametlikult määratletud IETFi (Internet Engineering Task Force) poolt. IPsec-i varased spetsifikatsioonid sisaldasid RFC 2406; hilisemad ja kaasaegsemad määratlused on kokkuvõtlikult esitatud dokumentides nagu RFC 4301 (IPsec arhitektuur) ja IKEv2 kirjelduses RFC 7296. Praktikas kasutatakse tänapäeval peamiselt IKEv2-t, sest see on lihtsam, turvalisem ja parem NAT-i toetuses võrreldes IKEv1-ga.

Lõppsõna: tugevused ja kaalutlused

IPsec on võimas ja paindlik lahendus võrgu- ja paketitasandi turvamiseks. Selle eeliseks on võime kaitsta kõiki kõrgema taseme protokolle ja rakendusi ilma nende muudatusteta. Samas nõuab IPsec korralikku plaanimist (õiged reeglid, võtmete haldus, NAT-tõrje), arvestamist ühilduvuse ja jõudlusega (krüpteerimine võib CPU-kasutust tõsta) ning õigeid turvalisi algoritmivalikuid. Õige seadistuse ja hoolduse korral on IPsec usaldusväärne lahendus nii äri- kui era-VPN-de jaoks.

Küsimused ja vastused

K: Mis on internetiprotokolli turvalisus (IPsec)?

K: Kuidas IPsec töötab?

K: Millised on veel mõned populaarsed Interneti-turvalisusprotokollid?

K: Kuidas muudab see IPsec paindlikumaks?

K: Kes määratleb, mida tähendab "IPsec"?

Otsing