IP-пакеты, основные элементы передачи данных в Интернете, состоят из двух частей: пользовательских данных, таких как речь, текст или изображения, и данных заголовка, содержащих, среди прочих элементов, адреса отправителя и получателя. Самой большой проблемой этих пакетов данных, проходящих через различные маршрутизаторы на пути к получателю, является тот факт, что Интернет-протокол не имеет механизмов шифрования или аутентификации. Это означает, что данные передаются от маршрутизатора к маршрутизатору в незашифрованном виде и могут быть прочитаны или подделаны. И три столпа информационной безопасности — конфиденциальность, подлинность и целостность — не гарантируются.
По этой причине был разработан пакет протоколов Internet Protocol security, или сокращенно IPsec, чтобы придать интернет-протоколу значительно более надежную защиту. Вместе эти два протокола обеспечивают надежную защиту при передаче пакетов данных по открытым сетям, поэтому IPsec является важным компонентом многих VPN-соединений (виртуальных частных сетей).
Что такое IPsec?
IPsec — это набор протоколов, архитектура которого была предложена в качестве стандарта рабочей группой по разработке Интернета (IETF). IETF — это организация, занимающаяся техническим развитием Интернета. IPsec был разработан для новейшей версии интернет-протокола (IPv6), а ретроспективно также для IPv4. Его можно разделить на следующие три функциональные группы:
- Протоколы передачи данных: Заголовок аутентификации (AH), инкапсулирующая безопасная полезная нагрузка (ESP).
- Управление ключами: Internet Security Association and Key Management Protocol (ISAKMP), Internet Key Exchange (IKE).
- База данных: База данных ассоциаций безопасности (SAD), База данных политик безопасности (SPD).
Благодаря двум протоколам передачи, AH и ESP, IPsec гарантирует подлинность и целостность отправляемых данных, гарантируя, что содержимое от отправителя дойдет до получателя без изменений. Для этого AH предлагает как аутентификацию происхождения данных для подтверждения их легитимности, так и защиту пакета во время передачи. Кроме того, протокол AH присваивает заголовку порядковый номер, защищая пакеты от возможной повторной передачи.
Протокол ESP обеспечивает дополнительное шифрование пакета данных наряду с защитой подлинности и целостности. Однако аутентификация ESP отличается от аутентификации протокола AH тем, что она не учитывает внешний IP-заголовок. Однако, используя дополнительную инкапсуляцию, содержимое ESP может быть безопасно доставлено через сети с трансляцией адресов (NAT), которые обычно используются в частных DSL-соединениях. Протокол IKE в основном отвечает за управление шифрованием ESP. Он согласовывает ассоциации безопасности между отправителем и получателем, использует алгоритм Диффи-Хеллмана для безопасного обмена ключами и технически реализует определения для структуры ISAKMP.
Необходимая информация для передачи пакетов с использованием IPsec хранится в двух локальных базах данных, SPD и SAD. Записи в SPD, базе данных политики безопасности, определяют, какой протокол передачи — AH, ESP или оба — будет использоваться для защищенного соединения. SAD, база данных ассоциаций безопасности, управляет конкретными записями ассоциаций безопасности, предоставляемыми протоколом IKE; отправитель получает ключ шифрования, а получатель — соответствующий ключ дешифрования.
Два типа IPsec: Туннель против транспорта
Существует два существующих режима передачи данных для безопасного соединения с помощью IPsec: транспортный режим, в котором два конечных узла соединены напрямую, и туннельный режим, который создает соединение между двумя IP-сетями.
Транспортный режим
При использовании IPsec в транспортном режиме происходит следующее: заголовок протокола передачи вставляется между IP-заголовком пакета данных, который остается нетронутым, и данными пользователя. Защита начинается с отправителя и сохраняется на протяжении всей передачи, пока не будет достигнут целевой компьютер. Только после получения пакета исходные пользовательские данные освобождаются и становятся доступными получателю. Это означает, что криптографическая и коммуникационная конечные точки идентичны. Транспортный режим имеет преимущество в виде очень быстрого времени обработки, но защищает только данные пользователя, в то время как адреса источника и цели остаются незащищенными. В практическом использовании этот режим распространен для соединений между хостами или между хостами и маршрутизаторами, например, для управления сетью.
Туннельный режим
В туннельном режиме пакет данных получает совершенно новый IP-заголовок, в котором вместе с пользовательскими данными скрыты адрес источника и адрес цели. Заголовок протокола передачи данных также внедряется — как и в транспортном режиме. Таким образом, можно сказать, что исходный пакет также инкапсулируется. Новый, внешний IP-заголовок определяет криптографическую конечную точку, которая не идентична фактической точке связи, хранящейся во внутреннем IP-заголовке. Только когда пакет достигает этой криптографической конечной точки, известной как шлюз безопасности, он может быть расшифрован и передан адресату. Передача данных в туннельном режиме обычно осуществляется от шлюза к шлюзу; также возможны соединения «хост-шлюз» и «хост-хост».
IPsec: сильные и слабые стороны
При использовании VPN, которые являются наиболее распространенной областью применения набора протоколов, IPsec имеет решающее преимущество перед такими альтернативами, как SSL: он может использоваться независимо от любого приложения на сетевом уровне. Как только соединение установлено, различные формы данных, такие как электронная почта, передача файлов или IP-телефония, могут быть отправлены без необходимости установки специальных программных инструментов. Это делает стек протоколов наиболее экономически эффективным решением для VPN-соединений. В свою очередь, использование IPsec для удаленного доступа требует специального программного обеспечения, которое должно быть установлено, настроено и поддерживаться на каждом клиенте индивидуально. Независимость приложений также может быстро привести к проблемам несанкционированного доступа, если они не защищены центральным брандмауэром, поскольку в случае нарушения все приложения окажутся под угрозой.
Но что неоспоримо, так это производительность и надежность IPsec: в случае возникновения проблем можно без труда открыть другой шлюз на кластерной системе, в то время как тысячи пользователей одновременно получают пакет данных. Наконец, благодаря своей высокой безопасности IPsec считается лучшим решением для всех конфиденциальных данных и для систем внутреннего трафика компании, не допускающих анонимных пользователей.