logo

TechCodeview

IP-beveiliging (IPSec)

Voorwaarde: Soorten internetprotocollen

IP Sec (Internet Protocol Security) is een standaardpakket van protocollen van de Internet Engineering Task Force (IETF) tussen twee communicatiepunten in het IP-netwerk die gegevensverificatie, integriteit en vertrouwelijkheid bieden. Het definieert ook de gecodeerde, gedecodeerde en geverifieerde pakketten. Hierin worden de protocollen gedefinieerd die nodig zijn voor veilige sleuteluitwisseling en sleutelbeheer.



Gebruik van IP-beveiliging

IPsec kan worden gebruikt om de volgende dingen te doen:

  • Om applicatielaaggegevens te coderen.
  • Om beveiliging te bieden aan routers die routeringsgegevens via het openbare internet verzenden.
  • Om authenticatie zonder codering te bieden, bijvoorbeeld om te verifiëren dat de gegevens afkomstig zijn van een bekende afzender.
  • Om netwerkgegevens te beschermen door circuits op te zetten met behulp van IPsec-tunneling waarbij alle gegevens die tussen de twee eindpunten worden verzonden, worden gecodeerd, zoals bij een Virtual Private Network (VPN)-verbinding.

Componenten van IP-beveiliging

Het heeft de volgende componenten:

  1. Inkapseling van beveiligingspayload (ESP)
  2. Authenticatiekop (AH)
  3. Internetsleuteluitwisseling (IKE)

1. Beveiligingslading (ESP) inkapselen: Het biedt gegevensintegriteit, encryptie, authenticatie en anti-replay. Het biedt ook authenticatie voor de payload.



2. Authenticatiekop (AH): Het biedt ook gegevensintegriteit, authenticatie en anti-replay en biedt geen codering. De anti-replay-beveiliging beschermt tegen het ongeoorloofd verzenden van pakketten. Het beschermt de vertrouwelijkheid van gegevens niet.

IP-header

IP-header

3. Internetsleuteluitwisseling (IKE): Het is een netwerkbeveiligingsprotocol dat is ontworpen om dynamisch encryptiesleutels uit te wisselen en een weg te vinden via Security Association (SA) tussen 2 apparaten. De Security Association (SA) brengt gedeelde beveiligingskenmerken tot stand tussen twee netwerkentiteiten om veilige communicatie te ondersteunen. Het Key Management Protocol (ISAKMP) en Internet Security Association bieden een raamwerk voor authenticatie en sleuteluitwisseling. ISAKMP vertelt hoe de configuratie van de Security Associations (SA's) en hoe directe verbindingen tussen twee hosts IPsec gebruiken. Internet Key Exchange (IKE) biedt bescherming van berichtinhoud en ook een open frame voor het implementeren van standaardalgoritmen zoals SHA en MD5. De IP sec-gebruikers van het algoritme produceren voor elk pakket een unieke identificatie. Met deze identificatie kan een apparaat vervolgens bepalen of een pakket correct is of niet. Pakketten die niet zijn geautoriseerd, worden weggegooid en niet aan de ontvanger gegeven.



Pakket in internetprotocol

Pakketten in internetprotocol

IP-beveiligingsarchitectuur

IPSec-architectuur (IP Security) maakt gebruik van twee protocollen om de verkeers- of gegevensstroom te beveiligen. Deze protocollen zijn ESP (Encapsulation Security Payload) en AH (Authentication Header). IPSec-architectuur omvat protocollen, algoritmen, DOI en sleutelbeheer. Al deze componenten zijn erg belangrijk om de drie belangrijkste diensten te kunnen leveren:

  • Vertrouwelijkheid
  • Authenticiteit
  • Integriteit
IP-beveiligingsarchitectuur

IP-beveiligingsarchitectuur

Werken aan IP-beveiliging

  • De host controleert of het pakket via IPsec moet worden verzonden of niet. Dit pakketverkeer activeert het beveiligingsbeleid voor zichzelf. Dit gebeurt wanneer het systeem dat het pakket verzendt, de juiste codering toepast. De binnenkomende pakketten worden ook door de host gecontroleerd of ze goed zijn gecodeerd of niet.
  • Dan begint IKE Fase 1 waarin de 2 hosts (met behulp van IPsec) zichzelf bij elkaar authenticeren om een ​​beveiligd kanaal te starten. Het heeft 2 modi. De hoofdmodus biedt meer veiligheid en de agressieve modus waarmee de host sneller een IPsec-circuit kan opzetten.
  • Het kanaal dat in de laatste stap is gemaakt, wordt vervolgens gebruikt om veilig te onderhandelen over de manier waarop het IP-circuit gegevens over het IP-circuit zal coderen.
  • Nu wordt de IKE Fase 2 uitgevoerd via het beveiligde kanaal waarin de twee hosts onderhandelen over het type cryptografische algoritmen dat ze tijdens de sessie moeten gebruiken en overeenstemming bereiken over geheim sleutelmateriaal dat met die algoritmen moet worden gebruikt.
  • Vervolgens worden de gegevens uitgewisseld via de nieuw gecreëerde, met IPsec gecodeerde tunnel. Deze pakketten worden gecodeerd en gedecodeerd door de hosts met behulp van IPsec SA's.
  • Wanneer de communicatie tussen de hosts is voltooid of de sessie is afgelopen, wordt de IPsec-tunnel beëindigd door de sleutels van beide hosts te verwijderen.

Kenmerken van IPSec

  1. Authenticatie: IPSec biedt authenticatie van IP-pakketten met behulp van digitale handtekeningen of gedeelde geheimen. Dit zorgt ervoor dat er niet met de pakketten wordt geknoeid of vervalst.
  2. Vertrouwelijkheid: IPSec biedt vertrouwelijkheid door IP-pakketten te coderen, waardoor afluisteren van het netwerkverkeer wordt voorkomen.
  3. Integriteit: IPSec biedt integriteit door ervoor te zorgen dat IP-pakketten tijdens de verzending niet worden gewijzigd of beschadigd.
  4. Sleutelbeheer: IPSec biedt sleutelbeheerdiensten, waaronder sleuteluitwisseling en sleutelintrekking, om ervoor te zorgen dat cryptografische sleutels veilig worden beheerd.
  5. Tunnelen: IPSec ondersteunt tunneling, waardoor IP-pakketten kunnen worden ingekapseld in een ander protocol, zoals GRE (Generic Routing Encapsulation) of L2TP (Layer 2 Tunneling Protocol).
  6. Flexibiliteit: IPSec kan worden geconfigureerd om beveiliging te bieden voor een breed scala aan netwerktopologieën, waaronder point-to-point-, site-to-site- en externe toegangsverbindingen.
  7. Interoperabiliteit: IPSec is een open standaardprotocol, wat betekent dat het door een breed scala aan leveranciers wordt ondersteund en in heterogene omgevingen kan worden gebruikt.

Voordelen van IPSec

  1. Sterke beveiliging: IPSec biedt krachtige cryptografische beveiligingsdiensten die gevoelige gegevens helpen beschermen en de netwerkprivacy en -integriteit garanderen.
  2. Brede compatibiliteit: IPSec is een open standaardprotocol dat breed wordt ondersteund door leveranciers en kan worden gebruikt in heterogene omgevingen.
  3. Flexibiliteit: IPSec kan worden geconfigureerd om beveiliging te bieden voor een breed scala aan netwerktopologieën, waaronder point-to-point-, site-to-site- en externe toegangsverbindingen.
  4. Schaalbaarheid: IPSec kan worden gebruikt om grootschalige netwerken te beveiligen en kan indien nodig worden opgeschaald of verkleind.
  5. Verbeterde netwerkprestaties: IPSec kan de netwerkprestaties helpen verbeteren door netwerkcongestie te verminderen en de netwerkefficiëntie te verbeteren.

Nadelen van IPSec

  1. Configuratiecomplexiteit: IPSec kan complex zijn om te configureren en vereist gespecialiseerde kennis en vaardigheden.
  2. Compatibiliteitsproblemen: IPSec kan compatibiliteitsproblemen hebben met sommige netwerkapparaten en applicaties, wat kan leiden tot interoperabiliteitsproblemen.
  3. Prestatie-impact: IPSec kan de netwerkprestaties beïnvloeden vanwege de overhead van encryptie en decryptie van IP-pakketten.
  4. Sleutelbeheer: IPSec vereist effectief sleutelbeheer om de veiligheid te garanderen van de cryptografische sleutels die worden gebruikt voor codering en authenticatie.
  5. Beperkte bescherming: IPSec biedt alleen bescherming voor IP-verkeer, en andere protocollen zoals ICMP, DNS en routeringsprotocollen kunnen nog steeds kwetsbaar zijn voor aanvallen.