Sada protokolů IPsec (Internet Protocol Security) umožňuje bezpečnou komunikaci v sítích IP. Zaručuje soukromí, přesnost a legitimitu dat přenášených mezi dvěma síťovými subjekty. Dvěma běžnými způsoby využití protokolu IPsec jsou virtuální privátní sítě (VPN) a zabezpečení síťových připojení.
Technika zvaná IPsec VPN, běžně označovaná jako IPsec Virtual Private Network, umožňuje bezpečnou internetovou komunikaci mezi dvěma nebo více sítěmi. Mezi klientem VPN a serverem VPN vytváří zabezpečený tunel, který šifruje všechna data, která jím procházejí. Tím je zaručeno, že informace jsou zabezpečeny před neoprávněným přístupem nebo odposlechem.
Aby bylo možné vytvořit spojení IPsec VPN, musí klient i server podporovat protokol IPsec. Během procesu nastavení sítě VPN klient a server vyjednávají bezpečnostní parametry, jako jsou šifrovací algoritmy a techniky ověřování. Veškeré informace vyměňované mezi klientem a serverem jsou po rozhodnutí o nastavení šifrovány a ověřovány. Jak funguje tunelový režim IPsec?
Jedním ze dvou provozních režimů protokolu IPsec je tunelový režim IPsec, druhým je transportní režim. V tunelovém režimu je přidána další vrstva hlaviček IP a celý paket IP je uzavřen v novém paketu IP. To umožňuje bezpečně odeslat původní paket IP přes nespolehlivou síť.
Před přenosem paketu ze zdrojové sítě do cílové sítě se přidá nová hlavička IP, označovaná také jako vnější hlavička IP. V této vnější hlavičce IP jsou obsaženy adresy IP zařízení IPsec na obou koncích tunelu. Původní paket IP je pak zašifrován a ověřen společně s novou hlavičkou.
Vnější záhlaví IP je na přijímajícím konci odstraněno a poté je původní paket IP ověřen a dešifrován. Paket je následně po dekódování přenesen v cílové síti určenému příjemci. Použití tunelového režimu IPsec umožňuje zabezpečenou komunikaci mezi dvěma sítěmi a zaručuje, že data jsou soukromá a bezpečná.
Protokoly TCP (Transmission Control Protocol) a UDP (User Datagram Protocol) nejsou nativními protokoly protokolu IPsec. Funguje na vrstvě IP (Internet Protocol) síťového zásobníku. IPsec se při své činnosti nespoléhá na protokoly TCP nebo UDP; místo toho používá pakety IP k zapouzdření a zabezpečení přenášených dat. Jaké tři protokoly IPsec využívá?
Integrita dat, ověřování a obrana proti opakovaným útokům jsou zajišťovány autentizační hlavičkou (AH), která je číslem jedna. Zaručuje, že přenášená data nebyla v průběhu přenosu změněna nebo do nich nebylo zasahováno. Protože hlavička AH nenabízí šifrování, často se kombinuje s hlavičkou ESP (Encapsulating Security Payload) a poskytuje tak komplexní řešení zabezpečení.
2. Encapsulating Security Payload (ESP): ESP nabízí ověřování, utajení a integritu. Šifruje doručovaná data, aby se ujistil, že je neoprávněné osoby nemohou přečíst nebo pochopit. Aby bylo zaručeno, že data nebyla během přenosu změněna, nabízí ESP také ověřování.
3. Výměna internetových klíčů (IKE): IKE se používá pro vyjednávání a vytváření bezpečnostních asociací zařízení IPsec. Před vytvořením tunelu IPsec umožňuje klientovi a serveru dohodnout se na bezpečnostních parametrech, jako jsou šifrovací algoritmy a techniky ověřování.
Sofistikovaná sada protokolů IPsec nabízí bezpečnou komunikaci v sítích IP, abychom to shrnuli. Umožňuje vytvářet sítě VPN a zaručuje, že informace přenášené mezi sítěmi jsou bezpečné, nezbytné a ověřené. Pakety IP jsou zapouzdřeny a zabezpečeny pomocí tunelového režimu protokolem IPsec, který pracuje na vrstvě IP. Protokoly TCP a UDP sice samy o sobě IPsec nepoužívají, ale ve spojení s IPsec slouží k přenosu a zabezpečení dat. AH, ESP a IKE jsou tři základní protokoly používané v IPsec a každý z nich nabízí různé bezpečnostní služby, které zaručují celkové zabezpečení dat.
Fáze 1 a 2 protokolu IPsec (Internet Protocol Security) jsou dva samostatné kroky při vytváření zabezpečeného komunikačního kanálu mezi dvěma síťovými subjekty.
Fáze 1, běžně označovaná jako „IKE (Internet Key Exchange) Phase 1“, má na starosti vytvoření chráněného, ověřeného a šifrovaného komunikačního tunelu. V této fázi se obě strany dohodnou na bezpečnostních omezeních, vzájemně ověří svou identitu a vytvoří šifrovaný sdílený tajný klíč známý jako „klíč ISAKMP (Internet Security Association and Key Management Protocol)“. Ve fázi 2 je tento klíč použit pro další šifrování a ověřování.
Fáze 2, známá také jako „IPsec fáze 2“ nebo „rychlý režim“, rozšiřuje zabezpečený tunel vytvořený ve fázi 1 několika způsoby. Jejím hlavním cílem je vyjednání parametrů IPsec a vytvoření příslušných kryptografických klíčů pro zabezpečení aktuálně přenášených dat. V této fázi se vybírají správné šifrovací a ověřovací algoritmy, nastavují se selektory provozu, které určují, který provoz má být chráněn, a generují se klíče relace pro šifrování a ověřování datových paketů.
Závěrem lze říci, že fáze 1 se zabývá vytvořením zabezpečeného tunelu a přenosem základních dat, zatímco fáze 2 se zabývá vyjednáváním parametrů IPsec a vytvářením klíčů pro zabezpečení vlastního přenosu dat. Protokol IPsec, který zaručuje bezpečnou komunikaci v sítích IP, musí zahrnovat obě fáze.