Mi az IPsec és hogyan működik?

Az IPsec a szokásos technikák kerete rögzítse a kapcsolatot két pont között. Az Internet Protocol Security kifejezést jelenti, és leggyakrabban a VPN-ekben jelenik meg. Lehet, hogy kissé bonyolult, de hasznos lehetőség a kapcsolat biztosításához bizonyos helyzetekben.

Ez az útmutató lebontja az IPsec-et könnyű darabbá, és bemutat egy bevezetést, amely ismerteti, mi a protokoll, hogyan működik, és néhány lehetséges biztonsági kérdése van..

IPsec: áttekintés

Az IPsec-et eredetileg azért fejlesztették ki, mert a leggyakoribb internetes protokollnak, az IPv4-nek nincs sok biztonsági rendelkezése a helyén. Az IPv4-en továbbított adatok könnyen elfoghatók, megváltoztathatók vagy leállíthatók, ami rossz rendszernek tekinti minden fontos átvitelt.

Az információ védelme érdekében új szabványkészletre volt szükség. Az IPsec kitöltette ezt a hiányosságot olyan keretként működve, amely hitelesíti a kapcsolatokat, bizonyítja az adatok integritását és bizalmassá teszi azokat.. Az IPsec egy nyílt szabvány, amely hálózati szinten működik. Használható biztonságos adatátvitelre gazdagépről gazdagépre, hálózatról hálózatra, vagy hálózat és gazdagép között.

Az IPsec-et leggyakrabban az IPv4-en áthaladó forgalom biztonságához használják. Kezdetben az új IPv6, az IPv6 támogatására is szükség volt az IPsec támogatására. Ennek ellenére most csak ajánlás, és nem hajtják végre.

Keretként, az IPsec három fő elemből áll. Az első kettő a protokoll, A biztonsági hasznos teher (ESP) és a hitelesítési fejléc (AH) beágyazása. Biztonsági Egyesületek a végső szempont.

Az ESP használható az adatok titkosításához és hitelesítéséhez, míg az AH csak az adatok hitelesítéséhez használható. A két opciót általában külön használják, bár lehetséges, hogy együtt használják őket.

Az IPsec SA-k segítségével határozza meg a kapcsolatok paramétereit. Ezek a paraméterek magukban foglalják a kulcskezelő rendszereket, amelyeket az egyes felek hitelesítésre használnak, valamint a titkosítási algoritmusokat, a kivonatoló algoritmusokat és más elemeket, amelyek fontosak a biztonságos és stabil kapcsolat működtetéséhez.

Az IPsec mind ESP-t, mind AH-t használhat alagútban vagy szállítási módban. Alagút mód használatakor a teljes adatcsomag titkosítva vagy hitelesítve van (vagy mindkettő). A hasznos teher, a fejléc és az utánfutó (ha van ilyen) egy másik adatcsomagba van csomagolva annak védelme érdekében.

Szállítási módban az eredeti fejléc megmarad, de az alá egy új fejléc kerül. Vannak más változások is, attól függően, hogy ESP-t vagy AH-t használnak. Ez a csomag védelmére szolgál, azonban bizonyos információk továbbra is rendelkezésre állnak a támadók számára.

A leggyakoribb konfiguráció, amelyet látunk ESP hitelesítéssel alagút üzemmódban. Erre támaszkodik sok VPN az adatok biztonságához. Úgy működik, mint egy titkosított alagút, biztonságos átjárást biztosítva az adatoknak, mivel áthaladnak a potenciálisan veszélyes közbenső hálózatokon.

Az IPsec története

Az internet korai napjaiban a biztonság nem sok szempontból volt prioritás. Ennek oka az, hogy az internetes közösség csak azokra korlátozódik, akiknek tudásuk, erőforrásaik és vágyaik vannak a felhasználásra. A felhasználók száma csekély volt a mai naphoz képest, és sokkal kevesebb adatot továbbítottak. Emiatt a támadóknak sokkal kevesebb lehetősége volt.

A közösség növekedésével és az internet aktívabbá válásával, a biztonság egyre inkább szükségszerűvé vált. A nyolcvanas években az NSA a Secure Data Network Systems (SDNS) programját felhasználta számos biztonság-központú protokoll fejlesztésének finanszírozására..

Az eredményeket a Nemzeti Szabványügyi és Technológiai Intézet (NIST) tette közzé 1988-ban. A NIST által felvázolt egyik protokoll, Biztonsági protokoll a 3. rétegen (SP3), végül Internet szabványvá vált, az Hálózati réteg biztonsági protokoll (NLSP).

Az idők folyamán számos szervezet javult az SP3 javításában, az USA Naval Research Lab (NRL), AT projektjeivel&T Bell Labs, megbízható információs rendszerek és mások. Ugyanakkor más fejlesztések, mint például az Data Encryption Standard (DES) eszközmeghajtója lehetővé tették az adatok biztonságos küldését az Egyesült Államok partjai között ésszerű sebességgel az adott időszakra..

Ha ezeket a fejleményeket külön hagynánk folytatni, akkor az eredményhez vezetett a különböző rendszerek közötti átjárhatósági kérdések. Az Internet Engineering Task Force (IETF) megalapította az IP biztonsági munkacsoportot, hogy ezeket a fejlesztéseket egy interoperábilis protokollmá szabványosítsa. 1995-ben az IETF közzétette az IPsec szabvány részleteit az RFC 1825, RFC 1826 és RFC 1827 szabványokban..

Az NRL volt az első, aki a szabvány működőképes megvalósításával jött fel, amelyet azóta is bevezettek a mainstream rendszerbe. Az évek során számos frissítés történt az IPsec-hez és annak dokumentációjához, de továbbra is telepítésre kerül a kapcsolat mindkét oldalának hitelesítésére és a közöttük utazó adatok biztonságossá tételére..

Hogyan működik az IPsec??

Mielőtt megvizsgálnánk az IPsec és annak különféle módjai technikai részleteit, egy analógián keresztül beszélünk róla, amely megkönnyíti a kissé bonyolult konfigurációk megjelenítését. Először kissé meg kell értenie a csomagok IPv4-en keresztüli működését és a hozzájuk kapcsolódó biztonsági problémákat.

Mik az adatcsomagok és hogyan működnek??

Az adatcsomagok továbbítása az alábbiakból áll: hasznos teher és egy fejléc az IPv4-ben. A hasznos teher maga az adat, amelyet továbbítanak, míg a fejléc tartalmazza a protokoll típusát, címeket és egyéb információkat, amelyek szükségesek annak biztosításához, hogy az adatok a kívánt helyre érkezhessenek..

Az adatcsomagok képének egyik legjobb módja az, ha képeslapoknak gondolják őket. A hasznos teher az az üzenet, amelyet valaki ír hátulra, a fejléc pedig az a kézbesítési információ, amelyet Ön elülről helyez. Csakúgy, mint a képeslapok, a normál IPv4 csomagban küldött adatok sem túl biztonságosak.

Ezekben a standard csomagokban, bárki láthatja a terhelést, éppúgy, mint a postás vagy bármely támadó, aki elfogja a képeslapot, el tudja olvasni. Ezeket a csomagokat úgy is meg lehet változtatni, mintha eredetileg ceruzával írta volna a képeslapot, és egy támadó törölte az eredeti üzenetet, és valami másba írt.

A támadók a fejlécet is láthatják, éppúgy, mint a képeslap eleje. Ez lehetővé teszi számukra, hogy megismerjék, kivel kommunikálnak, és hogyan csinálják. Még hamisíthatják saját IPv4-csomagukat, hogy úgy látszanak, mintha Ön elküldte volna őket. Ez nagyon hasonlít, ha másolnák a kézírás stílusát, és úgy tették, mint te.

Mint láthatja, ez aligha biztonságos kommunikációs módszer, és a támadók sokféle módon megszakíthatják azt. Ez vezetett az IPsec fejlődéséhez. ént biztosított egy módot a kapcsolatok hitelesítésére, az adatok integritásának bizonyítására és bizalmas kezelésére, mind hálózati szinten. Az IPsec vagy más biztonsági protokollok hiányában a támadók szabadon megtekinthetik vagy módosíthatják az érzékeny és értékes adatokat, amelyeket elfogtak..

Beépítése a biztonsági hasznos tehernek (ESP): Megjelenítés

Először az ESP-ről fogunk beszélni, mert ez a leggyakrabban használt protokoll. Amikor az alagút üzemmódban hitelesítéssel valósul meg, azt VPN-ek létrehozására használják biztonságosan csatlakoztassa a gazdagépeket és a hálózatokat a nem biztonságos közbenső hálózatokon keresztül amelyek közöttük vannak.

Mint fentebb látta, nem biztonságos az érzékeny adatok továbbítása az IPv4-sel. Az IPsec ESP módja megoldja ezt a problémát azáltal, hogy utat kínál titkosítsa az adatokat, ami az adatokat bizalmassá teszi, és megakadályozza a támadók hozzáférését. Az ESP felhasználható az adatok hitelesítésére is, ami bizonyíthatja azok legitimitását.

Ha az ESP-t titkosítással használják, ez nagyon hasonló ahhoz, hogy a képeslapot bezárt dobozba tegye, és futáron keresztül küldje el. Senki sem láthatja a képeslap tartalmát, és nem változtathatja meg. Láthatják, hogy a lezárt dobozra bármilyen levelezési információ meg van írva, de ez különbözik a képeslapon szereplőktől.

Ha az ESP-t hitelesítéssel is használják, akkor ez annyira hasonlít, ha aláírja a képeslapot vagy felteszi a saját személyes pecsétjét, mielőtt betölti a dobozba. Amikor a címzett megkapja a lezárt dobozt, felnyithatják azt, és ki tudják venni a képeslapot. Amikor látják a pecsétet vagy az aláírást, akkor tudják, hogy a képeslap jogszerűen tőled származik.

Amikor az ESP szállítási módban van, úgy tűnik, mintha a képeslap be van zárva egy dobozba, és futárral kerül elküldésre, kivéve a doboznak egy világos ablakot, amelyen keresztül láthatja a képeslap címét. Amikor alagút üzemmódban van, úgy néz ki, mint egy képeslap egy szilárd dobozban, kívülről eltérő címinformációkkal.

Természetesen ez mindössze egy analógia, amely segít felismerni a folyamatot. A valóságban vannak elég jelentős különbségek, például a hálózatok és a házigazdák közötti utazás, ahelyett, hogy csak egy ember információt küldene a másiknak.

Beágyazó biztonsági hasznosság (ESP): a műszaki részletek

Most, hogy nagyszerű ötletet adott neked arról, hogy az ESP hogyan működik az adatok védelmében, itt az ideje, hogy műszaki szinten vizsgálja meg.. Az ESP számos titkosítási algoritmussal használható, az AES az egyik legnépszerűbb. Ez még titkosítás nélkül is megvalósítható, bár ezt a gyakorlatban ritkán hajtják végre. Az ESP adatcsomagok fejlécei tartalmaznak egy biztonsági paraméter-indexet (SPI) és egy sorszámot.

Az SPI egy azonosító, amely tudatja a címzettet, hogy melyik kapcsolathoz kapcsolódnak az adatok, valamint a kapcsolat paraméterei. A sorszám egy másik azonosító, amely segít megakadályozni, hogy a támadók megváltoztassák az adatcsomagokat.

Az ESP tartalmaz még egy pótkocsit, amely kitöltést, a következő fejléc protokoll típusának részleteit és hitelesítési adatokat (ha hitelesítést használnak) tartalmaz. Amikor a hitelesítés a helyén van, akkor a gombbal történik Hasított üzenet hitelesítési kód (HMAC), amelyet algoritmusok segítségével számolnak, mint például az SHA-2 és az SHA-3.

Az ESP hitelesítés csak az ESP fejlécét és a titkosított hasznos terhet érvényesíti, ám ez nem érinti a csomag többi részét. Ha egy csomagot titkosítottak ESP-vel, a támadók csak a fejlécben láthatják az adatokat, nem pedig a hasznos teher.

Beágyazó biztonsági hasznosság (ESP): Szállítási mód

Az ESP szállítási módját a két házigazda között küldött információk védelmére használják. Az IP-fejlécet az ESP-csomag tetején tartják, és a fejléc-információk nagy része ugyanaz marad, ideértve a forrás- és célcímeket is. Titkosítja és opcionálisan hitelesíti a csomagot, amely bizalmas kezelést nyújt és felhasználható a csomag integritásának ellenőrzésére is.

Beágyazó biztonsági hasznosság (ESP): alagút üzemmód

Amikor az ESP alagút módban van, a teljes IP-adatcsomagot egy másikba csomagolják, és egy új fejlécet adnak a tetejére. Ha a hitelesítés szintén a helyén van, az ESP alagút mód VPN-ként használható. Ez az IPsec leggyakrabban használt konfigurációja.

Az ESP hitelesített alagút üzemmódjában alkalmazott hitelesítés, integritás- és titoktartási intézkedések teszik lehetővé a két különálló hálózat biztonságos összekapcsolását a közöttük lévő megbízhatatlan és potenciálisan veszélyes hálózatok között..

Ezt a módot legjobban az jellemzi, hogy titkosított alagút épül a két pont között, és így biztonságos kapcsolatot hoz létre, amelybe a támadók nem tudnak átjutni. Ha az ESP-t titkosításra és hitelesítésre használják, az adatokat elfogó támadók csak azt láthatják, hogy VPN-t használnak a kapcsolathoz. Nem látják a hasznos rakományt vagy az eredeti fejlécet.

A VPN-ket kezdetben az üzleti vállalkozások használták a regionális irodák és a székhelyek összekapcsolására. Az ilyen típusú kapcsolat lehetővé teszi a vállalatok számára, hogy egyszerűen és biztonságosan megosszák az adatokat különálló helyük között. Az utóbbi években a VPN-k népszerű szolgáltatásként váltak magánszemélyek számára is. Gyakran használják földrajzi csaláshoz vagy kapcsolatok biztosításához, különösen nyilvános wifi használatakor.

Hitelesítési fejléc (AH): Megjelenítés

Most, hogy lefedtük az ESP-t, az AH-nak kissé könnyebben érthetőnek kell lennie. Mivel az AH csak az adatcsomagok hitelesítésére használható, ugyanúgy, mint egy képeslap aláírása vagy a saját pecsétje felvétele. Mivel nincs szó titkosításról, ebben az analógiában nincs zárolt doboz vagy futár.

A titkosított védelem hiánya kicsit olyan, mint a normál levélben küldött képeslap, ahol a postás és a támadók láthatják mind a címadatokat, mind a kártya hátoldalán írt üzenetet. A pecsét vagy az aláírás miatt ez az információ nem változtatható meg. Hasonlóképpen, a pecsét és aláírás lehetővé teszi annak bizonyítását, hogy valódi küldő voltál, nem pedig valaki, aki utánozni próbált.

AH szállítási módban egy Hozzáadjuk a hitelesítési fejlécet, amely megvédi a hasznos terhet és a fejléces információk túlnyomó részét. Ez olyan, mint egy képzeletbeli képeslap, amelynek egyértelmű pecsétje van, és megvédi annak tartalmát.

A pecsét alatti semmit nem lehet megváltoztatni, de az egész képeslap bárki láthatja, aki elfogja. Néhány részletet nem fed le a pecsét, és potenciálisan megváltoztathatók, de az összes fontos információt a pecsét biztosítja. A pecsétre is fel lehetne írni néhány információt, de e példa szempontjából nem fontos, hogy ezt részletesebben kidolgozzuk..

Ban ben alagút üzemmódban a csomag egy másikba csomagolva van, és a többséget hitelesítik. Az analógia ebben az esetben kissé elbomlik, de ez olyan, mintha a képeslapot egy átlátszó borítékba csomagolnák egy pecséttel. A boríték saját címadatait is tartalmazza, és a pecsét szinte az egészet védi a módosítástól.

Hitelesítési fejléc (AH): Műszaki adatok

Az AH-t arra használják, hogy az adatok legitim forrásból származnak, valamint hogy megőrizze integritását. Használható annak kimutatására, hogy az adatokat nem hamisították meg, és megvédi a visszajátszási támadásoktól.

Az AH-t nem alkalmazzák túl gyakran, de továbbra is fontos megvitatni. Hozzáadja a saját hitelesítési fejlécet és használja Hasító üzenet hitelesítési kódok (HMAC-k) az adatcsomag nagy részének védelme. Ez magában foglalja a teljes hasznos teher, valamint a fejlécben található legtöbb mezőt. A HMAC-kat olyan hash algoritmusokkal számolják, mint például az SHA-2.

Hitelesítési fejléc (AH): Szállítás mód

Az AH szállítási módot általában használják kétirányú kommunikáció a házigazdák között. AH-fejlécet adunk a csomaghoz, és a protokollkód egy részét áthelyezzük. Amikor megérkezik egy AH csomag és a HMAC ellenőrzése megtörténik, az AH fejlécet eltávolítják, és elvégzik néhány további változtatást. Miután az adatcsomag visszatért a normál formájába, a szokásos módon feldolgozható.

Hitelesítési fejléc (AH): alagút üzemmód

Ebben az üzemmódban az eredeti csomagot egy másikba csomagolják, majd HMAC-val hitelesítik. Ez folyamat hozzáad egy hitelesítési fejlécet, az eredeti fejléc egészének hitelesítése (szállítási módban a fejléc néhány részét nem takarja el), valamint az újonnan hozzáadott fejléc nagy részét. A hasznos teher is hitelesítve van.

Amikor ezek a csomagok elérték rendeltetési helyüket, hitelesítési ellenőrzésen mennek keresztül, majd a csomag normalizálódik az újonnan hozzáadott fejléc, valamint a hitelesítési fejléc eltávolításával..

Biztonsági Egyesületek

A biztonsági társulások (SA) beállítják és tárolják az IPsec kapcsolat paramétereit. Az AH és az ESP egyaránt felhasználja egy stabil kommunikációs folyamat létrehozására, amely kielégíti mindkét fél biztonsági igényeit. Minden hostnak vagy hálózatnak külön SA-k vannak minden egyes félhez, amelyhez kapcsolódik, és mindegyiknek megvan a saját paraméterkészlete.

Amikor két házigazda először tárgyalja a kapcsolatukat, akkor hozzon létre egy SA-t a csatlakozáshoz használt paraméterekkel. Ezt lépésről lépésre hajtják végre, az egyik fél olyan politikát kínál, amelyet a másik elfogadhat vagy elutasíthat. Ez a folyamat mindaddig folytatódik, amíg kölcsönösen elfogadható politikát nem hoznak létre, amelyet minden egyes paraméter esetében megismételnek.

Mindegyik SA tartalmazza a használni kívánt algoritmusokat, függetlenül attól, hogy hitelesítésre (például SHA-2) vagy titkosításra (például AES) készültek-e. Az SA-k tartalmazzák a kulcscsere (például az IKE) paramétereit, az IP-szűrési politikát, az útválasztási korlátozásokat és így tovább. Miután létrehoztak egy biztonsági társulást, tárolják azt a biztonsági társulási adatbázisban (SAD).

Amikor egy interfész adatcsomagot fogad, három különböző információt használ a megfelelő SA megtalálásához. Az első a Partner IP cím, amely a feltételezések szerint a kapcsolat másik félének IP-címe. A második a IPsec protokoll, ESP vagy AH.

Az utolsó információ a következő Biztonsági paraméterek indexe (SPI), amely egy azonosító, amelyet hozzáadnak a fejléchez. Ezzel választhat a különféle kapcsolatok SA-i között, hogy megbizonyosodjon arról, hogy a helyes paramétereket alkalmazzák-e.

Mindegyik SA csak egy irányba halad, tehát legalább kétre van szükség ahhoz, hogy a kommunikáció mindkét irányba menjen. Ha az AH-t és az ESP-t együttesen kell használni, akkor SA-ra lesz szükség mindegyik irányban minden protokollhoz, összesen négy.

IPsec vs. TLS / SSL

Időnként nehéz lehet megérteni az IPsec és a protokollok, mint például a TLS / SSL közötti különbséget. Végül is mindkettő csak biztonságot nyújt, igaz? Megteszik, de különböző módon és különböző szinteken csinálják.

Az IPsec és a TLS / SSL összehasonlításának egyik legjobb módja a nézzük meg őket az OSI modell összefüggésében. Az OSI modell egy fogalmi rendszer, amelyet a bonyolult kommunikációs folyamat különféle aspektusainak és rétegeinek megértéséhez és szabványosításához használunk.

Ebben a modellben, Az IPsec a harmadik rétegben működik, a hálózati réteg, ami azt jelenti, hogy az adatcsomagok átvitele egy gazdagépre egy vagy több hálózati sorozaton keresztül.

A TLS / SSL-re pillantva a dolgok kissé zavarba ejtőek. Ennek oka az, hogy egy másik szállítási közegen, a TCP-n fut. Ezt meg kellene helyeznie TLS / SSL a negyedik réteg felett az OSI modellben.

A TLS / SSL kézfogási üzeneteket is szervez, amelyek az ötödik szint, a munkamenet réteg. Ez a TLS / SSL-t mind a hat, mind a hét rétegbe helyezi.

Bonyolultabbá válik, ha figyelembe vesszük, hogy az alkalmazások TLS / SSL-t használnak szállítási protokollként. Ez a TLS / SSL-t a negyedik vagy annál alacsonyabb szintre tenné. De hogyan lehet egyszerre a hatodik vagy a hetedik rétegben, valamint a negyedik vagy annál alacsonyabb rétegben??

A válasz az, hogy A TLS / SSL csak nem illeszkedik a modellbe. Ennek okai a cikk hatályán kívül esnek. A legfontosabb dolog, amit tudnod kell, hogy az OSI modell éppen ez, egy modell, és a valóság néha nem felel meg az ügyes és rendezett modelleinknek.

Amikor ezekről a standardokról beszélünk gyakorlati értelemben, A TLS / SSL szerepe az adatok hitelesítése, azok integritásának ellenőrzése, titkosítása és tömörítése. Bevezethető számos más protokoll, például HTTP vagy SMTP biztonságos biztosítására, és számos alkalmazásban is látható, például a VoIP és az internetes böngészés..

Az IPsec néhány szempontból különbözik, az első az ez egy keret, nem egyetlen protokoll. Ez is bonyolultabb, ami megnehezíti a telepítést és a karbantartást.

Végül a TLS / SSL egyszerűbb, mint az IPsec, ami egy másik oka annak, hogy hajlamosabban alkalmazni szélesebb körben. Ez az egyik legfontosabb alternatív alagutazási protokoll, az OpenVPN alapvető része.

Lásd még: Végső útmutató a TCP / IP-hez

IPsec biztonság

Az elmúlt években sokról beszéltünk kormányzati ügynökségek hátsó ajtót helyeznek az IPsecbe, és kihasználják a sérülékenységeket, hogy megcélozzák a protokollt használókat. A korai állítások egy része 2010-ben derült ki, amikor Greg Perry kapcsolatba lépett az OpenBSD vezető fejlesztőjével.

Ezt állította az FBI számos hátsó ajtót, valamint az oldalsó csatorna kulcsának szivárogására szolgáló mechanizmusokat helyezte az OpenBSD kódba. Állítólag ez befolyásolja az OpenBSD IPsec veremét, amelyet széles körben használnak.

A 2013-as Snowden szivárgás során kiderült, hogy a Az NSA a titkosítás és más biztonsági eszközök különféle formáit célozta meg. Úgy tűnik, hogy a dokumentumok megerősítik, hogy az NSA-nak megvan a saját módszere az IPsec-ben használt kulcsok elérésére, lehetővé téve számukra, hogy bizonyos kapcsolatokban szimatolhassanak..

A Shadow Brokers által 2016-ban kiszivárogtatott dokumentáció azt mutatja, hogy a Az NSA rendelkezik egy eszközzel, amely megszakíthatja a Cisco PIX tűzfalainak IPsec-megvalósítását. Noha ezeket a tűzfalakat 2009-ben megszüntették, a BENIGNCERTAIN támadás felhasználható volt a PIX eszközök jelszavainak elérésére..

A támadás az Internet Key Exchange (IKE) csomagok PIX szerverre küldését jelentette, ami miatt memória egy részét szabadíthatja fel. Ezen információkat át lehet keresni a konfigurációs információk és az RSA magánkulcs megtalálásához, amelyeket az NSA felhasználhat az IPsec kapcsolat kémkedésére. Ne feledje, hogy ez csak egy sérülékeny végrehajtás, és nem érinti az IPsec jelenlegi formáit.

[year]-ban a kutatók kihasználtak egy hibát az IKE protokollban, amely lehetővé tette számukra a kapcsolatok visszafejtését. A koncepció-bizonyítás felhasználható „közép-középtámadások” lefolytatására, ahol a támadók elfoghatják az adatokat, megtámadhatják azokat, vagy akár megakadályozhatják azok továbbítását..

A technika Bleichenbacher oraklusokat használ a dekóder dekódolására, ami megszakítja az RSA hitelesítést az IKE első fázisában. Ez lehetővé teszi a támadók számára, hogy csalással hitelesített szimmetrikus kulcsokat használnak a célpontjukkal. Ezután elronthatják az IPsec végpontot, megszakíthatják a titkosítást, amely lehetővé teszi számukra, hogy behelyezzék magukat a korábban biztonságos kapcsolatba.

Noha ez aggasztó támadás, javításokat adtak ki azoknak a megvalósításoknak a számára, amelyekről ismert, hogy azokat befolyásolja. A Huawei, a Cisco, a Clavister és az XyXEL hamarosan kiadta a javításokat, miután figyelmeztettek rájuk a biztonsági résről. Biztonságos ezeket a korábban érintett megvalósításokat használni, feltéve, hogy naprakészek.

Az IPsec-ben még néhány további sebezhetőség van, amelyek közül sokban az IKE működik. Ezen kérdések ellenére, Az IPsec továbbra is biztonságos általános használatra, mindaddig, amíg azt megfelelően végrehajtották, és a végrehajtás a legújabb frissítéseket használja.

Maga az IPsec nem sérült. Fontos megjegyezni, hogy ez csak egy keret, amely számos különféle protokollt használhat. Az IPsec biztonságos használata továbbra is lehetséges, feltéve, hogy a megfelelő protokollokat megfelelő módon használják. A nem biztonságos konfigurációkat azonban támadhatja meg az NSA és más felek, ezért fontos, hogy az IPsec-et helyesen használja..

Ha IPsec-t szeretne használni??

Az IPsec-et leginkább biztonságos alagút létrehozására használják a VPN-kben, de ez nem az egyetlen lehetőség. Ha aggódik a biztonsága miatt, akkor a legjobb, ha megvizsgálja a többi lehetőséget, és talál egy olyan megoldást, amely megfelel az Ön használati helyzetéhez és a kockázati profilhoz.

A fő alternatívák a PPTP, az SSTP és az OpenVPN. A pont-pont alagút-létrehozási protokoll (PPTP) régi és sok biztonsági kérdéssel rendelkezik, így van a legjobb, ha minden körülmények között elkerüljük. A Secure Socket Tunneling Protocol (SSTP) jobb választás a Windows felhasználók számára, ám ez az nem független könyvvizsgáló.

Az OpenVPN egy nyílt forrású alternatíva, amely számos különféle konfigurációs opcióval rendelkezik. SSL / TLS-t használ, és nem ismert, hogy semmilyen biztonsági kérdése nincs, tehát ez a legjobb választás mindazok számára, akik aggódnak az IPsec-ben talált biztonsági problémák miatt.

Ez nem azt jelenti, hogy az összes IPsec-kapcsolat természetéből adódóan bizonytalan, ez azt jelenti, hogy biztonságosabb alternatívák vannak a biztonságtudatos vagy magas veszélyszintű személyek számára.

Összefüggő: IPSec vs SSL

Számítógép billentyűzet alatt engedélyezett CC0