Шта је ИПсец и како функционише?

Шта је ИПсец енкрипција и како то ради_

ИПсец је оквир техника које се користе осигурајте везу између двије тачке. Залаже се за безбедност Интернет протокола и најчешће се виђа у ВПН-овима. Може бити помало сложен, али је корисна опција за осигурање веза у одређеним ситуацијама.

Овај водич разбија ИПсец на једноставне делове, представља вам увод који покрива шта је протокол, како функционише и нека од његових потенцијалних безбедносних проблема.

ИПсец: преглед

ИПсец је у почетку развијен јер најчешћи Интернет протокол, ИПв4, нема много сигурносних одредби. Подаци који се преносе преко ИПв4 могу се лако пресрести, изменити или зауставити, што га чини лошим системом за све важне преносе.

За заштиту информација био је потребан нови сет стандарда. ИПсец је попунио овај јаз делујући као оквир који може да потврди аутентичност веза, као и да докаже интегритет података и учини га поверљивим.. ИПсец је отворени стандард који делује на нивоу мреже. Може се користити за сигуран пренос података са домаћина на домаћин, мрежа у мрежу или између мреже и домаћина.

ИПсец се најчешће користи за осигурање промета који пролази преко ИПв4. У почетку је постојао и захтев за имплементацијом новијег интернетског протокола, ИПв6, како би се подржао ИПсец. Упркос томе, она је сада само препорука и не спроводи се.

Као оквир, ИПсец се састоји од три главна елемента. Прва два су протоколи, Инкапсулирање сигурносног корисног оптерећења (ЕСП) и заглавља идентитета (АХ). Безбедносна удружења (СА) су коначни аспект.

ЕСП се може користити за шифровање и аутентификацију података, док се АХ може користити само за аутентификацију података. Обе опције се обично користе одвојено, мада је могуће користити заједно.

ИПсец користи СА за успостављање параметара веза. Ови параметри укључују системе управљања кључевима које ће свака страна користити за аутентификацију, као и алгоритме за шифровање, алгоритме хешинга и друге елементе који су важни за рад сигурне и стабилне везе.

ИПсец може да користи и ЕСП и АХ у било тунелу или превозном режиму. Када се користи режим тунела, цео пакет података је или шифриран или оверен (или оба). Корисни терет, заглавље и приколица (ако су укључени) замотани су у други пакет података да би се заштитили.

У режиму превоза остаје оригинално заглавље, али се испод додаје ново заглавље. Постоје и неке друге промене, зависно од тога да ли се користи ЕСП или АХ. Ово служи за заштиту пакета, међутим, неке информације су и даље доступне нападачима.

Најчешћа конфигурација коју видимо је ЕСП са аутентификацијом у режиму тунела. То је оно на што се многи ВПН ослањају да би заштитили податке. Он функционише попут шифрираног тунела, пружајући подацима сигуран пролаз док пролазе кроз потенцијално опасне посредничке мреже.

Историја ИПсец-а

У првим данима интернета сигурност није била пуно приоритета у многим ситуацијама. То је зато што је интернет заједница била ограничена на оне који су имали знање, ресурсе и жељу да је користе. Број корисника био је мален у односу на данашњи дан, а преноси се много мања количина података. Због тога су нападачи имали далеко мање могућности.

Како је заједница расла и интернет постао активнији, сигурност је постала више неопходна. Осамдесетих година, НСА је користила свој програм сигурних мрежа података (СДНС) за финансирање развоја бројних протокола усмерених на безбедност..

Резултате је објавио Национални институт за стандарде и технологију (НИСТ) 1988. Један од протокола који је изнео НИСТ, Сигурносни протокол на 3. нивоу (СП3), је постао Интернет стандард, Сигурносни протокол мрежног слоја (НЛСП).

Временом, разне организације су се почеле усавршавати на СП3, а пројекти су се предузимали од америчке Навал Ресеарцх Лаб (НРЛ), АТ&Т Белл Лабс, поуздани информациони системи и други. Истовремено, други помаци, попут управљачког програма уређаја за шифрирање података (ДЕС) омогућили су сигурно слање података између америчких обала разумним брзинама током временског периода..

Ако би се та кретања оставила одвојено наставити, то би довело и до тога питања интероперабилности између различитих система. Радна група за Интернет инжењеринг (ИЕТФ) оформила је Радну групу за ИП заштиту ради стандардизације тих дешавања у интероперабилни протокол. ИЕТФ је 1995. објавио детаље ИПсец стандарда у РФЦ 1825, РФЦ 1826 и РФЦ 1827.

НРЛ је први који је смислио радну имплементацију стандарда, који је од тада прешао у уобичајену употребу. Током година, дошло је до бројних ажурирања ИПсец-а и његове документације, али се и даље користи за аутентификацију обе стране везе и заштиту података који путују између.

Како функционише ИПсец?

Пре него што нађемо у техничким детаљима ИПсец-а и његових различитих модуса, разговараћемо о томе кроз аналогију која олакшава визуелизацију помало компликоване конфигурације. Прво, морате мало разумјети како пакети раде преко ИПв4 и сигурносним проблемима који су с њима повезани.

Шта су пакети података и како функционишу?

Подаци се преносе у пакетима који се састоје од а корисни терет и заглавље у ИПв4. Корисни терет представљају сами подаци који се преносе, док заглавље укључује врсту протокола, адресе и друге информације потребне да би били сигурни да подаци могу стићи на жељену локацију.

Један од најбољих начина за сликање пакета података је да их мислите као разгледнице. Корисни терет је порука коју неко пише на полеђини, а заглавље су информације о испоруци које ставите на предњу страну. Као и код разгледница, подаци послати у уобичајеном ИПв4 пакету нису баш сигурни.

У овим стандардним пакетима, било ко може видети корисни терет, Баш као и поштар или било који нападач који пресреће вашу разгледницу, може је прочитати. Ови пакети се чак могу мењати као да сте првобитно написали разгледницу оловком и нападач је избрисао оригиналну поруку и написао нешто друго.

Нападачи такође могу видети информације о заглављу, баш као и предња страна ваше разгледнице. Ово им омогућава да знају са ким комуницирате и како то радите. Они чак могу лажирати своје ИПв4 пакете како би изгледали као да сте им послали, што је пуно као да су копирали ваш рукописни стил и претварали се да сте ви.

Као што видите, ово тешко да је сигуран начин комуникације, а постоји много начина да га нападачи могу пореметити. То је оно што је довело до развоја ИПсец-а. Јат обезбедио начин за аутентификацију веза, доказивање интегритета података и њихово чување као поверљиво, а све на нивоу мреже. Без ИПсец-а или других безбедносних протокола који постоје, нападачи ће моћи да прегледају или измене све осетљиве и вредне податке које су пресрели.

Инкапсулација безбедносног оптерећења (ЕСП): Визуализација

Прво ћемо говорити о ЕСП-у јер је то протокол који се најчешће користи. Када се проводи помоћу аутентификације у режиму тунела, користи се за формирање ВПН-а који то раде сигурно повезивати хостове и мреже преко несигурних посредничких мрежа који леже између.

Као што сте видели горе, несигурно је преносити осетљиве податке са ИПв4. ИПсец режим ЕСП решава ово питање пружајући начин да шифрирајте податке, што податке чини поверљивим и спречава нападаче да могу да им приступе. ЕСП се такође може користити за аутентификацију података, што може да докаже његову легитимност.

Када се ЕСП користи кодирање, много је слично као стављање разгледнице у закључани оквир и слање преко курира. Садржај разгледнице нико не може видети, нити их може изменити. Они могу видети све податке о поштарини написани на закључаном оквиру, али то се разликује од онога што је написано на разгледници.

Ако се ЕСП користи и са аутентификацијом, то је много попут потписивања разгледнице или стављања сопственог личног печата на њу пре него што је стави у кутију. Када прималац прими закључану кутију, може је отворити и извадити разгледницу. Када виде печат или потпис, онда знају да разгледница легитимно од вас.

Када је ЕСП у режиму превоза, изгледа да је разгледница закључана у кутији и послата куриром, осим што кутија има јасан прозор кроз који можете видети информације о адреси разгледнице. Када је у режиму тунела, изгледа да је разгледница у чврстом оквиру, са различитим подацима о адреси са спољне стране.

Наравно, ово је само аналогија која ће вам помоћи да визуализујете шта се догађа. У стварности, постоје неки прилично значајне разлике попут података који путују између мрежа и домаћина, а не само једна особа која шаље информације другој.

Инкапсулација безбедносног оптерећења (ЕСП): Технички детаљи

Сада када смо вам дали грубу представу о томе како ЕСП ради на заштити података, време је да то погледамо на техничком нивоу. ЕСП се може користити са низом различитих алгоритама за шифровање, при чему је АЕС један од најпопуларнијих. Може се имплементирати и без шифровања, мада се то у пракси ретко дешава. Заглавља ЕСП пакета података имају индекс сигурносних параметара (СПИ) и редни број.

СПИ је идентификатор који примаоцу даје до знања на коју се везу односе подаци, као и на параметре те везе. Редни број је још један идентификатор који помаже у спречавању нападача да мењају пакете података.

ЕСП такође садржи приколицу која садржи пресвлаке, детаље о врсти протокола за наредно заглавље и податке за аутентификацију (ако се користи аутентификација). Када је аутентификација извршена, то се врши помоћу а Проширени код за провјеру идентитета поруке (ХМАЦ), која се израчунава помоћу алгоритама попут СХА-2 и СХА-3.

ЕСП аутентификација потврђује само ЕСП заглавље и шифровани корисни терет, али не утиче на остатак пакета. Када је пакет шифриран ЕСП-ом, нападачи могу видети податке само из заглавља, а не корисног оптерећења.

Инкапсулирање корисног оптерећења (ЕСП): Начин транспорта

ЕСП-ов начин преноса користи се за заштиту информација послатих између два домаћина. ИП заглавље се чува на врху ЕСП пакета, а велики део информација у заглављу остаје исти, укључујући изворну и одредишну адресу. Она шифрира и опционално потврђује пакет који пружа поверљивост и може да се користи за проверу интегритета пакета.

Инкапсулирање корисног оптерећења (ЕСП): Тунел начин

Када је ЕСП у режиму тунела, цео ИП пакет података је омотан унутар другог, а ново заглавље је додато на врх. Када је аутентификација такође успостављена, ЕСП начин тунела може се користити као ВПН. Ово је ИПсец-ова најчешће коришћена конфигурација.

Мјере аутентификације, доказ интегритета и мјере повјерљивости укључене у ЕСП-ов аутентифицирани начин тунела чине корисним за сигурно спајање двије одвојене мреже преко непоузданих и потенцијално опасних мрежа које леже између њих.

Овај начин рада најбоље је описан заједничком клишеом изградње шифрованог тунела између две тачке, стварајући сигурну везу у коју нападачи не могу да продру. Када се ЕСП користи за шифровање и аутентификацију, нападачи који пресрећу податке могу видети само да се за везу користи ВПН. Не могу да виде корисни терет или оригинално заглавље.

ВПН компаније су у почетку користиле за повезивање регионалних канцеларија са седиштем. Ова врста везе омогућава компанијама да лако и сигурно деле податке између својих засебних локација. Последњих година ВПН-ови су такође постали популарна услуга за појединце. Често се користе за гео-споофинг или за осигурање веза, посебно када се користи јавни вифи.

Заглавље идентитета (АХ): Визуализација

Сада када смо покрили ЕСП, АХ би требало да буде мало лакше разумети. Пошто се АХ може користити само за аутентификацију пакета података, то је исто као потписивање разгледнице или додавање њеног печата. Пошто није укључено шифровање, у овој аналогији не постоји закључана кутија или курир.

Недостатак шифроване заштите мало личи на разгледницу која се шаље уобичајеном поштом, где поштар и било који нападач могу видети информације о адреси, као и поруку која је написана на полеђини картице. Међутим, због печата или потписа, ове се информације не могу мењати. Исто тако, печат и потпис омогућавају вам да докажете да сте били прави пошиљалац, а не неко ко вас је покушавао имитирати.

У режиму АХ транспорта, ан додаје се заглавље за потврду идентитета, које штити корисни терет и велику већину информација у заглављу. Ово је некако као замишљена разгледница која има јасан печат који штити већину њеног садржаја.

Све испод печата не може се променити, али целокупну разгледницу може видети свако ко је пресреће. Неколико детаља није запечаћено печатом и могу бити измијењено, али печат је осигурао све важне информације. Печат би такође имао неке податке написане на њему, али за потребе овог примера није важно да се то одмах разрађује..

Ин режиму тунела, пакет се савија унутар другог, а већина је оверена. Аналогија се у овом случају мало распада, али то је некако као умотавање разгледнице у прозирну коверту са печатом. Коверта садржи и своје податке о адреси, а печат штити готово целу ствар од модификације.

Заглавље идентитета (АХ): Технички детаљи

АХ се користи за аутентификацију да подаци долазе из легитимног извора, као и да задржава свој интегритет. Може се користити за показивање да подаци нису урушени и да се заштите од поновних напада.

АХ се не спроводи врло често, али о њему је још увек важно разговарати. Додаје сопствено заглавље и користи Ауторизацијски коди за хеш поруке (ХМАЦс) да бисте заштитили већину пакета података. Ово укључује читав корисни терет, као и већину поља у заглављу. ХМАЦ-ови се израчунавају помоћу хасх алгоритама попут СХА-2.

Заглавље идентитета (АХ): Начин транспорта

АХ начин превоза углавном се користи двосмјерна комуникација између домаћина. Паковању се додаје АХ заглавље, а неки се од протокола премештају. Када стигне АХ пакет и провери ХМАЦ, одузима се АХ заглавље и врши се неколико других промена. Једном када се пакет података врати у уобичајени облик, може се обрадити као и обично.

Заглавље идентитета (АХ): режим тунела

У овом режиму, оригинални пакет је замотан унутар другог, а затим се оверава ХМАЦ-ом. Ово процес додаје заглавље за аутентификацију, аутентичност целине оригиналног заглавља (у начину превоза, неколико делова заглавља није обухваћено) као и већина ново додатог заглавља. Корисни терет је такође оверен.

Када ти пакети стигну до свог одредишта, они пролазе провјеру аутентичности, а затим се пакет враћа у нормалу одузимањем и ново додато заглавље, као и заглавље за провјеру аутентичности.

Безбедносна удружења (СА)

Сигурносна удружења (СА) постављају и спремају параметре за ИПсец везу. АХ и ЕСП користе их за успостављање стабилног процеса комуникације који задовољава сигурносне потребе сваке стране. Сваки домаћин или мрежа има засебне СА-ове за сваку страну са којом се повезује, а сви имају свој скуп параметара.

Кад два домаћина први пут договоре своју везу, они формирајте СА са параметрима који ће се користити у вези. То чине поступним поступком, при чему једна страна нуди политику коју друга може или прихватити или одбити. Овај процес се наставља све док се не креира политика која је узајамно прихватљива и не буде поновљена за сваки посебан параметар.

Сваки СА укључује алгоритме који ће се користити, да ли су за аутентификацију (као што је СХА-2) или за шифровање (као што је АЕС). СА такође укључују параметре за размену кључева (као што је ИКЕ), политику филтрирања ИП-а, ограничења рутирања и још много тога. Једном када се успостави безбедносно удружење, оно се чува у бази података удружења за безбедност (САД).

Када интерфејс прими пакет података, користи три различита податка да би пронашао исправну СА. Прво је ИП адреса партнера, која као што претпостављате је ИП адреса друге стране у вези. Други је ИПсец протокол, било ЕСП или АХ.

Коначни податак је Индекс сигурносних параметара (СПИ), који је идентификатор који се додаје заглављу. Користи се за избор између СА различитих прикључака како би били сигурни да су примењени исправни параметри.

Сваки СА иде само у једном смеру, тако да су потребна најмање два како би комуникација могла ићи у оба смера. Ако би се АХ и ЕСП користили заједно, тада ће за сваки протокол бити потребан СА у сваком правцу, укупно четири.

ИПсец вс. ТЛС / ССЛ

Понекад је тешко разумети разлику између ИПсец и протокола попут ТЛС / ССЛ. Уосталом, обојица само пружају сигурност, зар не? Јесу, али то раде на различите начине и на различитим нивоима.

Један од најбољих начина да се упореди ИПсец и ТЛС / ССЛ је погледајте их у контексту ОСИ модела. ОСИ модел је концептуални систем који се користи да помогне у разумевању и стандардизацији различитих аспеката и слојева нашег компликованог процеса комуникације..

У овом моделу, ИПсец функционише на трећем слоју, мрежни слој, што значи да је намијењен за пријенос пакета података на хост преко једне или низа мрежа.

Када погледамо ТЛС / ССЛ, ствари постају мало збуњујуће. То је зато што постоји преко другог транспортног медија, ТЦП. Ово би требало да се постави ТЛС / ССЛ изнад слоја четири у ОСИ моделу.

ТЛС / ССЛ такође организује поруке руковања, које су пети ниво, сесијски слој. То би ТЛС / ССЛ поставило у било који слој шест или седам.

То се компликова када узмете у обзир да апликације користе ТЛС / ССЛ као протокол за транспорт. То би ТЛС / ССЛ поставило на ниво четири или испод. Али како може бити истовремено у слојевима шест или седам, као и у слоју четири или испод?

Одговор је да ТЛС / ССЛ се једноставно не уклапа у модел. Разлози за то су изван овог чланка. Најважнија ствар коју треба да знате је да је ОСИ модел управо то, модел, а понекад стварност не одговара нашим уредним и уредним моделима.

Када говоримо о овим стандардима у практичном смислу, Улога ТЛС / ССЛ-а је да потврди аутентичност података, провери њихов интегритет, шифрира их и компримира. Може се применити да обезбеди низ других протокола, као што су ХТТП или СМТП, а може се видети и у широком спектру апликација, као што су ВоИП и веб прегледавање.

ИПсец се разликује на неколико начина, први је тај то је оквир, а не једног протокола. Такође је сложенији, што отежава постављање и одржавање.

На крају, ТЛС / ССЛ је једноставнији од ИПсец-а, што је још један разлог зашто је склон имплементацији на шири начин. То је основни део једног од главних алтернативних протокола тунелирања, ОпенВПН.

Такође видети: Врхунски водич за ТЦП / ИП

ИПсец Безбедност

Последњих неколико година пуно се причало владине агенције које се баве позадином у ИПсец и користе рањивости да би се циљале на оне који користе протокол. Неке од раних оптужби појавиле су се 2010. године, када је Грег Перри контактирао главног развојног програмера ОпенБСД.

То је тврдио ФБИ је у код ОпенБСД ставио бројне позадине, као и механизме за цурење кључа са бочних канала. То би требало да утиче на ОпенБСД ИПсец стек, који се широко користи.

Током 2013. године током пропадања Сновдена откривено је да су НСА је циљала различите облике шифрирања и друге сигурносне алате. Чини се да документи потврђују да је НСА имала своје методе приступа кључевима који се користе у ИПсец-у, омогућавајући им да прескачу одређене везе.

Документација коју су процурили Схадов Брокерс у 2016. години показује да НСА има алат који би могао да се користи за разбијање ИПсец имплементације која се користи у Цисцовим ПИКС фиреваллима. Иако су ови заштитни зидови прекинути 2009. године, напад БЕНИГНЦЕРТАИН могао би се користити за приступ лозинкама за ПИКС уређаје.

Напад је укључивао слање пакета Интернет размјене кључева (ИКЕ) на ПИКС сервер, због чега би ослободио део своје меморије. Те информације би се могле претраживати како би се пронашле информације о конфигурацији и РСА приватни кључ, који би их затим НСА могао користити за шпијунирање ИПсец везе. Имајте на уму да је ово само једна примена која је била рањива и не утиче на тренутне облике ИПсец-а.

У 2018. години, истраживачи су искористили недостатак ИКЕ протокола, што им је омогућило да дешифрују везе. Концепт доказа може се користити за извођење напада човека у средини, где нападачи могу пресрести податке, променити их или чак спречити да их преносе.

Ова техника користи Блеицхенбацхер-ове ораке за дешифровање никаквих разлога, што нарушава РСА аутентификацију у првој фази ИКЕ-а. То омогућава нападачима да користе лажно овјерене симетричне кључеве са својом метом. Тада могу преварити крајњу тачку ИПсец, ометајући шифровање, што им омогућава да се убаце у претходно заштићену везу.

Иако је ово забрињавајући напад, закрпе су пуштене за имплементације на које се зна да утичу. Хуавеи, Цисцо, Цлавистер и КсиКСЕЛ сви су издали закрпе убрзо након што су упозорени о рањивости. Сигурно је користити ове претходно погођене имплементације све док су оне ажуриране.

Постоји још неколико потенцијалних рањивости у ИПсец-у, од којих многе укључују ИКЕ. Упркос овим питањима, ИПсец се и даље сматра безбедним за општу употребу, све док се правилно проводи и имплементација користи најновије исправке.

Сам ИПсец није покварен. Важно је имати на уму да је то само оквир који може да користи различите протоколе. И даље је могуће безбедно користити ИПсец, све док се прави протоколи користе на одговарајући начин. Међутим, несигурне конфигурације могу бити нападнуте од НСА и других страна, тако да је важно да ИПсец правилно користите.

Ако користите ИПсец?

ИПсец се углавном користи за формирање сигурног тунела у ВПН-овима, али то није једина опција. Ако сте забринути за своју сигурност, најбоље је размотрити остале могућности и пронаћи решење које одговара вашем случају и профилу ризика.

Главне алтернативе су ППТП, ССТП и ОпенВПН. Протокол тунелирања од тачке до тачке (ППТП) стар је и има доста сигурносних проблема, тако и јесте најбоље је избегавати га у свим околностима. Протокол безбедног тунелирања на сигурном соцкету (ССТП) је боља опција за кориснике Виндовса, међутим, јесте независно ревизије.

ОпенВПН је алтернатива отвореног кода која има низ различитих опција конфигурације. Користи ССЛ / ТЛС и није познато да има проблема са сигурношћу, тако да је најбољи избор за све који су забринути због безбедносних проблема који су пронађени у ИПсец-у.

То не значи да су све ИПсец везе инхерентно несигурне, то само значи да постоје сигурније алтернативе за оне који нису сигурни или се суочавају са високим нивоом претње..

Повезан: ИПСец вс ССЛ

Тастатура под лиценцом под ЦЦ0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

About the author

Leave a Reply

Your email address will not be published. Required fields are marked *

68 − = 65

Adblock
detector