IPSec: подробное руководство

Поскольку предприятия увеличивают объем транзакций, процессов и операций, которые они проводят через Интернет, безопасность всегда вызывает серьезную озабоченность. Когда ваши данные перемещаются по Интернету, они наверняка сталкиваются с различными угрозами. Эти угрозы способны украсть, подделать или выполнить другие вредоносные действия с вашими данными. Чтобы противостоять этим угрозам, предприятия, государственные учреждения и различные организации постоянно работают вместе или независимо друг от друга, чтобы найти решения для защиты интернет-трафика. Одним из наиболее успешно разработанных решений является пакет Internet Protocol Security или IPsec.

В этом посте я познакомлю вас с основными концепциями IPsec, объясню, как он работает, пройдусь по ключевым протоколам IPsec и обсужу другую важную информацию, которая поможет вам лучше понять этот важный набор технологий..

Во-первых, позвольте мне объяснить, что такое IPsec.

Что такое IPsec?

Разработанный Инженерной группой Интернета (IETF) в 1990-х годах и используемый в VPN, IPsec представляет собой набор протоколов, которые защищают интернет-соединения на сетевом уровне. Он делает это, обеспечивая шифрование, аутентификацию, целостность данных и защиту от повторного использования. Позвольте мне сначала объяснить каждую из этих функций безопасности. Это даст вам лучшее представление о том, как работает IPsec, и о его важности в бизнес-операциях.

Шифрование

Шифрование — это способ сделать текст нечитаемым для людей, у которых нет необходимого ключа дешифрования. По сути, он сохраняет конфиденциальность данных. Это важно, потому что без этого злоумышленник может перехватить ваши пакеты. Например, поскольку ваши пакеты проходят через Интернет, злоумышленник может инициировать атаку «человек посередине». Это означает, что они могут извлечь любые конфиденциальные данные, которые у вас могут быть.

Другим примером является то, что кибер-злоумышленник также может извлекать имена пользователей и пароли всякий раз, когда удаленные пользователи входят в вашу систему. Затем они могут использовать эти украденные учетные данные для самостоятельного несанкционированного входа в систему. Злоумышленники не смогут этого сделать, если вы зашифруете свои пакеты, так как это не позволит им разобрать содержимое этих пакетов.

Аутентификация

Аутентификация относится к процессу проверки подлинности определенного набора данных, т. е. того, является ли информация достоверной. В контексте IPsec вы проверяете исходный IP-адрес или происхождение пакета.

Важно установить происхождение пакета. Если он не соответствует вашим ожиданиям, это может означать, что пакет, который вы только что получили, на самом деле может быть отправлен с вредоносного сайта, подделывающего законный источник.

Целостность данных

Проверка целостности данных — это процесс, который проверяет, не были ли подделаны рассматриваемые данные. В контексте IPsec вы проверяете целостность пакета. Проверяемая часть пакета зависит от заголовка IPsec, AH или ESP (подробнее об этих двух позже). Но вы всегда можете проверить полезную нагрузку или передаваемые данные.

Вам необходимо провести проверку целостности полученных данных. Это потому, что злоумышленник всегда может перехватить ваши пакеты, изменить их, а затем отправить дальше. Проверки целостности данных помогут вам обнаружить любое вмешательство и предотвратят обработку злонамеренно измененных данных.

Защита от повторного воспроизведения

Защита от повторного воспроизведения — это механизм безопасности, предотвращающий атаки с повторным воспроизведением. В этом контексте повторная атака — это кибератака, при которой злоумышленник перехватывает пакет IPsec, перехватывает его содержимое, а затем повторно отправляет или воспроизводит его тому же адресату позднее. Обратите внимание, что повторная атака будет работать, даже если вы зашифруете пакеты IPsec. Это происходит потому, что злоумышленнику не нужно изменять или даже получать содержимое пакета.

Так почему же это вызывает беспокойство? Хорошо, если этот пакет содержит действительный запрос, который вызывает действительный ответ, повторно воспроизведенный пакет также вызовет действительный ответ. Например, если воспроизведенный пакет запрашивает доступ к вашей системе, ваша система не заметит ничего подозрительного и просто предоставит доступ. Механизм защиты от повторного воспроизведения IPsec обнаруживает эти атаки с повторным воспроизведением и генерирует сообщение об ошибке, тем самым не позволяя вредоносному пакету получить ответ.

Сочетание всех этих функций делает IPsec подходящим для Интернет-соединений, требующих высокого уровня безопасности. Это причина, по которой IPsec используется для защиты VPN, которые затем называются IPsec VPN; подробнее о них в следующем разделе!

IPsec VPN

Хотя у вас есть и другие способы защиты VPN (например, с помощью SSL/TLS), IPsec, возможно, является наиболее популярным выбором. Вот почему VPN IPsec также являются наиболее широко используемыми VPN. Прежде чем я дам определение IPsec VPN, лучше сначала рассмотреть, что такое VPN.

Что такое VPN?

Виртуальная частная сеть или VPN — это служба, которая создает частную сеть в общедоступной сети, такой как Интернет. Решения VPN достигают этого с помощью процесса, известного как туннелирование. Это метод, при котором пакеты, изначально предназначенные для частной сети, инкапсулируются, чтобы они могли пройти через общедоступную сеть.

Хотя туннелирование само по себе уже может создать VPN и обеспечить некоторую форму конфиденциальности, оно не обеспечивает достаточную защиту от современных угроз, таких как атаки «человек посередине». Для этого вам понадобится VPN с такими механизмами безопасности, как шифрование и аутентификация. Сегодня большинство решений VPN поддерживают эти возможности безопасности. И из этих решений IPsec VPN, возможно, являются самыми популярными.

Что такое IPsec VPN?

Как следует из названия, IPsec VPN — это VPN, использующая протоколы IPsec для обеспечения безопасности. В сетях IPsec VPN используются криптографические алгоритмы для обеспечения конфиденциальности, аутентификации и целостности данных, а также счетчик и упорядочивание номеров для обнаружения повторно воспроизведенных пакетов.

Вы можете реализовать IPSec VPN, используя следующие архитектуры VPN:

Сайт-сайт

VPN типа «сеть-сеть» соединяет две или более сетей или сайтов с помощью VPN-шлюзов IPsec. Каждая сеть должна иметь один VPN-шлюз. Шлюзом может быть маршрутизатор или брандмауэр, поддерживающий IPsec VPN. Это также может быть отдельное устройство, специально предназначенное для операций IPsec VPN. Обычно вы используете межсайтовую VPN для установления частной связи и обмена данными между центральным офисом и филиалом или между двумя разными компаниями.

Удаленный доступ

VPN с удаленным доступом (известная также как «клиент-сайт») позволяет пользователям подключаться с VPN-клиентов к центральному местоположению (например, центру обработки данных) и получать доступ к размещенным там ресурсам. Этот тип VPN может быть особенно полезен в компаниях, которым необходимо поддерживать удаленных сотрудников. Обратите внимание, что если у вас есть несколько устройств, которым необходимо подключиться к вашему VPN-шлюзу, на каждом устройстве должен быть установлен VPN-клиент.

Хост-хост

Эта архитектура является наименее популярной среди трех. Обычно это вступает в игру, когда ИТ-администратор хочет выполнить определенные задачи на удаленном сервере. В этом случае сам сервер предоставляет услуги VPN (обратите внимание, что здесь нет VPN-шлюза), а устройство ИТ-администратора действует как VPN-клиент.

Виртуальные частные сети IPsec полностью функционируют на основе правил различных протоколов IPsec. Поговорим сейчас о самых важных.

Ключевые протоколы IPsec

Как было сказано ранее, IPsec — это не один протокол. Скорее, он содержит несколько протоколов. Четыре из них, о которых я расскажу в следующем разделе, — это протокол заголовка IP-аутентификации (AH), протокол полезной нагрузки безопасности инкапсуляции (ESP), протокол обмена ключами в Интернете (IKE) и протокол ассоциации безопасности и управления ключами в Интернете (ISAKMP). Начнем с протокола IP AH.

1. ИП АХ

Протокол IP Authentication Header, или IP AH, определенный в RFC 4302, обеспечивает аутентификацию источника, целостность данных и услуги защиты от воспроизведения для трафика IPsec. Поскольку этот протокол IPsec не поддерживает шифрование, многие организации считают его устаревшим и вместо него используют ESP. Однако, поскольку AH выполняет проверку целостности данных для определенных частей пакета (в частности, внешнего IP-заголовка), чего не делает ESP, некоторые организации все еще используют и AH, и ESP.

2. IP ЭСП

Протокол Encapsulation Security Payload (ESP), указанный в RFC 4303, обеспечивает шифрование полезной нагрузки пакета в дополнение к службам аутентификации, целостности данных и защиты от воспроизведения. Даже если ESP не обеспечивает защиту целостности внешнего IP-заголовка, многие организации не считают это критическим недостатком. Большинство организаций больше беспокоятся о конфиденциальности своего трафика. Следовательно, они предпочитают этот протокол IPsec AH из-за его возможностей шифрования полезной нагрузки пакетов.

3. МОЩНОСТЬ

Протокол обмена ключами в Интернете (IKE), определенный в RFC 7296, в первую очередь отвечает за согласование, создание и управление ассоциациями безопасности. Ассоциация безопасности (SA) — это набор параметров, определяющих безопасность IPsec и другие функции, относящиеся к двум сторонам, пытающимся установить общее соединение IPsec. Весь процесс IKE состоит из двух фаз: Фаза 1 и Фаза 2.

Цель этапа 1 состоит в том, чтобы обе стороны установили безопасный канал для функций, связанных с управлением (например, состояние работоспособности туннеля IPsec, повторное согласование криптографических ключей и т. д.). Этот канал часто называют IKE SA. Чтобы построить этот канал, две стороны согласовывают параметры безопасности, такие как алгоритм шифрования, метод аутентификации, алгоритм защиты целостности и т. д.

С другой стороны, целью этапа 2 является создание фактического туннеля IPsec, через который будут проходить пакеты данных. Это IPsec SA. Итак, далее в этой статье, когда я говорю IKE SA, знайте, что я имею в виду канал управления. И когда я говорю IPsec SA, я имею в виду сам туннель IPsec VPN.

4. ИСАКМП

Первоначально указанный в RFC 2408, Internet Security Association and Key Management Protocol, или ISAKMP, представляет собой структуру для аутентификации и обмена ключами. Он определяет процедуры, а также форматы пакетов, используемые при построении, согласовании, изменении и завершении SA. Многое из того, что вы видите в IKE (например, синтаксис и атрибуты SA), основано на ISAKMP.

Когда вы используете протокол AH или ESP IPsec, вы можете настроить их для инкапсуляции пакетов, используя один из двух режимов: туннельный режим или транспортный режим. Давайте займемся этим сейчас.

Режимы IPsec: туннельный режим и транспортный режим

AH и ESP могут инкапсулировать пакеты в туннельном или транспортном режиме. Важно ознакомиться с этими двумя режимами, поскольку каждый из них лучше всего работает с определенными архитектурами. Начнем с разговора о туннельном режиме.

Туннельный режим IPsec

Туннельный режим является более широко используемым из двух и является режимом по умолчанию. В этом режиме AH или ESP создают новый заголовок IP при инкапсуляции пакета. Этот новый IP-заголовок содержит IP-адреса источника и назначения задействованных конечных точек, будь то шлюзы, клиенты или хосты. По этой причине туннельный режим может работать со всеми тремя упомянутыми выше архитектурами VPN.

Транспортный режим IPsec

В отличие от туннельного режима, AH и ESP не должны создавать новый IP-заголовок, когда они инкапсулируют пакет в транспортном режиме. Транспортный режим просто использует исходный заголовок IP. По этой причине этот режим лучше всего подходит для реализации архитектуры «хост-хост», поскольку у вас есть прямая связь между двумя конечными точками, и вам не нужно менять IP-адреса в заголовке IP.

Это почти охватывает его в отношении туннеля IPsec и транспортного режима. Теперь я расскажу о том , как на самом деле работает IPsec.

Как работает IPsec?

Теперь давайте объединим все, что вы уже узнали, и поговорим о том, как работает IPsec. Я рассмотрю этапы сценария site-to-site, так как это более популярная архитектура или вариант использования. Позвольте мне привести диаграмму между сайтами, которую я показал вам ранее, чтобы вы могли использовать ее в качестве точки отсчета.

Теперь, без лишних слов, вот краткий обзор шагов, связанных со сценарием site-to-site:

1. Процесс IPsec запускается, как только пакет поступает на шлюз IPsec VPN, скажем, на шлюз 1, и шлюз идентифицирует пакет как требующий защиты IPsec.
2. Шлюз 1 начинает согласование подходящей IKE SA со шлюзом 2 до тех пор, пока IKE SA не будет окончательно установлен. Два шлюза также аутентифицируются друг с другом. Помните, что это IKE Phase 1.
3. После того, как вы создадите IKE SA, вступит в силу IKE Phase 2. Здесь параметры, определенные IKE SA, в свою очередь, используются для согласования подходящего IPsec SA. После установки IPsec SA пакет может быть защищен с помощью AH или ESP, в зависимости от того, для какого протокола был настроен VPN-шлюз.
4. Шлюз 1 затем защищает пакет, используя параметры AH или ESP и IPsec SA, а затем отправляет пакет IPsec на шлюз 2 через туннель IPsec. Все шифрование, дешифрование, аутентификация и т. д. выполняются в соответствии с параметрами IPsec SA.
5. Туннель IPsec завершается, если происходит одно из следующих событий: истекает время сеанса или достигается значение максимального переданного байта.

Прежде чем мы закончим, позвольте мне кратко коснуться одной из самых спорных тем о VPN.

IPsec VPN против SSL VPN

Всякий раз, когда вы обсуждаете IPSec VPN, сравнение с SSL VPN обычно не за горами. Это связано с тем, что SSL VPN постепенно заменяет IPSec VPN в некоторых организациях. Вы можете найти более подробное обсуждение, сравнивающее эти два типа VPN, в работах здесь, в TechGenix. Он должен выйти очень скоро, так что проверьте его, когда он будет доступен. А пока вот мои два цента на эту тему.

Что такое SSL VPN?

SSL VPN — это VPN, использующая Transport Layer Security (TLS) для обеспечения безопасности. Он называется SSL VPN, потому что Secure Socket Layer (SSL) является предшественником TLS. Хотя SSL уже устарел, он изначально использовался для этого типа VPN, и название закрепилось. Вы можете найти SSL/TLS , встроенные в каждый современный веб-браузер, поэтому в большинстве случаев пользователям нужен только веб-браузер для использования SSL VPN.

Одним из основных преимуществ SSL VPN по сравнению с IPsec VPN является простота развертывания и управления в сценариях «клиент-сайт». По сравнению с клиентами IPsec VPN, для которых требуются сложные процессы и технические ноу-хау, клиенты SSL VPN намного проще в развертывании, настройке и управлении. На самом деле, пользователям SSL VPN нужно всего лишь установить плагин в любой современный веб-браузер, и они будут готовы к работе.

Когда вы предпочтете IPsec VPN вместо SSL VPN?

С точки зрения безопасности IPsec VPN имеют определенные преимущества перед SSL VPN. Я не буду вдаваться в подробности здесь (это для другой статьи), но вот несколько моментов, которые следует учитывать:

• Если вы отслеживали широко разрекламированные критические уязвимости, многие из них (например, POODLE, BEAST, Heartbleed и некоторые другие) связаны с протоколами SSL и TLS.
• IPsec работает на уровне 3 модели OSI, а SSL/TLS — на уровнях 4–7. Это означает, что защита, обеспечиваемая одним туннелем IPsec, охватывает больше, чем SSL/TLS. Например:
  • IPsec может защитить IP-информацию (например, IP-адреса), в то время как TLS не может
  • IPsec защищает как TCP, так и UDP-трафик, а TLS защищает только TCP-трафик.
  • Обмен данными между приложениями защищен TLS, только если эти приложения поддерживают TLS. IPsec, с другой стороны, поддерживает все сетевые коммуникации, включая любой обмен данными между хостами, сетями и приложениями.

Значит ли это, что IPSec VPN лучше, чем SSL VPN? Не обязательно. Поскольку VPN-клиенты IPsec довольно сложны в настройке и обслуживании, IPSec VPN больше подходят для сценариев использования типа «сеть-сеть». В сценарии site-to-site вам нужно только развернуть VPN-шлюз на каждом сайте. Таким образом, это намного проще с точки зрения управления по сравнению со сценариями клиент-сайт. Ваша ИТ-команда должна легко справиться с этим.

Это было много информации, не так ли? Посмотрите на светлую сторону, вы получили массу знаний за короткий промежуток времени! Давайте закончим, как всегда.

Заключительные слова

Конфиденциальность, целостность данных и подлинность — это три качества, которые имеют решающее значение для каждой деловой операции. Поскольку многие из этих транзакций в настоящее время осуществляются через Интернет, решения, поддерживающие эти качества, стали неотъемлемой частью бизнес-операций. Одним из наиболее широко используемых решений этого типа являются IPsec VPN.

В этой статье я познакомил вас с основными понятиями IPsec. Вы узнали о качествах IPsec, архитектурах VPN, протоколах IPsec, режимах IPsec и других связанных концепциях. Я также кратко сравнил IPsec VPN с SSL VPN. Хотя это ни в коем случае не глубокое погружение во внутреннюю работу IPsec, я надеюсь, что рассказал достаточно, чтобы дать вам хорошее представление о предмете.

Я уверен, что некоторые из этих обсуждений вызвали у вас пару вопросов относительно IPsec. Посмотрите, можете ли вы найти некоторые ответы в разделах часто задаваемых вопросов и ресурсов ниже.

Часто задаваемые вопросы

Есть ли VPN, который не поддерживает шифрование?

Да, протокол туннелирования уровня 2 или L2TP, протокол туннелирования, используемый для VPN, сам по себе не шифрует данные. Скорее, большинство реализаций L2TP сочетаются с IPsec, который затем обеспечивает функциональность шифрования. Если вы используете или собираетесь использовать VPN-решение, использующее L2TP, сначала проверьте, действительно ли оно сопряжено с IPsec.

Что такое SSL/TLS?

SSL/TLS расшифровывается как Secure Sockets Layer или Transport Layer Security (TLS), которые представляют собой технологии, защищающие различные протоколы прикладного уровня, такие как HTTP и FTP, с помощью шифрования. Шифрование защищает данные, делая их нечитаемыми. SSL — более старая технология, а TLS — текущая, но большинство пользователей продолжают использовать аббревиатуру SSL, поскольку она все еще более широко известна.

Что такое алгоритмы шифрования?

Алгоритмы шифрования — это правила и инструкции, необходимые для преобразования открытого текста (незашифрованного текста) в зашифрованный текст (зашифрованный текст). Некоторые из наиболее часто используемых алгоритмов включают AES, 3DES, RC6, IDEA и Blowfish. Большинство криптографических алгоритмов используют сложную математику, такую как модульная арифметика, теория чисел, простая факторизация, эллиптические кривые и другие.

Что такое ПУДЕЛЬ?

Padding Oracle on Downgrade Legacy Encryption, или POODLE, — это уязвимость, которая может быть использована, когда клиенты выполняют понижение протокола с TLS до SSLv3. Как объяснялось ранее в статье, SSL уже устарел. Одна из причин заключается в том, что он имеет несколько уязвимостей. К сожалению, конечные точки иногда выполняют понижение версии протокола, чтобы обойти проблемы взаимодействия на стороне сервера. Лучший способ противостоять эксплойту POODLE — полностью отключить SSLv3. Метод варьируется от одного приложения к другому, поэтому вам придется обратиться к поставщику программного обеспечения для получения правильных шагов.

Что такое Heartbleed?

Heartbleed — это ошибка в OpenSSL (которая является реализацией SSL/TLS), которая позволяла субъекту угрозы отправлять искаженный запрос пульса, чтобы получить ответ, который может содержать больше данных, чем обычно. Запрос пульса — это функция OpenSSL, которая позволяет одной конечной точке проверить, активна ли еще ее связь с другой конечной точкой. Обратите внимание, что эта ошибка затрагивает только системы, использующие OpenSSL. Предполагая, что вы используете OpenSSL, вы можете решить проблему с Heartbleed, просто применив последний патч. Это такая старая ошибка (появилась в 2012 году), так что, скорее всего, вы уже давно ее исправили.