IPsec (Internet Protocol security-ren laburdura) Interneteko Protokoloaren (IP) gaineko komunikazioak ziurtatzeko protokolo multzoa da, datu fluxu bateko IP pakete bakoitza zifratzen eta/edo kautotzen duena. IPsec-ek zifratze-gakoak ezartzeko protokoloak ere baditu. [1]

Laburpena

aldatu

IPsec-eko protokoloak sare geruzan aritzen dira, OSI ereduaren 3. geruzan. Erabilera zabalduko Interneterako beste segurtasun protokolo batzuk, hala nola SSL, TLS eta SSH, aplikazio geruzakoak dira (OSI ereduko 7. geruza). Horren ondorioz, IPsec malguagoa da, 4. geruzako protokoloak babesteko erabil daitekeelako, TCP eta UDP barne.

Segurtasun arkitektura

aldatu

IPsec protokolo kriptografikoen multzo batek inplementatzen du, paketeen fluxua ziurtatzeko, elkarrekiko kautotzea bermatzeko eta parametro kriptografikoak ezartzeko.

IP segurtasun-arkitekturak segurtasun-elkarte (SA) kontzeptua erabiltzen du IP segurtasuneko funtzioak eraikitzeko. Segurtasun-elkarte bat algoritmoen eta parametroen paketea da, norabide bateko fluxu jakin bat zifratzeko eta kautotzeko erabiltzen dena. Beraz, bi norabideko trafiko arruntean, segurtasun-elkarte pare batek ziurtatzen ditu fluxuak. Zifratzeko eta kautotzeko algoritmoen azken erabakia IPsec-en administratzaileari dagokio.

Estandarraren egungo egoera

aldatu

IPsec IPv6-ren nahitaezko zati bat izan zen, RFC 4294ren definizioan oinarrituta. [2] Hala ere, 2011. urtean, RFC hori RFC 6434k zaharkitu zuen, eta horrek adierazten du IPsec IPv6-rentzat gomendagarria dela eta ez dela nahitaezkoa. [3] IPv4-rentzat, erabiltzea aukerakoa da. Estandarra IPren bertsioekiko indiferentea izateko diseinatuta dagoen arren, 2007ra arteko hedapena eta esperientzia IPv4-ren inplementazioei dagokie.

Diseinuaren asmoa

aldatu

IPsec proiektatu zen garraio moduan pakete trafikoan segurtasuna emateko (muturretik muturrera), non muturretako ordenagailuek segurtasun prozesatzea egiten duten, edo tunel moduan, non pakete trafikoaren segurtasuna nodo bakar batek hornitzen baitu.

IPsec bi moduetan erabil daiteke VPNak sortzeko, eta hau da haren funtzionamendu nagusia. Kontuan izan behar da, hala ere, segurtasun inplikazioak nahiko desberdinak direla bi eragiketa moduen artean.

Muturretik muturrerako komunikazioen segurtasuna espero baino motelago garatu da. Horren arrazoietako bat da ez dela sortu gako publikoko azpiegitura unibertsalik (DNSSEC horretarako aurreikusi zen jatorrian). Beste alde batetik, erabiltzaile askok ez dituzte behar bezain ondo ulertzen saltzaileen produktuetan inklusioa sustatzeko dituzten beharrak eta aukera erabilgarriak.

Interneteko protokoloak berez segurtasun ahalmenik ez duenez, IPsec segurtasun zerbitzuak emateko sartu zen, hala nola:

  • Trafikoa zifratzea (helburuek soilik irakur dezaten).
  • Osotasuna baliozkotzea (trafikoa ibilbidean zehar ez dela aldatu ziurtatzea).
  • Muturrei kautotzea (trafikoa konfiantzazkoa den mutur batetik datorrela ziurtatzea).
  • Errepikapenaren aurka (babestu saio segurua errepikatzearen aurka).

Moduak

aldatu

Zein mailatan jarduten den kontuan hartuta, IPsec-en oinarrizko bi modu bereiz daitezke: garraio modua eta tunel modua.

Garraio modua

aldatu

Garraio moduan, IP paketearen karga erabilgarria (transferitzen diren datuak) bakarrik zifratzen edo kautotzen da. Bideratzea ez da aldatzen, ez baita IP goiburua aldatzen edo zifratzen; hala ere, autentifikazio-goiburua (AH) erabiltzen denean, IP helbideak ezin dira itzuli, horrek hash-a baliogabetuko lukeelako. Garraio eta aplikazio geruzak beti hash baten bidez ziurtatzen dira, eta horrela ezin dira inola ere aldatu (adibidez, TCP eta UDP portu zenbakiak itzuliz). Garraio modua ordenagailuen arteko komunikazioetarako erabiltzen da.

NAT zeharkatzeko IPsec mezuak kapsulatzeko modu bat definitu dute zeharkako NAT mekanismoa deskribatzen duten RFCek.

Tunel modua

aldatu

Tunel moduan, IP pakete osoa (datuak gehi mezuaren goiburuak) zifratzen edo kautotzen da. Orduan, IP pakete berri batean kapsulatu behar da, bideratzeak funtziona dezan. Tunel modua saretik sarerako komunikazioetarako erabiltzen da (bideratzaileen arteko tunel seguruak, adibidez, VPNetarako), edo ordenagailu-sare edo Internet gaineko ordenagailu-ordenagailu komunikazioetarako.

Protokoloak

aldatu

IPsec-ek hiru protokolo ditu, pakete-mailan segurtasuna emateko garatu direnak, IPv4-rako zein IPv6-rako:

Authentication Header (AH)

aldatu

IP datagramen jatorrizko datuen osotasuna konexiorik eta kautotzerik gabe bermatzera zuzenduta dago. Horretarako, Hash Message Authentication Code (HMAC) bat kalkulatzen du hash algoritmo baten bidez gako sekretu baten, IP paketearen edukiaren eta datagramaren zati aldaezinen gainean lan eginez. Prozesu horrek NAT erabiltzeko aukera murrizten du, eta zeharkako NATekin inplementatu daiteke. Bestalde, AHk errepikatze-erasoen aurka babes dezake leiho irristakorreko teknika erabiliz eta pakete zaharrak baztertuz. IP karga erabilgarria eta IP datagrama baten goiburu eremu guztiak babesten ditu, eremu aldakorrak izan ezik; hau da, ibilbidean alda daitezkeenak. AH goiburuak 32 bit neurtzen ditu, hona hemen nola antolatzen diren adierazten duen diagrama bat:

0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Hurrengo goiburua Karga erabilgarriaren luzera Erreserbatuta
Segurtasun-parametroen indizea (SPI)
Sekuentzia zenbakia
Hash mezuen autentifikazio-kodea (HMAC)

Eremuen esanahia:

Hurrengo goiburua

Transferitutako datuen protokoloa identifikatzen du.

Karga erabilgarriaren luzera

AH paketearen tamaina.

Erreserbatuta

Etorkizunerako erreserbatuta (ordura arte dena zero).

Segurtasun-parametroen indizea (SPI)

IP helbidearekin batera, pakete horrekin inplementatutako segurtasun-elkartea identifikatzen duten segurtasun-parametroak adierazten ditu.

Sekuentzia zenbakia

Zenbaki gero eta handiagoa, errepikapen-erasoak saihesteko erabiltzen dena.

HMAC

Paketea autentifikatzeko beharrezkoa den osotasuna egiaztatzeko balioa du; betegarria izan dezake.

Encapsulating Security Payload (ESP)

aldatu

ESP protokoloak pakete baten jatorriaren autentikotasuna, osotasuna eta konfidentzialtasunaren babesa ematen ditu. ESPk ere bakarrik zifratu eta bakarrik kautotze konfigurazioak jasaten ditu, baina ez da gomendagarria kautotzerik gabeko zifratzea erabiltzea, ez baita segurua. [4][5][6] AHrekin ez bezala, IP paketearen goiburua ez du ESPk babesten. ESPk IPren gainean jarduten du zuzenean, IP 50 protokoloa erabiliz.

ESP pakete-diagrama bat:

0 - 7 bit 8 - 15 bit 16 - 23 bit 24 - 31 bit
Segurtasun-parametroen indizea (SPI)
Sekuentzia zenbakia

Karga erabilgarriaren datuak (aldakorra)


  Betegarria (0-255 bytes)  
    Betegarriaren luzera Hurrengo goiburua
Kautotze-datuak (aldakorra)


Eremuen esanahia:

Segurtasun-parametroen indizea (SPI)

IP helbidearekin konbinatuta segurtasun-parametroak identifikatzen ditu.

Sekuentzia zenbakia

Zenbaki gero eta handiagoa, errepikapen-erasoak saihesteko erabiltzen dena.

Karga erabilgarriaren datuak

Transferituko diren datuak.

Betegarria

Algoritmo kriptografiko batzuek blokeak erabat betetzeko erabiltzen dute.

Betegarriaren luzera

Betegarriaren tamaina bytetan.

Hurrengo goiburua

Transferitutako datuen protokoloa identifikatzen du.

Kautotze-datuak

Paketea autentifikatzeko erabilitako datuak ditu.

Erreferentziak

aldatu
  1. (Gaztelaniaz) Marqués, Guillermo. (2016-01-12). IPsec y redes privadas virtuales. Lulu.com ISBN 978-1-329-82419-5. (Noiz kontsultatua: 2021-11-17).
  2. Loughney, John A.. (2006-04). IPv6 Node Requirements. (Noiz kontsultatua: 2021-11-30).
  3. Jankiewicz, Edward; Narten, Thomas; Loughney, John A.. (2011-12). IPv6 Node Requirements. (Noiz kontsultatua: 2021-11-30).
  4. Bellovin, S.M.. «Probable plaintext cryptanalysis of the IP security protocols» Proceedings of SNDSS '97: Internet Society 1997 Symposium on Network and Distributed System Security (IEEE Computer. Soc. Press)  doi:10.1109/ndss.1997.579220. (Noiz kontsultatua: 2021-11-29).
  5. Paterson, Kenneth G.; Yau, Arnold K. L.. (2006). «Cryptography in Theory and Practice: The Case of Encryption in IPsec» Advances in Cryptology - EUROCRYPT 2006 (Springer Berlin Heidelberg): 12–29. (Noiz kontsultatua: 2021-11-30).
  6. Degabriele, Jean Paul; Paterson, Kenneth G.. (2007-05). «Attacking the IPsec Standards in Encryption-only Configurations» 2007 IEEE Symposium on Security and Privacy (SP '07) (IEEE)  doi:10.1109/sp.2007.8. (Noiz kontsultatua: 2021-11-30).

Ikus, gainera

aldatu

Kanpo estekak

aldatu