IPsec
Skaitļošanā interneta protokola drošība (IPsec) ir drošs tīkla protokolu komplekts, kas autentificē un šifrē datu paketes, kas nosūtītas, izmantojot interneta protokola tīklu. To izmanto virtuālajos privātajos tīklos (VPN).
IPsec ietver protokolus, lai izveidotu savstarpēju autentifikāciju starp aģentiem sesijas sākumā un sarunas par kriptogrāfiskajām atslēgām, kas izmantojamas sesijas laikā. IPsec var aizsargāt datu plūsmas starp saimnieku pāri (saimniekdators-uzņēmējs), starp drošības vārteju pāri (tīklam tīklā) vai starp drošības vārteju un resursdatoru (tīklu-uzņēmēju). Interneta protokola drošība (IPsec) izmanto kriptogrāfijas drošības pakalpojumus, lai aizsargātu sakarus, izmantojot interneta protokola (IP) tīklus. IPsec atbalsta tīkla līmeņa peer autentifikāciju, datu izcelsmes autentifikāciju, datu integritāti, datu konfidencialitāti (šifrēšanu) un replay aizsardzību.
Sākotnējais IPv4 komplekts tika izstrādāts ar dažiem drošības noteikumiem. Kā IPv4 uzlabošanas sastāvdaļa IPsec ir 3. līmeņa OSI modelis vai interneta slāņa no gala līdz galam drošības shēma, bet dažas citas plaši izplatītas interneta drošības sistēmas darbojas virs 3. līmeņa, piemēram, transporta slāņa drošība (TLS) un Secure Shell (SSH), kas abi darbojas lietojumprogrammas slānī. IPsec var automātiski nodrošināt lietojumprogrammas IP slānī.
Drošības arhitektūra
[labot šo sadaļu | labot pirmkodu]IPsec ir atvērts standarts kā daļa no IPv4 komplekta. Lai veiktu dažādas funkcijas, IPsec izmanto šādus protokolus:
- Nenumurēta saraksta elements Autentifcation Headers (AH) nodrošina savienojumu bez datu integritātes un datu izcelsmes autentifikāciju IP datagrammām, un nodrošina aizsardzību pret atkārtotiem uzbrukumiem.
- Nenumurēta saraksta elements Encapsulating Security Payloads (ESP) nodrošina konfidencialitāti, bezsaistes integritāti, datu izcelsmes autentifikāciju, anti-replay pakalpojumu (daļējas secības integritātes formu) un ierobežotu satiksmes plūsmas konfidencialitāti.
- Nenumurēta saraksta elements Security Associations (SA) nodrošina algoritmu un datu kopumu, kas nodrošina parametrus, kas nepieciešami AH un/vai ESP darbībai. Interneta drošības asociācijas un atslēgu pārvaldības protokols (ISAKMP) nodrošina pamatu autentifikācijai un atslēgu apmaiņai ar faktisko autentificētu atslēgu materiālu, ko nodrošina vai nu manuāli konfigurējot ar iepriekš koplietotām atslēgām, Internet Key Exchange (IKE un IKEv2), Kerberized Internet Negotiation of Keys (KINK) vai IPSECKEY DNS ierakstiem.
Autentifcation Headers (AH)
[labot šo sadaļu | labot pirmkodu]AH ir daļēji iegūta no iepriekšējiem IETF standartiem, kas darbojas, lai autentificētu vienkāršo tīkla pārvaldības protokolu (SNMP) 2. versiju. AH nodrošina savienojumu bez integritātes, izmantojot hash funkciju un slepenu kopīgu atslēgu AH algoritmā. AH arī garantē datu izcelsmi, autentificējot IP paketes. Pēc izvēles secības numurs var aizsargāt IPsec pakešu saturu pret atkārtotiem uzbrukumiem, izmantojot slīdlogu paņēmienu un izmetot vecās paketes.
Encapsulating Security Payloads (ESP)
[labot šo sadaļu | labot pirmkodu]IP ESP tika pētīta Jūras pētniecības laboratorijā, sākot no 1992. gada kā daļa no DARPA atbalstītā pētniecības projekta, un to atklāti publicēja IETF SIPP darba grupa, kas tika izstrādāta 1993. gada decembrī kā drošības paplašinājums SIPP. Šī ESP sākotnēji tika iegūta no ASV Aizsardzības departamenta SP3D protokola, nevis atvasināta no ISO tīkla slāņa drošības protokola (NLSP). SPSD protokola specifikāciju NIST publicēja 1980. gadu beigās, bet to izstrādāja ASV Aizsardzības ministrijas Drošā datu tīkla sistēmas projekts. ESP konfigurācijas, bet šifrēšanas izmantošana bez autentifikācijas ir stingri noraidīta, jo tā ir nedrošs IPsec protokola komplekta dalībnieks. Tā nodrošina izcelsmes autentiskumu, izmantojot avota autentifikāciju, datu integritāti caur hash funkcijām un konfidencialitāti, izmantojot šifrēšanas aizsardzību IP paketēm. ESP atbalsta arī tikai-šifrēšanas un tikai-autentifikācijas konfigurācijas, bet šifrēšanas izmantošana bez autentifikācijas tiek stingri noraidīta.
Security Associations (SA)
[labot šo sadaļu | labot pirmkodu]IPsec protokolos tiek izmantota drošības asociācija, kurā komunicējošās puses izveido kopīgus drošības atribūtus, piemēram, algoritmus un atslēgas. Tā kā IPsec ir noteikts, vai tiek izmantots AH vai ESP, IPsec piedāvā vairākas iespējas. Pirms datu apmaiņas abi hosti vienojas par to, kuru algoritmu izmanto IP paketes šifrēšanai, piemēram, DES vai IDEA, un kura hash funkcija tiek izmantota, lai nodrošinātu datu integritāti, piemēram, MD5 vai SHA. Šie parametri ir saskaņoti konkrētajai sesijai, un jāvienojas par tās mūža ilgumu un sesijas atslēgu.