logo

TechCodeview

Seguretat IP (IPSec)

Requisit previ: Tipus de protocol d'Internet

IP Sec (Internet Protocol Security) és un conjunt estàndard de protocols d'Internet Engineering Task Force (IETF) entre dos punts de comunicació a través de la xarxa IP que proporcionen autenticació, integritat i confidencialitat de les dades. També defineix els paquets xifrats, desxifrats i autenticats. S'hi defineixen els protocols necessaris per a l'intercanvi segur de claus i la gestió de claus.



Usos de la seguretat IP

IPsec es pot utilitzar per fer les coses següents:

  • Per xifrar les dades de la capa d'aplicació.
  • Per proporcionar seguretat als encaminadors que envien dades d'encaminament a través d'Internet pública.
  • Per proporcionar autenticació sense xifratge, com per autenticar que les dades provenen d'un remitent conegut.
  • Per protegir les dades de la xarxa mitjançant la configuració de circuits mitjançant túnel IPsec en què totes les dades que s'envien entre els dos punts finals estan xifrades, com passa amb una connexió de xarxa privada virtual (VPN).

Components de la seguretat IP

Té els components següents:

  1. Càrrega útil de seguretat encapsulada (ESP)
  2. Capçalera d'autenticació (AH)
  3. Intercanvi de claus d'Internet (IKE)

1. Càrrega útil de seguretat encapsulada (ESP): Proporciona integritat de dades, xifratge, autenticació i anti-reproducció. També proporciona autenticació per a la càrrega útil.



2. Capçalera d'autenticació (AH): També proporciona integritat de dades, autenticació i anti-reproducció i no proporciona xifratge. La protecció anti-replay protegeix contra la transmissió no autoritzada de paquets. No protegeix la confidencialitat de les dades.

Capçalera IP

Capçalera IP

3. Intercanvi de claus d'Internet (IKE): És un protocol de seguretat de xarxa dissenyat per intercanviar dinàmicament claus de xifratge i trobar un camí a través de Security Association (SA) entre 2 dispositius. L'Associació de Seguretat (SA) estableix atributs de seguretat compartits entre 2 entitats de xarxa per donar suport a la comunicació segura. El protocol de gestió de claus (ISAKMP) i l'Associació de seguretat d'Internet ofereixen un marc per a l'autenticació i l'intercanvi de claus. ISAKMP explica com la configuració de les associacions de seguretat (SA) i com les connexions directes entre dos amfitrions utilitzen IPsec. Internet Key Exchange (IKE) proporciona protecció del contingut del missatge i també un marc obert per implementar algorismes estàndard com SHA i MD5. Els usuaris d'IP sec de l'algoritme produeixen un identificador únic per a cada paquet. Aquest identificador permet llavors a un dispositiu determinar si un paquet ha estat correcte o no. Els paquets que no estan autoritzats es descarten i no es donen al receptor.



Paquet en protocol d'Internet

Paquets en protocol d'Internet

Arquitectura de seguretat IP

L'arquitectura IPSec (Seguretat IP) utilitza dos protocols per assegurar el trànsit o el flux de dades. Aquests protocols són ESP (Encapsulation Security Payload) i AH (Authentication Header). L'arquitectura IPSec inclou protocols, algorismes, DOI i gestió de claus. Tots aquests components són molt importants per oferir els tres serveis principals:

  • Confidencialitat
  • Autenticitat
  • Integritat
Arquitectura de seguretat IP

Arquitectura de seguretat IP

Treballant en seguretat IP

  • L'amfitrió comprova si el paquet s'ha de transmetre mitjançant IPsec o no. Aquest trànsit de paquets activa la política de seguretat per si mateix. Això es fa quan el sistema que envia el paquet aplica el xifratge adequat. L'amfitrió també verifica que els paquets entrants estiguin xifrats correctament o no.
  • A continuació, s'inicia la fase 1 d'IKE en què els 2 amfitrions (utilitzant IPsec) s'autentiquen entre ells per iniciar un canal segur. Té 2 modes. El mode principal proporciona una major seguretat i el mode agressiu que permet a l'amfitrió establir un circuit IPsec més ràpidament.
  • A continuació, el canal creat en l'últim pas s'utilitza per negociar de manera segura la manera com el circuit IP xifrarà les dades a través del circuit IP.
  • Ara, la Fase 2 d'IKE es realitza a través del canal segur en què els dos amfitrions negocien el tipus d'algorismes criptogràfics que s'utilitzaran a la sessió i acorden el material de claus secretes que s'utilitzarà amb aquests algorismes.
  • A continuació, les dades s'intercanvien a través del túnel xifrat IPsec de nova creació. Aquests paquets són xifrats i desxifrats pels hosts mitjançant IPsec SA.
  • Quan la comunicació entre els amfitrions s'ha completat o el temps de sessió s'ha acabat, el túnel IPsec s'acaba descartant les claus dels dos amfitrions.

Característiques d'IPSec

  1. Autenticació: IPSec proporciona autenticació de paquets IP mitjançant signatures digitals o secrets compartits. Això ajuda a garantir que els paquets no siguin manipulats ni falsificats.
  2. Confidencialitat: IPSec proporciona confidencialitat xifrant els paquets IP, evitant l'escolta del trànsit de la xarxa.
  3. Integritat: IPSec proporciona integritat assegurant que els paquets IP no s'han modificat ni danyat durant la transmissió.
  4. Gestió de claus: IPSec ofereix serveis de gestió de claus, inclòs l'intercanvi de claus i la revocació de claus, per garantir que les claus criptogràfiques es gestionen de manera segura.
  5. Tunnelatge: IPSec admet el túnel, permetent que els paquets IP s'encapsulin dins d'un altre protocol, com ara GRE (Generic Routing Encapsulation) o L2TP (Layer 2 Tunneling Protocol).
  6. Flexibilitat: IPSec es pot configurar per proporcionar seguretat per a una àmplia gamma de topologies de xarxa, incloses les connexions punt a punt, de lloc a lloc i d'accés remot.
  7. Interoperabilitat: IPSec és un protocol estàndard obert, el que significa que és compatible amb una àmplia gamma de venedors i es pot utilitzar en entorns heterogenis.

Avantatges d'IPSec

  1. Seguretat forta: IPSec ofereix forts serveis de seguretat criptogràfica que ajuden a protegir les dades sensibles i garantir la privadesa i la integritat de la xarxa.
  2. Àmplia compatibilitat: IPSec és un protocol estàndard obert que és àmpliament suportat pels venedors i que es pot utilitzar en entorns heterogenis.
  3. Flexibilitat: IPSec es pot configurar per proporcionar seguretat per a una àmplia gamma de topologies de xarxa, incloses les connexions punt a punt, de lloc a lloc i d'accés remot.
  4. Escalabilitat: IPSec es pot utilitzar per protegir xarxes a gran escala i es pot augmentar o reduir segons sigui necessari.
  5. Rendiment millorat de la xarxa: IPSec pot ajudar a millorar el rendiment de la xarxa reduint la congestió de la xarxa i millorant l'eficiència de la xarxa.

Desavantatges d'IPSec

  1. Complexitat de la configuració: IPSec pot ser complex de configurar i requereix coneixements i habilitats especialitzades.
  2. Problemes de compatibilitat: IPSec pot tenir problemes de compatibilitat amb alguns dispositius i aplicacions de xarxa, cosa que pot provocar problemes d'interoperabilitat.
  3. Impacte en el rendiment: IPSec pot afectar el rendiment de la xarxa a causa de la sobrecàrrega de xifrat i desxifrat dels paquets IP.
  4. Gestió de claus: IPSec requereix una gestió eficaç de claus per garantir la seguretat de les claus criptogràfiques utilitzades per al xifratge i l'autenticació.
  5. Protecció limitada: IPSec només proporciona protecció per al trànsit IP, i altres protocols com ara ICMP, DNS i protocols d'encaminament poden encara ser vulnerables als atacs.