IPSec VPN: Ce este și cum funcționează

Justin Oyaro

By Justin Oyaro . 11 august 2023

Expert în Securitate Cibernetică

Miklos Zoltan

Fact-Checked this

Internet Protocol Security (IPSec) este o suită de protocoale folosite în general de VPN-uri pentru a crea o conexiune sigură pe internet.

Suita IPSec oferă caracteristici precum tunelare și criptografie în scopuri de securitate. De aceea, VPN-urile utilizează în mare parte IPSec pentru a crea tuneluri sigure.

IPSec VPN este cunoscut pe scară largă și sub denumirea de ‘VPN peste IPSec.’

Rezumat rapid

IPSec este de obicei implementat pe stratul IP al unei rețele. IPSec folosește două moduri de operare; modul tunel și modul transport.

Majoritatea furnizorilor de VPN utilizează modul tunel pentru a securiza și a încapsula întregul pachet IP. Modul de transport securizează doar payload-ul și nu întregul pachet IP.

Suita de protocoale IPSec VPN oferă în general servicii avansate de autentificare, compresie și criptare pentru conexiunile VPN.

IPSec oferă libertatea de a selecta algoritmi, protocoale de securitate și modul de schimb al cheilor de securitate între gazdele de comunicație.

Rezumat: Internet Protocol Security (IPSec) este o suită de protocoale utilizată pe scară largă de VPN-uri pentru a crea conexiuni sigure pe internet.
Oferă caracteristici precum tunelare și criptografie, cu două moduri de operare: modul tunel și modul de transport.

Suita de protocoale VPN IPSec oferă servicii avansate de autentificare, compresie și criptare, permițând alegerea flexibilă a algoritmilor, protocoalelor de securitate și metodelor de schimb de chei.

IPSec cuprinde Antetul de autentificare (AH), Încapsularea payload-ului de securitate (ESP), Asociația de securitate a internetului și protocolul de management al cheilor (ISAKMP) și Compresia payload-ului IP (IPComp).

IPSec funcționează prin stabilirea canalelor sigure, negocierea și schimbul de chei, transmiterea datelor și încheierea sesiunii atunci când este completă.

IPSEC VPN

Ce este IPSec?

Suita IPSec de protocoale VPN include Antetul de Autentificare (AH), Încapsularea Payload-ului de Securitate (ESP), Asociația de Securitate a Internetului și Protocolul de Management al Cheilor (ISAKMP) și Compresia Payload-ului IP (IPComp).

  • Antetul de Autentificare (AH): AH oferă autentificarea originii datelor în pachetele IP (datagrame), garantează integritatea fără conexiune și oferă protecție împotriva atacurilor de replay (datorită tehnicii de fereastră alunecoasă). AH oferă, de asemenea, autentificări semnificative atât pentru antetele IP, cât și pentru protocoalele de nivel superior.
  • Încapsularea Payload-ului de Securitate (ESP): ESP este responsabilă pentru oferirea autentificării, integrității și confidențialității datelor. ESP oferă, de asemenea, confidențialitatea payload-ului și autentificarea mesajelor în cadrul suitei de protocoale IPSec.
    În modul tunel, acesta încapsulează întregul pachet IP, în timp ce doar payload-ul este protejat în modul de transport.
  • Asociația de Securitate a Internetului și Protocolul de Management al Cheilor (ISAKMP): ISAKMP se ocupă cu Asociațiile de Securitate (SAs) – un set de chei și algoritmi pre-agreati utilizați de părți atunci când se stabilește un tunel VPN. Acestea includ Negocierea Kerberizată a Cheilor pe Internet (KINK) și Schimbul de Chei pe Internet (IKE și IKEv2).
  • Compresia Payload-ului IP (IPComp): IPComp este un protocol de compresie de nivel scăzut care reduce dimensiunea pachetelor IP, îmbunătățind astfel nivelurile de comunicare între două părți. Acest lucru este util atunci când comunicarea este excesiv de lentă, de exemplu, link-uri aglomerate.
    IPComp nu oferă securitate și trebuie să fie utilizat cu AH sau ESP peste tunelurile VPN.

Modurile de Funcționare ale VPN-ului IPSec

Să analizăm cum se compară cele două moduri de funcționare ale VPN-ului IPSec:

Modul Tunel IPSec

Criptarea VPN în modul tunel încapsulează fiecare pachet trimis cu noi pachete IPSec folosind ESP. Modul tunel utilizează și AH pentru a autentifica partea de server.

Prin urmare, IPSec folosește modul tunel pe gateway-uri securizate, cum ar fi un firewall care leagă cele două părți care comunică.

Modul de Transport

Modul de transport criptează și autentifică pachetele IP trimise între două părți care comunică.

Astfel, modul de transport este adesea rezervat pentru comunicările de la capăt la capăt între părți, având în vedere că nu modifică antetul IP al pachetelor trimise.

Algoritmi Criptografici pentru IPSec

IPSec se bazează pe algoritmi siguri care se conformează cu confidențialitatea, integritatea și autenticitatea.

Aceștia includ:

  • Algoritmi de autentificare cum ar fi RSA, PSK și criptografia cu Curba Eliptică.
  • Algoritmi de criptare simetrică, cum ar fi AES-CBC și GCM, HMAC-SHA, TripleDES și ChaCha20-Poly1305.
  • Algoritmi de schimb de chei, cum ar fi Curba Eliptică Diffie-Hellman și schimbul de chei Diffie-Hellman.

Cum Funcționează IPSec?

Mai jos este o descriere generală pas cu pas a modului în care funcționează IPSec.

De obicei, procesul începe cu gazdele (părțile care comunică) stabilind că pachetele primite sau trimise trebuie să utilizeze IPSec.

Dacă pachetele declanșează politicile IPSec, atunci procesul continuă după cum urmează:

  • Negociere și Schimb de chei: Acest pas include autentificarea gazdei și politicile care vor fi utilizate. În prima fază, gazdele creează un canal securizat. Negocierile se fac fie folosind modul principal (pentru o securitate mai mare) sau modul agresiv (pentru stabilirea mai rapidă a circuitului IP).
    Toate gazdele sunt de acord cu un IKE pentru configurarea circuitului IP în modul principal. În modul agresiv, gazda inițiatoare prezintă IKE pentru configurarea circuitului IP, iar cealaltă gazdă este de acord.
    În a doua fază, gazdele negociază și se pun de acord asupra tipului de algoritmi criptografici care vor fi utilizați în timpul sesiunii.
  • Transmisie: Aceasta implică schimbul de date între gazde. De obicei, IPSec descompune datele în pachete înainte de a fi trimise peste rețea. Pachetele includ mai multe segmente, cum ar fi încărcătura și antetele. IPSec adaugă și remorci și alte segmente care conțin detalii de autentificare și criptare.
  • Sfârșitul transmisiei: Acesta este ultimul pas și implică încheierea canalului securizat IPSec. Încheierea are loc când schimbul de date este complet sau sesiunea a expirat. Cheile criptografice sunt de asemenea eliminate.

IPsec VPN vs. SSL VPN

Pe lângă IPSec VPN, mulți dintre cei mai buni furnizori de VPN pot folosi, de asemenea, SSL VPN pentru a-ți securiza conexiunea pe internet. În funcție de nivelul de securitate necesar, furnizorii de VPN pot implementa ambele sau pot alege unul în detrimentul celuilalt.

VPN-urile SSL se bazează pe protocolul Transport Layer Security (TLS). Spre deosebire de IPSec, care funcționează la nivelul IP, TLS funcționează la nivelul stratului de transport. Astfel, securitatea și aplicațiile VPN IPSec și SSL VPN variază.

Cu IPSec VPN, traficul tău este securizat pe măsură ce se deplasează către și de la rețele și gazde private; în esență, poți proteja întreaga ta rețea. Astfel, IPSec VPN este fiabil pentru utilizări și aplicații bazate pe IP.

SSL VPN protejează traficul între utilizatori la distanță. În majoritatea cazurilor, VPN-urile SSL funcționează cu gazde care suportă aplicații bazate pe browser.

Întrebări frecvente

Unii oameni au găsit răspunsurile la aceste întrebări utile

Ce port de rețea folosește de obicei IPSec?

IPSec folosește adesea portul UDP 500 pentru ISAKMP și portul UDP 4500 pentru a trece prin firewall-uri, permițând NAT.

Care este mai bun, SSL VPN sau IPSec VPN?

Aplicațiile fiecărui protocol le diferențiază. De exemplu, IPSec VPN permite utilizatorilor să acceseze la distanță întreaga rețea și aplicațiile sale. Însă, SSL VPN permite utilizatorilor acces la tunelul de la distanță la anumite aplicații din rețea.

Poate fi IPSec spart?

Securitatea protocolului Internet (IPSec) este în general considerată sigură. Totuși, conform dezvăluirilor lui Snowden, NSA a vizat criptările IPSec prin inserarea diverselor vulnerabilități. Conform altor rapoarte, hackerii pot sparge unele dintre criptările IPSec. Totul depinde de implementarea folosită.

Care sunt utilizările IPSec?

Securitatea Protocolului Internet (IPSec) este o suită de protocoale care asigură traficul la nivel de pachet printr-o rețea. Poți folosi IPSec pentru a securiza informațiile între două părți. În plus, IPSec este responsabil pentru integritatea datelor, originalitate, autenticitate și confidențialitate.

IPSec este același lucru cu VPN?

Pe scurt, Securitatea Protocolului Internet (IPSec) este ca o tehnologie tradițională de VPN. Suita de protocoale a fost lansată pentru prima dată în 1990 și a primit upgrade-uri semnificative de atunci, făcându-l un protocol larg utilizat în industria VPN.

Justin Oyaro
Expert în Tehnologie și Securitate Cibernetică Justin este un expert în securitate cibernetică cu peste 5 ani de experiență în diverse domenii tehnologice. Este un specialist valoros în ceea ce privește securitatea cibernetică, Cord-cutting, Criptomonede, Smartphone-uri, Ghiduri practice și alte câmpuri conexe. Justin a redactat conținut autoritar pentru multiple site-uri web și bloguri de securitate cibernetică pe teme legate de intimitate și securitate. De asemenea, el efectuează teste pen pe produse tech, cum ar fi aplicațiile pentru smartphone-uri și site-urile web. Când nu scrie, Justin își petrece majoritatea timpului urmărind cele mai recente trenduri tehnologice și lucrând în Android Studio. Justin deține, de asemenea, o diplomă în Tehnologia Sistemelor de Informații și un Master în Aplicații Informatice (M.C.A.), obținute la Universitatea din Adelaide.
Justin Oyaro
  • Connect with the author:

Leave a Comment