IPSec – tedy Internet Protocol Security, je skupina protokolů, která slouží pro zabezpečení IP komunikace mezi dvěma klienty, zajišťuje obousměrnou autentizaci a vyjednává kryptografické metody. IPSec pracuje na IP vrstvě – tzn. Layer 3 OSI model, který doplňuje protokol IPv4 (protokol IPv6 je povinnou součástí protokolu, je tedy nativní). Jedním z prvních úkolů protokolu IPSec je to, že zařídí, aby si obě strany autentizovaly a poté, šifruje veškerou jejich komunikaci pomocí předem domluveného algoritmu. Strana, která komunikuje, se nazývá peer.
Režimy a funkce
- Host-to-host – Transport – Má za úkol zašifrovat pouze data, hlavička paketu se ponechá a je doplněna pouze IPSec hlavička. Klienti Windows podporují pouze transport mode (L2TP/IPSec)
- Network – Tunnel Mode (výchozí) – Má za úkol zašifrovat celý paket včetně hlavičky a následně doplní novou hlavičku paketu. Z komunikace nelze odhalit adresu klienta.
Protokoly
AH – Authentication Header – jeho úkolem je zajistit integritu a autentizaci dat, využívá hashovací funkce jako jsou ( MD5, SHA1) a společný klíč na kterém se domluví hned na začátku. Hlavička obsahuje pořadové číslo paketu.
ESP – Encapsulating Security Payload – jeho úkolem je zajistit důvěrnost, autentizaci a integritu zdroje dat. Pro své fungování využívá šifrovací metody na bázi (MD5, SHA1, DES, DES3, AES,) využívá protokolu IP č. 50
SA – Security Association – skupina algoritmů, které poskytují parametry pro bezpečnou komunikaci pomocí ESP a AH. SA využívá tzv. ISAKMP Framework – Internet Security Association and Key Management Protocol a všem dobře známý protokol IKE – Internet Key Exchange pro vyjednání atributů, které obsahují informace o metodě šifrování, době platnosti klíče, kompresi a zapouzdření, je nutné podotknout, že veškerá komunikace probíhá šifrovaně.
IKE
IKE – tedy Internet Key Exchange, se využívá na samém začátku komunikace IPSec, kdy vyjednává SA – Seciruty Association. IKE používá pro komunikaci port UDP 500 a pro autentizaci certifikáty či PSK pre-shared-key. U IKE probíhá výměna klíčů pomocí metody Diffie-Hellman (kdy je vytvořena SSS shared session secret a z něj se poté odvodí šifrovací klíče. Veškerá komunikace je šifrovaná a můžeme ji použít jako část autentizace. Existuje také verze IKEv2. Fáze IKE lze rozhodit do 2 fází, přičemž: Účastníci se autentizují a vyjednává se IKE SA – diffie-hellman, díky tomu je vytvořen bezpečný kanál pro vyjednávání komunikace ve fázi 2. kde IPSec vyjedná SA parametry a nastaví odpovídající SA.
NAT – T
Jak jsem již uvedl v pár větách nahoře, pakety které jsou posílané skrz IPSec jsou chráněny hashem, aby jejich obsah nemohl být narušen. Pokud se v cestě vyskytne NAT, který modifikuje jeho hlavičku, jak jistě víme, paket je znehodnocen a poté zahozen. Řešením tohoto problému je NAT-T, který doplní novou UPD hlavičku. Veškerá komunikace je na portě 4500 UTP a označuje se jako IPSec over UDP či IPSec over NAT-T.
L2TP over IPSec
Layer 2 Tunneling Protocol tedy – L2TP je protokol sloužící k tunelování VPN. Jeho úkolem je vytvořit tunel, celkem často se používá dohromady s IPSec, který jak už víme, zajišťuje důvěrnost a autentizaci. Tohle řešení poté nazýváme jako L2TP/IPSec. Proces navazování spojení skrze IKE může probíhat:
- Z parametrů Security Association – SA – se naváže na IP šifrovaná komunikace v ESP transport módu
- Pomocí IKE se na UDP portu 500 vyjedná Secirity Association – SA – a použije certifikáty – serverové a klientské) či PSK.
- Nejprve se vyjedná a poté je vytvořen tunel L2TP mezi klienty, kdy komunikace probíhá přes UDP 1701, která je ovšem zabalené v IPSec.
Kontrola znalostí
- ESP nabízí šifrování, kde jako AH není – TRUE
- IKE vyjednává spojení a výměnu klíčování materiál – TRUE
- IKE je ruční výměna šifrovacích klíčů – FALSE
- Režim tunelu je podobný VPN brány do brány – TRUE
- Při čichání IPSex pakety, je snadné určit, provoz v oblasti režimu – FALSE
- AH – Ať už v tunelu nebo v režimu dopravy – je zcela v rozporu s NAT – TRUE
- SA je dohoda mezi dvěma branami na datum výměně securetly – TRUE
- IPSec používá pojem přidružení zabezpečení. IPSec používá IKE nebo IKEv2 nastavit tyto bezpečnostní asociace – TRUE
- AH se používá k ověření – ale nikdy šifrování – IP provoz – TRUE
- MD5 a SHA1 jsou příklady ověřování a šifrování – TRUE
- Šifrování Seznam metody používané IPSec – DES, 3DES, Blowfish, AES