IPsec

Allikas: Vikipeedia

IPsec (inglise Internet Protocol Security) on Internetiprotokolli (IP) turvalisuse parandamiseks loodud protokollide kogu[1]. Sellel on mitu[2] ülesannet: autentimine (andmete allika kontroll) ja krüpteerimine (andmete kõrvalistele isikutele loetamatuks muutmine) ja algoritmide kooskõlastamine. IPsec töötab andmeside võrgukihis IP paketipäise laiendusena ja autentib/krüpteerib kogu liikluse sõltumata kasutatavast kõrgema taseme protokollist (TCP, UDP). Algselt loodi IPsec avatud standardina IPv6 jaoks, kuid seda hakati kasutama ka IPv4ga, eriti VPN'de loomiseks.

Plussid ja miinused[muuda | redigeeri lähteteksti]

  • Tugev krüptograafia ja autentimine.
  • IPsec kasutamiseks ei pea rakendustarkvarasse IPsec tugi sisse ehitatud olema nagu SSL ja TLS'i puhul.
  • Parim lahendus turvalise VPNi ehitamiseks.
  • Võtmevahetus on keeruline - osapooltel peavad olema eelnevalt kokkulepitud võtmed või tuleb kasutada täiendavaid protokolle võtmevahetuseks (IKE, KINK, IPSECKEY).
  • Konfiguratsioon on keeruline. IPsec kasutusele võtmine tasub ära ainult spetsiifilistel juhtudel.

IPsec protokollid[muuda | redigeeri lähteteksti]

IPsec koosneb peamiselt kahest komponendist[3]: autentimispäised (AH) ja andmekapseldus (ESP). Nendele lisanduvad veel mitmed võtmevahetusprotokollid ja lahendus algoritmide kooskõlastamiseks ja parameetrite vahetamiseks (security association).

Authentication Headers[muuda | redigeeri lähteteksti]

Authentication Headers (AH) ehk autentimispäised on IPsec komponent, mis vastutab saadetavate andmete terviklikkuse (integrity) ja allika tuvastamise (authentication) eest. Selleks kasutab ta krüptograafilisi räsisi (hash)(näiteks HMAC-SHA1) ja digitaalseid allkirju. AH on osa Internetiprotokollist (IP), tema protokollinumber on 51 (mitte segi ajada pordinumbriga).

IPsec transpordirežiimis TCP segmenti kaitsmas
IPsec tunnelirežiimis IP paketti kaitsmas

Encapsulating Security Payload[muuda | redigeeri lähteteksti]

Encapsulating Security Payload (ESP) ehk turvaline andmekapseldus on IPsec komponent, mis vastutab andmete konfidentsiaalsuse eest. Konfidentsiaalsuse tagamiseks krüpteeritakse kogu IP paketi sisu kasutades tugevaid krüptoalgoritme nagu TripleDES ja AES. Täiendalt võib ESP täita ka AH rolli, kaitstes paketi terviklikkust ja kontrollides paketi allikat. Lõplik algoritmide valik sõltub IPsec konfiguratsioonist ehk selle saab valida võrgu administraator. ESP Internetiprotokolli (IP) protokollinumber on 50.

IPsec ESP protokoll andmeid kapseldamas

Töörežiimid[muuda | redigeeri lähteteksti]

Transpordirežiim[muuda | redigeeri lähteteksti]

Transpordirežiimi kasutatakse otspunktide vahelise ühenduse turvamisel[4]. Selles režiimis krüpteeritakse kogu IP paketi sisu (payload) ja kaitstakse muutmise eest (AH abil) paketi sisu koos IP päisega. See ei lase kõrvalistel isikutel paketi sisu lugeda ja tuvastab kõik paketis tehtud muudatused. Seetõttu ei ole võimalik transpordirežiimis IPsec'i kasutada koos NAT'ga - NAT muudab paketi päises IP lähteaadressi ja porti, kuid IPsec ei luba IP päise muutmist.

Tunnelirežiim[muuda | redigeeri lähteteksti]

Tunnelirežiimis krüpteeritakse (ESP abil) kogu IP pakett ning kapseldatakse see uude IP paketti (uut paketti ei kaitsta)[5]. See on kasulik, kui kogu liiklus tuleb saata üle ebausaldusväärse kanali, kuhu ei tohi lekkida ka IP päises asuv informatsioon (kes paketi saatis, kellele pakett saadeti). Enamasti kasutatakse seda üksteisest eemal asuvate kohtvõrkude (LAN) või arvuti ja eemalasuva kohtvõrgu turvaliseks ühendamiseks (sisuliselt VPN). Tunnelirežiim toimib ka üle NATi, sest kapseldava IP paketi päist ei kaitsta ja NAT saab seda vabalt muuta.

Viited[muuda | redigeeri lähteteksti]