Mikä on IPsec ja miten se toimii?

Mikä on IPsec-salaus ja miten se toimii_


IPsec on kehys tekniikoita, joihin on tottunut kiinnitä yhteys kahden pisteen välillä. Se tarkoittaa Internet Protocol Securitya ja näkyy yleisimmin VPN-verkoissa. Se voi olla hieman monimutkainen, mutta se on hyödyllinen vaihtoehto yhteyksien turvaamiseksi tietyissä tilanteissa.

Tämä opas hajottaa IPsec: n helpoiksi paloiksi, antaen sinulle johdannon, joka kattaa mitä protokolla on, miten se toimii ja joitain sen mahdollisista turvallisuusongelmista.

IPsec: Yleiskatsaus

IPsec kehitettiin alun perin, koska yleisimmässä Internet-protokollassa, IPv4: ssä, ei ole paljon suojausmääräyksiä.. IPv4: n kautta lähetetty data voidaan helposti siepata, muuttaa tai lopettaa, mikä tekee siitä huonon järjestelmän kaikille tärkeille lähetyksille.

Tietojen suojaamiseksi tarvittiin uusi standardisarja. IPsec täytti tämän aukon toimimalla kehyksenä, joka voi todentaa yhteydet ja todistaa tietojen eheyden ja tehdä siitä luottamuksellisen. IPsec on avoin standardi, joka toimii verkon tasolla. Sitä voidaan käyttää tietojen turvalliseen siirtämiseen isäntästä isäntälle, verkosta verkkoon tai verkon ja isännän välillä.

IPsec: tä käytetään yleisimmin IPv4: n kautta kulkevan liikenteen suojaamiseen. Aluksi vaadittiin myös uudemman Internet-protokollan, IPv6, käyttöönottoa IPsecin tukemiseksi. Siitä huolimatta se on nyt vain suositus, eikä sitä panna täytäntöön.

Kehyksenä IPsec koostuu kolmesta pääelementistä. Kaksi ensimmäistä ovat pöytäkirjat, Kapseloi tietoturvan hyötykuorma (ESP) ja todennusotsikko (AH). Turvallisuusyhdistykset ovat viimeinen näkökohta.

ESP: tä voidaan käyttää sekä tietojen salaamiseen että todentamiseen, kun taas AH: ta voidaan käyttää vain niiden todentamiseen. Kahta vaihtoehtoa käytetään yleensä erikseen, vaikkakin on mahdollista käyttää niitä yhdessä.

IPsec käyttää SA: ita yhteyksien parametrien määrittämiseen. Nämä parametrit sisältävät avaintenhallintajärjestelmät, joita osapuolet käyttävät toistensa todentamiseen, salausalgoritmit, hajautusalgoritmit ja muut elementit, jotka ovat tärkeitä turvallisen ja vakaan yhteyden toiminnalle.

IPsec voi käyttää sekä ESP: tä että AH: ta joko tunnelissa tai kuljetusmuodossa. Kun tunnelitilaa käytetään, koko datapaketti joko salataan tai todennetaan (tai molemmat). Hyötykuorma, otsikko ja perävaunu (jos mukana) on kääritty toiseen datapakettiin sen suojaamiseksi.

Kuljetusmuodossa alkuperäinen otsikko säilyy, mutta sen alle lisätään uusi otsikko. On myös joitain muita muutoksia, riippuen siitä käytetäänkö ESP vai AH. Tämä suojaa pakettia, mutta hyökkääjillä on kuitenkin vielä joitain tietoja.

Yleisin kokoonpano, jota näemme, on ESP autentikoinnilla tunnelitilassa. Tähän monet VPN: t luottavat tietojen suojaamiseen. Se toimii salatun tunnelin muodossa, jolloin tiedot kulkevat turvallisesti potentiaalisesti vaarallisten väliverkkojen läpi.

IPsecin historia

Internetin alkuaikoina turvallisuus ei ollut tärkeä painopiste monissa tilanteissa. Tämä johtuu siitä, että Internet-yhteisö oli rajattu niihin, joilla oli tietoa, resursseja ja halu käyttää sitä. Käyttäjien määrä oli pieni verrattuna nykypäivään, ja paljon vähemmän dataa oli lähetetty. Tämän vuoksi hyökkääjillä oli paljon vähemmän mahdollisuuksia.

Kun yhteisö kasvoi ja Internet aktivoitui, turvallisuudesta tuli enemmän välttämättömyyttä. Kahdeksankymmentäluvulla NSA käytti SDNS (Secure Data Network Systems) -ohjelmaansa useiden tietoturvakeskeisten protokollien kehittämistä..

Tulokset julkaisi Kansallinen standardointi- ja teknologiainstituutti (NIST) vuonna 1988. Yksi NIST: n esittämistä protokollista, Suojausprotokolla kerroksessa 3 (SP3), lopulta tuli Internet - standardiksi, Verkkokerroksen suojausprotokolla (NLSP).

Ajan myötä useat organisaatiot alkoivat parantaa SP3-tasoaan Yhdysvaltojen merivoimien tutkimuslaboratorion (NRL), AT: n toteuttamien hankkeiden myötä&T Bell Labs, luotetut tietojärjestelmät ja muut. Samanaikaisesti muut edistykset, kuten esimerkiksi Data Encryption Standard (DES) -laiteohjain, mahdollistivat datan turvallisen lähettämisen Yhdysvaltojen rannikkojen välillä kohtuullisella nopeudella ajanjakson ajan..

Jos nämä kehitykset jäisivät jatkamaan erikseen, se olisi johtanut eri järjestelmien väliset yhteentoimivuuskysymykset. Internet Engineering Task Force (IETF) perusti IP Security -työryhmän standardisoimaan nämä kehitykset yhteentoimiviksi protokolliksi. Vuonna 1995 IETF julkaisi yksityiskohdat IPsec-standardista RFC 1825, RFC 1826 ja RFC 1827.

NRL keksi ensimmäisenä standardin toimivan käyttöönoton, joka on sittemmin siirtynyt yleiseen käyttöön. IPsec: ään ja sen dokumentaatioon on vuosien varrella tehty lukuisia päivityksiä, mutta sitä käytetään edelleen yhteyden molemmin puolin todentamiseksi ja niiden välillä liikkuvan tiedon suojaamiseksi..

Kuinka IPsec toimii?

Ennen kuin tutustumme IPsecin ja sen eri moodien teknisiin yksityiskohtiin, puhumme siitä analogian avulla, joka helpottaa hieman monimutkaisten kokoonpanojen visualisointia. Ensinnäkin sinun on ymmärrettävä vähän siitä, kuinka paketit toimivat IPv4: n yli, ja niihin liittyviin tietoturvaongelmiin.

Mitä datapaketit ovat ja miten ne toimivat?

Tietoja lähetetään paketeissa, jotka koostuvat a hyötykuorma ja otsikko IPv4: ssä. Hyötykuorma on itse lähetettävä data, kun taas otsikko sisältää protokollan tyypin, osoitteet ja muut tiedot, joita tarvitaan sen varmistamiseksi, että tiedot voivat saapua haluttuun sijaintiinsa.

Yksi parhaimmista tavoista kuvata datapaketteja on ajatella niitä postikorteina. Hyötykuorma on viesti, jonka joku kirjoittaa takaosaan, ja otsikko on toimitustiedot, jotka olet laittanut etuosaan. Aivan kuten postikortteilla, normaalissa IPv4-paketissa lähetetty data ei ole kovin turvallista.

Näissä vakiopaketeissa, kuka tahansa voi nähdä hyötykuorman, aivan kuten postimies tai kuka tahansa hyökkääjä, joka sieppaa postikortin, voi lukea sen. Näitä paketteja voidaan jopa muuttaa kuin olisit kirjoittanut postikortin alun perin lyijykynällä ja hyökkääjä pyyhki alkuperäisen viestin ja kirjoitti jotain muuta.

Hyökkääjät näkevät myös otsikkotiedot, aivan kuten postikortin etupuolella. Tämä antaa heille tietää, kenen kanssa olet yhteydessä ja miten käytät sitä. He voivat jopa väärentää omia IPv4-pakettejaan saadakseen ne näyttämään siltä, ​​kuin lähetit heille, mikä on paljon kuin jos he kopioivat käsinkirjoitustyyliisi ja teeskenteli olevansa sinä..

Kuten huomaat, tämä on tuskin turvallinen viestintämenetelmä, ja hyökkääjät voivat häiritä sitä monella tapaa. Tämä johti IPsecin kehittämiseen. minät tarjosi tavan todentaa yhteydet, todistaa tietojen eheys ja pitää ne luottamuksellisina, kaikki verkkotasolla. Ilman IPsec- tai muita tietoturvaprotokollia hyökkääjät voivat vapaasti katsella tai muuttaa mitä tahansa arkaluontoista ja arvokasta tietoa, jonka he ovat sieppaamassa.

Kapseloiva tietoturvakuorma (ESP): Visuaalisuus

Puhumme ensin ESP: stä, koska tämä on yleisimmin käytetty protokolla. Kun se toteutetaan tunnistuksella todennuksella, sitä käytetään muodostamaan VPN: t yhdistä isännät ja verkot turvallisesti epävarmojen väliverkkojen välillä jotka sijaitsevat välillä.

Kuten yllä huomasit, arkaluonteisen tiedon siirtäminen IPv4: llä ei ole turvallista. IPsecin ESP-tila ratkaisee tämän ongelman tarjoamalla tien siihen salaa tiedot, mikä tekee tiedoista luottamuksellisia ja estää hyökkääjiä pääsemästä niihin. ESP: tä voidaan käyttää myös tietojen todentamiseen, mikä voi todistaa niiden legitiimiyden.

Kun ESP: tä käytetään salauksen kanssa, se on paljon kuin postikortin asettaminen lukittuun laatikkoon ja lähettäminen kuriirin kautta. Kukaan ei näe postikortin sisältöä eikä voi muuttaa sitä. He näkevät kaikki lukittuun laatikkoon kirjoitetut postitustiedot, mutta ne eroavat postikorttiin kirjoitetuista.

Jos ESP: tä käytetään myös todennukseen, se on paljon kuin postikortin allekirjoittaminen tai oman henkilökohtaisen sinetin asettaminen sille, ennen kuin se asetetaan laatikkoon. Kun vastaanottaja vastaanottaa lukitun laatikon, hän voi avata sen ja ottaa postikortin pois. Kun he näkevät sinetin tai allekirjoituksen, he tietävät, että postikortti on laillisesti sinulta.

Kun ESP on kuljetusmuodossa, näyttää siltä, ​​että postikortti lukitaan laatikkoon ja lähetetään kuriirilla, paitsi että laatikolla on selkeä ikkuna, jonka kautta voit nähdä postikortin osoitetiedot. Tunnelitilassa se on kuin postikortti olisi kiinteässä laatikossa, jonka ulkopuolella on erilaisia ​​osoitetietoja.

Tietenkin, tämä kaikki on vain analogiaa, jonka avulla voit visualisoida mitä tapahtuu. Todellisuudessa on joitain melko merkittäviä eroja, kuten verkkojen ja isäntien välinen tiedonsiirto, sen sijaan, että vain yksi henkilö lähettää tietoja toiselle.

Koteloiva tietoturvakuorma (ESP): Tekniset yksityiskohdat

Nyt kun olemme antaneet sinulle karkean kuvan siitä, kuinka ESP toimii tietojen suojaamiseksi, on aika tarkastella sitä teknisemmällä tasolla. ESP: tä voidaan käyttää useiden erilaisten salausalgoritmien kanssa, AES on yksi suosituimmista. Se voidaan toteuttaa jopa ilman salausta, vaikka käytännössä sitä tehdään harvoin. ESP-datapakettien otsikoissa on suojausparametrien indeksi (SPI) ja järjestysnumero.

SPI on tunniste, joka antaa vastaanottajalle tietää, mihin yhteyteen tiedot liittyvät, sekä kyseisen yhteyden parametrit. Järjestysnumero on toinen tunniste, joka auttaa estämään hyökkääjiä muuttamasta tietopaketteja.

ESP sisältää myös perävaunun, joka sisältää pehmusteen, seuraavan otsikon protokollatyypin yksityiskohdat ja todennustiedot (jos todennusta käytetään). Kun todennus on paikallaan, se tehdään painikkeella Hajautettujen viestien todennuskoodi (HMAC), joka lasketaan käyttämällä algoritmeja, kuten SHA-2 ja SHA-3.

ESP-todennus vahvistaa vain ESP-otsikon ja salatun hyötykuorman, mutta se ei vaikuta paketin muuhun osaan. Kun paketti on salattu ESP: llä, hyökkääjät voivat nähdä vain otsikon tiedot eikä hyötykuormaa..

Kapseloiva tietoturvakuorma (ESP): Kuljetusmuoto

ESP: n kuljetusmuotoa käytetään kahden isännän välillä lähetettyjen tietojen suojaamiseen. IP-otsikko pidetään ESP-paketin päällä, ja suuri osa otsikkotiedoista pysyy samana, lähde- ja kohdeosoitteet mukaan lukien. Se salaa ja valinnaisesti todentaa paketin, mikä tarjoaa luottamuksellisuuden ja jota voidaan käyttää myös paketin eheyden tarkistamiseen.

Kapseloiva tietoturvakuorma (ESP): Tunnelitila

Kun ESP on tunnelitilassa, koko IP-datapaketti kääritään toisen sisälle, ja uusi otsikko lisätään päälle. Kun todennus on myös paikallaan, ESP-tunnelitilaa voidaan käyttää VPN: nä. Tämä on IPsecin yleisimmin käytetty kokoonpano.

ESP: n todennettuun tunnelitilaan liittyvät todennus-, eheys- ja luottamuksellisuustoimenpiteet tekevät siitä hyödyllisen kahden erillisen verkon yhdistämiselle turvallisesti niiden välillä sijaitsevien epäluotettavien ja mahdollisesti vaarallisten verkkojen kautta.

Tätä tilaa kuvataan parhaiten tavallisella kliseellä, joka rakentaa salatun tunnelin kahden pisteen väliin, luomalla turvallisen yhteyden, johon hyökkääjät eivät pääse. Kun ESP: tä käytetään salaamaan ja todentamaan, hyökkääjät, jotka kuuntelevat tietoja, näkevät vain, että yhteys on VPN-yhteys. He eivät näe hyötykuormaa tai alkuperäistä otsikkoa.

Yritykset käyttivät alun perin VPN-verkkoja yhdistämään aluetoimistot pääkonttoriin. Tämän tyyppinen yhteys antaa yrityksille mahdollisuuden jakaa tietoja helposti ja turvallisesti erillisten sijaintiensa välillä. Viime vuosina VPN-verkkoista on tullut myös suosittu palvelu yksilöille. Niitä käytetään usein maantieteelliseen väärentämiseen tai yhteyksien turvaamiseen, varsinkin kun käytetään julkista wifi-palvelua.

Todennusotsikko (AH): visualisointi

Nyt kun olemme kattaneet ESP: n, AH: n pitäisi olla hiukan helpompi ymmärtää. Koska AH: ta voidaan käyttää vain tietopakettien todentamiseen, se on kuin postikortin allekirjoittaminen tai oman sinetin lisääminen siihen. Koska salausta ei ole tehty, tässä analogiassa ei ole lukittua laatikkoa tai kuriirilaitetta.

Salatun suojauksen puute on vähän kuin tavallisen postin kautta lähetettävä postikortti, jossa postitseja ja hyökkääjät voivat nähdä sekä osoitetiedot että viestin, joka on kirjoitettu kortin takaosaan. Kuitenkaan sinetin tai allekirjoituksen vuoksi näitä tietoja ei voida muuttaa. Samoin leima ja allekirjoitus antavat sinun todistaa, että olet todellinen lähettäjä, eikä joku, joka yritti jäljitellä sinua.

AH-kuljetusmuodossa, Autentikointiotsikko lisätään, joka suojaa hyötykuormaa ja valtaosaa otsikkotiedoista. Tämä on kuin kuvitteellinen postikortti, jolla on selkeä sinetti, joka suojaa suurimman osan sen sisällöstä.

Mitään sinetin alla ei voi muuttaa, mutta kuka tahansa voi nähdä sen kokonaan. Muutamia yksityiskohtia ei peitä sinetissä, ja niitä voidaan mahdollisesti muuttaa, mutta sinetti suojaa kaikki tärkeät tiedot. Sinettiin olisi kirjoitettu myös joitain tietoja siitä, mutta tässä esimerkissä ei ole tärkeää, että sitä tarkennetaan juuri nyt.

Sisään tunnelitilassa paketti kääritään toisen sisälle ja suurin osa todennetaan. Analogia hajoaa tässä tapauksessa hiukan, mutta se on kuin kietoa postikortti selkeään kirjekuoreen, jossa sinetti. Kirjekuoressa on myös omat osoitetiedot ja sinetti suojaa melkein koko asiaa muokkaamiselta.

Todennusotsikko (AH): Tekniset yksityiskohdat

AH: ta käytetään todentamaan, että tiedot ovat peräisin laillisesta lähteestä, samoin kuin että ne säilyttävät eheytensä. Sitä voidaan käyttää osoittamaan, että tietoja ei ole muutettu, ja suojaamaan uusintahyökkäyksiltä.

AH: ta ei toteuteta kovin usein, mutta siitä on edelleen tärkeää keskustella. Se lisää oman todennusotsikon ja käyttää Hash-sanoman todennuskoodit (HMAC) useimpien datapakettien suojaamiseksi. Tämä sisältää koko hyötykuorman, samoin kuin suurimman osan otsikon kentistä. HMAC: t lasketaan hash-algoritmeilla, kuten SHA-2.

Todennusotsikko (AH): Kuljetustila

AH-kuljetusmuotoa käytetään yleensä kaksisuuntainen viestintä isäntien välillä. AH-otsikko lisätään pakettiin, ja osa protokollakoodista siirretään. Kun AH-paketti saapuu ja HMAC tarkistetaan, AH-otsikko otetaan pois ja tehdään muutama muu muutos. Kun datapaketti on palannut normaaliin muotoonsa, sitä voidaan käsitellä normaalisti.

Todennusotsikko (AH): Tunnelitila

Tässä tilassa alkuperäinen paketti kääritään toisen sisälle, sitten todennetaan HMAC: lla. Tämä prosessi lisää todennusotsikon, alkuperäisen otsikon kokonaisuuden todentaminen (kuljetusmuodossa muutama otsikon osa ei ole peitetty) samoin kuin suurin osa vasta lisätystä otsikosta. Hyötykuorma myös todennetaan.

Kun nämä paketit saavuttavat määränpäähänsä, heille tehdään todennustarkistus, sitten paketti palautetaan normaaliksi poistamalla sekä äskettäin lisätty otsikko että todennusotsikko.

Turvallisuusyhdistykset

Turvayhdistykset (SA) asettaa ja tallentaa IPsec-yhteyden parametrit. Sekä AH että ESP käyttävät niitä vakaan viestintäprosessin luomiseksi, joka vastaa kummankin osapuolen turvallisuustarpeita. Jokaisella isännällä tai verkolla on erilliset SA: t jokaiselle osapuolelle, johon se yhdistää, joilla kaikilla on omat parametrisarjansa.

Kun kaksi isäntää neuvottelee yhteydestään ensimmäistä kertaa, he muodosta SA kanssa parametrit, joita käytetään yhteydessä. He tekevät tämän askel askeleelta prosessin aikana, jolloin toinen osapuoli tarjoaa politiikan, jonka toinen voi joko hyväksyä tai hylätä. Tämä prosessi jatkuu, kunnes he keksivät politiikan, joka on molemminpuolisesti sopiva ja joka toistetaan jokaiselle erilliselle parametrille.

Jokainen SA sisältää käytettävät algoritmit, onko ne todennusta varten (kuten SHA-2) tai salausta varten (kuten AES). SA: t sisältävät myös avaintenvaihtoparametrit (kuten IKE), IP-suodatuskäytäntö, reititysrajoitukset ja paljon muuta. Kun tietoturvayhdistys on perustettu, se tallennetaan turvallisuusyhdistysten tietokantaan (SAD).

Kun käyttöliittymä vastaanottaa datapaketin, se käyttää kolmea erilaista informaatiota oikean SA: n löytämiseen. Ensimmäinen on Kumppanin IP-osoite, joka on yhteyden toisen osapuolen IP-osoite, kuten saatat olettaa. Toinen on IPsec-protokolla, joko ESP tai AH.

Viimeinen tieto on Suojausparametrien indeksi (SPI), joka on tunniste, joka lisätään otsikkoon. Sitä käytetään valitsemaan eri yhteyksien SA: t välillä varmistaaksesi, että oikeat parametrit on sovellettu.

Jokainen SA menee vain yhteen suuntaan, joten tarvitaan ainakin kaksi, jotta viestintä voi kulkea molempiin suuntiin. Jos AH: ta ja ESP: tä käytettäisiin yhdessä, tarvitaan jokaisessa protokollassa SA: ta kumpaankin suuntaan, yhteensä neljä.

IPsec vs. TLS / SSL

Joskus voi olla vaikea ymmärtää eroa IPsecin ja protokollien, kuten TLS / SSL, välillä. Loppujen lopuksi ne molemmat vain tarjoavat turvallisuuden, eikö niin? He tekevät, mutta tekevät sen eri tavoin ja eri tasoilla.

Yksi parhaimmista tavoista verrata IPseciä ja TLS / SSL: ää on tarkastele niitä OSI-mallin yhteydessä. OSI-malli on käsitteellinen järjestelmä, jota käytetään ymmärtämään ja standardisoimaan monimutkaisen viestintäprosessimme eri puolia ja kerroksia.

Tässä mallissa, IPsec toimii kolmannessa kerroksessa, verkkokerros, joka tarkoittaa, että se on sijoitettu siirtämään datapaketteja isännälle yhden tai useamman verkon kautta.

Kun tarkastelemme TLS / SSL, asiat muuttuvat hieman hämmentävämmäksi. Tämä johtuu siitä, että se kulkee toisen siirtovälineen, TCP: n, yli. Tämän pitäisi sijoittaa TLS / SSL kerroksen yläpuolella neljä OSI-mallissa.

TLS / SSL järjestää myös kädenpuristusviestit, jotka ovat viides taso, istuntokerros. Tämä asettaa TLS / SSL: n joko kuuteen tai seitsemään kerrokseen.

Se tulee monimutkaisemmaksi, kun otetaan huomioon, että sovellukset käyttävät TLS / SSL: tä siirtoprotokollana. Tämä asettaa TLS / SSL: n tasolle neljä tai vähemmän. Mutta kuinka se voi olla samanaikaisesti kerroksissa kuusi tai seitsemän, samoin kuin kerroksessa neljä tai alapuolella?

Vastaus on, että TLS / SSL ei vain sovi malliin. Syyt tähän ovat tämän artikkelin ulkopuolella. Tärkein asia, joka sinun on tiedettävä, on, että OSI-malli on juuri sellainen, malli, ja toisinaan todellisuus ei noudata siistit ja siistit mallimme.

Kun puhumme näistä standardeista käytännössä, TLS / SSL: n tehtävänä on todentaa tiedot, tarkistaa niiden eheys, salata ja pakata. Se voidaan toteuttaa monien muiden protokollien, kuten HTTP: n tai SMTP: n, turvaamiseksi, ja se on myös nähtävissä monissa sovelluksissa, kuten VoIP ja Web-selailu.

IPsec eroaa parilla tavoilla, ensimmäinen on se se on kehys, mieluummin kuin yksi protokolla. Se on myös monimutkaisempi, mikä vaikeuttaa asennusta ja ylläpitoa.

Loppujen lopuksi TLS / SSL on yksinkertaisempi kuin IPsec, mikä on toinen syy sille, miksi se yleensä toteutetaan laajemmin. Se on ydin osa yhtä tärkeimmistä vaihtoehtoisista tunnelointiprotokollista, OpenVPN.

Katso myös: Äärimmäinen opas TCP / IP: hen

IPsec-suojaus

Muutaman viime vuoden aikana on puhuttu paljon Valtion virastot sijoittavat takaovi IPsec: iin ja käyttävät haavoittuvuuksia hyödyntääkseen protokollaa käyttäviä. Jotkut varhaisista väitteistä tulivat esiin vuonna 2010, kun Greg Perry otti yhteyttä OpenBSD: n johtavaan kehittäjään.

Hän väitti sen FBI oli sijoittanut OpenBSD-koodiin lukuisia takaovia sekä mekanismeja sivukanavan avaamiseksi. Tämän väitettiin vaikuttavan OpenBSD IPsec -pinoon, jota käytetään laajalti.

Vuoden 2013 Snowden-vuodot paljastivat, että NSA oli kohdistunut erilaisiin salauksiin ja muihin tietoturvatyökaluihin. Asiakirjat näyttävät vahvistavan sen, että NSA: lla oli omat menetelmänsä käyttää IPsecissä käytettyjä avaimia, jolloin ne pystyivät torkkumaan tietyissä yhteyksissä.

Varjovälittäjien vuonna 2016 vuotanut dokumentaatio osoittaa, että NSA: lla on työkalu, jota voidaan käyttää rikkomaan Ciscon PIX-palomuureissa käytetty IPsec-toteutus. Vaikka nämä palomuurit lopetettiin vuonna 2009, BENIGNCERTAIN-hyökkäyksellä voitiin käyttää PIX-laitteiden salasanoja.

Hyökkäykseen liittyi Internet Key Exchange (IKE) -pakettien lähettäminen PIX-palvelimelle, mikä vapauttaisi sen osan muistista. Nämä tiedot voitiin etsiä konfigurointitietojen ja RSA-yksityisen avaimen löytämiseksi, joita NSA voisi sitten käyttää vakoilemaan IPsec-yhteyttä. Muista, että tämä on vain yksi haavoittuva toteutus, eikä se vaikuta nykyisiin IPsec-muotoihin.

Vuonna 2018 tutkijat hyödyntivät puutetta IKE-protokollassa, joka antoi heidän salata yhteydet. Konseptin todistusaineistoa voidaan käyttää toteuttamaan ihmisten keskellä -hyökkäyksiä, joissa hyökkääjät voivat siepata tietoja, peukaloida niitä tai jopa estää niiden lähettämisen..

Tekniikka käyttää Bleichenbacher-oraakkeleita dekoodaamiseen, mikä häiritsee RSA-todennusta IKE: n ensimmäisessä vaiheessa. Tämän ansiosta hyökkääjät voivat käyttää väärin todennettuja symmetrisiä avaimia kohteensa kanssa. He voivat sitten huijata IPsec-päätepistettä häiritsemällä salausa, jonka avulla he voivat sijoittaa itsensä aikaisemmin suojattuun yhteyteen.

Vaikka tämä on huolestuttava hyökkäys, korjauksia on julkaistu toteutuksille, joihin sen tiedetään vaikuttavan. Huawei, Cisco, Clavister ja XyXEL julkaisivat kaikki korjaustiedostot pian sen jälkeen, kun heille ilmoitettiin haavoittuvuudesta. Näitä aiemmin vaikuttaneita toteutuksia on turvallista käyttää niin kauan kuin ne ovat ajan tasalla.

IPsecissä on useita muita mahdollisia haavoittuvuuksia, joista moniin liittyy IKE. Näistä asioista huolimatta, IPseciä pidetään edelleen turvallisena yleiseen käyttöön, niin kauan kuin se on toteutettu oikein ja toteutus käyttää uusimpia päivityksiä.

Itse IPsec ei ole rikki. On tärkeätä muistaa, että se on vain kehys, joka voi käyttää useita erilaisia ​​protokollia. IPseciä on edelleen mahdollista käyttää turvallisesti, kunhan oikeita protokollia käytetään asianmukaisella tavalla. NSA ja muut osapuolet voivat kuitenkin hyökätä vaarallisiin kokoonpanoihin, joten on tärkeää, että käytät IPseciä oikein.

Pitäisikö käyttää IPseciä?

IPseciä käytetään yleensä turvallisen tunnelin muodostamiseen VPN-verkkoihin, mutta se ei ole ainoa vaihtoehto. Jos olet huolissasi turvallisuudestasi, on parasta harkita muita vaihtoehtoja ja löytää käyttötapaasi ja riskiprofiiliasi vastaava ratkaisu.

Tärkeimmät vaihtoehdot ovat PPTP, SSTP ja OpenVPN. Piste-piste-tunnelointiprotokolla (PPTP) on vanha ja sillä on paljon turvallisuuskysymyksiä, joten se on parasta välttää sitä kaikissa olosuhteissa. SSTP (Secure Socket Tunneling Protocol) on parempi vaihtoehto Windows-käyttäjille, mutta se on ei tarkastettu riippumattomasti.

OpenVPN on avoimen lähdekoodin vaihtoehto, jolla on useita erilaisia ​​määritysvaihtoehtoja. Se käyttää SSL / TLS-järjestelmää, eikä sen tiedetä olevan tietoturvaongelmia, joten se on paras valinta jokaiselle, joka on huolissaan IPsecistä löytyneistä turvallisuusongelmista.

Tämä ei tarkoita, että kaikki IPsec-yhteydet ovat luontaisesti epävarmoja, se tarkoittaa vain, että turvallisempia vaihtoehtoja on turvallisuustietoisille tai korkean uhatason uhreille..

Related: IPSec vs. SSL

Tietokoneen näppäimistö lisensoitu CC0

Brayan Jackson
Brayan Jackson Administrator
Sorry! The Author has not filled his profile.
follow me

Add a Comment

Your email address will not be published. Required fields are marked *

65 − 57 =