Wtelegraficznym skrócie IPsec w VPN to nic innego jak wirtualna sieć prywatna (VPN) bazująca na zbiorze protokołów IPsec. Ale co to dokładnie oznacza? Wtym artykule postaram się wyjaśnić następujące pojęcia: IPsec, tunelowanie IPsec oraz VPN na bazie IPsec. Mam nadzieję, że pomoże Ci to lepiej zrozumieć te zagadnienia. Zacznijmy od podstaw.
Spis treści
Co to jest IPsec?
Pełna nazwa IPsec to Internet Protocol Security. Część IPwskazuje danym, gdzie mają się kierować, aczęść sec odpowiada za ich szyfrowanie iuwierzytelnianie. Innymi słowy, IPsec to zbiór protokołów, które nawiązują bezpieczne izaszyfrowane połączenie pomiędzy urządzeniami wpublicznej sieci internetowej
Protokoły ze zbioru IPsec są zazwyczaj pogrupowane według zadań:
- Authentication Header (AH) – odpowiada za uwierzytelnianie.
- Encapsulating Security Payload (ESP) – zapewnia poufność danych.
- Security Association (SA) – zajmuje się skojarzeniem zabezpieczeń.
Z czego składa się IPsec?
Pytanie, zczego się składa, jest podobne do pytania, jak działa. Jedynym celem IPsec jest zaszyfrowanie inawiązanie bezpiecznego połączenia, czym zajmują się trzy mniejsze grupy protokołów, zktórych każda ma inne zadania.
Security Authentication Header (AH) – sprawdza, czy wszystkie dane pochodzą ztego samego źródła iczy hakerzy nie próbują przesłać swoich danych zamaskowanych jako prawdziwe.
Wyobraź sobie, że ktoś dał Ci zalakowaną kopertę. Jeśli pieczęć nie została zerwana, nikt nie zajrzał do środka. Protokoły ztej grupy robią dokładnie to samo dla wszystkich danych przekazywanych wsieci VPN. Ale jest to tylko jeden ze sposobów działania IPsec. Drugi to ESP.
Encapsulating Security Payload (ESP) – jest to protokół szyfrowania, co oznacza, że zamienia pakiety danych wniedający się do odczytania bełkot. Poza tym jest podobny do AH, ponieważ jest wstanie uwierzytelniać dane isprawdzać ich integralność.
Wracając do analogii zzalakowaną kopertą, gdyby ktoś przechwycił list igo otworzył, znalazłby tylko niezrozumiałą dla nikogo treść. Gdy używasz VPN, szyfrowaniem po Twojej stronie zajmuje się klient VPN, apo drugiej – serwer VPN.
Security Association (SA), czyli skojarzenie zabezpieczeń, to zestaw specyfikacji uzgadnianych pomiędzy dwoma urządzeniami nawiązującymi połączenie za pomocą IPsec.
Częścią tych specyfikacji jest Internet Key Exchange (IKE), czyli główny protokół zarządzania, który komunikuje się ze skojarzeniami zabezpieczeń innych urządzeń ije uwierzytelnia. IKE nawiązuje bezpieczne kanały komunikacyjne, wymieniając klucz kryptograficzny ze skojarzeniem zabezpieczeń innego urządzenia.
Pozwól, że wyjaśnię Ci to na przykładzie: skojarzenia zabezpieczeń są jak szyfr znany dwóm szpiegom – dzięki niemu wiedzą, jak interpretować zakodowane wiadomości ikomu mają je przekazywać. Wskrócie jest to umowa pomiędzy dwoma urządzeniami dotycząca tego, jak chronić dane podczas komunikacji.
Wjaki sposób IPsec przekazuje dane?
Po ustawieniu IPsec na wykorzystywanie AH lub ESP dochodzi do wyboru trybu: transportowego lub tunelowego.
Tryb transportowy: szyfruje dane, które wysyłasz, ale nie informacje na temat tego, gdzie mają trafić. Oznacza to, że haker nie będzie wstanie odczytać przechwyconej wiadomości, ale będzie wiedział, kiedy igdzie została wysłana.
Tryb tunelowy: podczas tunelowania powstaje bezpieczne połączenie pomiędzy dwoma urządzeniami winternecie, które jest wpełni prywatne. Wtym trybie działa VPN bazująca na IPsec, ponieważ tworzy tunel VPN.
Warto wspomnieć, że zdwóch protokołów (UDP vs TCP) używanych do przesyłania danych winternecie, IPsec wykorzystuje UDP (User Datagram Protocol), czyli rodzaj transmisji ignorującej zapory sieciowe.
A teraz czas wyjaśnić, co to znaczy „IPsec w VPN”.
Co to jest IPsec w VPN i jak działa?
VPN to aplikacja, która szyfruje Twoje połączenie zinternetem (lub innym urządzeniem). Wtym celu używa protokołów – ajest ich kilka. Jednym znich jest IPsec. Sieć VPN wykorzystująca zbiór protokołów IPsec nazywa się VPN na bazie IPsec.
Powiedzmy, że właśnie takiej sieci VPN używasz. Jak to działa?
- Klikasz Połącz.
- Nawiązywane jest połączenie za pomocą IPsec wykorzystujące ESP itryb tunelowy.
- SA (skojarzenie zabezpieczeń) ustala parametry bezpieczeństwa, np. rodzaj użytego szyfrowania.
- Dane są gotowe do wysyłania iodbierania wformie zaszyfrowanej.
Tak wygląda podstawa działania IPsec. Może się to wydawać banalne, ale oczywiście jest bardziej skomplikowane.
Jak działa IPsec krok po kroku?
Powiedzmy, że dwa urządzenia próbują nawiązać komunikację zużyciem IPsec. Jedno chce wysłać komunikat. Oto co się dzieje:
- Wymiana kluczy – IPsec tworzy klucze kryptograficzne (ciąg losowych znaków), aby zaszyfrować iodszyfrować komunikaty każdego urządzenia.
- Nagłówki ibloki końcowe – wszystkie dane przesyłane przez internet są dzielone na mniejsze kawałki zwane pakietami. Protokół IPsec dokłada dane uwierzytelniające iszyfrujące na początku (nagłówek) ikońcu (blok końcowy) pakietu. Nagłówki ibloki końcowe „mówią” urządzeniu, co należy zrobić zpakietem danych.
- Uwierzytelnienie – IPsec uwierzytelnia każdy pakiet danych, nadając mu unikalną „nazwę” lub identyfikator.
- Szyfrowanie – IPsec szyfruje zawartość pakietów danych.
- Przesyłanie – pakiety zostają wysłane wtrybie transportowym lub tunelowym.
- Odszyfrowanie – urządzenie docelowe otrzymuje komunikat iwykorzystuje klucz deszyfrujący do jego rozszyfrowania.
Jak IPsec wpływa na MSS i MTU?
Wszystkie dane są przesyłane wpakietach mierzonych wbajtach.
MSS (Maximum Segment Size), czyli maksymalny rozmiar segmentu, określa maksymalny rozmiar pakietu danych (1460 bajtów).
MTU (Maximum Transmission Unit), czyli maksymalna jednostka transmisji, określa maksymalny rozmiar, jaki może zaakceptować dowolne urządzenie połączone zinternetem (1500 bajtów).
Pakiety danych zawierają wysyłane informacje, nagłówek IP (20 bajtów) inagłówek TCP (20 bajtów), atakże mają limit co do rozmiaru.
IPsec nie wpływa nawartość maksymalnej jednostki transmisji, ale zawsze obniża wartość maksymalnego rozmiaru segmentu. Oto równania, które to potwierdzają:
Standardowa transmisja pakietów IP przez internet:
MTU (1500 bajtów) – (nagłówek IP (20 bajtów) + nagłówek TCP (20 bajtów)) = MSS (1460 bajtów)
Jednak jako że IPsec dodaje nagłówki do wysyłanych pakietów danych, „ciężar” całego pakietu IP oczywiście się zmienia.
MTU (1500 bajtów) – (nagłówek IP (20 bajtów) + nagłówek TCP (20 bajtów) + bajty IPsec) = MSS (1460 bajtów– bajty IPsec)
Sprawdź IPsec w akcji
Teraz już wiesz, co to jest IPsec w VPN. Jeśli używasz sieci Surfshark VPN na smartfonie, najprawdopodobniej używasz też protokołu IPsec ukrytego pod nazwą IKEv2 – jest to protokół należący do rodziny protokołów IPsec. Jeśli nie używasz Surfshark, może zaczniesz? Nasza sieć ma więcej zalet niż tylko IPsec!
WSurfshark Twoja prywatność należy do Ciebie
Więcej niż VPN
Włącz ochronę
Najczęściej zadawane pytania
Co to jest IKEv2?
IKEv2 (Internet Key Exchange version 2) to protokół używany do skojarzenia zabezpieczeń wramach zbioru protokołów IPsec.
Uwierzytelnia użytkowników – czyli potwierdza, że urządzenia na obu końcach połączenia są tym, czym twierdzą, że są – anastępnie nawiązuje zaszyfrowane połączenie za pomocą wymiany kluczy zalgorytmem Diffiego-Hellmana. Jest to powszechnie używana metoda wysyłania szyfrów wpublicznej sieci bez tworzenia kluczy do odszyfrowania zaszyfrowanych danych.
Protokół IPsec wykorzystujący IKEv2 nazywa się IKEv2/IPsec, ale wbranży funkcjonuje skrócona nazwa IKEv2. Jest to udoskonalenie z2005roku, które zaktualizowało inaprawiło niektóre problemy oryginalnego protokołu IPsec zIKEv1 (wprowadzonego w1995roku).
Czy protokół IPsec jest bezpieczny?
Wpołączeniu zIKEv2 protokół IPsec jest uważany za bezpieczny przez głównych dostawców VPN zcałego świata. Ztym że wokolicach 2015roku amerykańska agencja NSA podobno znalazła luki wjego zabezpieczeniach, albo włamując się do IPsec, albo grzebiąc wkluczach zalgorytmem Diffiego-Hellmana. Ale niektórzy eksperci nie wierzą wte doniesienia.
Jeśli jednak nie czujesz się ztym komfortowo, większość dostawców VPN oferuje alternatywy do protokołów IPsec.
Czy protokół IPsec jest lepszy od SSL?
Porównywanie IPsec iSSL (Secure Sockets Layer) jest jak porównywanie jabłek ipomarańczy. Oba protokoły działają na różnych poziomach modelu OSI (Open Systems Interconnection). Oto jak to wygląda wskrócie:
IPsec | SSL |
|---|---|
Działa wwarstwie sieciowej | Działa wwarstwie aplikacji |
Jest zbiorem protokołów | Jest protokołem |
Potrzebuje oprogramowania do działania jako VPN (chroni całe urządzenie). | Może być używany jako oprogramowanie (chroni całe urządzenie), ale może też łączyć się zVPN przez przeglądarkę (chroni tylko ruch wprzeglądarce) |
VPN na bazie IPsec dają użytkownikom pełny dostęp do sieci | VPN na bazie SSL pozwalają użytkownikom personalizować dostęp do sieci |
Łatwiejszy do wdrożenia wchmurze | Wymaga dodatkowej konfiguracji wchmurze |
Oba protokoły – IPsec iSSL – są bezpieczne imogą być używane wVPN. Wostatecznym rozrachunku wszystko sprowadza się do konfiguracji sieci VPN oraz celów ipreferencji jej dostawcy.
Autor:
Antanas Rimeikis
Just a guy bent on sharing his fascination with the cyberworld.
Oceń i udostępnij ten artykuł
4.2/5
