IPsec

Tämän artikkelin sisältö tietokoneissa on tarkistettava (syyskuu 2016).

Paranna sitä tai keskustele tarkistettavista asioista . Jos olet juuri kiinnittänyt bannerin, ilmoita tarkistettavat kohdat täällä .

IPsec ( Internet Protocol Security ), jonka IETF on määritellyt avoimien standardien kehykseksi yksityisen ja suojatun viestinnän varmistamiseksi IP-verkkojen kautta salausturvapalvelujen avulla , on joukko protokollia, jotka käyttävät algoritmeja, jotka mahdollistavat suojatun tiedonsiirron verkon kautta IP- verkko . IPsec eroaa aikaisemmista turvallisuusstandardeista, koska sitä ei rajoiteta yhteen todennusmenetelmään tai algoritmiin, ja siksi sitä pidetään avoimen standardin kehyksenä . Lisäksi IPsec toimii verkkokerroksessa ( OSI-mallin kerros 3 ) toisin kuin aiemmat standardit, jotka toimivat sovelluskerroksessa ( OSI-mallin kerros 7 ), mikä tekee siitä sovelluksista riippumattoman ja tarkoittaa, että käyttäjät eivät tee ei tarvitse määrittää kutakin sovellusta IPsec-standardien mukaiseksi.

Esitys

IPsec-protokollapaketti on kehitetty toimimaan IPv6- protokollan kanssa , ja se on mukautettu nykyiselle IPv4- protokollalle .

Sen tavoitteena on todentaa ja salata tiedot: virtauksen voi ymmärtää vain lopullinen vastaanottaja (luottamuksellisuus) ja välittäjät eivät voi muuttaa tietoja (eheys).

IPsec on usein osa VPN: ää , se on sen turvallisuusnäkökohtien (suojattu kanava tai tunnelointi ) lähtökohta.

IPsec-pohjaisen suojatun arkkitehtuurin käyttöönotto on kuvattu yksityiskohtaisesti RFC  4301: ssä.

Operaatio

IPsec-yhteyttä muodostettaessa suoritetaan useita toimintoja:

Avainten vaihto

• avaimenvaihtokanavan UDP- yhteydellä porttiin 500 ja porttiin 500 ( ISAKMP  (en) for Internet Security Association and Key Management Protocol ).

IKE ( Internet Key Exchange ) -protokolla on vastuussa yhteyden neuvottelemisesta. Ennen kuin IPsec-lähetys voi olla mahdollista, IKE: tä käytetään todentamaan suojatun tunnelin molemmat päät vaihtamalla jaettuja avaimia. Tämä protokolla sallii kahden tyyppisen todennuksen, PSK: n ( valmiiksi jaettu salaisuus tai jaettu salaisuus ) RSA- istuntoavainten luomiseen tai varmenteiden käyttämiseen.

Nämä kaksi menetelmää ovat ominaista se, että käyttö allekirjoittama todistus kolmannen osapuolen kutsutaan Certificate Authority (CA) tarjoaa autentikoinnin . RSA-avaimia käytettäessä osapuoli voi kieltää lähettämiensä viestien lähettäjän.

IPsec käyttää tietoturva-assosiaatiota sanelemaan, kuinka osapuolet käyttävät AH (Authentication header) -protokollaa, protokolla, joka määrittelee tietyn otsikkomuodon, joka kuljettaa todennustietoja, ja paketoi hyödyllisen kuorman.

• Turvallisuusyhdistys (SA) on kahden verkkoyhteisön välisten jaettujen suojaustietojen luominen suojatun viestinnän tukemiseksi. SA voidaan perustaa manuaalisesti tai ISAKMP: llä ( Internet Security Association and Key Management Protocol ).

• ISAKMP määritellään kehykseksi kahden osapuolen välisten vakautus- ja assosiaatiosopimusten perustamiseksi, neuvottelemiseksi, muuttamiseksi ja päättämiseksi. Keskittämällä SA-hallinnan ISAKMP vähentää kussakin suojausprotokollassa replikoitujen toimintojen määrää. ISAKMP vähentää myös viestinnän asentamiseen tarvittavia tunteja neuvottelemalla kaikista palveluista samanaikaisesti.

Tiedonsiirto

Yksi tai useampi datakanava, jonka kautta yksityistä verkkoliikennettä siirretään, kaksi protokollaa ovat mahdollisia:

• Pöytäkirjan n O  51, AH ( Authentication Header ) tarjoaa eheys ja todentaminen . AH todentaa paketit allekirjoittamalla ne, mikä varmistaa tietojen eheyden. Jokaiselle lähetetylle paketille luodaan yksilöllinen allekirjoitus, joka estää tietojen muokkaamisen.
• Pöytäkirjan n O  50, ESP ( Encapsulating Security Payload ), lisäksi todennus ja eheys , myös yksityisyyttä kautta salauksen .

Toimintatilat

IPsec voi toimia isäntänä-isäntänä siirtotilassa tai verkon tunnelitilassa.

Kuljetustila

Kuljetustilassa salattu ja / tai todennettu on vain siirretty data ( IP-paketin hyötykuormaosa ). Loput IP-paketista ovat muuttumattomia, joten pakettien reititystä ei muuteta. Koska NAT ei kuitenkaan voi muuttaa IP-osoitteita vahingoittamatta IPsecin luomaa AH-otsikkomerkkiä, AH: ta ei voida käyttää ympäristössä, joka vaatii nämä otsikkomuutokset. Kuitenkin, NAT-T kapselointi voidaan kapseloida IPSec ESP. Siirtotilaa käytetään mainitun isännän ja isännän väliseen viestintään ( Host-to-Host ).

Tunnelitila

Tunnelitilassa koko IP-paketti salataan ja / tai todennetaan. Paketti kapseloidaan sitten uuteen IP-pakettiin, jossa on uusi IP-otsikko. Toisin kuin siirtomuoto, tämä tila tukee siis NAT-liikkumista, kun ESP-protokollaa käytetään. Tunnelitilaa käytetään luomaan virtuaalisia yksityisverkkoja ( VPN ), jotka mahdollistavat verkko-verkon (eli kahden etäpaikan välillä), isäntänä-verkon (käyttäjän etäkäyttö) tai isäntän ja isännän välisen viestinnän. )

Salausalgoritmit

Jotta IPsec-toteutukset toimisivat yhdessä, niillä on oltava yksi tai useampi yhteinen suojausalgoritmi. ESP- tai AH-turvayhdistykseen käytettävät suojausalgoritmit määritetään neuvottelumekanismilla, kuten Internet Key Exchange ( IKE ).

ESP- ja AH- protokollan kapseloivan IPsec-salauksen ja todennusalgoritmit ovat:

• HMAC-SHA1-96 ( RFC 2404 )
• AES-CBC ( RFC 3602 )
• Kolminkertainen DES-CBC ( RFC 2451 )
• AES-GCM ( RFC 4106 )
• ChaCha20 + Poly1305 ( RFC 8439 )

Viitaten RFC 8221: een

Luettelo IPseciin liittyvistä RFC: stä

• RFC 2367  : PF_KEY-liitäntä
• RFC 2401 (korvattu RFC 4301: llä ): Internet-protokollan suojausarkkitehtuuri
• RFC 2402 (korvattu RFC 4302 ja RFC 4305 ): Todennusotsikko
• RFC 2403  : HMAC-MD5-96: n käyttö ESP: ssä ja AH: ssa
• RFC 2404  : HMAC-SHA-1-96: n käyttö ESP: ssä ja AH: ssa
• RFC 2405  : ESP DES-CBC-salausalgoritmi, eksplisiittinen IV
• RFC 2406 (korvattu RFC 4303: lla ja RFC 4305: llä ): suojauksen hyötykuorman kapselointi
• RFC 2407 (korvattu RFC 4306: lla ): IPsec-tulkinta-alue ISAKMP: lle (IPsec DoI)
• RFC 2408 (korvattu RFC 4306: lla ): Internet Security Association ja Key Management Protocol (ISAKMP)
• RFC 2409 (korvattu RFC 4306: lla ): Internet Key Exchange (IKE)
• RFC 2410  : NULL-salausalgoritmi ja sen käyttö IPsecin kanssa
• RFC 2411 (korvattu RFC 6071: llä ): IP-suojausasiakirja
• RFC 2412  : OAKLEY-avaimen määritysprotokolla
• RFC 2451  : ESP CBC-Mode-salausalgoritmit
• RFC 2857  : HMAC-RIPEMD-160-96: n käyttö ESP: ssä ja AH: ssa
• RFC 3526  : Lisää modulaarisia eksponentiaalisia (MODP) Diffie-Hellman-ryhmiä Internet-avaimenvaihtoon (IKE)
• RFC 3706  : Liikennepohjainen menetelmä kuolleiden Internet Key Key Exchange (IKE) -vertaisten havaitsemiseksi
• RFC 3715  : IPsec-Network Address Translation (NAT) -yhteensopivuusvaatimukset
• RFC 3947  : Nat-Traversalin neuvottelu IKE: ssä
• RFC 3948  : IPsec ESP -pakettien UDP-kapselointi
• RFC 4106  : Käyttö Galoisin / Counter Mode (GCM) IPsec- Encapsulating Security Payload (ESP)
• RFC 4301 (korvaa RFC 2401 ): Internet-protokollan suojausarkkitehtuuri
• RFC 4302 (korvaa RFC 2402 ): IP-todennusotsikko
• RFC 4303 (korvaa RFC 2406 ): IP Encapsulating Security Payload (ESP)
• RFC 4304  : Laajennetun järjestysnumeron (ESN) lisäys IPsec-tulkinta-alueeseen (DOI) Internet Security Associationille ja avaimenhallintaprotokollalle (ISAKMP)
• RFC 4305  : Salausalgoritmin toteutusvaatimukset suojauksen hyötykuorman (ESP) ja todennusotsikon (AH) kapseloinnissa
• RFC 4306 (korvaa RFC 2407 , RFC 2408 ja RFC 2409 ): Internet Key Exchange ( IKEv2 ) -protokolla
• RFC 4307  : Salausalgoritmit käytettäväksi Internet Key Exchange -versiossa 2 ( IKEv2 )
• RFC 4308  : Salauspaketit IPsecille
• RFC 4309  : Edistyneen salausstandardin (AES) CCM-tilan käyttäminen IPsec Encapsulating Security Hyötykuorman (ESP) kanssa
• RFC 4478  : Toistettu todennus Internet Key Exchange (IKEv2) -protokollassa
• RFC 4543  : Galois-sanoman todennuskoodin (GMAC) käyttö IPsec ESP: ssä ja AH: ssa
• RFC 4555  : IKEv2-liikkuvuus- ja monitoimiprotokolla (MOBIKE)
• RFC 4621  : IKEv2 Mobility and Multihoming (MOBIKE) -protokollan suunnittelu
• RFC 4718  : IKEv2-selvennykset ja toteutusohjeet
• RFC 4806  : Online Certificate Status Protocol (OCSP) -laajennukset IKEv2: een
• RFC 4809  : Vaatimukset IPsec-varmenteiden hallintaprofiilille
• RFC 4835 (korvaa RFC 4305 ): Salausalgoritmin toteutusvaatimukset suojauksen hyötykuorman (ESP) ja todennusotsikon (AH) kapseloinnissa
• RFC 4945  : Internetin IP-suojauksen PKI-profiili: IKEv1 / ISAKMP, IKEv2 ja PKIX
• RFC 6071 (korvaa RFC 2411 ): IP-suojaus (IPsec) ja Internet Key Exchange (IKE) -asiakirja

Kiistanalainen

Sisään joulukuu 2010Gregory Perry (NETSEC-yhtiön entinen tekninen johtaja) väitti sähköpostissaan OpenBSD- kehitystiimille, että takaovet asetettiin OpenBSD OCF -kehykseen FBI : n pyynnöstä 2000-luvulla, eikä niihin enää sovelleta 10 vuoden luottamuksellisuuslauseketta. . Tätä pinoa on käytetty uudelleen muissa projekteissa, vaikka sitä onkin paljon muutettu.

Liitteet

Bibliografia

(en) Ido Dubrawski , Kuinka huijata verkon suojaamisessa , Burlington, MA, Syngress,marraskuu 2007, 432  Sivumäärä , 235  mm × 191  mm × 25  mm ( ISBN  978-1-59749-231-7 )

Viitteet

1. Dubrawski 2007 , s.  83 .
2. (in) "  suojausarkkitehtuuri Internet Protocol  " Kommenttipyyntö n o  4301,joulukuu 2005.
3. Dubrawski 2007 , s.  85 .
4. (in) "  salausalgoritmin toteuttaminen Vaatimukset Encapsulating Security Payload (ESP) ja Authentication Header (AH)  ," Kommenttipyyntö n o  4835,huhtikuu 2007.
5. "  FBI olisi asettanut takaovet OPENBSD: n IPSec-pinon koodiin  " ( Arkisto • Wikiwix • Archive.is • Google • Mitä tehdä? ) , Ytimen ansassa ,14. joulukuuta 2010

Aiheeseen liittyvät artikkelit

• Todennusotsikko
• Kapseloimalla suojauksen hyötykuorma