Объяснение IPSec

  • 3 мин

IPsec можно использовать для обеспечения конфиденциальности, целостности и проверки подлинности при транспортировке данных по небезопасным каналам. Хотя его первоначальной целью было обеспечение безопасности трафика через общедоступные сети, многие организации решили внедрить IPsec для устранения слабых мест в своих частных сетях, которые могут быть подвержены эксплуатации.

Если вы правильно реализуете IPsec, он предоставляет частный канал для отправки и обмена потенциально конфиденциальными или уязвимыми данными, будь то электронная почта, ftp-трафик, новостные каналы, данные партнеров и цепочки поставок, медицинские записи или любой другой тип данных на основе TCP/IP.

IPSec

  • Обеспечивает взаимную проверку подлинности как до, так и во время обмена данными.
  • Заставляет обе стороны идентифицировать себя в процессе общения.
  • Обеспечивает конфиденциальность с помощью шифрования IP-трафика и проверки подлинности с цифровыми пакетами.

Режимы IPsec

IPsec имеет два режима:

  • Инкапсулирование полезных данных безопасности (ESP). Этот режим шифрует данные с помощью одного из нескольких доступных алгоритмов.
  • Заголовок проверки подлинности (AH). Этот режим подписывает трафик, но не шифрует его.

Обеспечение целостности IP-трафика путем отклонения измененных пакетов

ESP и AH проверяют целостность всего IP-трафика. Если пакет был изменен, цифровая подпись не будет совпадать, и IPsec отменит пакет. ESP в режиме туннеля шифрует исходный и целевой адреса как часть полезных данных. В режиме туннеля ESP добавляет в пакет новый IP-заголовок, указывающий исходный и целевой адреса конечных точек туннеля. ESP может использовать алгоритмы шифрования Standard (DES), тройного шифрования данных Standard (3DES) и расширенного шифрования Standard (AES) в Windows Server и клиенте Windows. Рекомендуется избегать использования DES, если клиенты не поддерживают более надежное шифрование, которое предлагает AES или 3DES.

Обеспечение защиты от атак воспроизведения

ESP и AH используют порядковые номера. В результате все пакеты, которые хакеры пытаются записать для последующего воспроизведения, используют номера, которые находятся вне последовательности. Использование последовательности чисел гарантирует, что злоумышленник не сможет повторно использовать или воспроизвести захваченные данные для создания сеанса или получения сведений. Использование последовательности чисел также защищает от попыток перехвата сообщения и его использования для доступа к ресурсам, возможно, через несколько месяцев.

Правила безопасности подключения

Вы можете защитить сеть с помощью двух типов изоляции:

  • Изоляция сервера. Вы можете изолировать сервер, настроив для определенных серверов требование политики IPsec перед приемом связи с проверкой подлинности с других компьютеров. Например, можно настроить сервер базы данных для приема подключений только с сервера веб-приложений.
  • Изоляция домена. Вы можете изолировать домен с помощью членства в домене Active Directory, чтобы гарантировать, что компьютеры, которые являются членами домена, принимают только прошедшие проверку подлинности и защищенные сообщения от других компьютеров, входящих в домен. Изолированная сеть состоит только из компьютеров-членов этого домена, и изоляция домена использует политику IPsec для защиты трафика между членами домена, включая все клиентские и серверные компьютеры.