По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Все мы слышали об SSL. SSL – это то, благодаря чему процветают такие вещи, как E-commerce. SSL позволяет нам безопасно взаимодействовать с сайтами… но что нам делать, если нужно конфиденциально подключиться к другой сети, а не сайту? Здесь и пригодится IPSec.
Многие ИТ-специалисты и системные администраторы не до конца понимают IPSec. Конечно же, все мы знаем, что IPSec – это тип защищенной передачи данных, но какие приложения им пользуются? И как работает IPSec?
Давайте в этом разберемся. В данной статье мы обсудим, что такое IPSec, для чего используется, как работает и чем отличается от таких протоколов, как SSL и TLS.
Что такое IPSec?
IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и сетью. Такое «сообщение» передается через общедоступные сети (Интернет). Чаще всего IPSec используется для VPN, а также подключения двух частных сетей.
Сам по себе IPsec не является протоколом. Это, скорее, набор протоколов, которые используются вместе. К таким протоколам относятся:
Authentication Header (Аутентификационный заголовок)
Encapsulating Security Protocol (Инкапсулирующий протокол безопасности)
Security Association (Ассоциация безопасности)
Internet Protocol (Интернет-протокол)
Как работает IPsec?
IPSec позволяет клиенту безопасно обмениваться данными с другой сетью. Необходимо отметить, что данный метод обычно не используется для взаимодействия между устройствами, а применяется для подключения ноутбука к частной сети через общедоступную сеть (по типу Интернета). Кроме того, IPsec может соединять две частные сети.
Обратите внимание, что мы не используем HTTP или TCP для передачи данных. Это потому, что в рамках модели OSI (модель открытого системного взаимодействия) IPSec проходит по уровню Layer 3 сети. То есть, в принципе, IPSec может оказаться безопаснее других методов защищенной передачи данных.
IPSec-соединения по-прежнему устанавливаются между клиентом и хостом через другие сети. И эти другие сети обычно являются общедоступными – как, например, Интернет. Поэтому все взаимодействия между клиентом и хостом зашифрованы. В любом случае, ключи шифрования не согласовываются с каждым новым подключением. До установки соединения и клиент, и хост должны знать закрытые ключи шифрования.
Это последнее предложение очень важное. Дело в том, что в ходе взаимодействия зашифровывается весь пакет данных, включая его заголовок.
Быть может, вы подумаете: чтобы правильно попасть в пункт назначения, пакеты должны иметь читабельные заголовки. И вы правы. Кстати, именно поэтому и используется Encapsulating Security Protocol (ESP). Для транспортировки ESP добавляет в пакет новую информацию о заголовке и конечном управляющем поле (или трейлере; он похож на заголовок, но располагается в конце пакета), тогда как настоящий заголовок остается зашифрованным.
Точно также происходит и аутентификация каждого пакета. Хост IPSec подтверждает, что каждый пакет полученных данных отправлялся тем объектом, который, как считает хост, и был отправителем. В противном случае этот пакет данных отклоняется.
Для чего используется IPSec?
IPSec используется для создания безопасного метода взаимодействия между клиентом и хостом. Клиентом может быть, например, ноутбук. Или же частная сеть. Хостом, как правило, тоже служит частная сеть.
Теперь мы знаем, как работает IPsec, и пора разобраться, для чего он используется? Что же означает предыдущий абзац?
Чаще всего IPSec используется для VPN. VPN – это виртуальная частная сеть. VPN позволяет клиенту подключаться к частной коммерческой сети через общедоступную сеть интернет (например, ноутбук сотрудника). Как только ноутбук подключился к частной коммерческой сети через VPN, то он как бы сам попадает в эту частную сеть – для всех целей и задач.
Иначе говоря, подключившись к коммерческой сети ноутбук получает доступ ко внутренним ИТ-ресурсам. Весь трафик этого ноутбука (входящий и исходящий) циркулирует через частную коммерческую сеть в интернет.
Соединения двух удаленных частных сетей можно настраивать через IPsec-подключения и VPN. Например, вы ведете свою деятельность в двух разных локациях (в Пенсильвании и Калифорнии). Как настроить подключение? Провести кабель не получится – офисы находятся слишком далеко друг от друга. Раньше таким компаниям приходилось оплачивать дорогую выделенную линию (по типу Т1 подключения). Но сейчас они могут обмениваться данными через открытый интернет с помощью IPsec-подключения.
Отличия между IPsec и TLS (или SSL)
IPsec-подключения и TLS (SSL)-подключения во многом похожи. Оба способа служат для безопасного и зашифрованного обмена данными. Оба протокола могут использовать общедоступные сети для взаимодействия и т.д. и т.п.
Но в то же время, IPsec и TLS/SSL во многом отличаются.
Например, IPsec-подключения являются частью уровня Layer 3 в модели OSI, тогда как TLS и SSL-подключения относятся к уровню Layer 7. Получается, что IPsec-подключения выполняются на базовом уровне соединений в модели OSI, тогда как TLS и SSL начинаются выше в стеке. Кроме того, работа TLS и SSL-соединений зависит от прикладного уровня (HTTP) и уровня 4 (TCP). То есть на этих уровнях они также подвержены эксплойтам, чего не скажешь о IPsec.
Еще одно важное отличие между IPsec и SSL или TSL заключается в том, как согласуются подключения. Поскольку TLS и SSL-подключения используют TCP, их типы безопасного подключения необходимо вначале согласовать. После этого клиент и хост дополнительно согласовывают ключ шифрования.
С IPSec все иначе. Передача данных зашифровывается сразу. Кроме того, секретный ключ для шифрования передается клиенту и хосту по отдельности – еще до попытки взаимодействия. Также его можно передавать через DNS (хорошо бы при помощи DNSsec). Метод, который используется для обмена ключами в IPsec, называется IKEv1 или IKEv2. Чаще всего сейчас пользуется IKEv2.
Это подводит нас к еще одной интересной детали. Поскольку IPsec-соединения зашифровываются сразу, тоже самое можно сделать и со всем заголовком IP-пакета. Но IP-пакетам по-прежнему нужен читабельный заголовок, чтобы попасть в правильное место. Для этих целей в зашифрованные пакеты IPsec добавляются дополнительные заголовки и трейлеры. То есть размеры MSS (Maximum segment size) и MTU (Maximum transmission unit) для каждого пакета изменяются. Сетевым администраторам необходимо предусмотреть эту разницу в своих сетях.
Заключение
В этой статье мы рассмотрели множество вопросов. Давайте быстро подведем итог. IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и хостом. Клиентом может быть устройство (например ноутбук) или частная сеть. Хостом чаще всего бывает частная сеть.
Сам IPsec не является протоколом; это набор протоколов, которые используются вместе. Протоколы, которыми пользуется IPsec, начинаются на уровне Layer 3 модели OSI, что, возможно, делает IPsec безопаснее, чем TLS или SSL.
IPsec обычно используется для VPN, то также подходит для подключения двух частных сетей.
Крупные компании, такие как Cisco, Juniper, Arista и HP, давно конкурируют на рынке высокоскоростных корпоративных сетей для дата-центров. Данные сети предназначены для обработки трафика, генерируемого высокоинтеллектуальными приложениями, устройствами Интернета вещей (IoT) и видео.
Высокоскоростные сети
Высокоскоростными сетями Ethernet уже никого не удивить, поскольку мощность серверов центров обработки данных увеличивается многократно ежегодно. Это связано с тем, что сейчас необходимо иметь оборудование, которое способно обрабатывать тонны трафика от новых, более интеллектуальных приложений, устройств Интернета вещей, видео и т.д.
Потребность в большой скорости передачи данных от дата-центров обусловлена многими факторами – быстрым и большим темпом роста гипермасштабируемых сетей от таких игроков, как Google, Amazon, Яндекс, Facebook, а также ценой/производительностью сетей, приложений, работающих на скоростях 100G.
За рубежом провели исследование, объясняющее то, почему требуются высокоскоростные сети. Исследователи, а именно компания PwC, выяснили, что рабочие нагрузки становятся менее монолитными, поскольку компании отходят от традиционного корпоративного центра обработки данных. Они становятся более распределенными, более мобильными и больше похожи на рабочие нагрузки, обычно связанные с гипермасштабируемыми средами. Почти все основные рабочие нагрузки будут переходить из локального в публичное хранилище (облако) в ближайшие три года. Приложения будут более зависимы от сети, и сеть станет более уязвимой, учитывая распределение/динамичность рабочих нагрузок. В связи с этим возникает потребность в большем количестве высокоскоростных портов, которые смогут обработать большой объем данных, поступающих из различных сетей. А этот факт является движущей силой для модернизации магистральных линий. Так же потребность в высокоскоростных сетях связано в значительной степени с эволюцией сетевых карт на серверах. Большинство серверов работали с сетевыми картами, обрабатывающие данные на скоростях от 1G до 10G. Современные сервера имеют сетевые карты, поддерживающие скорости от 10G до 100G и подключены к коммутаторам top-of-rack. В перспективе разрабатывается возможность увеличения скорости до 400G с использованием коммутаторов top-of-rack.
Переход локальных сетей от 10G до 100G
Цены на оптоволокно сейчас резко снизились. Сейчас стоимость кабеля 25G сравнялась с ценой провода 10G. Аналогично сравнялись цены оптики 40G и 100G. Исходя из этого целесообразно использовать кабель, поддерживающий скорости в 25G и 100G. Использование оптоволокна 100G позволяет кратно уменьшить количество кабелей, что в свою очередь приводит к экономии пространства серверной и экономии средств.
Дата-центры компаний Cisco, Juniper, Arista, HPE и Huawei
Cisco, Juniper, Arista, HP и Huawei- это лишь небольшая часть поставщиков, которые активно используют возможности high-speed, а также традиционных скоростных сетей Ethernet.
Juniper имеет линейку коммутатор поддерживающих более 48 портов Ethernet 25G или 100G.
Но интерфейсы на 100G- это только начало для высокоскоростного Ethernet. Более высокие скорости – 100G, 200G, 400G и 800G – будут внедрены в ближайшие 5 лет.
Двенадцатая часть тут.
Другая проблема, с которой сталкиваются решения мультиплексирования, - это возможность адресовать конкретный экземпляр службы, реализованной на нескольких хостах, используя один адрес. Рисунок 1 иллюстрирует это.
На рисунке 1 некоторые службы, S, должны быть спроектированы так, чтобы повысить их производительность. Для достижения этой цели была создана вторая копия службы, две копии которой называются S1 и S2. Эти две копии службы работают на двух серверах, M и N. Проблема, которую anycast пытается решить, заключается в следующем:
Как можно направить клиентов к наиболее оптимальному экземпляру сервиса?
Одним из способов решения этой проблемы является перенаправление всех клиентов на одно устройство и распределение нагрузки на серверы с помощью балансировщика нагрузки в зависимости от топологического расположения клиента, нагрузки на каждый сервер и других факторов. Однако это решение не всегда идеально. Например, что, если балансировщик нагрузки не может обработать все запросы на подключение, сгенерированные клиентами, которые хотят получить доступ к различным копиям службы? Какие сложности будут добавлены в сеть, чтобы балансировщик нагрузки мог отслеживать состояние различных копий службы?
Anycast решает эту проблему, присваивая один и тот же адрес каждой копии сервиса. В сети, показанной на рисунке 4, тогда M и N будут использовать один и тот же адрес, чтобы обеспечить достижимость для S1 и S2. M и N будут иметь разные адреса, назначенные и объявленные для обеспечения доступности для других служб, а также для самих устройств.
H и K, маршрутизаторы первого перехода за пределами M и N, будут объявлять этот же адрес в сети. Когда C и D получат два маршрута к одному и тому же пункту назначения, они выберут самый близкий маршрут с точки зрения метрик. В этом случае, если каждый канал в одной и той же сети настроен на одну и ту же метрику, то C будет направлять трафик, исходящий из A, и направленный на адрес службы, в направлении M. D, с другой стороны, будет направлять трафик, полученный из B и предназначен для адреса службы, к N. Что произойдет, если два экземпляра службы находятся на одинаковом расстоянии друг от друга? Маршрутизатор выберет один из двух путей, используя локальный алгоритм хеширования.
Anycast часто используется для крупномасштабных служб, которые должны масштабироваться путем предоставления большого количества серверов для поддержки одного сервиса. Например:
Большинство крупных серверов системы службы доменных имен (DNS) на самом деле представляют собой набор серверов, доступных через anycast адрес.
Многие крупномасштабные веб-сервисы, в частности социальные сети и поиск, где один сервис реализован на большом количестве периферийных устройств.
Службы кэширования контента часто используют anycast для распространения и обслуживания информации.
Правильно спроектированный anycast может обеспечить эффективную балансировку нагрузки, а также оптимальную производительность для служб.