По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Все мы слышали об SSL. SSL – это то, благодаря чему процветают такие вещи, как E-commerce. SSL позволяет нам безопасно взаимодействовать с сайтами… но что нам делать, если нужно конфиденциально подключиться к другой сети, а не сайту? Здесь и пригодится IPSec.
Многие ИТ-специалисты и системные администраторы не до конца понимают IPSec. Конечно же, все мы знаем, что IPSec – это тип защищенной передачи данных, но какие приложения им пользуются? И как работает IPSec?
Давайте в этом разберемся. В данной статье мы обсудим, что такое IPSec, для чего используется, как работает и чем отличается от таких протоколов, как SSL и TLS.
Что такое IPSec?
IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и сетью. Такое «сообщение» передается через общедоступные сети (Интернет). Чаще всего IPSec используется для VPN, а также подключения двух частных сетей.
Сам по себе IPsec не является протоколом. Это, скорее, набор протоколов, которые используются вместе. К таким протоколам относятся:
Authentication Header (Аутентификационный заголовок)
Encapsulating Security Protocol (Инкапсулирующий протокол безопасности)
Security Association (Ассоциация безопасности)
Internet Protocol (Интернет-протокол)
Как работает IPsec?
IPSec позволяет клиенту безопасно обмениваться данными с другой сетью. Необходимо отметить, что данный метод обычно не используется для взаимодействия между устройствами, а применяется для подключения ноутбука к частной сети через общедоступную сеть (по типу Интернета). Кроме того, IPsec может соединять две частные сети.
Обратите внимание, что мы не используем HTTP или TCP для передачи данных. Это потому, что в рамках модели OSI (модель открытого системного взаимодействия) IPSec проходит по уровню Layer 3 сети. То есть, в принципе, IPSec может оказаться безопаснее других методов защищенной передачи данных.
IPSec-соединения по-прежнему устанавливаются между клиентом и хостом через другие сети. И эти другие сети обычно являются общедоступными – как, например, Интернет. Поэтому все взаимодействия между клиентом и хостом зашифрованы. В любом случае, ключи шифрования не согласовываются с каждым новым подключением. До установки соединения и клиент, и хост должны знать закрытые ключи шифрования.
Это последнее предложение очень важное. Дело в том, что в ходе взаимодействия зашифровывается весь пакет данных, включая его заголовок.
Быть может, вы подумаете: чтобы правильно попасть в пункт назначения, пакеты должны иметь читабельные заголовки. И вы правы. Кстати, именно поэтому и используется Encapsulating Security Protocol (ESP). Для транспортировки ESP добавляет в пакет новую информацию о заголовке и конечном управляющем поле (или трейлере; он похож на заголовок, но располагается в конце пакета), тогда как настоящий заголовок остается зашифрованным.
Точно также происходит и аутентификация каждого пакета. Хост IPSec подтверждает, что каждый пакет полученных данных отправлялся тем объектом, который, как считает хост, и был отправителем. В противном случае этот пакет данных отклоняется.
Для чего используется IPSec?
IPSec используется для создания безопасного метода взаимодействия между клиентом и хостом. Клиентом может быть, например, ноутбук. Или же частная сеть. Хостом, как правило, тоже служит частная сеть.
Теперь мы знаем, как работает IPsec, и пора разобраться, для чего он используется? Что же означает предыдущий абзац?
Чаще всего IPSec используется для VPN. VPN – это виртуальная частная сеть. VPN позволяет клиенту подключаться к частной коммерческой сети через общедоступную сеть интернет (например, ноутбук сотрудника). Как только ноутбук подключился к частной коммерческой сети через VPN, то он как бы сам попадает в эту частную сеть – для всех целей и задач.
Иначе говоря, подключившись к коммерческой сети ноутбук получает доступ ко внутренним ИТ-ресурсам. Весь трафик этого ноутбука (входящий и исходящий) циркулирует через частную коммерческую сеть в интернет.
Соединения двух удаленных частных сетей можно настраивать через IPsec-подключения и VPN. Например, вы ведете свою деятельность в двух разных локациях (в Пенсильвании и Калифорнии). Как настроить подключение? Провести кабель не получится – офисы находятся слишком далеко друг от друга. Раньше таким компаниям приходилось оплачивать дорогую выделенную линию (по типу Т1 подключения). Но сейчас они могут обмениваться данными через открытый интернет с помощью IPsec-подключения.
Отличия между IPsec и TLS (или SSL)
IPsec-подключения и TLS (SSL)-подключения во многом похожи. Оба способа служат для безопасного и зашифрованного обмена данными. Оба протокола могут использовать общедоступные сети для взаимодействия и т.д. и т.п.
Но в то же время, IPsec и TLS/SSL во многом отличаются.
Например, IPsec-подключения являются частью уровня Layer 3 в модели OSI, тогда как TLS и SSL-подключения относятся к уровню Layer 7. Получается, что IPsec-подключения выполняются на базовом уровне соединений в модели OSI, тогда как TLS и SSL начинаются выше в стеке. Кроме того, работа TLS и SSL-соединений зависит от прикладного уровня (HTTP) и уровня 4 (TCP). То есть на этих уровнях они также подвержены эксплойтам, чего не скажешь о IPsec.
Еще одно важное отличие между IPsec и SSL или TSL заключается в том, как согласуются подключения. Поскольку TLS и SSL-подключения используют TCP, их типы безопасного подключения необходимо вначале согласовать. После этого клиент и хост дополнительно согласовывают ключ шифрования.
С IPSec все иначе. Передача данных зашифровывается сразу. Кроме того, секретный ключ для шифрования передается клиенту и хосту по отдельности – еще до попытки взаимодействия. Также его можно передавать через DNS (хорошо бы при помощи DNSsec). Метод, который используется для обмена ключами в IPsec, называется IKEv1 или IKEv2. Чаще всего сейчас пользуется IKEv2.
Это подводит нас к еще одной интересной детали. Поскольку IPsec-соединения зашифровываются сразу, тоже самое можно сделать и со всем заголовком IP-пакета. Но IP-пакетам по-прежнему нужен читабельный заголовок, чтобы попасть в правильное место. Для этих целей в зашифрованные пакеты IPsec добавляются дополнительные заголовки и трейлеры. То есть размеры MSS (Maximum segment size) и MTU (Maximum transmission unit) для каждого пакета изменяются. Сетевым администраторам необходимо предусмотреть эту разницу в своих сетях.
Заключение
В этой статье мы рассмотрели множество вопросов. Давайте быстро подведем итог. IPSec – это метод безопасного и зашифрованного обмена данными между клиентом и хостом. Клиентом может быть устройство (например ноутбук) или частная сеть. Хостом чаще всего бывает частная сеть.
Сам IPsec не является протоколом; это набор протоколов, которые используются вместе. Протоколы, которыми пользуется IPsec, начинаются на уровне Layer 3 модели OSI, что, возможно, делает IPsec безопаснее, чем TLS или SSL.
IPsec обычно используется для VPN, то также подходит для подключения двух частных сетей.
Подход DevSecOps с частым систематическим сканированием приложений на наличие уязвимостей значительно увеличивает процент программного обеспечения с исправленными уязвимостями и сокращает время, необходимое для выпуска исправлений, что особенно важно в контексте критических ошибок. Согласно Veracode State of Software Security Vol. 10, по сравнению с 2018 годом процент уязвимых приложений увеличился в 2019 году с 52 до 56%. С другой стороны, в случае приложений, сканируемых один раз в месяц или реже, среднее время обновления составляло 68 дней, в то время как приложения, сканируемые не реже одного раза в день, имели в среднем 19 дней для обновления.
Эти результаты, а также выводы исследования Enterprise Strategy Group подтверждают, насколько сегодня важно последовательно и как можно раньше расширять процесс разработки приложений до стадии тестирования безопасности. В прошлом эта задача входила в обязанности отдела безопасности и выполнялась после завершения программирования. Сегодня сами разработчики также должны продемонстрировать соответствующие компетенции.
Новые модели и способы доставки программного обеспечения - общедоступное облако, контейнеры и микросервисы - положили конец большим выпускам приложений и редким обновлениям. Вместо них у нас есть молниеносные циклы публикации, а приложения разделены на более мелкие, независимо работающие модули. В результате программное обеспечение просто создается слишком быстро, и новые версии приложения, так называемые выпуски могут идти "в производство" в оптовых количествах даже на один день, чтобы проверка безопасности по методологии WaterFall была эффективной. Ситуация дополнительно осложняется тем фактом, что конечный продукт, то есть приложение с определенной функциональностью, содержит как код, созданный внутри компании, так и элементы, заимствованные из открытых бесплатных репозиториев или через менеджеры пакетов).
Следовательно, функционирование разработки, операций и безопасности как отдельных организационных структур не существует и не может существовать. Разработчикам следует понимать, что поддержка и защита программного обеспечения также зависят от них.
В начале 80-ых годов XX века цена 1 гигабайта памяти стоило полмиллиона долларов! А сегодня самый бюджетный смартфон за 70-100 долларов имеет память равным минимум 8-ми гигабайтам.
Но в то время еще никто даже не предполагал, что в облаках в недалёком будущем можно будет хранить свои данные и не нужно будет везде тащить с собой дискеты, CD и DVD диски, флеш-карты и так далее и тому подобное.
В этом материале поговорим о продуктах различных компаний, которые предоставляют услугу облачного хранилища. Для начала облако это те же самые компьютеры, а точнее сервера в огромных дата-центрах, размещенных в разных уголках планеты. Как устроены эти центры обработки данных тема совсем другая. Но принцип работы схож с вашим домашним компьютером. Вы регистрируетесь на сайте компании и для вас создается учётная запись с выделенным по умолчанию объемом на дисках тех же серверов. Но в отличии от вашего компьютера, в этих ЦОД-ах все ваши данные резервируются и надежно (иногда не очень) охраняются разными системами безопасности поставщика услуг.
Google Drive
Сегодня на рынке довольно много известных и не очень компаний, предоставляющих данный вид услуги. Одним из наиболее популярных является Google Drive. Компания-гигант при регистрации выделяет каждому пользователю целых 15 гигабайтов памяти. Некоторое время назад Google раз в год за проверку настроек безопасности аккаунта дарил по два гигабайта дополнительной памяти. Но сейчас эта тенденция не наблюдается, но есть возможность ежемесячной или годовой подписки.
Сервис даёт возможность отправлять файлы размером, превышающим 25 мб лимит на размер вложения в письме. Для этого файл загружается в облако и генерируется ссылка, которая отправляется получателю. На отправленные файлы можно давать разные уровни доступа. Чтобы отправить файл расположенные на Google Drive в окне создания письма кликаем на пиктограмму Google Drive. Выбираем нужный файл и нажимаем Вставить (Insert).
И при отправке письма выйдет окно с предложением поделиться файлом и задать нужные права.
На сайте также можно скачать специальный клиент, который позволяет, не заходя на сайт загружать файлы в облако. Единственный минус в том, что эти файлы занимают место и на вашем диске. Правда, можно выбрать какие папки синхронизировать, тем самым сэкономить место на локальном диске. Для этого в настройках клиента указывается какие папки в облаке следует синхронизировать с компьютером. Если не выбрать ничего, синхронизируется только файлы в корневой директории. Клиент даёт возможность, не заходя в веб-интерфейс, прямо из проводника поделиться файлом. Для этого кликаем правой кнопкой на файле, из контекстного меню выбираем Google Drive-> Share. Затем либо прописываем e-mail адресата, либо генерируем ссылку на файл.
Имеется также версия для IOS и Android, что в свою очередь очень облегчает доступ к данным в любом месте, где есть достому подобное к Интернету.
Яндекс. Диск
Второй не менее популярный сервис облачного хранилища является продукт Яндекса Яндекс. Диск. Чтобы пользоваться данным сервисом необходимо иметь аккаунт на Яндексе. При регистрации пользователю выделяется 10 гигабайтов места. Также имеется возможность оформлять подписку на больше количество памяти.
Как и предыдущий поставщик, Яндекс также предлагает настольную версию сервиса. В отличии от Google Drive, здесь просто хранятся ссылки на файлы. При желании можно сохранить на диск кликнув правой кнопкой на нужном файле. Минус не будет доступа к файлам в случае отсутствия сети. Плюс клиент имеет встроенный редактор скриншотов, который открывается при нажатии клавиши PrtScr. Скриншот затем сохраняется в папке с соответствующим названием и автоматом выгружается в облако. По умолчанию файлы сохраняются в формате PNG, но в настройках можно это поменять. Как и клиент Google Drive, Яндекс. Диск тоже позволяет из проводника делиться нужными файлами.
Также имеется версия клиента для смартфонов.
DropBox
Следующим не менее известным, но самым скупым является DropBox. Сервис изначально предлагает всего 2 Гб места, что по нынешним меркам довольно-таки скудный показатель. Но также имеется возможность подписки.
Сервис предоставляет клиент для компьютеров и смартфонов, где можно создавать папки, упорядочивать файлы и делиться необходимыми файлами.
Fex
Еще одним относительно новым сервисом облачного хранилища является Fex. При регистрации сервис в целях тестирования предлагает ни мало, ни много 50 гигабайтов дискового пространства.
Минусом данного поставщика является лимит на время хранения файла. Файлы автоматически удаляются через неделю. Поэтому пользоваться им бесплатно для долговременного хранения файлов не целесообразно.
Mega.NZ
Последним и самым оптимальным на наш взгляд сервисом, предоставляющим возможность бесплатно хранить данные является Mega.nz. Сервис бесплатно предоставляет 50 гигабайтов пространства. Но для этого нужно выполнить всех шаги по регистрации и настройке.
Как и все остальные сервисы Mega.NZ тоже имеет клиент, который можно установить на компьютерах или смартфонах. И веб-интерфейс, и настольный клиент даёт возможность загружать файлы в облако и делиться ими. Кроме всего прочего есть возможность подписки, что позволяет увеличивать объем места и лимит на трансфер файлов.
На всех указанные сервисах кроме Fex можно настроить двухфакторную аутентификацию, что в наши дни достаточно важно. Можно завести аккаунты на разных сервисах и распределить данные по ним.
Есть ещё не мало сервисов, которые мы не затронули в данной статье. Это Облако.Mail.ru, OneDrive продукт Майкрософт и так далее. А каким из указанных пользоваться это уже ваш выбор. Можно перепробовать все и выбрать какой-то один и оформить годовую подписку.