¬се мы слышали об SSL. SSL Ц это то, благодар€ чему процветают такие вещи, как E-commerce. SSL позвол€ет нам безопасно взаимодействовать с сайтамиЕ но что нам делать, если нужно конфиденциально подключитьс€ к другой сети, а не сайту? «десь и пригодитс€ IPSec.

ћногие »“-специалисты и системные администраторы не до конца понимают IPSec.  онечно же, все мы знаем, что IPSec Ц это тип защищенной передачи данных, но какие приложени€ им пользуютс€? » как работает IPSec?

„то такое IPSec?

ƒавайте в этом разберемс€. ¬ данной статье мы обсудим, что такое IPSec, дл€ чего используетс€, как работает и чем отличаетс€ от таких протоколов, как SSL и TLS.


„то такое IPSec?

IPSec Ц это метод безопасного и зашифрованного обмена данными между клиентом и сетью. “акое Ђсообщениеї передаетс€ через общедоступные сети (»нтернет). „аще всего IPSec используетс€ дл€ VPN, а также подключени€ двух частных сетей.

—ам по себе IPsec не €вл€етс€ протоколом. Ёто, скорее, набор протоколов, которые используютс€ вместе.   таким протоколам относ€тс€:

  • Authentication Header (јутентификационный заголовок)
  • Encapsulating Security Protocol (»нкапсулирующий протокол безопасности)
  • Security Association (јссоциаци€ безопасности)
  • Internet Protocol (»нтернет-протокол)

 ак работает IPsec?

IPSec позвол€ет клиенту безопасно обмениватьс€ данными с другой сетью. Ќеобходимо отметить, что данный метод обычно не используетс€ дл€ взаимодействи€ между устройствами, а примен€етс€ дл€ подключени€ ноутбука к частной сети через общедоступную сеть (по типу »нтернета).  роме того, IPsec может соедин€ть две частные сети.

ќбратите внимание, что мы не используем HTTP или TCP дл€ передачи данных. Ёто потому, что в рамках модели OSI (модель открытого системного взаимодействи€) IPSec проходит по уровню Layer 3 сети. “о есть, в принципе, IPSec может оказатьс€ безопаснее других методов защищенной передачи данных.

IPSec-соединени€ по-прежнему устанавливаютс€ между клиентом и хостом через другие сети. » эти другие сети обычно €вл€ютс€ общедоступными Ц как, например, »нтернет. ѕоэтому все взаимодействи€ между клиентом и хостом зашифрованы. ¬ любом случае, ключи шифровани€ не согласовываютс€ с каждым новым подключением. ƒо установки соединени€ и клиент, и хост должны знать закрытые ключи шифровани€.

Ёто последнее предложение очень важное. ƒело в том, что в ходе взаимодействи€ зашифровываетс€ весь пакет данных, включа€ его заголовок.

Ѕыть может, вы подумаете: чтобы правильно попасть в пункт назначени€, пакеты должны иметь читабельные заголовки. » вы правы.  стати, именно поэтому и используетс€ Encapsulating Security Protocol (ESP). ƒл€ транспортировки ESP добавл€ет в пакет новую информацию о заголовке и конечном управл€ющем поле (или трейлере; он похож на заголовок, но располагаетс€ в конце пакета), тогда как насто€щий заголовок остаетс€ зашифрованным.

“очно также происходит и аутентификаци€ каждого пакета. ’ост IPSec подтверждает, что каждый пакет полученных данных отправл€лс€ тем объектом, который, как считает хост, и был отправителем. ¬ противном случае этот пакет данных отклон€етс€.


ƒл€ чего используетс€ IPSec?

IPSec используетс€ дл€ создани€ безопасного метода взаимодействи€ между клиентом и хостом.  лиентом может быть, например, ноутбук. »ли же частна€ сеть. ’остом, как правило, тоже служит частна€ сеть.

“еперь мы знаем, как работает IPsec, и пора разобратьс€, дл€ чего он используетс€? „то же означает предыдущий абзац?

„аще всего IPSec используетс€ дл€ VPN. VPN Ц это виртуальна€ частна€ сеть. VPN позвол€ет клиенту подключатьс€ к частной коммерческой сети через общедоступную сеть интернет (например, ноутбук сотрудника).  ак только ноутбук подключилс€ к частной коммерческой сети через VPN, то он как бы сам попадает в эту частную сеть Ц дл€ всех целей и задач.

»наче говор€, подключившись к коммерческой сети ноутбук получает доступ ко внутренним »“-ресурсам. ¬есь трафик этого ноутбука (вход€щий и исход€щий) циркулирует через частную коммерческую сеть в интернет.

—оединени€ двух удаленных частных сетей можно настраивать через IPsec-подключени€ и VPN. Ќапример, вы ведете свою де€тельность в двух разных локаци€х (в ѕенсильвании и  алифорнии).  ак настроить подключение? ѕровести кабель не получитс€ Ц офисы наход€тс€ слишком далеко друг от друга. –аньше таким компани€м приходилось оплачивать дорогую выделенную линию (по типу “1 подключени€). Ќо сейчас они могут обмениватьс€ данными через открытый интернет с помощью IPsec-подключени€.


ќтличи€ между IPsec и TLS (или SSL)

IPsec-подключени€ и TLS (SSL)-подключени€ во многом похожи. ќба способа служат дл€ безопасного и зашифрованного обмена данными. ќба протокола могут использовать общедоступные сети дл€ взаимодействи€ и т.д. и т.п.

Ќо в то же врем€, IPsec и TLS/SSL во многом отличаютс€.

Ќапример, IPsec-подключени€ €вл€ютс€ частью уровн€ Layer 3 в модели OSI, тогда как TLS и SSL-подключени€ относ€тс€ к уровню Layer 7. ѕолучаетс€, что IPsec-подключени€ выполн€ютс€ на базовом уровне соединений в модели OSI, тогда как TLS и SSL начинаютс€ выше в стеке.  роме того, работа TLS и SSL-соединений зависит от прикладного уровн€ (HTTP) и уровн€ 4 (TCP). “о есть на этих уровн€х они также подвержены эксплойтам, чего не скажешь о IPsec.

≈ще одно важное отличие между IPsec и SSL или TSL заключаетс€ в том, как согласуютс€ подключени€. ѕоскольку TLS и SSL-подключени€ используют TCP, их типы безопасного подключени€ необходимо вначале согласовать. ѕосле этого клиент и хост дополнительно согласовывают ключ шифровани€.

— IPSec все иначе. ѕередача данных зашифровываетс€ сразу.  роме того, секретный ключ дл€ шифровани€ передаетс€ клиенту и хосту по отдельности Ц еще до попытки взаимодействи€. “акже его можно передавать через DNS (хорошо бы при помощи DNSsec). ћетод, который используетс€ дл€ обмена ключами в IPsec, называетс€ IKEv1 или IKEv2. „аще всего сейчас пользуетс€ IKEv2.

Ёто подводит нас к еще одной интересной детали. ѕоскольку IPsec-соединени€ зашифровываютс€ сразу, тоже самое можно сделать и со всем заголовком IP-пакета. Ќо IP-пакетам по-прежнему нужен читабельный заголовок, чтобы попасть в правильное место. ƒл€ этих целей в зашифрованные пакеты IPsec добавл€ютс€ дополнительные заголовки и трейлеры. “о есть размеры MSS (Maximum segment size) и MTU (Maximum transmission unit) дл€ каждого пакета измен€ютс€. —етевым администраторам необходимо предусмотреть эту разницу в своих сет€х.


«аключение

¬ этой статье мы рассмотрели множество вопросов. ƒавайте быстро подведем итог. IPSec Ц это метод безопасного и зашифрованного обмена данными между клиентом и хостом.  лиентом может быть устройство (например ноутбук) или частна€ сеть. ’остом чаще всего бывает частна€ сеть.

—ам IPsec не €вл€етс€ протоколом; это набор протоколов, которые используютс€ вместе. ѕротоколы, которыми пользуетс€ IPsec, начинаютс€ на уровне Layer 3 модели OSI, что, возможно, делает IPsec безопаснее, чем TLS или SSL.

IPsec обычно используетс€ дл€ VPN, то также подходит дл€ подключени€ двух частных сетей.


—кидки 50% в Merion Academy

¬ыбрать курс