IPsec
IPsec (Internet Protocol security-ren laburdura) Interneteko Protokoloaren (IP) gaineko komunikazioak ziurtatzeko protokolo multzoa da, datu fluxu bateko IP pakete bakoitza zifratzen eta/edo kautotzen duena. IPsec-ek zifratze-gakoak ezartzeko protokoloak ere baditu. [1]
Aplikazio geruza | DNS, FTP, HTTP, HTTPS, IMAP, IRC, NFS, NNTP, NTP, POP3, SMB/CIFS, SMTP, SNMP, SSH, Telnet, SIP, gehiago |
Aurkezpen geruza | ASN.1, MIME, SSL/TLS, XML, gehiago |
Saio geruza | NetBIOS, gehiago |
Garraio geruza | SCTP, SPX, TCP, UDP, gehiago |
Sare geruza | AppleTalk, IP, IPX, NetBEUI, X.25, gehiago |
Lotura geruza | ATM, Ethernet, Frame Relay, HDLC, PPP, Token Ring, Wi-Fi, STP, gehiago |
Geruza fisikoa | Kable ardazkide, Zuntz optiko, Pare kordatu, Mikrouhin-sarea, Irrati bidezko sarea, RS-232, gehiago |
*OSI ereduaren arabera |
Laburpena
IPsec-eko protokoloak sare geruzan aritzen dira, OSI ereduaren 3. geruzan. Erabilera zabalduko Interneterako beste segurtasun protokolo batzuk, hala nola SSL, TLS eta SSH, aplikazio geruzakoak dira (OSI ereduko 7. geruza). Horren ondorioz, IPsec malguagoa da, 4. geruzako protokoloak babesteko erabil daitekeelako, TCP eta UDP barne.
Segurtasun arkitektura
IPsec protokolo kriptografikoen multzo batek inplementatzen du, paketeen fluxua ziurtatzeko, elkarrekiko kautotzea bermatzeko eta parametro kriptografikoak ezartzeko.
IP segurtasun-arkitekturak segurtasun-elkarte (SA) kontzeptua erabiltzen du IP segurtasuneko funtzioak eraikitzeko. Segurtasun-elkarte bat algoritmoen eta parametroen paketea da, norabide bateko fluxu jakin bat zifratzeko eta kautotzeko erabiltzen dena. Beraz, bi norabideko trafiko arruntean, segurtasun-elkarte pare batek ziurtatzen ditu fluxuak. Zifratzeko eta kautotzeko algoritmoen azken erabakia IPsec-en administratzaileari dagokio.
Estandarraren egungo egoera
IPsec IPv6-ren nahitaezko zati bat izan zen, RFC 4294ren definizioan oinarrituta. [2] Hala ere, 2011. urtean, RFC hori RFC 6434k zaharkitu zuen, eta horrek adierazten du IPsec IPv6-rentzat gomendagarria dela eta ez dela nahitaezkoa. [3] IPv4-rentzat, erabiltzea aukerakoa da. Estandarra IPren bertsioekiko indiferentea izateko diseinatuta dagoen arren, 2007ra arteko hedapena eta esperientzia IPv4-ren inplementazioei dagokie.
Diseinuaren asmoa
IPsec proiektatu zen garraio moduan pakete trafikoan segurtasuna emateko (muturretik muturrera), non muturretako ordenagailuek segurtasun prozesatzea egiten duten, edo tunel moduan, non pakete trafikoaren segurtasuna nodo bakar batek hornitzen baitu.
IPsec bi moduetan erabil daiteke VPNak sortzeko, eta hau da haren funtzionamendu nagusia. Kontuan izan behar da, hala ere, segurtasun inplikazioak nahiko desberdinak direla bi eragiketa moduen artean.
Muturretik muturrerako komunikazioen segurtasuna espero baino motelago garatu da. Horren arrazoietako bat da ez dela sortu gako publikoko azpiegitura unibertsalik (DNSSEC horretarako aurreikusi zen jatorrian). Beste alde batetik, erabiltzaile askok ez dituzte behar bezain ondo ulertzen saltzaileen produktuetan inklusioa sustatzeko dituzten beharrak eta aukera erabilgarriak.
Interneteko protokoloak berez segurtasun ahalmenik ez duenez, IPsec segurtasun zerbitzuak emateko sartu zen, hala nola:
- Trafikoa zifratzea (helburuek soilik irakur dezaten).
- Osotasuna baliozkotzea (trafikoa ibilbidean zehar ez dela aldatu ziurtatzea).
- Muturrei kautotzea (trafikoa konfiantzazkoa den mutur batetik datorrela ziurtatzea).
- Errepikapenaren aurka (babestu saio segurua errepikatzearen aurka).
Moduak
Zein mailatan jarduten den kontuan hartuta, IPsec-en oinarrizko bi modu bereiz daitezke: garraio modua eta tunel modua.
Garraio modua
Garraio moduan, IP paketearen karga erabilgarria (transferitzen diren datuak) bakarrik zifratzen edo kautotzen da. Bideratzea ez da aldatzen, ez baita IP goiburua aldatzen edo zifratzen; hala ere, autentifikazio-goiburua (AH) erabiltzen denean, IP helbideak ezin dira itzuli, horrek hash-a baliogabetuko lukeelako. Garraio eta aplikazio geruzak beti hash baten bidez ziurtatzen dira, eta horrela ezin dira inola ere aldatu (adibidez, TCP eta UDP portu zenbakiak itzuliz). Garraio modua ordenagailuen arteko komunikazioetarako erabiltzen da.
NAT zeharkatzeko IPsec mezuak kapsulatzeko modu bat definitu dute zeharkako NAT mekanismoa deskribatzen duten RFCek.
Tunel modua
Tunel moduan, IP pakete osoa (datuak gehi mezuaren goiburuak) zifratzen edo kautotzen da. Orduan, IP pakete berri batean kapsulatu behar da, bideratzeak funtziona dezan. Tunel modua saretik sarerako komunikazioetarako erabiltzen da (bideratzaileen arteko tunel seguruak, adibidez, VPNetarako), edo ordenagailu-sare edo Internet gaineko ordenagailu-ordenagailu komunikazioetarako.
Protokoloak
IPsec-ek hiru protokolo ditu, pakete-mailan segurtasuna emateko garatu direnak, IPv4-rako zein IPv6-rako:
- Authentication Header-ek (AH) osotasuna, kautotzea eta ukaezintasuna ematen ditu algoritmo kriptografiko egokiak aukeratzen badira.
- Encapsulating Security Payload-ek (ESP) konfidentzialtasuna eskaintzen du, eta kautotzeko eta osotasuna babesteko aukera ere ematen du.
- Internet Key Exchange-k (IKE) Diffie-Hellman motako gako sekretuen trukea erabiltzen du saioaren gako sekretu partekatua ezartzeko. Kriptografia-sistema publikoak edo gako aurre-partekatuak erabili ohi dira.
Authentication Header (AH)
IP datagramen jatorrizko datuen osotasuna konexiorik eta kautotzerik gabe bermatzera zuzenduta dago. Horretarako, Hash Message Authentication Code (HMAC) bat kalkulatzen du hash algoritmo baten bidez gako sekretu baten, IP paketearen edukiaren eta datagramaren zati aldaezinen gainean lan eginez. Prozesu horrek NAT erabiltzeko aukera murrizten du, eta zeharkako NATekin inplementatu daiteke. Bestalde, AHk errepikatze-erasoen aurka babes dezake leiho irristakorreko teknika erabiliz eta pakete zaharrak baztertuz. IP karga erabilgarria eta IP datagrama baten goiburu eremu guztiak babesten ditu, eremu aldakorrak izan ezik; hau da, ibilbidean alda daitezkeenak. AH goiburuak 32 bit neurtzen ditu, hona hemen nola antolatzen diren adierazten duen diagrama bat:
0 - 7 bit | 8 - 15 bit | 16 - 23 bit | 24 - 31 bit |
---|---|---|---|
Hurrengo goiburua | Karga erabilgarriaren luzera | Erreserbatuta | |
Segurtasun-parametroen indizea (SPI) | |||
Sekuentzia zenbakia | |||
Hash mezuen autentifikazio-kodea (HMAC) |
Eremuen esanahia:
Hurrengo goiburua
Transferitutako datuen protokoloa identifikatzen du.
Karga erabilgarriaren luzera
AH paketearen tamaina.
Erreserbatuta
Etorkizunerako erreserbatuta (ordura arte dena zero).
Segurtasun-parametroen indizea (SPI)
IP helbidearekin batera, pakete horrekin inplementatutako segurtasun-elkartea identifikatzen duten segurtasun-parametroak adierazten ditu.
Sekuentzia zenbakia
Zenbaki gero eta handiagoa, errepikapen-erasoak saihesteko erabiltzen dena.
HMAC
Paketea autentifikatzeko beharrezkoa den osotasuna egiaztatzeko balioa du; betegarria izan dezake.
Encapsulating Security Payload (ESP)
ESP protokoloak pakete baten jatorriaren autentikotasuna, osotasuna eta konfidentzialtasunaren babesa ematen ditu. ESPk ere bakarrik zifratu eta bakarrik kautotze konfigurazioak jasaten ditu, baina ez da gomendagarria kautotzerik gabeko zifratzea erabiltzea, ez baita segurua. [4][5][6] AHrekin ez bezala, IP paketearen goiburua ez du ESPk babesten. ESPk IPren gainean jarduten du zuzenean, IP 50 protokoloa erabiliz.
ESP pakete-diagrama bat:
0 - 7 bit | 8 - 15 bit | 16 - 23 bit | 24 - 31 bit |
---|---|---|---|
Segurtasun-parametroen indizea (SPI) | |||
Sekuentzia zenbakia | |||
Karga erabilgarriaren datuak (aldakorra)
| |||
Betegarria (0-255 bytes) | |||
Betegarriaren luzera | Hurrengo goiburua | ||
Kautotze-datuak (aldakorra)
|
Eremuen esanahia:
Segurtasun-parametroen indizea (SPI)
IP helbidearekin konbinatuta segurtasun-parametroak identifikatzen ditu.
Sekuentzia zenbakia
Zenbaki gero eta handiagoa, errepikapen-erasoak saihesteko erabiltzen dena.
Karga erabilgarriaren datuak
Transferituko diren datuak.
Betegarria
Algoritmo kriptografiko batzuek blokeak erabat betetzeko erabiltzen dute.
Betegarriaren luzera
Betegarriaren tamaina bytetan.
Hurrengo goiburua
Transferitutako datuen protokoloa identifikatzen du.
Kautotze-datuak
Paketea autentifikatzeko erabilitako datuak ditu.
Erreferentziak
- (Gaztelaniaz) Marqués, Guillermo. (2016-01-12). IPsec y redes privadas virtuales. Lulu.com ISBN 978-1-329-82419-5. (Noiz kontsultatua: 2021-11-17).
- Loughney, John A.. (2006-04). IPv6 Node Requirements. (Noiz kontsultatua: 2021-11-30).
- Jankiewicz, Edward; Narten, Thomas; Loughney, John A.. (2011-12). IPv6 Node Requirements. (Noiz kontsultatua: 2021-11-30).
- Bellovin, S.M.. «Probable plaintext cryptanalysis of the IP security protocols» Proceedings of SNDSS '97: Internet Society 1997 Symposium on Network and Distributed System Security (IEEE Computer. Soc. Press) doi: . (Noiz kontsultatua: 2021-11-29).
- Paterson, Kenneth G.; Yau, Arnold K. L.. (2006). «Cryptography in Theory and Practice: The Case of Encryption in IPsec» Advances in Cryptology - EUROCRYPT 2006 (Springer Berlin Heidelberg): 12–29. (Noiz kontsultatua: 2021-11-30).
- Degabriele, Jean Paul; Paterson, Kenneth G.. (2007-05). «Attacking the IPsec Standards in Encryption-only Configurations» 2007 IEEE Symposium on Security and Privacy (SP '07) (IEEE) doi: . (Noiz kontsultatua: 2021-11-30).