IPsec
IPsec (lyhenne sanoista IP Security Architecture) on joukko TCP/IP-perheeseen kuuluvia tietoliikenneprotokollia Internet-yhteyksien turvaamiseen. Nämä protokollat tarjoavat salauksen, osapuolten todennuksen ja tiedon eheyden varmistamisen.
TCP/IP-pino | |
---|---|
sovelluskerros |
BGP · DHCP · DNS · ESMTP · FTP · HTTP · IMAP · IRC · LDAP · MGCP · NNTP · NTP · POP3 · RPC · RTP · RTSP · SIP · SMTP · SNMP · SOCKS · SSH · Telnet · TLS/SSL · XMPP · (..lisää..) |
kuljetuskerros |
TCP · UDP · QUIC · DCCP · SCTP · RSVP · RIP · ECN |
verkkokerros |
IP (IPv4 ja IPv6) · ICMP (ICMPv6) · IGMP · IPsec |
siirtoyhteyskerros | ARP · IS-IS · NDP · OSPF · L2TP · PPP |
fyysinen kerros |
IPsec määrittelee tietoliikenneprotokollia, jotka voidaan jakaa kahteen luokkaan:
- protokollat pakettivirtojen turvaamiseen
- avaintenvaihtoprotokolla turvattujen pakettivirtojen muodostamiseen
Pakettivirtojen turvaamiseen IPsec tarjoaa kaksi vaihtoehtoista protokollaa, joista tavallisempi on ESP (Encapsulating Security Payload). Sitä käytetään pakettivirtojen salaamiseen. Harvemmin käytetty AH-protokolla (Authenticating Headers) taas tarjoaa todennuksen ja takaa viestien eheyden, mutta ei tarjoa luottamuksellisuutta.
Suositeltu avaintenvaihtoprotokolla IPsec-protokollan kanssa käytettäväksi on Internet Key Exchange (IKE). IKE koostuu protokollien ISAKMP, Oakley ja SKEME yhdistelmästä.
Standardit
IPsec on määritelty pakolliseksi IPv6:een, nykyisen Internet-protokollan seuraajaan. Sitä voi käyttää myös nykyisen IPv4:n kanssa ilman, että välissä olevien reitittimien tarvitsee osata IPsec-protokollia. Tämänhetkiset IPsec-protokollat on määritelty RFC-dokumenteissa
- RFC 2401 - Security Architecture for the Internet Protocol
- RFC 2402 - IP Authentication Header
- RFC 2403 - The Use of HMAC-MD5-96 within ESP and AH
- RFC 2404 - The Use of HMAC-SHA-1-96 within ESP and AH
- RFC 2405 - The ESP DES-CBC Cipher Algorithm With Explicit IV
- RFC 2406 - IP Encapsulating Security Payload (ESP)
- RFC 2407 - The Internet IP Security Domain of Interpretation for ISAKMP
- RFC 2408 - Internet Security Association and Key Management Protocol (ISAKMP)
- RFC 2409 - The Internet Key Exchange (IKE)
- RFC 2410 - The NULL Encryption Algorithm and Its Use With IPsec
- RFC 2411 - IP Security Document Roadmap
- RFC 2412 - The OAKLEY Key Determination Protocol
- RFC 3715 - IPsec-Network Address Translation (NAT) Compatibility Requirements
- RFC 3947 - Negotiation of NAT-Traversal in the IKE
- RFC 3948 - UDP Encapsulation of IPsec ESP Packets
- RFC 4301 (korvaa: RFC 2401) - Security Architecture for the Internet Protocol
- RFC 4302 (korvaa: RFC 2402) - IP Authentication Header
- RFC 4303 (korvaa: RFC 2406) - IP Encapsulating Security Payload (ESP)
- RFC 4304 - Extended Sequence Number (ESN) Addendum to IPsec Domain of Interpretation (DOI) for Internet Security Association and Key Management Protocol (ISAKMP)
- RFC 4305 (korvaa: RFC 2404 ja RFC 2406) - Cryptographic Algorithm Implementation Requirements for Encapsulating Security Payload (ESP) and Authentication Header (AH)
- RFC 4306 (korvaa: RFC 2407, RFC 2408 ja RFC 2409) - Internet Key Exchange (IKEv2) Protocol
- RFC 4307 - Cryptographic Algorithms for Use in the Internet Key Exchange Version 2 (IKEv2)
- RFC 4308 - Cryptographic Suites for IPsec
- RFC 4309 - Using Advanced Encryption Standard (AES) CCM Mode with IPsec Encapsulating Security Payload (ESP)
IKE:stä ollaan kehittämästa uutta IKEv2-versiota.
Huomaa, että aikaisemmin IPsec kirjoitettiin usein myös IPSec isolla S-kirjaimella, mutta kirjoitusmuoto pienellä s-kirjaimella on standardeissa käytetty oikea muoto.
IPsec-protokollan käyttö
IPsec-protokollat toimivat OSI-mallin verkkokerroksen tasolla, minkä ansiosta ne sopivat muidenkin kuin TCP-pohjaisten protokollien suojaamiseen. Pääasiassa tämä tarkoittaa UDP-pohjaisia sovelluksia, ICMP-kontrolliviestejä sekä reitityksessä ja tunneloinnissa käytettyjä IP-protokollia kuten GRE:tä, OSPF:aa ja niin edelleen. Verrattaessa kuljetuskerroksen protokolliin, kuten SSLään, haittapuolena on se, että IPsec-protokollien pitää pystyä hallitsemaan myös vakaus- ja fragmentoitumisongelmat, jotka yleensä on hoidettu korkeammalla tasolla, TCP- eli kuljetuskerroksella.
IPsec-protokollaa voidaan käyttää vaihtoehtoisesti joko
- yhteydenpitokanavan turvaamiseen, jolloin useiden koneiden tai jopa koko lähiverkon liikenne ohjataan yhden pisteen (esimerkiksi palomuurin) kautta, jossa lähtevä liikenne salataan ja vastaavasti paluuliikenne puretaan, tai
- pakettiliikenteen turvaamiseen koko matkalle lähettäjältä vastaanottajalle, jolloin päätepisteiden tietokoneet hoitavat salauksen vaatiman prosessoinnin.
IPsec-protokollaa voidaan käyttää VPN-ratkaisun eli näennäisen yksityisverkon rakentamiseen kummallakin tavalla. On huomioitava että saavutettava tietoturva eroaa huomattavasti näiden kahden mallin välillä.
Päästä päähän turvattujen yhteyksien yleistyminen Internetissä on ollut hitaampaa kuin on odotettu. Luottamuksellisen tiedonsiirron tarpeet on täytetty erillisratkaisuilla tai TLS-protokollalla.
Toteutukset
IPsec sisältyy uudempiin Windows-versioihin, kuten myös useisiin kaupallisiin Unix-toteutuksiin, kuten esimerkiksi Solaris-käyttöjärjestelmään. Linux-käyttöjärjestelmässä yleisimmät toteutukset ovat FreeS/WAN-toteutuksesta johdetut Libreswan, Openswan ja Strongswan. IPsec on hyvin tuettu Linux-käyttöjärjestelmäytimen versiosta 2.6 lähtien.
Katso myös
- SSL
- SSH
- Diffie-Hellman-avaintenvaihtoprotokolla