 | Den här artikelnbehöverkällhänvisningar för att kunnaverifieras.(2022-09) Åtgärda genom att lägga till pålitliga källor (gärna som fotnoter). Uppgifter utan källhänvisning kanifrågasättas och tas bort utan att det behöver diskuteras pådiskussionssidan. |
IPsec (IP Security), specificerat iRFC 4301, är en uppsättningdatasäkerhetsteknologier förvirtuella privata nätverk (VPN). Det skapar en gräns mellan skyddade och oskyddade delar avdatornätverk. Paket som passerar denna gräns behandlas på olika sätt. Paketen, beroende på hur IPsec är konfigurerat, kan passera ohindrade, kastas bort eller bli behandlade med olika tjänster.
IPsec består av en mängd protokoll som erbjuder fyra huvudsakliga tjänster:
En stor fördel med IPsec är att det arbetar pånätverksskiktet och fungerar med bådeIPv4 ochIPv6, vilket innebär att alla befintligatransport- ochapplikationsprotokoll kan dra nytta av IPsec utan att behöva modifieras. Detta skiljer sig från flera andrakrypterade protokoll såsomSSH vilka arbetar på applikationsskiktet.
IPsec specificerar också grundläggandebrandväggsfunktionalitet men lämnar det fritt att implementera mer avancerade funktioner. De mer avancerade brandväggsfunktionerna kan sedan användas för att implementera de funktioner som IPsec specificerar.
För att erbjuda de fyra tjänsterna använder IPsec två olika protokoll, nämligen Authentication Header (AH) vilket är beskrivet iRFC 4302 och Encapsulating Security Payload (ESP), beskrivet iRFC 4303.
AH tillhandahåller integritet,autentisering och återuppspelningsskydd.
ESP tillhandahåller integritet, autentisering, återuppspelningsskydd och konfidentialitet.
En stor skillnad mellan AH och ESP är att AH kan autentisera delar avIP-headern medan ESP kan endast autentisera datan. AH används inte längre lika ofta då ESP nu även kan bidra med mer säkerhet än tidigare och används därför mer då ESP inte har samma problem med NAT som AH. AH har ytterligare ett problem och det har att göra med adress- ochportöversättningar. För att autentisera ettpaket bygger AH en hash som bland annat baseras på olika fält i IP-headern. Dessa fält kan förändras under transport och om detta sker blir den beräknadehashen ogiltig.
AH och ESP använder en mängdkryptografiskaalgoritmer för att erbjuda de olika tjänsterna. För att säkerställainteroperabiliteten mellan olika implementationer av IPsec specificerarRFC 4305 en uppsättning algoritmer vilka är obligatoriska att implementera. Dessa algoritmer är inte specificerade i IPsec för att lämna utrymme för framtida förändringar.
De obligatoriska protokollen för ESP är
För ESP finns även tre protokoll som rekommenderas att implementera och dessa är
För AH är HMAC-SHA1-96 obligatoriskt och AES-XCBC-MAC-96 är rekommenderat.
I framtiden kommer troligtvis AES-CBC med 128-bitarsnycklar och AES-XCBC-MAC-96 bli obligatoriska. TripleDES-CBC kommer endast bli rekommenderad.
För att AH och ESP skall fungera krävs olika parametrar. Dessa parametrar samlas i en Security Association (SA). En SA skall vara unik för varje förbindelse så att rätt parametrar används, därför identifieras varje SA av måladressen, vilketprotokoll som används och en security parameter index (SPI). Enbart måladressen och protokollet kan inte unikt identifiera en SA eftersom flera förbindelser till samma måladress över samma protokoll kan existera. För att unikt identifiera en SA krävs alltså mer information och det är här SPI spelar sin roll. Ett SPI är ett nummer som väljs så att varje SA kan identifieras. För att data ska kunna verifieras eller dekrypteras hos målet måste SA utbytas mellan målet och källan. Detta kan göras på två olika sätt
IPsec kan användas i två lägen:
I transportläget skickas IP-paket som vanligt över nätverket men med skyddad data. Detta läge används för att sammankoppla två ändpunker i nätverket. Med tunnelläget sammanlänkas två nätverk över en säker förbindelse i vilken hela IP-paket krypteras. All data som skickas mellan dessa två nätverk passerar två portaler som sköterkryptering ochdekryptering och eventuelltautentisering. I tunnelläget krävs ingen ytterligare konfigurering för klienterna i nätverken. Tunnelläget används vanligtvis för att skapa olikaVPN.