2016/09/08 15:39:00

Internet Protocol Security (IPsec)

IPsec – это набор протоколов для организации VPN, использующихся для обеспечения сервисов приватности и аутентификации на сетевом уровне модели OSI.


IPsec был стандартизирован в 1995 году (RFC 1825) и включает в себя три протокола, каждый со своими функциями:

  • ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается непосредственно шифрованием данных, а также может обеспечивать аутентификацию источника и проверку целостности данных.

  • AH (Authentication Header – заголовок аутентификации) отвечает за аутентификацию источника и проверку целостности данных.

  • IKE (Internet Key Exchange protocol – протокол обмена ключами) используется для формирования IPSec Security Association - набора параметров защищенного соединения (например: алгоритм шифрования, ключ шифрования и т.д.), которые используются для согласования работы участников защищенного соединения. С помощью этого протокола, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться (и будет ли вообще) проверка целостности, как аутентифицировать друг друга.

IPsec может работать в одном из двух режимов: транспортном (по умолчанию) или туннельном. В транспортном режиме работы механизмы безопасности применяются только для протоколов, начиная с транспортного уровня и выше, оставляя данные самого сетевого уровня (заголовок IP) без дополнительной защиты. В туннельном режиме берётся изначальный IP-пакет, шифруется полностью, вместе с заголовком IP, добавляется служебная информация IPSec и новый заголовок IP. Чаще всего туннельный режим используется для того, чтобы связать две приватные сети через публичную, обеспечив при этом шифрование (что-то вроде безопасного GRE). Транспортный же актуален тогда, когда IP-связность уже достигнута, но трафик между узлами нужно шифровать.

По состоянию на 2016 год IPSec является одним из самых надежных решений для создания виртуальных частных сетей.

Среди недостатков IPSec - большой объем дополнительной информации, добавляемой к исходному пакету, как следствие - избыточность и сложность протокола.

См. также