IP Security Protocol

Indlæg af Hanne Mølgaard Plasc

 

Grundlæggende proces

Den primære opgave med IPsec-protokollen er at autentificere og kryptere databittene, der rejser på pakkerne i IP-protokollen. Her betyder udtrykkene 'autentificer' og 'krypter' at identificere den originale afsender og modtager og kodere de data, der transmitteres. Efter denne regel udfører IPsec i første omgang en kollektiv identifikationsproces mellem de kommunikationspartier. Efter identiteten er bekræftet, startes en kommunikationssession, og overførslen af ​​kodede (eller krypterede) data kan begynde. På nuværende tidspunkt deler de to parter en dataåbningsnøgle, som dekoder de transmitterede databit.

Arkitektur

IPsec-protokollen anvender tre vigtige subprotokoller til sikring af den overordnede kommunikationsproces. Disse protokoller omfatter sikkerhedsforening (SA), godkendelsesoverskrift (AH) og indkapsling af sikkerhedsbelastning (ESP). Sikkerhedsorganisation bidrager til processen med at initialisere kommunikationen mellem parter ved at skabe data kodning og afkodning procedurer. Autentiseringsoverskrift holder de udvekslede data integreret og uændret, mens indkapsling af sikkerhedsbelastning indeholder hemmeligholdelse og godkendelsesprocedurer, der er nødvendige for kommunikation. Gennem samarbejdsoperationerne i disse protokoller gøres databittene sikre, pålidelige og integrerede, med en dataoverførselsproces, der er både autentificeret og fortroligt.

Operationelle tilstande

Operationer af IPsec-protokollen kan udføres i to tilstande: transporttilstand og tunnelingstilstand. Disse tilstande indebærer ændring af originale IP-pakker til sikkerhedsformål. En typisk IP-pakke har to dele. Den første del indeholder data bits, der skal overføres, og den anden del opretholder adresser til afsendelses- og modtagende parter. Transportmodusen til IPsec betjenes ved kodning eller kryptering af datadelen af ​​IP-pakken, idet adresserne deles uændret. I modsætning hertil bruger tunneling mode kryptering af begge dele, skaber en ny krypteret IP-pakke, der fungerer som et skjold for både data bits og adresser i den originale IP-pakke.

Sikkerhedsteknikker

IPsec bruger forskellige datasikkerhedsteknikker, integreret i sine subprotocols i form af kodede algoritmer. En algoritme er et computerprogram, der primært anvendes til at løse et specifikt eller begrænset antal driftsproblemer. Da driften af ​​IPsec er relateret til datasikkerhed, bruger den kun de algoritmer, der er specielt designet til at arbejde mod datasikkerhed. Nogle store IPsec-algoritmer omfatter HMAC (hashbaseret meddelelsesautentificeringskode), AES (avanceret krypteringsstandard) og TDEA (triple datakrypteringsalgoritme). HMAC bruges til at give dataintegritet og ægthed, mens TDEA og AES gør overførsel af data fortrolige og pålidelige.

Implementeringer

Implementering af IPsec-protokoller er blevet lavet på alle niveauer, fra individuelle eller små netværk til store netværk . Det er blevet implementeret i p2p-netværk, kablede og trådløse LAN (lokale netværk) på de mindste niveauer. På mellemlang sigt er den blevet indarbejdet i virksomhedernes netværk og organisationsnetværk. På de største niveauer er implementering af IPsec blevet lavet på netværksforbindende gateways og WAN'er (vidnet netværk, der kan forbinde hele byer eller regioner). Et vigtigt aspekt ved overførsel af data fra en computer til en anden er at opretholde sikkerheden. Computernetværk over hele verden har indarbejdet IP (Internet Protocol) rammer for udveksling af data online. For at sikre denne ramme- og dataudvekslingsproces er en sikkerhedsprotokol, der hedder IP-sikkerhed eller IPsec, blevet et standardvalg for både små og store netværk. IPsec er en samling af forskellige regler og regler, som definerer, hvordan kommunikation kan sikres og gøres pålidelig.