IPSec คืออะไร?

IPSec ย่อมาจาก Internet Protocol Security คือชุดของโปรโตคอลการเข้ารหัสที่ปกป้องการรับส่งข้อมูลผ่านเครือข่าย Internet Protocol (IP)

เครือข่าย IP - รวมถึงเวิลด์ไวด์เว็บ - ขาดการเข้ารหัสและการปกป้องความเป็นส่วนตัว IPSec VPN จัดการกับจุดอ่อนนี้โดยจัดเตรียมเฟรมเวิร์กสำหรับการสื่อสารแบบเข้ารหัสและเป็นส่วนตัวบนเว็บ

ต่อไปนี้เป็นรายละเอียดเกี่ยวกับ IPSec และวิธีการทำงานร่วมกับอุโมงค์ VPNเพื่อปกป้องข้อมูลผ่านเครือข่ายที่ไม่ปลอดภัย

ประวัติโดยย่อของ IPSec

เมื่อ Internet Protocol ได้รับการพัฒนาในช่วงต้นทศวรรษที่ 80 การรักษาความปลอดภัยไม่ได้มีความสำคัญสูง อย่างไรก็ตาม เนื่องจากจำนวนผู้ใช้อินเทอร์เน็ตเพิ่มขึ้นอย่างต่อเนื่อง ความต้องการความปลอดภัยสูงก็เพิ่มขึ้นเช่นกัน

เพื่อตอบสนองความต้องการนี้ สำนักงานความมั่นคงแห่งชาติได้สนับสนุนการพัฒนาโปรโตคอลความปลอดภัยในช่วงกลางทศวรรษที่ 80 ภายใต้โครงการ Secure Data Network Systems สิ่งนี้นำไปสู่การพัฒนาโปรโตคอลความปลอดภัยเลเยอร์ 3 และโปรโตคอลความปลอดภัยเลเยอร์เครือข่ายในที่สุด วิศวกรหลายคนทำงานในโครงการนี้ตลอดช่วงทศวรรษที่ 90 และ IPSec ก็เติบโตจากความพยายามเหล่านี้ ปัจจุบัน IPSec เป็นมาตรฐานโอเพ่นซอร์สและเป็นส่วนหนึ่งของ IPv4

IPSec ทำงานอย่างไร

IPSec ทำงานร่วมกับอุโมงค์ VPN เพื่อสร้างการเชื่อมต่อแบบสองทางส่วนตัวระหว่างอุปกรณ์

เมื่อคอมพิวเตอร์สองเครื่องสร้าง การเชื่อมต่อ VPNพวกเขาจะต้องยอมรับชุดโปรโตคอลความปลอดภัยและอัลกอริธึมการเข้ารหัส และแลกเปลี่ยนคีย์การเข้ารหัสเพื่อปลดล็อคและดูข้อมูลที่เข้ารหัส

นี่คือจุดที่ IPSec เข้ามามีบทบาท IPSec ทำงานร่วมกับอุโมงค์ VPN เพื่อสร้างการเชื่อมต่อแบบสองทางส่วนตัวระหว่างอุปกรณ์ IPSec ไม่ใช่โปรโตคอลเดียว แต่เป็นชุดโปรโตคอลและมาตรฐานที่สมบูรณ์ซึ่งทำงานร่วมกันเพื่อช่วยรับรองการรักษาความลับ ความสมบูรณ์ และความถูกต้องของแพ็กเก็ตข้อมูลอินเทอร์เน็ตที่ส่งผ่านอุโมงค์ VPN

ต่อไปนี้คือวิธีที่ IPSec สร้างอุโมงค์ VPN ที่ปลอดภัย:

• IPSec ตรวจสอบข้อมูลเพื่อให้แน่ใจว่าแพ็กเก็ตมีความสมบูรณ์ระหว่างการส่ง
• IPSec เข้ารหัสการรับส่งข้อมูลอินเทอร์เน็ตผ่านอุโมงค์ VPN เพื่อไม่ให้ดูข้อมูลได้
• IPSec ปกป้องข้อมูลจากการโจมตีซ้ำ ซึ่งอาจนำไปสู่การเข้าสู่ระบบโดยไม่ได้รับอนุญาต
• IPSec ช่วยให้สามารถแลกเปลี่ยนคีย์เข้ารหัสระหว่างคอมพิวเตอร์ได้อย่างปลอดภัย
• IPSec มีโหมดความปลอดภัยสองโหมด: อุโมงค์และการขนส่ง

IPSec VPN ปกป้องข้อมูลที่ส่งจากโฮสต์ไปยังโฮสต์ เครือข่ายไปยังเครือข่าย โฮสต์ไปยังเครือข่าย และเกตเวย์ไปยังเกตเวย์ (เรียกว่าโหมดทันเนล เมื่อแพ็กเก็ต IP ทั้งหมดได้รับการเข้ารหัสและรับรองความถูกต้อง)

โปรโตคอล IPSec และส่วนประกอบที่รองรับ

มาตรฐาน IPSec แบ่งออกเป็นโปรโตคอลหลักหลายโปรโตคอลและส่วนประกอบที่รองรับ

โปรโตคอล IPSec หลัก

- IPSec Authentication Header (AH) : โปรโตคอลนี้ปกป้องที่อยู่ IP ของคอมพิวเตอร์ที่เข้าร่วมในกระบวนการแลกเปลี่ยนข้อมูลเพื่อให้แน่ใจว่าบิตข้อมูลจะไม่สูญหาย เปลี่ยนแปลง หรือเสียหายระหว่างกระบวนการส่ง AH ยังตรวจสอบด้วยว่าบุคคลที่ส่งข้อมูลเป็นผู้ส่งข้อมูลจริง เพื่อปกป้องอุโมงค์จากการบุกรุกโดยผู้ใช้ที่ไม่ได้รับอนุญาต

- Encapsulating Security Payload (ESP) : โปรโตคอล ESP จัดเตรียมส่วนการเข้ารหัสของ IPSec เพื่อให้มั่นใจถึงความปลอดภัยของการรับส่งข้อมูลระหว่างอุปกรณ์ ESP เข้ารหัสแพ็กเก็ตข้อมูล/เพย์โหลด ตรวจสอบสิทธิ์เพย์โหลดและที่มาภายในชุดโปรโตคอล IPSec โปรโตคอลนี้จะแย่งชิงการรับส่งข้อมูลอินเทอร์เน็ตอย่างมีประสิทธิภาพ ดังนั้นใครก็ตามที่มองเข้าไปในอุโมงค์จะไม่เห็นสิ่งใดในอุโมงค์นั้น

ESP ทั้งเข้ารหัสและรับรองความถูกต้องของข้อมูล ในขณะที่ AH รับรองความถูกต้องของข้อมูลเท่านั้น

ส่วนประกอบที่รองรับ IPSec

- สมาคมการรักษาความปลอดภัย (SA) : สมาคมและนโยบายการรักษาความปลอดภัยกำหนดข้อตกลงการรักษาความปลอดภัยต่างๆ ที่ใช้ในการแลกเปลี่ยน ข้อตกลงเหล่านี้สามารถกำหนดประเภทของการเข้ารหัสและอัลกอริธึมแฮชที่จะใช้ นโยบายเหล่านี้มักจะมีความยืดหยุ่น ทำให้อุปกรณ์ต่างๆ ตัดสินใจว่าต้องการจัดการสิ่งต่างๆ อย่างไร

- Internet Key Exchange (IKE) : เพื่อให้การเข้ารหัสทำงานได้ คอมพิวเตอร์ที่เกี่ยวข้องกับการแลกเปลี่ยนการสื่อสารส่วนตัวจำเป็นต้องแชร์คีย์เข้ารหัส IKE อนุญาตให้คอมพิวเตอร์สองเครื่องแลกเปลี่ยนและแบ่งปันคีย์การเข้ารหัสอย่างปลอดภัยเมื่อสร้างการเชื่อมต่อ VPN

- อัลกอริทึมการเข้ารหัสและการแฮช : คีย์การเข้ารหัสทำงานโดยใช้ค่าแฮช ซึ่งสร้างขึ้นโดยใช้อัลกอริทึมแฮช AH และ ESP เป็นแบบทั่วไปมาก โดยไม่ได้ระบุประเภทการเข้ารหัสเฉพาะเจาะจง อย่างไรก็ตาม IPsec มักใช้ Message Digest 5 หรือ Secure Hash Algorithm 1 สำหรับการเข้ารหัส

- การป้องกันการโจมตีซ้ำ : IPSec ยังรวมเอามาตรฐานเพื่อป้องกันการเล่นซ้ำแพ็คเก็ตข้อมูลใดๆ ที่เป็นส่วนหนึ่งของกระบวนการเข้าสู่ระบบที่ประสบความสำเร็จ มาตรฐานนี้ป้องกันแฮกเกอร์จากการใช้ข้อมูลที่เล่นซ้ำเพื่อคัดลอกข้อมูลการเข้าสู่ระบบด้วยตนเอง

IPSec เป็นโซลูชันโปรโตคอล VPN ที่สมบูรณ์และยังสามารถทำหน้าที่เป็นโปรโตคอลการเข้ารหัสใน L2TP และ IKEv2 ได้อีกด้วย

โหมดการขุดอุโมงค์: อุโมงค์และการขนส่ง

IPSec ส่งข้อมูลโดยใช้โหมดทันเนลหรือโหมดการขนส่ง

IPSec ส่งข้อมูลโดยใช้โหมดทันเนลหรือโหมดการขนส่ง โหมดเหล่านี้มีความเกี่ยวข้องอย่างใกล้ชิดกับประเภทของโปรโตคอลที่ใช้ AH หรือ ESP

- โหมดทันเนล : ในโหมดทันเนล แพ็กเก็ตทั้งหมดได้รับการป้องกัน IPSec ล้อมแพ็กเก็ตข้อมูลไว้ในแพ็กเก็ตใหม่ เข้ารหัส และเพิ่มส่วนหัว IP ใหม่ โดยทั่วไปจะใช้ในการตั้งค่า VPN แบบไซต์ต่อไซต์

- โหมดการขนส่ง : ในโหมดการขนส่ง ส่วนหัว IP ดั้งเดิมจะยังคงอยู่และไม่ได้เข้ารหัส มีการเข้ารหัสเฉพาะเพย์โหลดและตัวอย่าง ESP เท่านั้น โดยทั่วไปแล้วโหมดการขนส่งจะใช้ในการตั้งค่า VPN ไคลเอนต์ถึงไซต์

สำหรับ VPN การกำหนดค่า IPSec ที่พบบ่อยที่สุดที่คุณจะเห็นคือ ESP พร้อมการรับรองความถูกต้องในโหมดทันเนล โครงสร้างนี้ช่วยให้การรับส่งข้อมูลอินเทอร์เน็ตเคลื่อนย้ายได้อย่างปลอดภัยและไม่เปิดเผยตัวตนภายในอุโมงค์ VPN ผ่านเครือข่ายที่ไม่ปลอดภัย

แล้วโหมด Tunnel และ Transport ใน IPsec แตกต่างกันอย่างไร?

โหมดทันเนลใน IPsec ถูกใช้ระหว่างเราเตอร์เฉพาะสองตัว โดยเราเตอร์แต่ละตัวทำหน้าที่เป็นปลายด้านหนึ่งของ "ทันเนล" เสมือนผ่านเครือข่ายสาธารณะ ในโหมดทันเนล ส่วนหัว IP เริ่มต้นจะมีปลายทางสุดท้ายของแพ็กเก็ตที่เข้ารหัส พร้อมด้วยเพย์โหลดแพ็กเก็ต เพื่อให้เราเตอร์ระดับกลางทราบว่าจะส่งต่อแพ็กเก็ตได้ที่ไหน IPsec จะเพิ่มส่วนหัว IP ใหม่ ที่ปลายแต่ละด้านของอุโมงค์ เราเตอร์จะถอดรหัสส่วนหัว IP เพื่อส่งแพ็กเก็ตไปยังปลายทาง

ในโหมดการขนส่ง เพย์โหลดของแต่ละแพ็กเก็ตจะถูกเข้ารหัส แต่ส่วนหัว IP เริ่มต้นจะไม่ได้รับการเข้ารหัส ดังนั้น เราเตอร์ระดับกลางจึงสามารถเห็นปลายทางสุดท้ายของแต่ละแพ็กเก็ตได้ เว้นแต่ว่าจะใช้โปรโตคอลช่องสัญญาณแยกต่างหาก (เช่น GRE)

IPsec ใช้พอร์ตใด

พอร์ตเครือข่ายคือตำแหน่งเสมือนที่ข้อมูลไปภายในคอมพิวเตอร์ พอร์ตคือวิธีที่คอมพิวเตอร์ติดตามกระบวนการและการเชื่อมต่อต่างๆ หากข้อมูลไปที่พอร์ตใดพอร์ตหนึ่ง ระบบปฏิบัติการของคอมพิวเตอร์จะรู้ว่าเป็นของกระบวนการใด โดยปกติแล้ว IPsec จะใช้พอร์ต 500

IPsec ส่งผลกระทบต่อ MSS และ MTU อย่างไร

MSS และ MTU เป็นการวัดขนาดแพ็คเก็ตสองครั้ง แพ็คเก็ตสามารถเข้าถึงขนาดที่กำหนดเท่านั้น (เป็นไบต์) ก่อนที่คอมพิวเตอร์ เราเตอร์ และสวิตช์จะไม่สามารถประมวลผลได้ MSS วัดขนาดเพย์โหลดของแต่ละแพ็กเก็ต ในขณะที่ MTU วัดขนาดแพ็กเก็ตทั้งหมด รวมถึงส่วนหัวด้วย แพ็กเก็ตที่เกิน MTU ของเครือข่ายสามารถถูกแยกส่วนได้ กล่าวคือ แตกเป็นแพ็กเก็ตขนาดเล็กแล้วประกอบกลับเข้าไปใหม่ แพ็กเก็ตที่เกิน MSS จะถูกทิ้งอย่างง่ายดาย

โปรโตคอล IPsec จะเพิ่มส่วนหัวและส่วนท้ายจำนวนหนึ่งลงในแพ็กเก็ต ซึ่งทั้งหมดใช้พื้นที่ไม่กี่ไบต์ สำหรับเครือข่ายที่ใช้ IPsec จะต้องปรับ MSS และ MTU ตามนั้น ไม่เช่นนั้นแพ็กเก็ตจะกระจัดกระจายและล่าช้าเล็กน้อย โดยทั่วไปแล้ว MTU สำหรับเครือข่ายคือ 1,500 ไบต์ ส่วนหัว IP ปกติจะมีความยาว 20 ไบต์ และส่วนหัว TCP ก็มีความยาว 20 ไบต์เช่นกัน ซึ่งหมายความว่าแต่ละแพ็กเก็ตสามารถบรรจุเพย์โหลดได้ 1,460 ไบต์ อย่างไรก็ตาม IPsec เพิ่มส่วนหัวการรับรองความถูกต้อง ส่วนหัว ESP และตัวอย่างที่เกี่ยวข้อง พวกเขาเพิ่ม 50 - 60 ไบต์ลงในแพ็กเก็ตหรือมากกว่า