IPsec, Internet Protocol Security, er en udvidelse af den meget bredt anvendte internetprotokol (IP), som krypterer netværkskommunikation og beskytter data mod tyveri og infiltrering.
IPsec er et af de vigtigste lag af protokoller, som udviklere bruger til at sikre udvekslingen af data gennem et netværk.
I mobilt IoT lukker IPsec hullet mellem mobilnettet og en given applikationsinfrastruktur. Med IPsec behøver enheden ikke selv at håndtere kryptering, så dataudvekslingerne bruger mindre processorkraft og forbruger mindre data, hvilket er en stor fordel for digitale enheder med lav processorkraft, som ikke har ressourcerne til at kryptere transmissioner med Transport Layer Security og Secure Sockets Layer (TLS/SSL) i realtid.
Selv for enheder med end-to-end-kryptering kan IPsec give ekstra sikkerhed ved at sikre, at enheden og programmet ikke er eksponeret for det offentlige internet.
Omfanget af IP-sikkerhed afhænger af, om du bruger protokolpakken i “transport mode” (transporttilstand) eller “tunnel mode” (tunneltilstand). Transport mode sikrer blot de oplysninger, der transporteres, mens tunnel mode sikrer trafikken, der sendes mellem netværksenhederne, fuldstændigt. (Tunnel mode er en metode til oprettelse af virtuelle private netværk).
Her er hvordan IPsec sikrer din netværkskommunikation.
De tre IPsec-protokoller
IPsec omfatter tre forskellige protokoller, der sikrer forskellige aspekter af netværkskommunikationen:
- Autentifikations-Headere (AH)
- Encapsulating Security Payloads (ESP)
- ISAKMP (Internet Security Association and Key Management Protocol)
Authentication Headers og Encapsulating Security Payloads kan anvendes sammen eller hver for sig, og ISAKMP reagerer på, hvilken af disse protokoller der anvendes til transmissionen.
Autentifikation
Når enheder, programmer og netværksenheder udveksler datapakker, er der mulighed for, at ondsindede aktører kan opsnappe eller ændre dem, før de når frem til deres destination. Hackere kan også oprette falske datapakker for at overføre malware til dine enheder.
En “header-detektor” til autentifikation hjælper netværket med at verificere, hvor en pakke kom fra, og om transmissionen er blevet ændret. Autentifikationsheadere bruger en delt nøgle til at verificere afsenderens identitet og en checksum til at bekræfte dataenes integritet.
Ved et “replay-angreb” sender en hacker kopier af pakker som led i et Denial of Service-angreb. Autentifikationsheadere kan eventuelt indeholde et sekvensnummer for at sikre, at den specifikke pakke ikke allerede er blevet modtaget, hvilket kan hjælpe med at forhindre denne form for angreb.
InEncapsulating Security Payloads
Mens autentifikationsheadere verificerer identiteten af afsender og modtager, og registrerer ændrede pakker, tilføjer ESP-kryptering og endnu et lag af autentifikation. Det er som at lægge et glas med beskyttelse af privatlivets fred over datatransmissionen for at forhindre, at nogen kan se, hvad der er indeni.
Når IPsec anvendes i transporttilstand, “indkapsler” ESP kun dataenes nyttelast – headeren kan stadig læses. I tunneltilstand indkapsler ESP imidlertid hele datapakken og vedhæfter en ny header på ydersiden. Denne ydre header er det eneste, der er synligt uden autentificering og krypteringsnøglen.
ISAKMP
IPsec bruger ISAKMP til at definere de sikkerhedsattributter, som to netværksenheder skal bruge til at udveksle data. Inden transmissionen sendes, fastlægger de to parter sessionens varighed, de algoritmer, de vil bruge til at kryptere datapakken, og de nøgler, de vil bruge til at autentificere den.
Forskel mellem tunnel mode og transport mode
Mens transport mode kun sikrer de data, der sendes, skaber tunneltilstand en krypteret forbindelse mellem to netværksenheder. Tunnel mode er den mest almindelige anvendelse af IPsec og fungerer godt til at forbinde to forskellige netværk sammen – f.eks. en kundes netværk og dit eget – for at oprette en VPN.
IPsec vs. TLS/SSL
Transport Layer Security- og Secure Sockets Layer-protokoller (TLS/SSL) sikrer kommunikation i programlaget, mens IPsec sikrer kommunikation i IP-laget.
Det betyder, at TLS/SSL kun sikrer kommunikationen til og fra det beskyttede program. Andre enheder på netværket forbliver usikre, og det samme gælder andre programmer. IPsec sikrer alle data fra alle enheder i et netværk og gør det muligt for dem at kommunikere sikkert med enheder og programmer på et andet netværk.