Aplikazio geruza | DNS, FTP, HTTP, HTTPS, IMAP, IRC, NFS, NNTP, NTP, POP3, SMB/CIFS, SMTP, SNMP, SSH, Telnet, SIP, gehiago |
Aurkezpen geruza | ASN.1, MIME, SSL/TLS, XML, gehiago |
Saio geruza | NetBIOS, gehiago |
Garraio geruza | SCTP, SPX, TCP, UDP, gehiago |
Sare geruza | AppleTalk, IP, IPX, NetBEUI, X.25, gehiago |
Lotura geruza | ATM, Ethernet, Frame Relay, HDLC, PPP, Token Ring, Wi-Fi, STP, gehiago |
Geruza fisikoa | Kable ardazkide, Zuntz optiko, Pare kordatu, Mikrouhin-sarea, Irrati bidezko sarea, RS-232, gehiago |
*OSI ereduaren arabera |
IPsec (Internet Protocol security-ren laburdura) Interneteko Protokoloaren (IP) gaineko komunikazioak ziurtatzeko protokolo multzoa da, datu fluxu bateko IP pakete bakoitza zifratzen eta/edo kautotzen duena. IPsec-ek zifratze-gakoak ezartzeko protokoloak ere baditu. [1]
IPsec-eko protokoloak sare geruzan aritzen dira, OSI ereduaren 3. geruzan. Erabilera zabalduko Interneterako beste segurtasun protokolo batzuk, hala nola SSL, TLS eta SSH, aplikazio geruzakoak dira (OSI ereduko 7. geruza). Horren ondorioz, IPsec malguagoa da, 4. geruzako protokoloak babesteko erabil daitekeelako, TCP eta UDP barne.
IPsec protokolo kriptografikoen multzo batek inplementatzen du, paketeen fluxua ziurtatzeko, elkarrekiko kautotzea bermatzeko eta parametro kriptografikoak ezartzeko.
IP segurtasun-arkitekturak segurtasun-elkarte (SA) kontzeptua erabiltzen du IP segurtasuneko funtzioak eraikitzeko. Segurtasun-elkarte bat algoritmoen eta parametroen paketea da, norabide bateko fluxu jakin bat zifratzeko eta kautotzeko erabiltzen dena. Beraz, bi norabideko trafiko arruntean, segurtasun-elkarte pare batek ziurtatzen ditu fluxuak. Zifratzeko eta kautotzeko algoritmoen azken erabakia IPsec-en administratzaileari dagokio.
IPsec IPv6-ren nahitaezko zati bat izan zen, RFC 4294ren definizioan oinarrituta. [2] Hala ere, 2011. urtean, RFC hori RFC 6434k zaharkitu zuen, eta horrek adierazten du IPsec IPv6-rentzat gomendagarria dela eta ez dela nahitaezkoa. [3] IPv4-rentzat, erabiltzea aukerakoa da. Estandarra IPren bertsioekiko indiferentea izateko diseinatuta dagoen arren, 2007ra arteko hedapena eta esperientzia IPv4-ren inplementazioei dagokie.
IPsec proiektatu zen garraio moduan pakete trafikoan segurtasuna emateko (muturretik muturrera), non muturretako ordenagailuek segurtasun prozesatzea egiten duten, edo tunel moduan, non pakete trafikoaren segurtasuna nodo bakar batek hornitzen baitu.
IPsec bi moduetan erabil daiteke VPNak sortzeko, eta hau da haren funtzionamendu nagusia. Kontuan izan behar da, hala ere, segurtasun inplikazioak nahiko desberdinak direla bi eragiketa moduen artean.
Muturretik muturrerako komunikazioen segurtasuna espero baino motelago garatu da. Horren arrazoietako bat da ez dela sortu gako publikoko azpiegitura unibertsalik (DNSSEC horretarako aurreikusi zen jatorrian). Beste alde batetik, erabiltzaile askok ez dituzte behar bezain ondo ulertzen saltzaileen produktuetan inklusioa sustatzeko dituzten beharrak eta aukera erabilgarriak.
Interneteko protokoloak berez segurtasun ahalmenik ez duenez, IPsec segurtasun zerbitzuak emateko sartu zen, hala nola:
Zein mailatan jarduten den kontuan hartuta, IPsec-en oinarrizko bi modu bereiz daitezke: garraio modua eta tunel modua.
Garraio moduan, IP paketearen karga erabilgarria (transferitzen diren datuak) bakarrik zifratzen edo kautotzen da. Bideratzea ez da aldatzen, ez baita IP goiburua aldatzen edo zifratzen; hala ere, autentifikazio-goiburua (AH) erabiltzen denean, IP helbideak ezin dira itzuli, horrek hash-a baliogabetuko lukeelako. Garraio eta aplikazio geruzak beti hash baten bidez ziurtatzen dira, eta horrela ezin dira inola ere aldatu (adibidez, TCP eta UDP portu zenbakiak itzuliz). Garraio modua ordenagailuen arteko komunikazioetarako erabiltzen da.
NAT zeharkatzeko IPsec mezuak kapsulatzeko modu bat definitu dute zeharkako NAT mekanismoa deskribatzen duten RFCek.
Tunel moduan, IP pakete osoa (datuak gehi mezuaren goiburuak) zifratzen edo kautotzen da. Orduan, IP pakete berri batean kapsulatu behar da, bideratzeak funtziona dezan. Tunel modua saretik sarerako komunikazioetarako erabiltzen da (bideratzaileen arteko tunel seguruak, adibidez, VPNetarako), edo ordenagailu-sare edo Internet gaineko ordenagailu-ordenagailu komunikazioetarako.
IPsec-ek hiru protokolo ditu, pakete-mailan segurtasuna emateko garatu direnak, IPv4-rako zein IPv6-rako:
IP datagramen jatorrizko datuen osotasuna konexiorik eta kautotzerik gabe bermatzera zuzenduta dago. Horretarako, Hash Message Authentication Code (HMAC) bat kalkulatzen du hash algoritmo baten bidez gako sekretu baten, IP paketearen edukiaren eta datagramaren zati aldaezinen gainean lan eginez. Prozesu horrek NAT erabiltzeko aukera murrizten du, eta zeharkako NATekin inplementatu daiteke. Bestalde, AHk errepikatze-erasoen aurka babes dezake leiho irristakorreko teknika erabiliz eta pakete zaharrak baztertuz. IP karga erabilgarria eta IP datagrama baten goiburu eremu guztiak babesten ditu, eremu aldakorrak izan ezik; hau da, ibilbidean alda daitezkeenak. AH goiburuak 32 bit neurtzen ditu, hona hemen nola antolatzen diren adierazten duen diagrama bat:
0 - 7 bit | 8 - 15 bit | 16 - 23 bit | 24 - 31 bit |
---|---|---|---|
Hurrengo goiburua | Karga erabilgarriaren luzera | Erreserbatuta | |
Segurtasun-parametroen indizea (SPI) | |||
Sekuentzia zenbakia | |||
Hash mezuen autentifikazio-kodea (HMAC) |
Eremuen esanahia:
Hurrengo goiburua
Transferitutako datuen protokoloa identifikatzen du.
Karga erabilgarriaren luzera
AH paketearen tamaina.
Erreserbatuta
Etorkizunerako erreserbatuta (ordura arte dena zero).
Segurtasun-parametroen indizea (SPI)
IP helbidearekin batera, pakete horrekin inplementatutako segurtasun-elkartea identifikatzen duten segurtasun-parametroak adierazten ditu.
Sekuentzia zenbakia
Zenbaki gero eta handiagoa, errepikapen-erasoak saihesteko erabiltzen dena.
HMAC
Paketea autentifikatzeko beharrezkoa den osotasuna egiaztatzeko balioa du; betegarria izan dezake.
ESP protokoloak pakete baten jatorriaren autentikotasuna, osotasuna eta konfidentzialtasunaren babesa ematen ditu. ESPk ere bakarrik zifratu eta bakarrik kautotze konfigurazioak jasaten ditu, baina ez da gomendagarria kautotzerik gabeko zifratzea erabiltzea, ez baita segurua. [4][5][6] AHrekin ez bezala, IP paketearen goiburua ez du ESPk babesten. ESPk IPren gainean jarduten du zuzenean, IP 50 protokoloa erabiliz.
ESP pakete-diagrama bat:
0 - 7 bit | 8 - 15 bit | 16 - 23 bit | 24 - 31 bit |
---|---|---|---|
Segurtasun-parametroen indizea (SPI) | |||
Sekuentzia zenbakia | |||
Karga erabilgarriaren datuak (aldakorra)
| |||
Betegarria (0-255 bytes) | |||
Betegarriaren luzera | Hurrengo goiburua | ||
Kautotze-datuak (aldakorra)
|
Eremuen esanahia:
Segurtasun-parametroen indizea (SPI)
IP helbidearekin konbinatuta segurtasun-parametroak identifikatzen ditu.
Sekuentzia zenbakia
Zenbaki gero eta handiagoa, errepikapen-erasoak saihesteko erabiltzen dena.
Karga erabilgarriaren datuak
Transferituko diren datuak.
Betegarria
Algoritmo kriptografiko batzuek blokeak erabat betetzeko erabiltzen dute.
Betegarriaren luzera
Betegarriaren tamaina bytetan.
Hurrengo goiburua
Transferitutako datuen protokoloa identifikatzen du.
Kautotze-datuak
Paketea autentifikatzeko erabilitako datuak ditu.