Mis on IPsec ja kuidas see töötab?
IPsec on kasutatud tehnikate raamistikkindlustage ühendus kahe punkti vahel. See tähistab Interneti-protokolli turvalisust ja seda on kõige sagedamini näha VPN-ides. See võib olla mõnevõrra keeruline, kuid see on kasulik võimalus ühenduste tagamiseks teatud olukordades.
See juhend jagab IPseci lihtsateks osadeks, andes teile sissejuhatuse, mis hõlmab protokolli, selle toimimist ja mõningaid selle võimalikke turvaprobleeme.
IPsec: ülevaade
IPsec töötati algselt välja, kuna kõige tavalisemal Interneti-protokollil IPv4 pole palju turvasätteid.IPv4 kaudu edastatavaid andmeid saab hõlpsasti pealt kuulata, muuta või peatada, mis muudab selle kõigi oluliste ülekannete jaoks halvaks süsteemiks.
Teabe kaitsmiseks oli vaja uusi standardeid. IPsec täitis selle lünga, toimides raamistikuna, mis suudab ühendusi autentida, samuti tõestada andmete terviklikkust ja muuta need konfidentsiaalseks.IPsec on avatud standard, mis toimib võrgu tasemel.Seda saab kasutada andmete turvaliseks ülekandmiseks hostist hosti, võrgust võrku või võrgu ja hosti vahel.
IPseci kasutatakse kõige sagedamini IPv4 kaudu läbiva liikluse turvamiseks. Esialgu oli nõue ka uuema Interneti-protokolli IPv6 juurutamiseks, et toetada IPseci. Sellest hoolimata on see nüüd ainult soovitus ja seda ei täideta.
IPsec raamistikuna koosneb see kolmest põhielemendist. Esimesed kaks on protokollid,Encapsulating Security Payload (ESP) ja autentimispäis (AH). Turvaühendused (SA)on viimane aspekt.
ESP-d saab kasutada nii andmete krüptimiseks kui ka autentimiseks, samas kui AH-d saab kasutada ainult nende autentimiseks. Neid kahte võimalust kasutatakse tavaliselt eraldi, kuigi neid on võimalik kasutada koos.
IPsec kasutab ühenduste parameetrite määramiseks SA-sid. Need parameetrid hõlmavad võtmehaldussüsteeme, mida kumbki osapool kasutab üksteise autentimiseks, samuti krüpteerimisalgoritme, räsimisalgoritme ja muid elemente, mis on olulised turvalise ja stabiilse ühenduse loomiseks.
IPsec saab kasutada nii ESP-d kui ka AH-d kas tunneli- või transpordirežiimis. Tunnelirežiimi kasutamisel on kogu andmepakett kas krüptitud või autentitud (või mõlemad). Kasulik koormus, päis ja haagis (kui see on kaasas) on selle kaitsmiseks pakitud teise andmepaketti.
Transpordirežiimis jääb algne päis alles, kuid selle alla lisatakse uus päis. Sõltuvalt sellest, kas kasutatakse ESP-d või AH-d, on ka muid muudatusi. See kaitseb paketti, kuid osa teavet on ründajatele siiski saadaval.
Kõige tavalisem konfiguratsioon, mida näeme, onESP tunnelirežiimis autentimisega. See on see, millele paljud VPN-id andmete turvalisuse tagamisel tuginevad. See toimib krüpteeritud tunnelina, võimaldades andmetel ohutult liikuda, kui need läbivad potentsiaalselt ohtlikke vahevõrke.
IPseci ajalugu
Interneti algusaegadel ei olnud turvalisus paljudes olukordades esmatähtis. Seda seetõttu, et Interneti-kogukond piirdus nendega, kellel olid teadmised, ressursid ja soov seda kasutada. Kasutajate arv oli tänapäevaga võrreldes väike ja edastati palju vähem andmeid. Seetõttu oli ründajatel palju vähem võimalusi.
Kuna kogukond kasvas ja Internet muutus aktiivsemaks,turvalisus muutus rohkem hädavajalikuks. Kaheksakümnendatel kasutas NSA oma turvalise andmevõrgu süsteemide (SDNS) programmi, et rahastada mitmete turvalisusele keskendunud protokollide väljatöötamist.
Tulemused avaldas Riiklik Standardi- ja Tehnoloogiainstituut (NIST) 1988. aastal. Üks NISTi poolt välja toodud protokollidest, 3. kihi turvaprotokoll (SP3) , millest sai lõpuks Interneti-standard,Network Layer Security Protocol (NLSP).
Aja jooksul hakkasid mitmed organisatsioonid SP3 täiustama, kusjuures projekte viisid läbi USA mereväe uurimislabor (NRL), AT&T Bell Labs, Trusted Information Systems ja teised. Samal ajal võimaldasid muud edusammud, näiteks andmekrüpteerimisstandardi (DES) seadmedraiver, USA rannikute vahel turvaliselt ja mõistliku aja jooksul andmeid saata.
Kui need arengud oleks jäänud eraldi jätkuma, oleks see kaasa toonuderi süsteemide koostalitlusvõime probleemid. Internet Engineering Task Force (IETF) moodustas IP-turbe töörühma, et standardida need arendused koostalitlusvõimeliseks protokolliks. 1995. aastal avaldas IETF IPseci standardi üksikasjad RFC 1825, RFC 1826 ja RFC 1827 kohta.
NRL oli esimene, kes tuli välja standardi toimiva teostusega, mis on sellest ajast peale tavakasutusse läinud. Aastate jooksul on IPseci ja selle dokumentatsiooni värskendatud arvukalt, kuid seda kasutatakse endiselt ühenduse mõlema poole autentimiseks ja vahepeal liikuvate andmete kaitsmiseks.
Kuidas IPsec töötab?
Enne kui jõuame IPseci ja selle erinevate režiimide tehnilisematesse üksikasjadesse, räägime sellest analoogia kaudu, mis hõlbustab mõnevõrra keerukate konfiguratsioonide visualiseerimist. Esiteks peate natuke mõistma, kuidas paketid töötavad IPv4 ja nendega seotud turvaprobleemid.
Mis on andmepaketid ja kuidas need töötavad?
Andmed edastatakse pakettidena, mis koosnevad akasulik koormus ja päis IPv4-s. Kasulik koormus on andmed ise, mida edastatakse, samas kui päis sisaldab protokolli tüüpi, aadresse ja muud teavet, mis on vajalik andmete soovitud asukohta jõudmiseks.
Üks parimaid viise andmepakettide kujutamiseks on pidada neid postkaartidena. Kasulik koormus on sõnum, mille keegi kirjutab tagaküljele, ja päis on tarneteave, mille esiküljele panite. Nii nagu postkaartide puhul, pole ka tavalises IPv4 paketis saadetud andmed kuigi turvalised.
Nendes standardpakettidesigaüks võib koormust näha, täpselt nagu postiljon või mõni teie postkaardi pealtkuulanud ründaja saab seda lugeda. Neid pakette saab isegi muuta nii, nagu oleksite algselt postkaardi pliiatsiga kirjutanud ja ründaja kustutas algse sõnumi ja kirjutas midagi muud.
Ründajad näevad ka päise teavet, täpselt nagu teie postkaardi esikülg. See annab neile teada, kellega suhtlete ja kuidas te seda teete. Nad võivad isegi oma IPv4-pakette võltsida, et need näeksid välja nagu teie need saatsite, mis sarnaneb teie käekirjastiili kopeerimisega ja teiena esinemisega.
Nagu näete, on see vaevalt turvaline suhtlusviis ja ründajad võivad seda mitmel viisil häirida. Just see viis IPseci väljatöötamiseni. Ipakkus võimalust ühenduste autentimiseks, andmete terviklikkuse tõestamiseks ja nende konfidentsiaalseks hoidmiseks, seda kõike võrgu tasemel. Ilma IPseci või muude turvaprotokollideta võivad ründajad vaadata või muuta mis tahes tundlikke ja väärtuslikke andmeid, mille nad pealt kuulasid.
Encapsulating Security Payload (ESP): visualiseerimine
Esmalt räägime ESP-st, kuna see on sagedamini kasutatav protokoll. Kui seda rakendatakse tunnelirežiimis autentimisega, kasutatakse seda VPN-ide moodustamiseksühendage hostid ja võrgud turvaliselt ebaturvaliste vahevõrkude kaudumis on vahepeal.
Nagu eespool nägite, ei ole tundlike andmete edastamine IPv4-ga turvaline. IPseci ESP-režiim lahendab selle probleemi, pakkudes selleks viisikrüptida andmed, mis muudab andmed konfidentsiaalseks ja takistab ründajatel neile juurdepääsu. ESP-d saab kasutada ka andmete autentimiseks, mis võib tõestada nende õiguspärasust.
Kui ESP-d kasutatakse krüptimisega, sarnaneb see postkaardi lukustatud kasti panemisega ja kulleriga saatmisega. Keegi ei näe postkaardi sisu ega saa seda muuta. Nad näevad lukustatud kastile kirjutatud postiteavet, kuid see erineb postkaardile kirjutatust.
Kui ESP-d kasutatakse ka autentimisel, sarnaneb see postkaardi allkirjastamisega või isikliku pitseri panemisega enne selle kasti panemist. Kui saaja saab lukustatud kasti, saab ta selle avada ja postkaardi välja võtta. Kui nad näevad pitsatit või allkirja, teavad nad, et postkaart on teie poolt seaduslikult pärit.
Kui ESP on transpordirežiimis, on postkaart justkui lukustatud kasti ja saadetud kulleriga, välja arvatud juhul, kui karbil on selge aken, mille kaudu näete postkaardi aadressiteavet. Kui see on tunnelirežiimis, on postkaart justkui kindlas karbis, mille välisküljel on erinev aadressiteave.
Loomulikult on see kõik vaid analoogia, mis aitab toimuvat visualiseerida. Tegelikkuses on selliseidüsna olulised erinevused, nagu andmete edastamine võrkude ja hostide vahel, mitte ainult üks inimene saadab teisele teavet.
Encapsulating Security Payload (ESP): tehnilised üksikasjad
Nüüd, kui oleme andnud teile ligikaudse ettekujutuse sellest, kuidas ESP töötab andmete kaitsmisel, on aeg vaadata seda tehnilisemal tasandil.ESP-d saab kasutada paljude erinevate krüpteerimisalgoritmidega, koos AES olles üks populaarsemaid. Seda saab rakendada isegi ilma krüptimiseta, kuigi praktikas tehakse seda harva. ESP andmepakettide päistel on turvaparameetrite indeks (SPI) ja järjenumber.
SPI on identifikaator, mis annab adressaadile teada, millise ühendusega andmed on seotud, ja ka selle ühenduse parameetrid. Järjenumber on veel üks identifikaator, mis aitab takistada ründajatel andmepakette muutmast.
ESP-l on ka treiler, mis sisaldab polsterdust, järgmise päise protokolli tüübi üksikasju ja autentimisandmeid (kui autentimist kasutatakse). Kui autentimine on paigas, tehakse seda aRäsisõnumi autentimiskood (HMAC), mille arvutamiseks kasutatakse selliseid algoritme nagu SHA-2 ja SHA-3.
ESP autentimine kinnitab ainult ESP päise ja krüptitud kasuliku koormuse, kuid see ei mõjuta ülejäänud paketti. Kui pakett on ESP-ga krüpteeritud, näevad ründajad ainult päises olevaid andmeid, mitte kasulikku koormust.
Kapseldav turvakoormus (ESP): transpordirežiim
ESP transpordirežiimi kasutatakse kahe masina vahel saadetud teabe kaitsmiseks. IP-päist hoitakse ESP-paketi peal ja suur osa päise teabest jääb samaks, sealhulgas lähte- ja sihtkoha aadressid. See krüpteerib ja valikuliselt autentib paketi, mis tagab konfidentsiaalsuse ja mida saab kasutada ka paketi terviklikkuse kontrollimiseks.
Kapseldav turvakoormus (ESP): tunnelirežiim
Kui ESP on tunnelirežiimis, mähitakse kogu IP-andmepakett teise paketi sisse ja peale lisatakse uus päis.Kui autentimine on samuti paigas, saab ESP tunnelirežiimi kasutada VPN-ina. See on IPseci kõige sagedamini kasutatav konfiguratsioon.
ESP autentitud tunnelirežiimiga seotud autentimine, terviklikkuse tõendamine ja konfidentsiaalsusmeetmed muudavad selle kasulikuks kahe erineva võrgu turvaliseks ühendamiseks nende vahel asuvates ebausaldusväärsetes ja potentsiaalselt ohtlikes võrkudes.
Seda režiimi kirjeldab kõige paremini levinud klišee, mille kohaselt ehitatakse kahe punkti vahele krüpteeritud tunnel, mis loob turvalise ühenduse, millest ründajad ei pääse. Kui ESP-d kasutatakse krüptimiseks ja autentimiseks,Andmed pealtkuulavad ründajad näevad ainult seda, et ühenduse loomiseks kasutatakse VPN-i. Nad ei näe kasulikku koormust ega algset päist.
Algselt kasutasid ettevõtted VPN-e piirkondlike kontorite peakorteriga ühendamiseks. Seda tüüpi ühendus võimaldab ettevõtetel hõlpsalt ja turvaliselt jagada andmeid oma erinevate asukohtade vahel. Viimastel aastatel on VPN-id muutunud populaarseks teenuseks ka üksikisikute jaoks. Neid kasutatakse sageli geograafiliseks võltsimiseks või ühenduste turvamiseks, eriti avaliku wifi kasutamisel.
Autentimise päis (AH): visualiseerimine
Nüüd, kui oleme ESP-d käsitlenud, peaks AH-d olema veidi lihtsam mõista. Kuna AH-d saab kasutada ainult andmepakettide autentimiseks, on see täpselt nagu postkaardi allkirjastamine või sellele oma pitseri lisamine. Kuna krüpteerimist ei kasutata, pole selles analoogias lukustatud kasti ega kullerit.
Krüpteeritud kaitse puudumine meenutab veidi tavapostiga saadetavat postkaarti, kus postiljon ja kõik ründajad näevad nii aadressiandmeid kui ka sõnumit, mis on kirjutatud kaardi tagaküljele. Kuid pitseri või allkirja tõttu ei saa seda teavet muuta. Samuti võimaldavad pitsat ja allkiri tõestada, et sa olid tõeline saatja, mitte keegi, kes üritas sind jäljendada.
AH transpordirežiimis anlisatakse autentimispäis, mis kaitseb kasulikku koormust ja valdavat enamust päise teabest. See on justkui kujuteldav postkaart, millel on selge pitser, mis kaitseb suuremat osa selle sisust.
Midagi pitseri all olevat ei saa muuta, kuid kogu postkaarti näeb igaüks, kes selle vahele võtab. Mõned detailid ei ole pitsatiga kaetud ja neid võidakse muuta, kuid kogu oluline teave on pitsatiga kaitstud. Pitserile oleks kirjutatud ka teavet, kuid selle näite jaoks pole seda praegu oluline täpsustada.
sissetunnelirežiimis mähitakse pakett teise sisse ja enamus on autentitud.Analoogia katkeb sel juhul veidi, kuid see sarnaneb postkaardi pakkimisega läbipaistvasse pitsatiga ümbrikusse. Ümbrikul on ka oma aadressiinfo ning pitser kaitseb peaaegu kogu asja muutmise eest.
Autentimise päis (AH): tehnilised üksikasjad
AH-d kasutatakse selleks, et kinnitada, et andmed pärinevad seaduslikust allikast ja et need säilitavad oma terviklikkuse. Seda saab kasutada näitamaks, et andmeid ei ole rikutud, ja kaitsmaks kordusrünnakute eest.
AH-d ei rakendata väga sageli, kuid selle üle on siiski oluline arutada. See lisab oma autentimise päise ja kasutusedRäsisõnumi autentimiskoodid (HMAC)suurema osa andmepaketi kaitsmiseks. See hõlmab kogu kasulikku koormust ja enamikku päise välju. HMAC-id arvutatakse räsialgoritmidega, nagu SHA-2.
Autentimise päis (AH): transpordirežiim
Tavaliselt kasutatakse AH transpordirežiimikahesuunaline suhtlus hostide vahel.Pakettile lisatakse AH-päis ja osa protokollikoodist liigutatakse ümber. Kui saabub AH-pakett ja HMAC-i kontrollitakse, võetakse AH-päis ära ja tehakse mõned muud muudatused. Kui andmepakett on normaalsel kujul taastatud, saab seda tavapärasel viisil töödelda.
Autentimispäis (AH): tunnelirežiim
Selles režiimis mähitakse originaalpakett teise sisse ja seejärel autentitakse HMAC-iga. Seeprotsess lisab autentimise päise, mis autentib kogu algse päise (transpordirežiimis on mõned päise osad katmata) ja ka suurema osa äsja lisatud päisest. Kasulik koormus on samuti autentitud.
Kui need paketid sihtkohta jõuavad, läbivad nad autentimiskontrolli, seejärel taastatakse pakett normaalseks, eemaldades nii äsja lisatud päise kui ka autentimispäise.
Turvaühendused (SA)
Turvaühendused (SA) määravad ja salvestavad IPsec-ühenduse parameetrid. Neid kasutavad nii AH kui ka ESP, et luua stabiilne sideprotsess, mis vastab mõlema poole turvavajadustele. Igal hostil või võrgul on eraldi SA-d iga osapoole jaoks, kellega see ühendub, millel kõigil on oma parameetrite komplekt.
Kui kaks hosti esimest korda ühenduse loomise üle läbirääkimisi peavad, siis nadmoodustada SA parameetritega, mida ühenduses kasutatakse. Nad teevad seda samm-sammult, kusjuures üks osapool pakub poliitikat, mida teine võib aktsepteerida või tagasi lükata. See protsess jätkub, kuni nad leiavad vastastikku sobiva poliitika ja seda korratakse iga eraldiseisva parameetri puhul.
Iga SA sisaldab kasutatavaid algoritme, olgu need siis autentimiseks (nt SHA-2) või krüptimiseks (nt AES). SA-d sisaldavad ka võtmevahetuse (nt IKE) parameetreid, IP-filtreerimispoliitikat, marsruutimispiiranguid ja palju muud. Kui turvaühendus on loodud, salvestatakse see turvaühenduse andmebaasi (SAD).
Kui liides võtab vastu andmepaketi, kasutab see õige SA leidmiseks kolme erinevat teavet. Esimene onPartneri IP-aadress, mis, nagu võite arvata, on ühenduses oleva teise poole IP-aadress. Teine onIPsec protokoll, kas ESP või AH.
Viimane teave onTurvaparameetrite indeks (SPI), mis on päisesse lisatav identifikaator. Seda kasutatakse erinevate ühenduste SA-de vahel valimiseks, et veenduda õigete parameetrite rakendamises.
Iga SA läheb ainult ühte teed, seega on vaja vähemalt kahte, et side saaks kulgeda mõlemas suunas. Kui AH-d ja ESP-d kasutataks koos, on iga protokolli jaoks vaja SA-d mõlemas suunas, kokku neli.
IPsec vs. TLS/SSL
Mõnikord võib olla raske mõista erinevust IPseci ja protokollide (nt TLS/SSL) vahel. Lõppude lõpuks pakuvad nad mõlemad lihtsalt turvalisust, eks? Nad teevad seda, kuid nad teevad seda erineval viisil ja erinevatel tasanditel.
Üks parimaid viise IPseci ja TLS/SSL-i võrdlemiseks onvaadake neid OSI mudeli kontekstis. The OSI mudel on kontseptuaalne süsteem, mida kasutatakse meie keerulise suhtlusprotsessi erinevate aspektide ja kihtide mõistmiseks ja standardiseerimiseks.
Selles mudelisIPsec toimib kolmandal kihil, võrgukiht, mis tähendab, et see on paigutatud andmepakettide edastamiseks hostile ühe või mitme võrgu kaudu.
Kui vaatame TLS/SSL-i, lähevad asjad veidi segasemaks. Seda seetõttu, et see töötab üle teise transpordimeediumi, TCP. See peaks asetamaTLS/SSLnelja kihi kohalOSI mudelis.
TLS/SSL korraldab ka käepigistuse sõnumeid, mis on viies tase, seansikiht. See paneks TLS/SSL-i kuue või seitsme kihina.
Asi muutub keerulisemaks, kui arvestada, et rakendused kasutavad transpordiprotokollina TLS/SSL-i. See asetaks TLS/SSL-i neljandale või madalamale tasemele. Agakuidas saab see olla samaaegselt kuues või seitsmes kihis, aga ka neljas või allpool?
Vastus on, etTLS/SSL lihtsalt ei sobi mudelisse. Selle põhjused ei kuulu selle artikli ulatusse. Kõige olulisem asi, mida peate teadma, on see, et OSI mudel on just see mudel ja mõnikord ei vasta tegelikkus meie korralikele mudelitele.
Kui me räägime nendest standarditest praktilises mõttes,TLS/SSL-i roll on andmete autentimine, nende terviklikkuse kontrollimine, krüpteerimine ja tihendamine.Seda saab rakendada paljude muude protokollide (nt HTTP või SMTP) turvamiseks ning seda on näha ka paljudes rakendustes, nagu VoIP ja veebibrauser.
IPsec erineb mitmel viisil, esimene on seesee on raamistik, mitte ühe protokolli. See on ka keerulisem, mis muudab selle seadistamise ja hooldamise keeruliseks.
Lõppkokkuvõttes on TLS/SSL lihtsam kui IPsec, mis on veel üks põhjus, miks seda kiputakse laialdasemalt juurutama. See on ühe peamise alternatiivse tunneldamisprotokolli OpenVPN põhiosa.
Vaata ka: TCP/IP ülim juhend
IPsec-turvalisus
Viimastel aastatel on sellest palju räägitudvalitsusasutused, kes panevad IPseci tagauksed ja kasutavad turvaauke protokolli kasutajate sihtimiseks. Mõned varajased süüdistused avaldati 2010. aastal, kui Greg Perry võttis ühendust OpenBSD juhtiva arendajaga.
Ta väitis sedaFBI oli OpenBSD koodi paigutanud arvukalt tagauksi ja mehhanisme külgkanali võtmete lekitamiseks. Väidetavalt mõjutab see OpenBSD IPseci pinu, mida kasutatakse laialdaselt.
Aastatel 2013 Snowden lekib , selgus, etNSA sihtis erinevaid krüpteerimisvorme ja muid turvatööriistu. Dokumendid näivad kinnitavat, et NSA-l olid IPsecis kasutatavatele võtmetele juurdepääsuks oma meetodid, mis võimaldasid neil teatud ühendusi nuhkida.
poolt lekkinud dokumentatsioon Varjude maaklerid 2016. aastal näitab, etNSA-l on tööriist, mida saab kasutada Cisco PIX tulemüürides kasutatava IPseci juurutuse katkestamiseks. Kuigi need tulemüürid lõpetati 2009. aastal, sai BENIGNCERTAIN rünnakut kasutada PIX-seadmete paroolidele juurdepääsuks.
Rünnak hõlmas Interneti-võtmevahetuse (IKE) pakettide saatmist PIX-serverisse,mille tõttu see vabastaks osa oma mälust. Seda teavet saab otsida konfiguratsiooniteabe ja RSA privaatvõtme leidmiseks, mida NSA saaks seejärel kasutada IPseci ühenduse luuramiseks. Pidage meeles, et see on vaid üks haavatav rakendus ja see ei mõjuta ühtegi praegust IPseci vormi.
2018. aastal kasutasid teadlased a viga IKE protokollis , mis võimaldas neil ühendusi dekrüpteerida. Kontseptsiooni tõestust saab kasutada keskel asuvate rünnakute läbiviimiseks, kus ründajad saavad andmeid pealt kuulata, neid rikkuda või isegi nende edastamise peatada.
Tehnika kasutab Bleichenbacheri oraaklid dekrüpteerida nonces, mis häirib RSA autentimist IKE esimeses faasis. See võimaldab ründajatel kasutada oma sihtmärgiga pettuse teel autentitud sümmeetrilisi võtmeid. Seejärel saavad nad IPseci lõpp-punkti võltsida, häirides krüptimist, mis võimaldab neil end sisestada varem turvalisesse ühendustesse.
Kuigi see on murettekitav rünnak, on välja antud paigad rakenduste jaoks, mida see teadaolevalt mõjutab. Huawei, Cisco, Clavister ja XyXEL andsid kõik paigad välja varsti pärast seda, kui neid haavatavuse kohta hoiatati.Neid varem mõjutatud rakendusi on ohutu kasutada seni, kuni need on ajakohased.
IPsecis on veel mitu potentsiaalset turvaauku, millest paljud hõlmavad IKE-d. Vaatamata nendele probleemidele,IPseci peetakse endiselt üldiseks kasutamiseks ohutuks, kui see on õigesti rakendatud ja juurutamine kasutab uusimaid värskendusi.
IPsec ise pole katki. Oluline on meeles pidada, et see on lihtsalt raamistik, mis võib kasutada mitmeid erinevaid protokolle. IPseci ohutu kasutamine on endiselt võimalik, kui kasutatakse õigeid protokolle. Siiski võivad NSA ja teised osapooled rünnata ebaturvalisi konfiguratsioone, mistõttu on oluline, et kasutaksite IPseci õigesti.
Kas peaksite kasutama IPseci?
IPseci kasutatakse enamasti VPN-ides turvalise tunneli moodustamiseks, kuid see pole ainus võimalus. Kui olete oma turvalisuse pärast mures, on kõige parem kaaluda muid võimalusi ja leida lahendus, mis sobib teie kasutusjuhtumi ja riskiprofiiliga.
Peamised alternatiivid on PPTP, SSTP ja OpenVPN. Point-to-Point tunneliprotokoll (PPTP) on vana ja sellel on palju turvaprobleeme, seegakõige parem on seda igal juhul vältida. Secure Socket Tunneling Protocol (SSTP) on Windowsi kasutajatele parem valik, kuid see onsõltumatult auditeerimata.
OpenVPN on avatud lähtekoodiga alternatiiv, millel on palju erinevaid konfiguratsioonivalikuid.See kasutab SSL/TLS-i ja sellel pole teadaolevalt mingeid turvaprobleeme, seega on see parim valik kõigile, kes tunnevad muret IPsecis leitud turvaprobleemide pärast.
See ei tähenda, et kõik IPseci ühendused on oma olemuselt ebaturvalised, see tähendab lihtsalt, et neile, kes on turvateadlikud või seisavad silmitsi kõrge ohutasemega, on olemas turvalisemad alternatiivid.
Seotud: IPSec vs SSL
Arvuti klaviatuur alusel litsentsitud CC0