IPsec là gì và nó hoạt động như thế nào?
IPsec là một khung các kỹ thuật được sử dụng để bảo mật kết nối giữa hai điểm. Nó là viết tắt của Internet Protocol Security và thường thấy nhất trong VPN. Nó có thể hơi phức tạp, nhưng nó là một tùy chọn hữu ích để bảo mật các kết nối trong các tình huống nhất định.
Hướng dẫn này chia IPsec thành các phần dễ dàng, giới thiệu cho bạn phần giới thiệu về giao thức là gì, cách thức hoạt động và một số vấn đề bảo mật tiềm ẩn của nó.
IPsec: Tổng quan
IPsec ban đầu được phát triển vì giao thức internet phổ biến nhất là IPv4, không có nhiều điều khoản bảo mật. Dữ liệu được truyền qua IPv4 có thể dễ dàng bị chặn, thay đổi hoặc dừng, mà làm cho nó một hệ thống kém cho bất kỳ truyền dẫn quan trọng.
Một bộ tiêu chuẩn mới là cần thiết để bảo vệ thông tin. IPsec đã lấp đầy khoảng trống này bằng cách hoạt động như một khung có thể xác thực các kết nối, cũng như chứng minh tính toàn vẹn của dữ liệu và bảo mật thông tin. IPsec là một tiêu chuẩn mở hoạt động ở cấp độ mạng. Nó có thể được sử dụng để truyền dữ liệu một cách an toàn từ máy chủ đến máy chủ, mạng này sang mạng khác, giữa mạng và máy chủ.
IPsec được sử dụng phổ biến nhất để bảo đảm lưu lượng truy cập qua IPv4. Ban đầu, cũng có một yêu cầu để triển khai giao thức internet mới hơn, IPv6, để hỗ trợ IPsec. Mặc dù vậy, đây chỉ là một khuyến nghị và không được thi hành.
Là một khung, IPsec nó được tạo thành từ ba yếu tố chính. Hai cái đầu tiên là các giao thức, Đóng gói tải trọng bảo mật (ESP) và tiêu đề xác thực (AH). Hiệp hội bảo mật (SA) là khía cạnh cuối cùng.
ESP có thể được sử dụng để mã hóa và xác thực dữ liệu, trong khi AH chỉ có thể được sử dụng để xác thực dữ liệu. Hai tùy chọn thường được sử dụng riêng, mặc dù có thể sử dụng chúng cùng nhau.
IPsec sử dụng SA để thiết lập các tham số của kết nối. Các tham số này bao gồm các hệ thống quản lý khóa mà mỗi bên sẽ sử dụng để xác thực lẫn nhau, cũng như thuật toán mã hóa, thuật toán băm và các yếu tố quan trọng khác để vận hành kết nối an toàn và ổn định.
IPsec có thể sử dụng cả ESP và AH trong chế độ đường hầm hoặc vận chuyển. Khi chế độ đường hầm được sử dụng, toàn bộ gói dữ liệu được mã hóa hoặc xác thực (hoặc cả hai). Tải trọng, tiêu đề và đoạn giới thiệu (nếu có) được gói trong một gói dữ liệu khác để bảo vệ nó.
Trong chế độ vận chuyển, tiêu đề ban đầu vẫn còn, nhưng một tiêu đề mới được thêm vào bên dưới. Ngoài ra còn có một số thay đổi khác, tùy thuộc vào việc sử dụng ESP hay AH. Điều này phục vụ để bảo vệ gói, tuy nhiên, một số thông tin vẫn có sẵn cho những kẻ tấn công.
Cấu hình phổ biến nhất mà chúng ta thấy là ESP với xác thực trong chế độ đường hầm. Đây là những gì nhiều VPN dựa vào dữ liệu an toàn. Nó hoạt động như một đường hầm được mã hóa, cung cấp dữ liệu một cách an toàn khi nó đi qua các mạng trung gian nguy hiểm tiềm tàng.
Lịch sử của IPsec
Trong những ngày đầu của Internet, bảo mật không phải là ưu tiên hàng đầu trong nhiều tình huống. Điều này là do cộng đồng internet bị hạn chế cho những người có kiến thức, tài nguyên và mong muốn sử dụng nó. Số lượng người dùng rất ít so với thời hiện đại và một lượng dữ liệu nhỏ hơn nhiều đã được truyền đi. Vì điều này, những kẻ tấn công có ít cơ hội hơn.
Khi cộng đồng phát triển và internet trở nên tích cực hơn, an ninh trở nên cần thiết hơn. Trong những năm tám mươi, NSA đã sử dụng chương trình Hệ thống mạng dữ liệu an toàn (SDNS) của mình để tài trợ cho việc phát triển một số giao thức tập trung vào bảo mật.
Kết quả được công bố bởi Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST) vào năm 1988. Một trong những giao thức được NIST nêu ra, Giao thức bảo mật ở lớp 3 (SP3), cuối cùng trở thành một tiêu chuẩn Internet, Giao thức bảo mật lớp mạng (NLSP).
Theo thời gian, các tổ chức khác nhau đã bắt đầu cải thiện SP3, với các dự án được thực hiện bởi Phòng thí nghiệm nghiên cứu hải quân Hoa Kỳ (NRL), AT&Phòng thí nghiệm T Bell, Hệ thống thông tin đáng tin cậy và những người khác. Đồng thời, các tiến bộ khác, như trình điều khiển thiết bị cho Tiêu chuẩn mã hóa dữ liệu (DES), cho phép gửi dữ liệu an toàn giữa các bờ biển của Hoa Kỳ với tốc độ hợp lý trong khoảng thời gian hợp lý.
Nếu những phát triển này được để lại tiếp tục riêng biệt, nó sẽ dẫn đến vấn đề tương tác giữa các hệ thống khác nhau. Lực lượng đặc nhiệm kỹ thuật Internet (IETF) đã thành lập Nhóm công tác bảo mật IP để chuẩn hóa các phát triển này thành một giao thức có thể tương tác. Năm 1995, IETF đã công bố chi tiết về tiêu chuẩn IPsec trong RFC 1825, RFC 1826 và RFC 1827.
NRL là người đầu tiên đưa ra một triển khai hoạt động của tiêu chuẩn, từ đó đã đi vào sử dụng chính thống. Trong những năm qua, đã có rất nhiều cập nhật cho IPsec và tài liệu của nó, nhưng nó vẫn được triển khai để xác thực cả hai mặt của kết nối và bảo mật dữ liệu di chuyển ở giữa.
IPsec hoạt động như thế nào?
Trước khi chúng ta đi vào chi tiết kỹ thuật hơn của IPsec và các chế độ khác nhau của nó, chúng ta sẽ nói về nó thông qua một sự tương tự giúp dễ hình dung hơn các cấu hình hơi phức tạp. Trước tiên, bạn cần hiểu một chút về cách các gói hoạt động trên IPv4 và các vấn đề bảo mật liên quan đến chúng.
Gói dữ liệu là gì và chúng hoạt động như thế nào?
Dữ liệu được truyền trong các gói, bao gồm một tải trọng và tiêu đề trong IPv4. Tải trọng là chính dữ liệu đang được truyền đi, trong khi tiêu đề bao gồm loại giao thức, địa chỉ và thông tin khác cần thiết để đảm bảo rằng dữ liệu có thể đến vị trí mong muốn của nó.
Một trong những cách tốt nhất để hình ảnh các gói dữ liệu là nghĩ về chúng như những tấm bưu thiếp. Tải trọng là thông điệp mà ai đó viết ở mặt sau và tiêu đề là thông tin phân phối mà bạn đặt ở mặt trước. Cũng giống như với bưu thiếp, dữ liệu được gửi trong gói IPv4 bình thường không an toàn lắm.
Trong các gói tiêu chuẩn này, bất cứ ai cũng có thể thấy tải trọng, giống như người đưa thư hoặc bất kỳ kẻ tấn công nào chặn bưu thiếp của bạn đều có thể đọc nó. Các gói này thậm chí có thể được thay đổi như thể ban đầu bạn đã viết bưu thiếp bằng bút chì và kẻ tấn công đã xóa tin nhắn ban đầu và viết bằng thứ khác.
Kẻ tấn công cũng có thể xem thông tin tiêu đề, giống như mặt trước của bưu thiếp của bạn. Điều này cho họ biết bạn đang liên lạc với ai và bạn đang làm việc đó như thế nào. Họ thậm chí có thể giả mạo các gói IPv4 của riêng họ để khiến chúng trông giống như bạn đã gửi chúng, giống như khi họ sao chép kiểu chữ viết tay của bạn và giả vờ là bạn.
Như bạn có thể thấy, đây hầu như không phải là một phương thức liên lạc an toàn, và có nhiều cách mà nó có thể bị phá vỡ bởi những kẻ tấn công. Đây là những gì dẫn đến sự phát triển của IPsec. Tôit cung cấp một cách để xác thực các kết nối, chứng minh tính toàn vẹn của dữ liệu và giữ bí mật, tất cả ở cấp độ mạng. Nếu không có IPsec hoặc các giao thức bảo mật khác, những kẻ tấn công sẽ được tự do xem hoặc thay đổi bất kỳ dữ liệu nhạy cảm và có giá trị nào mà chúng chặn.
Encapsulation Security Payload (ESP): Một trực quan hóa
Chúng ta sẽ nói về ESP trước vì đây là giao thức được sử dụng phổ biến hơn. Khi được triển khai với xác thực ở chế độ đường hầm, nó được sử dụng để hình thành VPN kết nối an toàn máy chủ và mạng trên các mạng trung gian không an toàn nằm ở giữa.
Như bạn đã thấy ở trên, nó không an toàn để truyền dữ liệu nhạy cảm với IPv4. Chế độ ESP IPsec từ giải quyết vấn đề này bằng cách cung cấp một cách để mã hóa dữ liệu, làm cho dữ liệu được bảo mật và ngăn chặn những kẻ tấn công có thể truy cập nó. ESP cũng có thể được sử dụng để xác thực dữ liệu, điều này có thể chứng minh tính hợp pháp của nó.
Khi ESP được sử dụng với mã hóa, nó rất giống như đặt bưu thiếp vào một hộp bị khóa và gửi qua đường chuyển phát nhanh. Không ai có thể nhìn thấy nội dung của bưu thiếp, họ cũng không thể thay đổi chúng. Họ có thể thấy bất cứ thông tin gửi thư nào được ghi trên hộp khóa, nhưng điều này khác với những gì được viết trên bưu thiếp.
Nếu ESP cũng được sử dụng với xác thực, thì nó rất giống như ký tên vào bưu thiếp hoặc đặt con dấu cá nhân của riêng bạn lên đó trước khi nó được đặt trong hộp. Khi người nhận nhận được hộp khóa, họ có thể mở nó ra và lấy bưu thiếp ra. Khi họ nhìn thấy con dấu hoặc chữ ký, sau đó họ biết rằng bưu thiếp là hợp pháp từ bạn.
Khi ESP ở chế độ vận chuyển, nó như thể bưu thiếp bị khóa trong hộp và được gửi bằng chuyển phát nhanh, ngoại trừ hộp có một cửa sổ rõ ràng thông qua đó bạn có thể xem thông tin địa chỉ của bưu thiếp. Khi nó ở chế độ đường hầm, nó giống như bưu thiếp nằm trong một hộp cứng, với thông tin địa chỉ khác nhau ở bên ngoài.
Tất nhiên, tất cả chỉ là một sự tương tự để giúp bạn hình dung những gì đang diễn ra. Trong thực tế, có một số sự khác biệt đáng kể như dữ liệu di chuyển giữa các mạng và máy chủ, thay vì chỉ một người gửi thông tin cho người khác.
Encapsulation Security Payload (ESP): Các chi tiết kỹ thuật
Bây giờ, chúng tôi đã cung cấp cho bạn một ý tưởng sơ bộ về cách thức hoạt động của ESP để bảo vệ dữ liệu, đã đến lúc để xem xét nó ở cấp độ kỹ thuật hơn. ESP có thể được sử dụng với một loạt các thuật toán mã hóa khác nhau, với AES là một trong những phổ biến nhất. Nó thậm chí có thể được thực hiện mà không cần mã hóa, mặc dù điều này hiếm khi được thực hiện trong thực tế. Các tiêu đề của gói dữ liệu ESP có Chỉ số tham số bảo mật (SPI) và số thứ tự.
SPI là một mã định danh cho phép người nhận biết dữ liệu liên quan đến kết nối nào, cũng như các tham số của kết nối đó. Số thứ tự là một mã định danh khác giúp ngăn chặn kẻ tấn công thay đổi gói dữ liệu.
ESP cũng có một đoạn giới thiệu chứa phần đệm, chi tiết về loại giao thức cho tiêu đề tiếp theo và dữ liệu xác thực (nếu xác thực đang được sử dụng). Khi xác thực được thực hiện, nó được thực hiện với một Mã xác thực tin nhắn băm (HMAC), được tính toán bằng các thuật toán như SHA-2 và SHA-3.
Xác thực ESP chỉ xác nhận tiêu đề ESP và tải trọng được mã hóa, nhưng nó không ảnh hưởng đến phần còn lại của gói. Khi một gói được mã hóa bằng ESP, kẻ tấn công chỉ có thể nhìn thấy dữ liệu từ tiêu đề chứ không phải tải trọng.
Đóng gói tải trọng bảo mật (ESP): Chế độ vận chuyển
Chế độ vận chuyển ESP1 được sử dụng để bảo vệ thông tin được gửi giữa hai máy chủ. Tiêu đề IP được giữ ở trên cùng của gói ESP và phần lớn thông tin tiêu đề vẫn giữ nguyên, bao gồm địa chỉ nguồn và địa chỉ đích. Nó mã hóa và tùy chọn xác thực gói, cung cấp tính bảo mật và cũng có thể được sử dụng để xác minh tính toàn vẹn của gói.
Đóng gói tải trọng bảo mật (ESP): Chế độ đường hầm
Khi ESP ở chế độ đường hầm, toàn bộ gói dữ liệu IP được bọc bên trong một gói khác và một tiêu đề mới được thêm vào đầu. Khi xác thực cũng được thực hiện, chế độ đường hầm ESP có thể được sử dụng làm VPN. Đây là cấu hình được sử dụng thường xuyên nhất của IPsec.
Việc xác thực, bằng chứng về tính toàn vẹn và các biện pháp bảo mật liên quan đến chế độ đường hầm được xác thực của ESP, giúp cho việc kết nối an toàn hai mạng riêng biệt trên các mạng không tin cậy và có khả năng nguy hiểm nằm giữa chúng một cách an toàn.
Chế độ này được mô tả tốt nhất bởi các sáo ngữ chung về xây dựng một đường hầm được mã hóa giữa hai điểm, tạo ra một kết nối an toàn mà kẻ tấn công không thể xâm nhập. Khi ESP được sử dụng để mã hóa và xác thực, Những kẻ tấn công chặn dữ liệu chỉ có thể thấy rằng VPN đang được sử dụng để kết nối. Họ không thể thấy tải trọng hoặc tiêu đề ban đầu.
VPN ban đầu được sử dụng bởi các doanh nghiệp để kết nối các văn phòng khu vực với trụ sở chính. Kiểu kết nối này cho phép các công ty chia sẻ dữ liệu dễ dàng và an toàn giữa các vị trí riêng biệt của họ. Trong những năm gần đây, VPN cũng đã trở thành một dịch vụ phổ biến cho các cá nhân. Chúng thường được sử dụng để giả mạo địa lý hoặc để bảo mật các kết nối, đặc biệt là khi sử dụng wifi công cộng.
Tiêu đề xác thực (AH): Một trực quan hóa
Bây giờ chúng ta đã trình bày về ESP, AH sẽ dễ hiểu hơn một chút. Vì AH chỉ có thể được sử dụng để xác thực các gói dữ liệu, nên nó giống như ký một bưu thiếp hoặc thêm con dấu của riêng bạn vào đó. Bởi vì không có mã hóa liên quan, không có hộp khóa hoặc chuyển phát nhanh trong tương tự này.
Việc thiếu bảo vệ được mã hóa giống như một tấm bưu thiếp được gửi qua thư thông thường, nơi người đưa thư và bất kỳ kẻ tấn công nào cũng có thể nhìn thấy cả thông tin địa chỉ, cũng như thông điệp được viết ở mặt sau của thẻ. Tuy nhiên, do con dấu hoặc chữ ký, thông tin này không thể thay đổi. Tương tự, con dấu và chữ ký cho phép bạn chứng minh rằng bạn là người gửi thực sự, thay vì người nào đó đang cố gắng bắt chước bạn.
Trong chế độ vận chuyển AH, một tiêu đề xác thực được thêm vào, giúp bảo vệ tải trọng và phần lớn thông tin tiêu đề. Đây giống như một tấm bưu thiếp tưởng tượng có một con dấu rõ ràng bảo vệ phần lớn nội dung của nó.
Bất cứ điều gì bên dưới con dấu không thể được thay đổi, nhưng bất cứ ai chặn nó đều có thể nhìn thấy toàn bộ bưu thiếp. Một vài chi tiết được bảo vệ bởi con dấu và có khả năng bị thay đổi, nhưng tất cả các thông tin quan trọng đều được bảo mật bởi con dấu. Con dấu cũng sẽ có một số thông tin được viết trên đó, nhưng với mục đích của ví dụ này, nó không quan trọng để xây dựng nó ngay bây giờ.
Trong Chế độ đường hầm, gói được gói bên trong của một cái khác, và phần lớn được xác thực. Sự tương tự bị phá vỡ một chút trong trường hợp này, nhưng nó giống như gói bưu thiếp trong một phong bì rõ ràng bằng một con dấu. Phong bì chứa thông tin địa chỉ của chính nó, và con dấu bảo vệ gần như toàn bộ điều khỏi bị sửa đổi.
Tiêu đề xác thực (AH): Chi tiết kỹ thuật
AH được sử dụng để xác thực rằng dữ liệu đến từ một nguồn hợp pháp, cũng như nó giữ được tính toàn vẹn của nó. Nó có thể được sử dụng để chỉ ra rằng dữ liệu đã bị giả mạo và để bảo vệ chống lại các cuộc tấn công chơi lại.
AH isn Quảng thực hiện rất thường xuyên, nhưng nó vẫn quan trọng để thảo luận. Nó thêm tiêu đề xác thực của riêng mình và sử dụng Mã xác thực tin nhắn băm (HMAC) để bảo vệ phần lớn các gói dữ liệu. Điều này bao gồm toàn bộ tải trọng, cũng như hầu hết các trường trong tiêu đề. Các HMAC được tính toán với các thuật toán băm như SHA-2.
Tiêu đề xác thực (AH): Chế độ vận chuyển
Chế độ vận chuyển AH thường được sử dụng cho giao tiếp hai chiều giữa các máy chủ. Một tiêu đề AH được thêm vào gói và một số mã giao thức được di chuyển xung quanh. Khi một gói AH đến và HMAC được kiểm tra, tiêu đề AH sẽ bị lấy đi và một vài thay đổi khác được thực hiện. Khi gói dữ liệu trở lại ở dạng bình thường, nó có thể được xử lý như bình thường.
Tiêu đề xác thực (AH): Chế độ đường hầm
Trong chế độ này, gói ban đầu được gói bên trong một gói khác, sau đó được xác thực bằng một HMAC. Điều này quá trình thêm một tiêu đề xác thực, xác thực toàn bộ tiêu đề ban đầu (trong chế độ vận chuyển, một vài phần của tiêu đề không được bảo hiểm) cũng như phần lớn của tiêu đề mới được thêm vào. Tải trọng cũng được xác thực.
Khi các gói này đến đích, chúng trải qua kiểm tra xác thực, sau đó gói được đưa trở lại bình thường bằng cách lấy đi cả tiêu đề mới được thêm vào, cũng như tiêu đề xác thực.
Hiệp hội bảo mật (SA)
Hiệp hội bảo mật (SA) thiết lập và lưu trữ các tham số cho kết nối IPsec. Chúng được cả AH và ESP sử dụng để thiết lập một quy trình liên lạc ổn định, đáp ứng nhu cầu bảo mật của mỗi bên. Mỗi máy chủ hoặc mạng có SA riêng cho mỗi bên mà nó kết nối, tất cả đều có bộ tham số riêng.
Khi hai máy chủ đàm phán kết nối lần đầu tiên, họ tạo thành SA với các tham số sẽ được sử dụng trong kết nối. Họ làm điều này theo quy trình từng bước, với một bên đưa ra chính sách mà bên kia có thể chấp nhận hoặc từ chối. Quá trình này tiếp tục cho đến khi họ đưa ra một chính sách có thể đồng thuận lẫn nhau và được lặp lại cho từng tham số riêng biệt.
Mỗi SA bao gồm các thuật toán sẽ được sử dụng, cho dù chúng là để xác thực (như SHA-2) hoặc mã hóa (như AES). Các SA cũng bao gồm các tham số để trao đổi khóa (như IKE), chính sách lọc IP, hạn chế định tuyến và hơn thế nữa. Khi Hiệp hội bảo mật đã được thành lập, nó sẽ được lưu trữ trong Cơ sở dữ liệu của Hiệp hội bảo mật (SAD).
Khi một giao diện nhận được gói dữ liệu, nó sử dụng ba mẩu thông tin khác nhau để tìm SA chính xác. Đầu tiên là Địa chỉ IP đối tác, mà như bạn có thể giả định, là địa chỉ IP của bên kia trong kết nối. Thứ hai là Giao thức IPsec, hoặc ESP hoặc AH.
Phần cuối cùng của thông tin là Chỉ số thông số bảo mật (SPI), đó là một định danh được thêm vào tiêu đề. Nó được sử dụng để chọn giữa các SA của các kết nối khác nhau để đảm bảo rằng các tham số chính xác được áp dụng.
Mỗi SA chỉ đi một chiều, vì vậy ít nhất hai là cần thiết để giao tiếp có thể đi theo cả hai hướng. Nếu AH và ESP được sử dụng cùng nhau, thì sẽ cần một SA theo từng hướng cho mỗi giao thức, tổng cộng bốn.
IPsec so với TLS / SSL
Đôi khi có thể khó hiểu được sự khác biệt giữa IPsec và các giao thức như TLS / SSL. Rốt cuộc, cả hai chỉ cung cấp bảo mật, phải không? Họ làm, nhưng họ làm theo những cách khác nhau và ở các cấp độ khác nhau.
Một trong những cách tốt nhất để so sánh IPsec và TLS / SSL là nhìn vào chúng trong bối cảnh của mô hình OSI. Mô hình OSI là một hệ thống khái niệm được sử dụng để giúp hiểu và chuẩn hóa các khía cạnh và các lớp khác nhau của quy trình giao tiếp phức tạp của chúng tôi.
Trong mô hình này, Chức năng IPsec ở lớp thứ ba, lớp mạng, có nghĩa là nó được định vị để truyền các gói dữ liệu đến một máy chủ qua một hoặc một loạt các mạng.
Khi chúng ta nhìn vào TLS / SSL, mọi thứ trở nên khó hiểu hơn một chút. Điều này là do nó chạy trên một phương tiện vận chuyển khác, TCP. Điều này nên đặt TLS / SSL lớp trên trong mô hình OSI.
TLS / SSL cũng tổ chức các tin nhắn bắt tay, là cấp thứ năm, lớp phiên. Điều này sẽ đặt TLS / SSL ở một trong sáu hoặc bảy lớp.
Sẽ phức tạp hơn khi bạn cho rằng các ứng dụng sử dụng TLS / SSL làm giao thức vận chuyển. Điều này sẽ đặt TLS / SSL ở cấp bốn hoặc thấp hơn. Nhưng làm thế nào nó có thể đồng thời ở lớp sáu hoặc bảy, cũng như ở lớp bốn hoặc bên dưới?
Câu trả lời là TLS / SSL không phù hợp với mô hình. Những lý do đằng sau điều này nằm ngoài phạm vi của bài viết này. Điều quan trọng nhất bạn cần biết là mô hình OSI chỉ là một mô hình và đôi khi thực tế không phù hợp với các mô hình gọn gàng và ngăn nắp của chúng tôi.
Khi chúng ta nói về các tiêu chuẩn này trong một ý nghĩa thực tế, Vai trò của TLS / SSL, là xác thực dữ liệu, kiểm tra tính toàn vẹn của nó, mã hóa và nén nó. Nó có thể được thực hiện để bảo mật một loạt các giao thức khác, chẳng hạn như HTTP hoặc SMTP, và cũng được thấy trong một loạt các ứng dụng, như VoIP và duyệt web.
IPsec khác nhau theo một số cách, thứ nhất là nó là một khung, thay vì một giao thức duy nhất. Nó cũng phức tạp hơn, gây khó khăn cho việc thiết lập và bảo trì.
Cuối cùng, TLS / SSL đơn giản hơn IPsec, đó là một lý do khác khiến nó có xu hướng được triển khai theo cách phổ biến hơn. Nó là một phần cốt lõi của một trong những giao thức đường hầm thay thế chính, OpenVPN.
Xem thêm: Hướng dẫn cơ bản về TCP / IP
Bảo mật IPsec
Trong vài năm qua, đã có rất nhiều cuộc nói chuyện về Các cơ quan chính phủ đặt backtime vào IPsec và lợi dụng các lỗ hổng để nhắm mục tiêu vào những người sử dụng giao thức. Một số cáo buộc ban đầu được đưa ra vào năm 2010, khi Greg Perry liên lạc với nhà phát triển chính của OpenBSD.
Ông khẳng định rằng FBI đã đặt nhiều cửa hậu, cũng như các cơ chế rò rỉ khóa kênh bên, vào mã OpenBSD. Điều này được cho là ảnh hưởng đến ngăn xếp IPsec của OpenBSD, được sử dụng rộng rãi.
Trong năm 2013 rò rỉ Snowden, nó đã được tiết lộ rằng NSA đã nhắm mục tiêu các hình thức mã hóa khác nhau và các công cụ bảo mật khác. Các tài liệu dường như xác nhận rằng NSA có các phương thức riêng để truy cập các khóa được sử dụng trong IPsec, cho phép họ rình mò các kết nối nhất định.
Tài liệu bị rò rỉ bởi Shadow Brokers năm 2016 cho thấy NSA có một công cụ có thể được sử dụng để phá vỡ triển khai IPsec được sử dụng trong tường lửa PIX của Cisco. Mặc dù các tường lửa này đã bị ngừng vào năm 2009, cuộc tấn công BENIGNCERTAIN có thể được sử dụng để truy cập mật khẩu cho các thiết bị PIX.
Cuộc tấn công liên quan đến việc gửi các gói Internet Key Exchange (IKE) đến máy chủ PIX, mà sẽ làm cho nó giải phóng một số bộ nhớ của nó. Thông tin này có thể được tìm kiếm thông qua để tìm thông tin cấu hình và khóa riêng RSA, sau đó NSA có thể sử dụng để theo dõi kết nối IPsec. Hãy nhớ rằng đây chỉ là một triển khai dễ bị tổn thương và nó không ảnh hưởng đến bất kỳ hình thức IPsec hiện tại nào.
Năm 2023, các nhà nghiên cứu đã khai thác một lỗ hổng trong giao thức IKE, cho phép họ giải mã các kết nối. Khái niệm bằng chứng có thể được sử dụng để thực hiện các cuộc tấn công trung gian, nơi những kẻ tấn công có thể chặn dữ liệu, giả mạo hoặc thậm chí ngăn chặn nó được truyền đi.
Kỹ thuật này sử dụng các nhà tiên tri Bleichenbacher để giải mã các lực lượng, làm gián đoạn xác thực RSA trong giai đoạn một của IKE. Điều này cho phép kẻ tấn công sử dụng các khóa đối xứng được xác thực gian lận với mục tiêu của chúng. Sau đó, họ có thể giả mạo điểm cuối IPsec, phá vỡ mã hóa, cho phép họ tự chèn vào kết nối an toàn trước đây.
Trong khi đây là một cuộc tấn công đáng lo ngại, các bản vá đã được phát hành cho các triển khai mà nó được biết là ảnh hưởng. Huawei, Cisco, Clavister và XyXEL đều đã phát hành bản vá ngay sau khi họ được cảnh báo về lỗ hổng bảo mật. Có thể sử dụng những triển khai bị ảnh hưởng trước đó miễn là chúng được cập nhật.
Có một số lỗ hổng tiềm năng khác trong IPsec, nhiều trong số đó liên quan đến IKE. Mặc dù những vấn đề này, IPsec vẫn được coi là an toàn cho sử dụng chung, miễn là nó đã được thực hiện đúng cách và việc thực hiện đang sử dụng các bản cập nhật mới nhất.
IPsec không bị hỏng. Nó rất quan trọng để nhớ rằng nó chỉ là một khung, có thể sử dụng một số giao thức khác nhau. Vẫn có thể sử dụng IPsec một cách an toàn, miễn là các giao thức phù hợp được sử dụng theo cách thích hợp. Tuy nhiên, cấu hình không an toàn có khả năng bị NSA và các bên khác tấn công, vì vậy điều quan trọng là bạn phải sử dụng IPsec chính xác.
Bạn có nên sử dụng IPsec?
IPsec chủ yếu được sử dụng để tạo thành một đường hầm an toàn trong VPN, nhưng nó không phải là lựa chọn duy nhất. Nếu bạn lo lắng về bảo mật của mình, tốt nhất bạn nên xem xét các tùy chọn khác và tìm giải pháp phù hợp với trường hợp sử dụng và hồ sơ rủi ro của bạn.
Các lựa chọn thay thế chính là PPTP, SSTP và OpenVPN. Giao thức đường hầm điểm-điểm (PPTP) đã cũ và có nhiều vấn đề bảo mật, vì vậy nó là tốt nhất để tránh nó trong mọi trường hợp. Giao thức đường hầm ổ cắm an toàn (SSTP) là một tùy chọn tốt hơn cho người dùng Windows, tuy nhiên, nó là không được kiểm toán độc lập.
OpenVPN là một sự thay thế nguồn mở có một loạt các tùy chọn cấu hình khác nhau. Nó sử dụng SSL / TLS và không có vấn đề gì về bảo mật, vì vậy nó là lựa chọn tốt nhất cho bất cứ ai quan tâm đến các vấn đề bảo mật đã được tìm thấy trong IPsec.
Điều này không có nghĩa là tất cả các kết nối IPsec vốn không an toàn, nó chỉ có nghĩa là có những lựa chọn thay thế an toàn hơn cho những người có ý thức bảo mật hoặc đối mặt với mức độ đe dọa cao.
Liên quan: IPSec vs SSL
Bàn phím máy tính được cấp phép theo Muff