Skip to content
Home Networking

Wat is IPSec?

10 de juli de 2021
IPSecconceptimage 248ec79801d64810aff0ab5672499313

IPSec, wat staat voor Internet Protocol Beveiliging, is een reeks cryptografische protocollen die gegevensverkeer over Internet Protocol-netwerken beschermen. IP-netwerken, inclusief het World Wide Web zoals wij dat kennen, missen codering en privacy. IPSec VPN’s pakken deze zwakte aan door een raamwerk te bieden voor versleutelde en privécommunicatie op internet. Hier is een nadere blik op wat IPSec is en hoe het werkt met VPN-tunnels om gegevens over onbeveiligde netwerken te beschermen.

Een korte geschiedenis van IPSec

Toen het internetprotocol begin jaren ’80 werd ontwikkeld, stond beveiliging niet hoog op de prioriteitenlijst. Naarmate het aantal internetgebruikers echter bleef groeien, werd de behoefte aan meer beveiliging duidelijk. Om aan deze behoefte te voldoen, sponsorde de National Security Agency halverwege de jaren 80 de ontwikkeling van beveiligingsprotocollen in het kader van het Secure Data Network Systems-programma. Dit leidde tot de ontwikkeling van het Security Protocol op Layer 3 en uiteindelijk het Network Layer Security Protocol. In de jaren ’90 werkten nog meer ingenieurs aan dit project, en IPSec is voortgekomen uit deze inspanningen. IPSec is nu een open-sourcestandaard als onderdeel van de IPv4-suite.

Hoe IPSec werkt

Wanneer twee computers een VPN-verbinding tot stand brengen, moeten ze overeenstemming bereiken over een reeks beveiligingsprotocollen en versleutelingsalgoritmen, en cryptografische sleutels uitwisselen om de versleutelde gegevens te ontgrendelen en te bekijken. Dat is waar IPSec in beeld komt. IPSec werkt met VPN-tunnels om een ​​privé-tweerichtingsverbinding tussen apparaten tot stand te brengen. IPSec is geen enkel protocol; het is eerder een complete suite van protocollen en standaarden die samenwerken om de vertrouwelijkheid, integriteit en authenticatie van internetdatapakketten die door een VPN-tunnel stromen te helpen verzekeren. Zo maakt IPSec een veilige VPN-tunnel:

  • Het verifieert gegevens om de integriteit van datapakketten tijdens het transport te garanderen.
  • Het versleutelt internetverkeer via VPN-tunnels, zodat gegevens niet kunnen worden bekeken.
  • Het beschermt tegen gegevens opnieuw afspelen aanvallen die kunnen leiden tot ongeoorloofde aanmeldingen.
  • Het maakt veilige uitwisseling van cryptografische sleutels tussen computers mogelijk.
  • Het biedt twee beveiligingsmodi: tunnel en transport.

VPN IPSec beschermt gegevens die stromen van host-naar-host, netwerk-naar-netwerk, host-naar-netwerk en poort naar gateway (genaamd tunnelmodus, wanneer een volledig IP-pakket is versleuteld en geverifieerd).

IPSec-protocollen en ondersteunende componenten

De IPSec-standaard is onderverdeeld in verschillende kernprotocollen en ondersteunende componenten.

IPSec-kernprotocollen

  • IPSec-authenticatieheader (AH): Dit protocol beschermt de IP-adressen van de computers die betrokken zijn bij een gegevensuitwisseling om ervoor te zorgen dat er tijdens de verzending geen gegevens verloren gaan, gewijzigd of beschadigd raken. AH controleert ook of de persoon die de gegevens heeft verzonden deze ook daadwerkelijk heeft verzonden, waardoor de tunnel wordt beschermd tegen infiltratie door onbevoegde gebruikers.
  • Beveiligingslading (ESP) inkapselen: Het ESP-protocol biedt het versleutelingsgedeelte van de IPSec, dat de vertrouwelijkheid van dataverkeer tussen apparaten waarborgt. ESP versleutelt de datapakketten/payload en authenticeert de payload en de oorsprong ervan binnen de IPSec-protocolsuite. Dit protocol vervormt effectief internetverkeer, zodat iedereen die naar de tunnel kijkt niet kan zien wat er is.

ESP versleutelt en verifieert gegevens, terwijl AH alleen gegevens verifieert.

IPsec-ondersteunende componenten

  • Beveiligingsverenigingen (SA): Beveiligingsverenigingen en -beleid bepalen de verschillende beveiligingscontracten die in een uitwisseling worden gebruikt. Deze contracten kunnen het type codering en hashing-algoritmen bepalen dat moet worden gebruikt. Dit beleid is vaak flexibel, waardoor apparaten kunnen beslissen hoe ze dingen willen aanpakken.
  • Internetsleuteluitwisseling (IKE): Om codering te laten werken, moeten de computers die betrokken zijn bij een privécommunicatie-uitwisseling coderingssleutels delen. Met IKE kunnen twee computers veilig cryptografische sleutels uitwisselen en delen bij het tot stand brengen van een VPN-verbinding.
  • Versleutelings- en hash-algoritmen: Een cryptografische sleutel werkt met een hash-waarde, die wordt gegenereerd met behulp van een hash-algoritme. AH en ESP zijn generiek omdat ze geen bepaald type codering specificeren. IPsec gebruikt echter vaak de Message Digest 5 of het Secure Hash Algorithm 1 voor codering.
  • Anti-replay bescherming: IPSec bevat ook standaarden om het opnieuw afspelen van datapakketten die deel uitmaken van een succesvol inlogproces te voorkomen. Deze standaard voorkomt dat hackers herhaalde informatie gebruiken om de login zelf te repliceren.

IPSec is een complete VPN-protocoloplossing op zich, of als coderingsprotocol binnen L2TP en IKEv2.

Tunneling-modi: tunnel en transport

IPSec verzendt gegevens via de tunnel- of transportmodus. Deze modi hangen nauw samen met het type protocol dat wordt gebruikt, AH of ESP.

  • Tunnelmodus: In de tunnelmodus is het hele pakket beschermd. IPSec verpakt het datapakket in een nieuw pakket, versleutelt het en voegt een nieuwe IP-header toe. Het wordt vaak gebruikt in site-to-site VPN-configuraties.
  • Vervoer mode: In de transportmodus blijft de originele IP-header behouden en wordt deze niet versleuteld. Alleen het laadvermogen en de ESP-trailer zijn versleuteld. De transportmodus wordt vaak gebruikt in client-to-site VPN-configuraties.

Wat VPN’s betreft, is de meest voorkomende IPSec-configuratie die u zult zien ESP met authenticatie in tunnelmodus. Deze structuur helpt internetverkeer veilig en anoniem binnen een VPN-tunnel over onbeveiligde netwerken te verplaatsen.