Zatiaľ čo protokol AH je autentifikačný protokol, protokol ESP poskytuje tiež autentifikáciu a šifrovanie.
Asociácia bezpečnosti:
Asociácia spočíva v administrácii kľúčov a vytvorení bezpečného spojenia medzi zariadeniami, toto je prvý krok v spojení a realizuje sa protokolom IKE (Internet Key Exchange).
Overenie:
V tomto prípade autentifikácia neposkytuje šifrovanie, pretože informácie nie sú šifrované, funkciou protokolu AH a jej autentifikáciou je potvrdenie, že doručený paket nebol počas prenosu zachytený a upravený alebo „zlomený“. Protokol AH pomáha overiť integritu prenesených údajov a implikované adresy IP. Použitie IPSEC s AH nebude chrániť naše informácie pred útokom Man In the Middle, ale dá nám o tom vedieť zistením rozdielov medzi hlavičkou prijatého IP paketu a pôvodným. Za týmto účelom protokoly AH identifikujú pakety, ktoré pridávajú vrstvu so sekvenciou čísel.
AH, ako je uvedené v názve Authentication Header, overuje sa aj vrstva hlavičky IP, zatiaľ čo ESP hlavičku IP neobsahuje.
Poznámka: IP Header je paketová vrstva IP obsahujúca informácie o nadviazanom pripojení (alebo pripojení), napríklad zdrojovú a cieľovú adresu medzi.
Šifrovanie:
Na rozdiel od protokolu AH, ktorý overuje iba integritu paketov, odosielateľov v hlavičkách IP, balík ESP (Encapsulating Security Payload) navyše ponúka šifrovanie, čo znamená, že ak útočník zachytí paket, nebude môcť vidieť jeho obsah, pretože je šifrovaný.
Asymetrické a symetrické šifrovanie
IPSEC kombinuje asymetrické aj symetrické šifrovanie, aby poskytlo zabezpečenie pri zachovaní rýchlosti.
Symetrické šifrovania majú medzi používateľmi zdieľaný jeden kľúč, zatiaľ čo asymetrické šifrovanie používame pri autentifikácii pomocou verejných a súkromných kľúčov. Asymetrické šifrovanie je bezpečnejšie, pretože nám umožňuje zdieľať verejný kľúč s mnohými používateľmi, zatiaľ čo sa bezpečnosť spolieha na súkromný kľúč, symetrické šifrovanie je menej bezpečné, pretože sme nútení zdieľať jediný kľúč.
Výhodou symetrického šifrovania je rýchlosť, trvalá interakcia medzi dvoma zariadeniami, ktoré sa trvale autentifikujú pomocou asymetrického šifrovania, by bola pomalá. IPSEC integruje obidva z nich, najskôr sa asymetrické šifrovanie overí a vytvorí sa bezpečné spojenie medzi zariadeniami pomocou protokolov IKE a AH a potom sa zmení na symetrické šifrovanie, aby sa udržala rýchlosť pripojenia, protokol SSL tiež integruje asymetrické aj symetrické šifrovanie, ale SSL alebo TLS patrí do vyššej vrstvy protokolu IP, preto je možné IPSEC použiť pre TCP alebo UDP (môžete tiež použiť SSL alebo TLS, ale nie je to norma).
Používanie IPSEC je príkladom potreby pridať ďalšiu podporu nášmu jadru, ktoré sa má používať, ako je vysvetlené v predchádzajúcom článku o jadre Linuxu. IPSEC môžete implementovať v systéme Linux so strongSwan, v systémoch Debian a Ubuntu môžete zadať:
apt nainštalovať strongswan -y
Tiež bol publikovaný článok o službách VPN vrátane ľahkého nastavenia IPSEC na Ubuntu.
Dúfam, že vám tento článok bol užitočný na pochopenie protokolov IPSEC a ich fungovania. Ak chcete získať ďalšie tipy a aktualizácie pre systém Linux, sledujte stránku LinuxHint.