Что такое IPSec туннель в VPN и как его настроить бесплатно?

Статья имеет технический характер и рассматривает VPN с позиции технологии подключения к корпоративным частным сетям и интернету у многих провайдеров. НЕ следует путать ее с информацией о получении доступа к неправомерной информации!

Всем привет! IPSec – набор компонентов, обеспечивающих защиту конфиденциальной информации, передаваемой с помощью межсетевого протокола IP. Эффект безопасности достигается через аутентификацию, обязательную проверку целостности пакетов с трафиков и поэтапного шифрования данных в сети.

Особенности

Экскурс в историю

В 1994 году технические специалисты из «Совета по архитектуре Интернета» (IAB) подготовили отчет, описывающий низкий уровень безопасности сети. В качестве доводов за организацию специальных протоколов или стандартов, приводились концепции несанкционированного доступа к пакетам трафика, важным данным и инструментам. После ряда экспериментов и появился IPSec (как и остальные протоколы), необходимый для защиты публичных телекоммуникационных сетей и шифрования передаваемой информации.

Стандарты

Сначала появились спецификации под кодовым названием: RFC1825, RFC1826 и RFC1827. Но чуть позже специалисты из «IP Security Protocol» пересмотрели некоторые требования и выпустили комплект архитектур и компонентов с RFC2401 по RFC2412. Среди новых спецификаций скрываются алгоритмы шифрования, инструменты для управления общими ключами аутентификации и проверки IP-пакетов.

Этапы работы IPSec

Сценарий взаимодействия с протоколом формально делиться на 5 частей. Сначала – подготовка «политики безопасности», описывающей правила шифрования трафика, способы отсеивания лишних данных, а также алгоритмы и функции, включенные в работу.

Далее – организация безопасного канала между связанными сторонами: аутентификация, проверка политики безопасности, передача секретных ключей. К третьему этапу соединение через IPSec устанавливается с полным согласованием необходимых параметров и особенностей сети.

Четвертый шаг сосредоточен вокруг полноценного взаимодействия между узлами. А последний посвящен прекращению обслуживания. Причем предусмотрено два сценария – ручное удаление и прекращение связи после истечения определенного времени и в целях безопасности.

После – описанный порядок действий повторяется вновь.

Применение

Протокол IPSec незаменим при построении и организации VPN туннелей, где компоненты AH (Authentication Header) и ESP (Encapsulated Security Payload) запускаются в режиме туннелирования с функцией межсетевого экрана – фильтрующего поступающий трафик в соответствии с выбранными и заранее настроенными правилами. Система способна отклонять небезопасные пакеты с данными или вовсе запрещать связь с сетью или с некоторыми интернет-ресурсами.

Межсетевой экран IPSec пригодится и при проблемах с безопасностью на серверах. Если правильно организовать работу компонентов AH и ESP, то весь веб-трафик начнет автоматически отбрасываться, за исключением соединений через 80-й порт TCP (или 443 порт TCP при HTTPS).

Архитектура IPSec

Комплекс протоколов и компонентов, появившийся благодаря специалистам из «IP Security Protocol IETF», на момент релиза включал 3 спецификации, описывавших архитектуру безопасности, параметры аутентификации и шифрования. Чуть позже стандарты изменились, но вот принципы и цели остались прежними. Как и раньше IPSec поделен на взаимосвязанные части.

Основные компоненты

• AH (Authentication Header). Заголовок аутентификации. Опциональный протокол, появившийся не с целью прерывать процесс передачи информации по IPSec туннелю, а для защиты содержимого IP-пакетов от перезаписи или редактирования. AH помогает сразу определить, с кем установлено соединение, не нарушены и не искажены ли данные, и не произошла ли подмена где-то на середине сетевого пути.
• ESP (Encapsulated Security Payload). Как и AH опционален и применяется не при каждом построении IPSec-туннеля. Основан на криптографических алгоритмах, запаковываемых на «месте» и разбираемых у получателя.
• ISAKMP – фреймворк, необходимый для согласования настроек безопасности, установленных на каждом из узлов.

IKE – протокол, осуществляющий обмен ключами шифрования через фреймворк ISAKMP. Представлен в двух версиях – IKEv1 и IKEv2, получивших развитие в ближайшие годы и частично изменившие некоторые стандарты IPSec. Протокол IKE разделяется на части для обеспечения дополнительной безопасности с использованием сторонних расширений, вроде «Extended Authentication» (XAUTH) или «Mode-Configuration» (MODECFG). В совокупности модификации вместе с дополнительными ключами PSK (Pre-shared key) способны отсеять тех пользователей, которые смогли преодолеть первую фазу проверку IPSec.