IPSec översikt

Allt eftersom internet har utvecklats är fler och fler företag anslutna direkt via internet. Det vanliga IP-protokollet på Internet tillhandahåller dock ingen säkerhetsmekanism och på Internet finns det också hackers och kriminella IT-kunniga som utnyttjar alla tillfälle för att komma över andras tillgångar. Dessa nackdelar utsätter slutanvändarnas tjänstdata för förfalskning, manipulering och stöld när de går igenom Internet. Därför behövs en gemensam IP-kompatibel nätverkssäkerhetslösning som Internet Protocol Security (IPSec).

IPSec är en uppsättning protokoll definierade av Internet Engineering Task Force (IETF) för att tillhandahålla säker överföring av data över IP-nätverk, det vill säga över Internet. Följande protokoll inkluderas i IPSec:

  • Authentication Header (AH)
  • Encapsulation Security Payload (ESP).

IPSec inkluderar också nyckelutbyte och kryptoalgoritmer som används för autentisering och kryptering.
Tillsammans tillåter dessa protokoll kommunicerande nätverksenheter att upprätta en så kallad IPSec-tunnel.

Bild 1: IPSec Protokoll stack

Security Association – SA

En SA är ett avtal på vilka säkerhetskomponenter eller tjänster gäller mellan två kommunicerande parter eller ”peer”. SA avtalet beskriver hur man använder säkerhetstjänster (som kryptering) mellan peers för säker kommunikation. Säkerhetskomponenterna (elements) inkluderar säkerhetsprotokoll, egenskaper hos dataflöden som ska skyddas, datainkapsling som överförs mellan peers, krypterings- och autentiseringsalgoritmer samt livslängder för säkerhetsnycklar och SA.

En IPSec SA identifieras av tre parametrar:

  • Security Parameter Index (SPI)
  • Destinations IP-adress
  • Security Protocol ID (AH eller ESP).

SPI är ett 32-bitars värde som genereras för att unikt identifiera en SA och sänds i en AH- eller ESP-header. En SPI måste anges när en SA konfigureras manuellt. När en SA genereras under IKE-förhandling genereras en SPI slumpmässigt.

Eftersom SA är enkelriktade krävs minst två SA för att skydda inkommande och utgående dataflöden.

 Bild 2: Antal SA

I bilden ovan Peer A och B vill kommunicera via en IPSec-tunnel. Två SA måste upprättas om en IPSec-tunnel. SA1 definierar vad som gäller för att skydda data som skickas från Peer A till Peer B. SA2 definierar skyddet för data som skickas från Peer B till Peer A.

Antal SA som krävs i en IPSec-baserad kommunikation beror också på vilket säkerhetsprotokoll som används. Om man använder antingen AH eller ESP för att skydda nätverkstrafik mellan två peers, krävs två SA för att skydda inkommande och utgående dataflöden. Om du använder både AH och ESP för att skydda nätverkstrafik mellan två peers, krävs fyra SA, två för varje protokoll.