IPSEC חבילת פרוטוקולים

IPSEC הינו חבילת פרוטוקולים, stuck, מבוססי IP, שמבצעים החלפת מפתחות, אימות והצפנה לתקשורת IP או עבור packets. ביצוע הצפנת הטווך מקצה לקצה.
מאחר ופרוטוקול הרשת המרכזי tcp/ip אינו מאובטח כלל ואינו מכיל מודולים של אבטחה ולא תוכנן כפרוטוקול מאובטח, מגיע ה- ipsec על מנת לבצע אבטחה "מבחוץ" אך באופן אינטגרטיבי.

פרוטוקול IPSEC עובד באופן בו הוא מבצע אינקפסולציה של המידע ומוסיף שכבות נוספות של meta-data אשר אינם מאפשרים גישה למידע עצמו כאשר הוא בתנועה (להבדיל ממידע במנוחה) בין נקודה א' לנקודה ב'. במהלך התהליך נוספים ביטים של מידע אשר נועדו להצפנה, לשינוע המידע בחלקים והרכבתו מחדש בסדר הנכון בצד השני, מאבטח ברמה קריפטוגרפית את המידע עצמו ומבצע אימות של הצדדים המקיימים את השיח.

IPSEC עובד ב-2 אופנים מרכזיים: transport mode and tunnel mode.
ההבדל המרכזי הוא אופן ההצפנה וסוג המידע המוצפן.

Transport mode – באופן זה רובו של הפאקט מוצפן אך לא מתבצעת הצפנה של ה- ip header אלא רק של ה- ip payload. כלומר מבנה ה- ESP או מבנה ה- AH נשארים אורגינלים. מתבצעת אינקפסולציה ולאחר מכן מתווסף לה ה- header המקורי.

Tunnel mode – באופן זה כל הפאקט מוצפן ע"י ipsec כולל ה- header וה- payload המקורי אשר מוחלף ע"י header חדש לצורך השילוח ע"ג המדיה. כל מבנה ה datagram מוחלף.

IPSEC הינו סט פרוטוקולים לביצוע פעולת תקשורת והצפנה העושים שימוש במודולים המרכזיים הבאים:
Authentication Header (AH) – הינו פרוטוקול תעבורה המבצע אימות אך אינו מצפין את המידע או תעבורת ה- IP. תפקידו לודא כי המידע בתווך מגיע ליעדו בלבד. מבצעintegrity authentication או- hash לפאקטים שיכולים להתעדכן בדרך ע"י מערכות\פרוטוקולים נוספים. כדוגמת שינוי ה- TTL or Header checksum.

Encapsulating Security Payload (ESP) – הינו פרוטוקול משלים אשר מבצע פעולת הצפנה. אם ה- AH מבצע אימות ווידוא שהמידע לא שונה בדרכו, הרי שה- ESP מוודא גם שהמידע אינו נגיש להאזנה והעתקה כאשר הוא בתנועה, ע"י ביצוע הצפנה של המידע המקורי עם מידע נוסך ומפתחות המשמשים לצרכי ההצפנה, לאחר מכן מתבצעת אריזה מחדש של המידע ואינקפסולציה וכך המידע מועבר בתווך.

IKE – Internet Key Exchange protocol – אשר פועל ב-2 מישורים phases)).1+2. הוא האמצעי בו IPSEC משתמש לקבוע את תצורת עבודת ה- SA. (ניתן להשתמש ב- IKE גם עבור פרוטוקולים אחרים מלבד IPSEC). משמש עבור קביעת האימות וההצפנה.

Phase1 – מבצע משא ומתן בין הצדדים לקביעת ה- SA, מאמת את הצדדים ויוצר tunnel מאובטח עבורם. מבצע החלפת מפתחות באמצעות Diffie-Hellman כך שלשני הצדדים ישנם מפתחות shared secret keys. עובד ב- 2 אופנים Main or Aggressive mode.

Phase2 – מבצע מימוש של ה- SA שנקבע בשלב קודם ומנהל משא ומתן לחידוש ה- SA עבור המשך השיח בין הצדדים. נקרא גם quick mode.

Security associations (SA) – הינו כינוי לסט הגדרות האבטחה המשמשות לשיחה מוצפנת בין גורמים שונים ברשת. מעין הסכמה על אופן השיחה והמנגנונים שייקחו בה חלק. בעצם קבוצת אלגוריתם ומפתחות. כל אחד מהם הוא חד כיווני ולכן יש צורך בסט של לפחות 2 מפתחות עבור תקשורת דו כיוונית. inbound and outbound.
Security Association Database (SAD) – הינו מכלול האפשרויות של התמיכה של אותו device\מוצר בנושא IPSEC, הוא מכיל את טווח העבודה והמנגונונים הזמינים של המוצר בתקשורת מאובטחת. ובעצם זו טבלת סטים אפשריים של SA.

המידע היושב ב- SAD הינו: Destination IP address, IPSec protocol, Security Parameter Index (SPI).

ה- SPI הינו תג הנוסף ל- SA והוא מאפשר ל-SA לבחור את הסט הנכון לקבלת התקשורת.

אלו הם כלי האדמיניסטרציה של הפרוטוקול (ביחד עם ה- (Security Policy Database, SPD, הצורך בהם הוא עבור היכולת להחליט במהירות תוך משא ומתן עם הצד השני המעורב בתקשורת, באיזה אופן ואיזה פרוטוקול ימומש לטובת ביצע התקשורת המאובטחת ואיזה טרנספורמציה יעבור הפאקט ברמת הביטים.