IPSEC VPN обясни | Как работи IPSEC | IPSEC срещу SSL

Много маршрутизатори имат поне някакво внедряване на IPSEC протоколи, както и повечето операционни системи (или има клиенти за конкретната ОС).

VPN срещу IPSEC

Reddit и неговите партньори използват бисквитки и подобни технологии, за да ви осигурят по -добро изживяване.

Приемайки всички бисквитки, вие се съгласявате с използването на бисквитки за доставяне и поддържане на нашите услуги и сайт, подобряване на качеството на Reddit, персонализиране на Reddit съдържание и реклама и измерване на ефективността на рекламата.

Отхвърляйки несъществени бисквитки, Reddit все още може да използва определени бисквитки, за да гарантира правилната функционалност на нашата платформа.

За повече информация, моля, вижте нашето известие за бисквитки и нашата Политика за поверителност .

IPSEC VPN обясни | Как работи IPSEC | IPSEC срещу SSL

Ipsec е неразделна част от много VPN услуги. Научете повече за това какво е ipsec, как работи iPSEC VPN, използването и разликите между IPSEC VPN и SSL VPN.

Съдържание
Вземете бизнес VPN за вашия екип

Опитайте 14-дневна безплатна пробна версия

Вижте демонстрацията сега

IPSEC (Сигурност на Интернет протокол) спечели огромна популярност сред VPN услугите като Goodaccess. Така че нека обясним как работи IPSEC VPN и какви са възможностите, които го правят толкова популярен.

Преди да се потопим в технологичните неща, важно е да забележим, че IPSEC има доста история. Той е свързан с произхода на Интернет и е резултат от усилията за разработване на методи за криптиране на IP-слой в началото на 90-те години.

Като отворен протокол, подкрепен от непрекъснато развитие, той е доказал своите качества през годините и въпреки че са възникнали протоколи на Challenger като Wireguard, IPSEC запазва позицията си като най -широко използвания VPN протокол заедно с OpenVPN.

Съдържание

  1. Какво е ipsec?
  2. Какви протоколи използват ipsec?
  3. Тунелиране срещу транспортния режим на IPSEC
  4. Какво е ipsec VPN
  5. Ipsec VPN срещу SSL VPN. Кой да избере?
  6. Резюме

Какво е ipsec?

Сигурността на Интернет протокола (IPSEC) е a Suite на мрежов протокол, който позволява сигурни комуникации между две устройства над IP мрежи, използвани най -вече в обществения интернет днес.

Това е пакет от мрежов протокол, който осигурява както криптиране на пакети, така и удостоверяване на източника.

IPSEC е напълно подходящ за осигуряване на поверителност на комуникациите на IP мрежата, така че често се използва за установяване на VPN връзка от IPSEC VPN Tools. Днес IPSEC се счита за стандарт за сигурност поради използването на силни (непрекъснати) шифри и алгоритми, автентификация на TLS, MITM защита, перфектна секретност напред и т.н., за различни приложения като:

  • Осигуряване на частни мрежови комуникации,
  • Защита на уеб трафик от изпускане или прихващане,
  • Осигуряване на целостта на IP пакетите.

Много маршрутизатори имат поне някакво внедряване на IPSEC протоколи, както и повечето операционни системи (или има клиенти за конкретната ОС).

Какви протоколи използват ipsec?

Важно е да се разбере, че iPSEC не е нито един протокол.

Използва група от протоколи за удостоверяване и криптиране, за да изпълнява конкретни задачи. Нека проверим най -важните.

Заглавката за удостоверяване на сигурността (AH)

Той служи само за удостоверяване на пакети (произход, цялост), а не за криптиране.

Заглавката на удостоверяването капсулира пакета, осигурявайки целостта на пакета чрез MD5/Shaxxx и след като тези данни се изпращат до маршрута на местоназначението. След като бъде получен от маршрутизатора на местоназначението, пакетът е декапсулиран и се проверява за потенциални нарушения на целостта.

Няма криптиране на полезен товар през процеса, което ограничава използването на този протокол. AH обикновено се използва в транспортния режим IPSEC (виж по -долу).

Капсулиране на полезен товар (ESP)

Подобно на заглавката за удостоверяване на сигурността, ESP е част от IPSEC протоколния пакет, отговорен за целостта на данните (само за полезен товар) и допълнително криптиране на полезен товар.

IP заглавката на ESP пакета не е криптирана и целостта му не е защитена, така че може да бъде променена по време на транзит, което дава възможност за успешно преминаване на NAT. ESP обикновено се използва в режим на тунелиране.

Асоциация за интернет сигурност и протокол за управление на ключове (ISAKMP)

ISAKMP е протокол, използван за създаване на Асоциация за сигурност (SA). Тази процедура включва две стъпки:

  • Фаза 1 установява тунела Ike SA, двупосочен тунел за управление за обмен на ключове. След като комуникацията бъде установена, IPSEC SA каналите за сигурен трансфер на данни се установяват във фаза 2. Атрибути на този еднопосочен IPSEC VPN тунел, като например кой шифър, метод или ключ ще се използва, са били предварително съгласувани от двата хоста (в случай на IPSEC VPN, това е връзка между шлюз и компютър).
  • За всеки IPSEC VPN тунел във фаза 2 трябва да се установят две отделни ipsec SA. Най-използваната ISAKMP конфигурация е ръчна (предварително споделени клавиши, PSK) и динамична (IKEV1, IKEV2).

Тунелиране срещу. Транспортен режим на IPSEC

Има два режима, в които IPSec може да бъде конфигуриран да работи:

Режим на тунелиране на IPSEC криптира и удостоверява целия пакет от данни. Пакетът е капсулиран в друг, така че отговаря на условията за промяна на IP заглавка.

Подобна процедура предполага възможността за промени в маршрутизирането, преминаването на NAT и успешния транзит на данни от компютър зад рутера през публичния интернет до нейната дестинация (e.g. Друг компютър зад друг рутер).

An IPSEC VPN тунелът дава възможност за създаване на виртуални частни мрежи (както VPN, така и VPN за отдалечен достъп) и се използва много по-често от транзитния режим.

В IPSEC VPN клиенти режимът на тунелиране се използва като опция по подразбиране.

Транспортен режим IPSEC криптира само полезния товар на пакета с данни. IP заглавката не подлежи на промяна, така че не са възможни промени в маршрута.

Това ограничение определя IPSEC транспортен режим, който да се използва само за комуникация от край до край.

И двата края трябва да се виждат, така че може да се използва за криптиране в рамките на вече установения GRE тунел.

Какво е ipsec VPN

VPN (виртуална частна мрежа) гарантира Сигурни частни комуникации през публичните мрежи като интернет.

VPN са често срещан инструмент в рамките на всеки отговорен администратор.

Можете да намерите различни видове VPN на пазара. В епохата на отдалечената работа, разпределените ИТ активи и вездесъщата свързаност, VPN е начинът за достъп до файлове, приложения и други ресурси, които иначе биха били достъпни само от локална мрежа (вижте предишната ни статия за това как работи VPN на Business Cloud)).

Той също така позволява сигурна връзка от незащитени обществени мрежи (кафене, летище и като цяло от всяка точка извън периметъра на защитената компания).

VPN използват различни протоколи за сигурност или правила, за да криптират данни, пътуващи между устройства, да гарантират целостта на данните и удостоверяването на подателя/приемника.

IPSEC VPN е VPN, който използва IPSEC протоколния пакет, за да установи и поддържа поверителността на комуникацията между устройства, приложения или мрежи през публичния интернет.

IPSEC VPN използва техника, наречена “тунелиране”, за да криптира данните, които се изпращат между устройството и VPN сървъра. Данните първо се капсулират в iPsec пакет, който след това се криптира с помощта на шифър. След това криптираният пакет се изпраща по интернет до VPN сървъра, където се декриптира и препраща към местоназначението.

IPSEC VPN се използват широко по няколко причини като:

  • Висока скорост
  • Много силни шифри
  • Висока скорост на установяване на връзката
  • Широко приемане от операционни системи, рутери и други мрежови устройства

Разбира се, Не всички VPN използват ipsec. Има алтернативен избор като OpenVPN, Wireguard и други (вижте списъка с основни VPN протоколи в нашия блог).

Също така, не всеки VPN криптира на мрежовия слой (L3), общ колега се счита за SSL VPN (вижте разликата по -късно в този блог).

Какви са IPSEC VPN портовете?

При установяване на IKEV2 връзка, IPSEC използва UDP/500 и UDP/4500 портове по подразбиране.

По стандарт връзката е установена на UDP/500, но ако се появи по време на IKE заведението, че източникът/дестинацията е зад NAT, портът се превключва на UDP/4500 (за информация за техника, наречена пренасочване на порт, проверете на The Статия VPN Порт Пренасочване: Добър или лош?).

IPSEC VPN VS. SSL VPN: Кой от тях трябва да използва вашият бизнес?

Когато говорим за IPSEC VPN, също е важно да се направи сравнение с техните обезпечения – SSL VPN (Secure Sockets Layer).

Има няколко разлики по отношение на технологиите, използването, предимствата и недостатъците.

SSL VPN днес най -вече използват TLS (Сигурност на транспортния слой) За криптиране на HTTPS трафик.

Целта на HTTPS е да защити съдържанието на комуникацията между подателя и получателя.

Това гарантира, че всеки, който иска да пресече комуникацията, няма да може да открива потребителски имена, пароли, банкова информация или други чувствителни данни.

Въпреки това, тъй като това криптиране защитава комуникацията между интернет браузъра и сървъра, то не криптира други данни, които могат да се използват за проследяване на поведението на потребителите в интернет, като IP адреси, физическо местоположение, браузър и операционна система, използвани от хоста и свързаните сайтове.

Цялата тази информация може да се види и наблюдава от интернет доставчика, правителството или злоупотребява с корпорации и нападатели. За да премахне подобни рискове, IPSEC VPN е решение.

IPSEC VPN и SSL използват различни технологии

  • IPSEC VPN работи на различен мрежов слой от SSL VPN. IPSEC VPN работи на мрежовия слой (L3), докато SSL VPN работи на слоя на приложението.
  • IPSEC VPN използва протокола за обмен на интернет ключове (IKE) за управление на ключове и удостоверяване. Айк използва алгоритъма Diffie-Hellman, за да генерира споделен секретен ключ, който се използва за криптиране на трафика между два хоста. SSL VPN използва сигурност на транспортния слой (TLS) за криптиране на трафика. TLS използва инфраструктура за публични ключове (PKI) за управление на ключове.

Използването на IPSEC VPNS се различава от SSL VPN

  • IPSEC VPN сигурно свързва цели мрежи (VPN на сайта) или отдалечени потребители с определена защитена зона като локална мрежа, приложение или облак. SSL VPN създава защитен тунел от уеб браузъра на хоста до определено приложение.

Плюсове и минуси на ipsec и SSL VPN

  • Когато сигурността е основната грижа, съвременният облачен IPSEC VPN трябва да бъде избран през SSL, тъй като криптира целия трафик от хоста към приложението/мрежата/облака. SSL VPN осигурява трафик от уеб браузъра само до уеб сървъра.
  • IPSEC VPN защитава всеки трафик между две точки, идентифицирани от IP адреси. SSL VPN е най -подходящ за защита на файловете през публичния интернет, комуникацията между имейл клиент – имейл сървър, уеб браузър и уеб сървър
  • SSL VPN се счита за по -лесна за настройка и управление, тъй като обикновено не изисква инсталирането (понякога го прави) на клиент, както прави iPSEC VPN. Въпреки това, съвременните облачни VPN като GoodAccess автоматизират по -голямата част от настройките и могат да работят за по -малко от 10 минути.
  • IPSEC има по -добри резултати от производителността поради използването на UPD (SSL VPN използва TCP)
  • Съвременният IPSEC VPN може да бъде овластен с допълнителни функции като DNS филтриране и други мерки за сигурност. SSL VPN има само една употреба.

Проблемът с избора между IPSEC VPN срещу SSL VPN е тясно свързан с темата „Имате ли нужда от VPN, когато повечето онлайн трафик са криптирани?„Които разгледахме в скорошния ни блог.

Опаковане на IPSEC и SSL VPN

Някои могат да смятат, че VPN едва ли са необходими с възхода на вграденото криптиране директно в имейл, браузъри, приложения и облачно съхранение.

В действителност VPN все още осигуряват жизненоважна защита и управление на отдалечен достъп. Особено важно е с толкова високи пропорции на служителите от работата от дома, все повече ИТ ресурси и инфраструктура в публичния облак, както и увеличаване на натиска върху спазването на разпоредбите като GDPR и директивата на NIS2.

Със своята технология, доказана във времето и постоянно развитие, IPSec Protocol Suite е основата за осигуряване на бизнес комуникация в публичния интернет. И докато конкурентите му, като протокол Wireguard, не са зрели, той ще остане крайъгълен камък от съвременни облачни VPNs.

Ако се чудите къде да получите IPSEC VPN, опитайте Goodaccess. Просто създайте безплатен акаунт и вземете личния си тестов диск.

Да започваме

Вижте защо вашите връстници избират GoodAccess. Създайте своя безплатен акаунт днес и се насладете на всички премиум функции за 14 дни, безпроблемни.