Internet Protocol Security (IPsec)
IPsec – это набор протоколов для организации VPN, использующихся для обеспечения сервисов приватности и аутентификации на сетевом уровне модели OSI.
IPsec был стандартизирован в 1995 году (RFC 1825) и включает в себя три протокола, каждый со своими функциями:
- ESP (Encapsulating Security Payload – безопасная инкапсуляция полезной нагрузки) занимается непосредственно шифрованием данных, а также может обеспечивать аутентификацию источника и проверку целостности данных.
- AH (Authentication Header – заголовок аутентификации) отвечает за аутентификацию источника и проверку целостности данных.
- IKE (Internet Key Exchange protocol – протокол обмена ключами) используется для формирования IPSec Security Association - набора параметров защищенного соединения (например: алгоритм шифрования, ключ шифрования и т.д.), которые используются для согласования работы участников защищенного соединения. С помощью этого протокола, участники договариваются, какой алгоритм шифрования будет использоваться, по какому алгоритму будет производиться (и будет ли вообще) проверка целостности, как аутентифицировать друг друга.
IPsec может работать в одном из двух режимов: транспортном (по умолчанию) или туннельном. В транспортном режиме работы механизмы безопасности применяются только для протоколов, начиная с транспортного уровня и выше, оставляя данные самого сетевого уровня (заголовок IP) без дополнительной защиты. В туннельном режиме берётся изначальный IP-пакет, шифруется полностью, вместе с заголовком IP, добавляется служебная информация IPSec и новый заголовок IP. Чаще всего туннельный режим используется для того, чтобы связать две приватные сети через публичную, обеспечив при этом шифрование (что-то вроде безопасного GRE). Транспортный же актуален тогда, когда IP-связность уже достигнута, но трафик между узлами нужно шифровать.Метавселенная ВДНХ
По состоянию на 2016 год IPSec является одним из самых надежных решений для создания виртуальных частных сетей.
Среди недостатков IPSec - большой объем дополнительной информации, добавляемой к исходному пакету, как следствие - избыточность и сложность протокола.
См. также
- ИКС Протокол обмена персональными данными
- Point-to-Point Tunneling Protocol (PPTP)
- Layer 2 Tunneling Protocol (L2TP)
- Secure Socket Tunneling Protocol (SSTP)
- VPN (мировой рынок)
- VPN (рынок России)
- VPN-решения для корпоративных сетей
- VPN-роутеры для малого и среднего бизнеса (СМБ)
- VPN и приватность (анонимность)