IPsec: määritelmä, salaus ja käyttö Internet-tietoturvassa

IPsec-opas: mitä IPsec on, miten salaus ja todennus suojaavat Internet-yhteyksiä, VPN:t ja yritysverkot — käytännön vinkit ja parhaat käytännöt tietoturvan vahvistamiseen.

Tekijä: Leandro Alegsa

IPsec (Internet Protocol Security) on tapa tehdä Internet-viestinnästä turvallisempaa ja yksityisempää.

IPsec on kokoelma protokollia, joilla suojataan Internet Protocol (IP) -tiedonsiirtoa todentamalla (ja mahdollisesti salaamalla) tietovirran jokainen IP-paketti. IPsec sisältää myös protokollia, joilla luodaan osapuolten keskinäinen todennus istunnon alussa ja neuvotellaan istunnon aikana käytettävistä salausavaimista. IPsec:tä voidaan käyttää suojaamaan tietovirtoja isäntäparin (esim. tietokoneen käyttäjien tai palvelimien) välillä, tietoturvayhdyskäytäväparin (esim. reitittimien tai palomuurien) välillä tai tietoturvayhdyskäytävän ja isännän välillä. RFC 2406

IPsec on päästä päähän -turvaratkaisu, ja se toimii Internet Protocol Suite -protokollapaketin Internet-kerroksella, joka on verrattavissa OSI-mallin kolmanteen kerrokseen. Muut laajalti käytössä olevat Internetin turvallisuusprotokollat, kuten SSL, TLS ja SSH, toimivat näiden mallien ylemmillä kerroksilla. Tämä tekee IPsecistä joustavamman, sillä sitä voidaan käyttää kaikkien ylemmän tason protokollien suojaamiseen, koska sovelluksia ei tarvitse suunnitella IPseciä varten, kun taas TLS/SSL:n tai muiden ylemmän tason protokollien käyttö on rakennettava sovellukseen.

IETF (Internet Engineering Task Force) on määritellyt virallisesti termin "IPsec". Tämä määritelmä sisältää myös termistä käytetyn ison alkukirjaimen; se kirjoitetaan usein virheellisesti IPSec.



Miten IPsec toimii käytännössä

IPsec suojaa IP-liikennettä muodostamalla suojatun yhteyden kahden osapuolen välille. Suojauksen peruselementtejä ovat todennus, tiedon eheys ja salaukseen perustuva luottamuksellisuus. IPsec käyttää tähän useita protokollia ja mekanismeja, joista tärkeimmät ovat Authentication Header (AH) ja Encapsulating Security Payload (ESP), sekä avaintenvaihtoon liittyvä IKE (Internet Key Exchange).

Pääprotokollat: AH ja ESP

  • AH (Authentication Header) tarjoaa viestin eheyden ja lähteen todennuksen. AH ei salaa paketin sisältöä, vaan suojaa IP-otsikon osittain ja reitityksen jälkeen näkyviä kenttiä. AH ei ole yhteensopiva NAT-osoitteenmuutosten kanssa, koska se huomioi muun muassa IP-otsikon muutokset.
  • ESP (Encapsulating Security Payload) tarjoaa salauksen, eheyden ja todennuksen paketin datalle. ESP on yleisimmin käytetty protokolla IPsec-yhteyksissä, koska se mahdollistaa sekä luottamuksellisuuden että eheyden.

Istunnot, avainhallinta ja IKE

IPsec käyttää Security Association (SA) -rakenteita määritelläkseen, millä tavoin liikenne suojataan (käytettävät algoritmit, avaimet, elinaika jne.). SA:t neuvotellaan ja avaimet vaihdetaan yleensä IKE-protokollan avulla. IKE:stä on kaksi pääversiota: IKEv1 ja nykyaikaisempi IKEv2, jota suositellaan sen parannettujen ominaisuuksien ja yksinkertaisemman arkkitehtuurin vuoksi.

  • Avainten vaihto tapahtuu yleensä Diffie–Hellman-tyyppisellä menetelmällä (esim. ECDH).
  • Todentamiseen voidaan käyttää esimerkiksi esijakoa (PSK), X.509-sertifikaatteja tai muuta PKI-ketjua.
  • Yleisiä protokollaportteja: UDP 500 (IKE) ja UDP 4500 (NAT-T eli NAT Traversal -tapauksissa).

Tunnel- ja transport-tilat

IPsec voi toimia kahdessa tilassa:

  • Transport-tila: Suojaa alkuperäisen IP-paketin dataosan (payload). Käytetään usein isäntäkohtaisissa yhteyksissä.
  • Tunnel-tila: Enkapsuloi koko IP-paketin uuteen IP-päähän ja suojaa sitä kokonaisuudessaan. Tätä käytetään tyypillisesti verkkojen välisissä site-to-site VPN -yhteyksissä.

Käyttötapaukset

  • Site-to-site VPN: Kytkee kaksi verkkoa turvallisesti ikään kuin ne olisivat osa samaa LAN-verkkoa (esim. toimipisteiden välillä).
  • Remote access VPN: Mahdollistaa etäkäyttäjän tai kannettavan laitteen turvallisen liittymisen yritysverkkoon.
  • Isäntä-isäntä-yhteydet: Suojaa kahden palvelimen tai kahden työaseman välistä liikennettä.

Edut ja rajoitukset

Edut

  • Toimii verkon (IP) tasolla, joten se voi suojata kaikkia sovelluksia ilman sovellustason muutoksia.
  • Standardoitu ja laajasti tuettu monissa käyttöjärjestelmissä ja laitteissa.
  • Voidaan konfiguroida monipuolisesti eri suojaustasoille ja -käytännöille.

Rajoitukset ja haasteet

  • NAT (Network Address Translation) voi rikkoa AH:n toiminnan; ESP toimii yleensä NAT:n kanssa, mutta usein vaatii NAT-T-enkapsulaation (UDP 4500).
  • Konfigurointi ja avainten hallinta voivat olla monimutkaisia verrattuna joidenkin sovelluskerroksen ratkaisujen (esim. TLS) käyttöönottoon.
  • Suorituskykyvaikutus: salaus ja eheyden tarkistus lisäävät laskentakuormaa ja voivat kasvattaa pakettien kokoa (MTU- ja fragmentointiongelmat).

Standardeista ja turvallisuussuosituksista

IPsec-spesifikaatiot ovat kehittyneet ajan myötä. Alkuperäisiä RFC:tä (kuten RFC 2401 ja RFC 2406) on päivitetty ja korvattu uudempien määritelmien avulla; keskeisiä nykyaikaisia dokumentteja ovat mm. RFC 4301 (arkkitehtuuri), RFC 4302 (AH) ja RFC 4303 (ESP). Käytännössä kannattaa:

  • Valita modernit algoritmit, esim. AES-GCM salaukseen ja SHA-2/SHA-3 eheyteen.
  • Käyttää IKEv2:ta, kun mahdollista, paremman suorituskyvyn ja yksinkertaisemman konfiguraation vuoksi.
  • Poistaa vanhentuneet algoritmit (esim. DES, 3DES, MD5) käytöstä.
  • Huomioida NAT-ympäristöt ja käyttää tarvittaessa NAT-T:tä (UDP 4500).

Käytännön vinkkejä

  • Testaa ja monitoroi IPsec-yhteyksiä säännöllisesti; varmista että avainten uusiminen ja SA:iden elinkaaret toimivat odotetusti.
  • Optimoi MTU- ja fragmentointiasetukset estääksesi suorituskykyongelmia ja katkoksia.
  • Harkitse laitteiden ja ohjelmistojen yhteensopivuutta sekä sertifikaattien hallintaa (PKI) isommissa ympäristöissä.

IPsec on erittäin laaja ja vakiintunut tapa suojata IP-liikennettä. Oikein konfiguroituna ja ylläpidettynä se tarjoaa vahvan, sovellusriippumattoman tason suojauksen monenlaisiin verkkoarkkitehtuureihin.

Aiheeseen liittyvät sivut



Kysymyksiä ja vastauksia

K: Mikä on IPsec (Internet Protocol Security)?


V: IPsec on tapa tehdä Internet-viestinnästä turvallisempaa ja yksityisempää todentamalla ja valinnaisesti salaamalla tietovirran jokainen IP-paketti.

K: Miten IPsec toimii?


V: IPsec sisältää protokollia, joilla luodaan osapuolten keskinäinen todennus istunnon alussa, neuvotellaan istunnon aikana käytettävistä salausavaimista ja suojataan tietovirtoja kahden isäntäkoneen tai tietoturvayhteyden välillä. Se toimii Internet Protocol Suite -protokollapaketin Internet-kerroksella, joka on verrattavissa OSI-mallin kolmanteen kerrokseen.

Kysymys: Mitä muita suosittuja Internetin tietoturvaprotokollia on?


V: Muita suosittuja internetin turvallisuusprotokollia ovat SSL, TLS ja SSH, jotka toimivat näiden mallien ylemmillä kerroksilla.

K: Miten tämä tekee IPsecistä joustavamman?


V: Tämä tekee IPsecistä joustavamman, koska sitä voidaan käyttää kaikkien ylemmän tason protokollien suojaamiseen, koska sovelluksia ei tarvitse suunnitella erityisesti sen käyttöä varten, toisin kuin TLS/SSL tai muut ylemmän tason protokollat, jotka on rakennettava sovellukseen.

K: Kuka määrittelee, mitä "IPsec" tarkoittaa?


V: IETF (Internet Engineering Task Force) on määritellyt virallisesti termin "IPsec".
K: Onko "IPsec" kirjoitettu väärin? V: Kyllä, se kirjoitetaan usein virheellisesti IPSeciksi.


Etsiä
AlegsaOnline.com - 2020 / 2025 - License CC3