Phenquestions
Хотя протокол AH является протоколом аутентификации, протокол ESP также обеспечивает аутентификацию и шифрование.
Ассоциация безопасности:
Ассоциация заключается в администрировании ключей и установлении безопасного соединения между устройствами, это первый шаг в соединении и осуществляется по протоколу IKE (Internet Key Exchange).
Аутентификация:
В этом случае аутентификация не обеспечивает шифрование, потому что информация не зашифрована, функция протокола AH и его аутентификации заключается в подтверждении того, что доставленный пакет не был перехвачен, изменен или «сломан» во время передачи. Протокол AH помогает проверить целостность передаваемых данных и предполагаемые IP-адреса. Использование IPSEC с AH не защитит нашу информацию от атаки Man In the Middle, но даст нам знать об этом, обнаружив различия между заголовком полученного IP-пакета и исходным. Для этого протоколы AH идентифицируют пакеты, добавляя слой с последовательностью чисел.
AH, заголовок аутентификации, как указывает его имя, также проверяет уровень заголовка IP, в то время как ESP не включает заголовок IP.
Примечание: Заголовок IP - это пакетный уровень IP, содержащий информацию об установленном соединении (или собирающемся подключении), такую как адрес источника и назначения, среди прочего.
Шифрование:
В отличие от протокола AH, который проверяет только целостность пакетов, отправители в IP-заголовках, пакет ESP (Encapsulating Security Payload) дополнительно предлагает шифрование, что означает, что если злоумышленник перехватит пакет, он не сможет увидеть контент, потому что он зашифрован.
Асимметричное и симметричное шифрование
IPSEC сочетает в себе асимметричное и симметричное шифрование для обеспечения безопасности при сохранении скорости.
Симметричное шифрование имеет один ключ, совместно используемый пользователями, в то время как асимметричное шифрование - это то, что мы используем при аутентификации с использованием открытых и закрытых ключей. Асимметричное шифрование более безопасно, потому что оно позволяет нам делиться открытым ключом со многими пользователями, в то время как безопасность полагается на закрытый ключ, симметричное шифрование менее безопасно, потому что мы вынуждены делиться единственным ключом.
Преимущество симметричного шифрования - это скорость, постоянное взаимодействие между двумя устройствами с постоянной аутентификацией с асимметричным шифрованием будет медленным. IPSEC объединяет их оба: сначала асимметричное шифрование аутентифицирует и устанавливает безопасное соединение между устройствами, использующими протоколы IKE и AH, а затем оно переходит на симметричное шифрование, чтобы сохранить скорость соединения, протокол SSL также объединяет асимметричное и симметричное шифрование, но SSL или TLS относится к более высокому уровню протокола IP, поэтому IPSEC можно использовать для TCP или UDP (вы также можете использовать SSL или TLS, но это не норма).
Использование IPSEC является примером необходимости добавления дополнительной поддержки в наше ядро, которое будет использоваться, как описано в предыдущей статье о ядре Linux. Вы можете реализовать IPSEC в Linux с помощью strongSwan, в системах Debian и Ubuntu вы можете ввести:
apt install strongswan -y
Также была опубликована статья о VPN-сервисах, в том числе о простоте настройки IPSEC в Ubuntu.
Надеюсь, вы нашли эту статью полезной для понимания протоколов IPSEC и их работы. Следите за LinuxHint для получения дополнительных советов и обновлений по Linux.
