logo

TechCodeview

Sicurezza IP (IPSec)

Prerequisito: Tipi di protocollo Internet

IP Sec (Internet Protocol Security) è una suite di protocolli standard IETF (Internet Engineering Task Force) tra due punti di comunicazione sulla rete IP che forniscono autenticazione, integrità e riservatezza dei dati. Definisce inoltre i pacchetti crittografati, decrittografati e autenticati. In esso sono definiti i protocolli necessari per lo scambio sicuro delle chiavi e la gestione delle chiavi.



Usi della sicurezza IP

IPsec può essere utilizzato per eseguire le seguenti operazioni:

  • Per crittografare i dati del livello applicazione.
  • Per fornire sicurezza ai router che inviano dati di routing attraverso la rete Internet pubblica.
  • Per fornire l'autenticazione senza crittografia, ad esempio per autenticare che i dati provengano da un mittente noto.
  • Per proteggere i dati di rete configurando circuiti utilizzando il tunneling IPsec in cui tutti i dati inviati tra i due endpoint sono crittografati, come con una connessione VPN (Virtual Private Network).

Componenti della sicurezza IP

Ha i seguenti componenti:

  1. Incapsulamento del carico utile di sicurezza (ESP)
  2. Intestazione di autenticazione (AH)
  3. Scambio chiavi Internet (IKE)

1. Incapsulamento del carico utile di sicurezza (ESP): Fornisce integrità dei dati, crittografia, autenticazione e anti-replay. Fornisce inoltre l'autenticazione per il carico utile.



2. Intestazione di autenticazione (AH): Fornisce inoltre integrità dei dati, autenticazione e anti-replay e non fornisce crittografia. La protezione anti-replay protegge dalla trasmissione non autorizzata di pacchetti. Non protegge la riservatezza dei dati.

Intestazione IP

Intestazione IP

3. Scambio chiavi Internet (IKE): È un protocollo di sicurezza di rete progettato per scambiare dinamicamente chiavi di crittografia e trovare un modo per superare la Security Association (SA) tra 2 dispositivi. La Security Association (SA) stabilisce attributi di sicurezza condivisi tra 2 entità di rete per supportare comunicazioni sicure. Il Key Management Protocol (ISAKMP) e la Internet Security Association forniscono un quadro per l'autenticazione e lo scambio di chiavi. ISAKMP spiega come vengono configurate le Security Associations (SA) e come le connessioni dirette tra due host utilizzano IPsec. Internet Key Exchange (IKE) fornisce la protezione del contenuto dei messaggi e anche un frame aperto per l'implementazione di algoritmi standard come SHA e MD5. Gli utenti IP sec dell’algoritmo producono un identificatore univoco per ciascun pacchetto. Questo identificatore consente quindi a un dispositivo di determinare se un pacchetto è stato corretto o meno. I pacchetti non autorizzati vengono scartati e non consegnati al destinatario.



Pacchetto nel protocollo Internet

Pacchetti nel protocollo Internet

Architettura di sicurezza IP

L'architettura IPSec (IP Security) utilizza due protocolli per proteggere il traffico o il flusso di dati. Questi protocolli sono ESP (Encapsulation Security Payload) e AH (Authentication Header). L'architettura IPSec include protocolli, algoritmi, DOI e gestione delle chiavi. Tutte queste componenti sono molto importanti per poter fornire i tre servizi principali:

  • Riservatezza
  • Autenticità
  • Integrità
Architettura di sicurezza IP

Architettura di sicurezza IP

Lavorare sulla sicurezza IP

  • L'host controlla se il pacchetto deve essere trasmesso utilizzando IPsec oppure no. Questo traffico di pacchetti attiva la politica di sicurezza stessa. Ciò avviene quando il sistema che invia il pacchetto applica la crittografia appropriata. L'host verifica anche che i pacchetti in entrata siano crittografati correttamente o meno.
  • Quindi inizia la Fase 1 IKE in cui i 2 host (utilizzando IPsec) si autenticano tra loro per avviare un canale sicuro. Ha 2 modalità. La modalità Principale fornisce una maggiore sicurezza e la modalità Aggressiva che consente all'host di stabilire un circuito IPsec più rapidamente.
  • Il canale creato nell'ultimo passaggio viene quindi utilizzato per negoziare in modo sicuro il modo in cui il circuito IP crittograferà i dati attraverso il circuito IP.
  • Ora, la Fase 2 dell'IKE viene condotta sul canale sicuro in cui i due host negoziano il tipo di algoritmi crittografici da utilizzare nella sessione e concordano il materiale di codifica segreta da utilizzare con tali algoritmi.
  • Quindi i dati vengono scambiati attraverso il tunnel crittografato IPsec appena creato. Questi pacchetti vengono crittografati e decrittografati dagli host utilizzando le SA IPsec.
  • Quando la comunicazione tra gli host viene completata o la sessione scade, il tunnel IPsec viene terminato scartando le chiavi da entrambi gli host.

Caratteristiche di IPSec

  1. Autenticazione: IPSec fornisce l'autenticazione dei pacchetti IP utilizzando firme digitali o segreti condivisi. Ciò aiuta a garantire che i pacchetti non vengano manomessi o contraffatti.
  2. Riservatezza: IPSec garantisce riservatezza crittografando i pacchetti IP, impedendo l'intercettazione del traffico di rete.
  3. Integrità: IPSec garantisce l'integrità garantendo che i pacchetti IP non siano stati modificati o danneggiati durante la trasmissione.
  4. Gestione delle chiavi: IPSec fornisce servizi di gestione delle chiavi, inclusi lo scambio e la revoca delle chiavi, per garantire che le chiavi crittografiche siano gestite in modo sicuro.
  5. Tunneling: IPSec supporta il tunneling, consentendo ai pacchetti IP di essere incapsulati all'interno di un altro protocollo, come GRE (Generic Routing Encapsulation) o L2TP (Layer 2 Tunneling Protocol).
  6. Flessibilità: IPSec può essere configurato per fornire sicurezza per un'ampia gamma di topologie di rete, comprese le connessioni punto a punto, da sito a sito e ad accesso remoto.
  7. Interoperabilità: IPSec è un protocollo standard aperto, il che significa che è supportato da un'ampia gamma di fornitori e può essere utilizzato in ambienti eterogenei.

Vantaggi dell'IPSec

  1. Forte sicurezza: IPSec fornisce potenti servizi di sicurezza crittografica che aiutano a proteggere i dati sensibili e a garantire la privacy e l'integrità della rete.
  2. Ampia compatibilità: IPSec è un protocollo standard aperto ampiamente supportato dai fornitori e può essere utilizzato in ambienti eterogenei.
  3. Flessibilità: IPSec può essere configurato per fornire sicurezza per un'ampia gamma di topologie di rete, comprese le connessioni punto a punto, da sito a sito e ad accesso remoto.
  4. Scalabilità: IPSec può essere utilizzato per proteggere reti su larga scala e può essere ampliato o ridotto in base alle esigenze.
  5. Prestazioni di rete migliorate: IPSec può contribuire a migliorare le prestazioni della rete riducendo la congestione della rete e migliorando l'efficienza della rete.

Svantaggi di IPSec

  1. Complessità della configurazione: IPSec può essere complesso da configurare e richiede conoscenze e competenze specializzate.
  2. Problemi di compatibilità: IPSec può presentare problemi di compatibilità con alcuni dispositivi e applicazioni di rete, che possono portare a problemi di interoperabilità.
  3. Impatto sulle prestazioni: IPSec può influire sulle prestazioni della rete a causa del sovraccarico della crittografia e decrittografia dei pacchetti IP.
  4. Gestione delle chiavi: IPSec richiede una gestione efficace delle chiavi per garantire la sicurezza delle chiavi crittografiche utilizzate per la crittografia e l'autenticazione.
  5. Protezione limitata: IPSec fornisce protezione solo per il traffico IP e altri protocolli come ICMP, DNS e protocolli di routing potrebbero essere ancora vulnerabili agli attacchi.