VPN (7) - šifrování na síťové vrstvě

Šifrovací technologie jsou pro vytváření virtuálních sítí velice efektivní a mohou být využity prakticky na libovolné vrstvě protokolového zásobníku. Nejpoužívanější architektura IPSec (IP Security) využívá síťovou vrstvu a představují v současnosti jedno z nejlepších a nejrozšířenějších řešení pro budování VPN.

Šifrovací technologie jsou pro vytváření virtuálních sítí velice efektivní a mohou být využity prakticky na libovolné vrstvě protokolového zásobníku. Nejpoužívanější architektura IPSec (IP Security) využívá síťovou vrstvu a představují v současnosti jedno z nejlepších a nejrozšířenějších řešení pro budování VPN.

Původně byla tato architektura popsána v RFC 1825-1829. Tyto dokumenty jsou už nyní ale překonané a v širším slova smyslu IPsec v současnosti představuje jakýsi rámec pro souhrn mnoha protokolů, definovaných sdružením IETF. V užším slova smyslu pak IPsec představuje definovanou sadu hlaviček, které jsou přidány za IP hlavičku před hlavičky 4. vrstvy (typicky TCP nebo UDP). Tyto hlavičky pak nesou informace pro zabezpečení obsahu paketu.

IPsec je založen na vytvoření šifrovaného tunelu mezi dvěma koncovými zařízeními, které mohou představovat např. směrovač, firewall nebo koncovou stanici. Tento standard definuje nejen samotné šifrování, ale i standardní metody pro výměnu a správu klíčů.

Šifrované spojení zajišťuje následující vlastnosti:

1.    utajení (data jsou šifrována);

2.    integritu (přijímací strana ověřuje, zda nedošlo během přenosu k manipulaci s daty);

3.    ověření pravosti zdroje;

4.    anti-replay (přijímací strana rozpozná a odmítne opakované zasílání paketu – jedná se o případnou obranu proti replay útokům).

Největší výhodou IPsec proti jiným šifrovacím systémům je především to, že byl navržen nezávislou organizací (IETF) a jedná se o snadno škálovatelné řešení. Zabezpečení komunikace tak není vázáno na konkrétní aplikaci, ale je přímo součástí síťové infrastruktury. Díky platformní nezávislosti je také dostupné pro různá řešení od směrovačů nebo firewallů až po klientské stanice nebo přístupové servery.

Pro IPsec tunel jsou definovány dva přenosové módy. Z obrázků je zřejmý rozdíl mezi oběma módy. Výhodou transportního módu jsou nižší nároky na přenosové pásmo. Tím, že jsou k dispozici informace o cílovém zařízení, lze rovněž během přenosu paketu sítí aplikovat některé nadstandardní mechanismy (např. QoS). V tunelovacím módu je celý IP datagram šifrován a je vytvořena nová hlavička. Tento mód zase umožňuje, že některá zařízení mohou fungovat jako IPsec proxy. Tyto zařízení pak pošlou rozšifrovaný paket cílovému zařízení. Tímto způsobem lze používat IPsec bez nutnosti implementovat jej na všechna koncová zařízení. V současnosti je nejčastěji používán tunelovací mód.

 
Obr. 7 - Transportní mód
 

 

 
Obr. 8 - Tunelovací mód

Před vytvořením šifrovaného tunelu je potřeba dohodnout parametry spojení:

1.    šifrovací algoritmus (DES, 3DES);

2.    hašovací funkci (MD5, SHA);

3.    metodu autentikace;

4.    dobu životnosti.

Pro konfigurace koncových zařízení se používají dvě metody. Buď lze v obou koncových bodech použít předem definovaný klíč nebo lze využít pro sdílení klíčů certifikační autority. První metoda má výhodu v jednoduchosti konfigurace a přitom neklade žádné nároky na další infrastrukturu, druhá metoda umožňuje poměrně jednoduše vytvářet rozlehlé a komplikované virtuální sítě.

Při definování IPsec tunelu se zároveň vytváří filtry, které určují jaká komunikace bude šifrována a jaká proběhne standardní cestou. Díky tomu, že IPsec je skrytý pro aplikace nad síťovou vrstvou, lze jej použít i v kombinaci s jiným VPN řešením, např. s L2TP nebo GRE tunelem.