Докато протоколът AH е протокол за удостоверяване, протоколът ESP също осигурява удостоверяване и криптиране.
Асоциация за сигурност:
Асоциацията се състои в администриране на ключове и установяване на сигурна връзка между устройствата, това е първата стъпка във връзката и се осъществява от протокола IKE (Internet Key Exchange).
Удостоверяване:
В този случай удостоверяването не осигурява криптиране, тъй като информацията не е шифрована, функцията на протокола AH и нейното удостоверяване е да потвърди, че доставеният пакет не е бил прихванат и модифициран или „счупен“ по време на прехвърлянето. Протоколът AH помага да се провери целостта на прехвърлените данни и свързаните IP адреси. Използването на IPSEC с AH няма да защити информацията ни от атака Man In the Middle, но ще ни уведоми за нея чрез откриване на разлики между заглавката на получения IP пакет и оригиналния. За да го направи, AH протоколите идентифицират пакети, добавяйки слой с поредица от числа.
AH, Authentication Header, както посочва името му, също проверява слоя на IP заглавката, докато ESP не включва IP заглавката.
Забележка: IP Header е пакетният слой на IP, съдържащ информация за установената връзка (или ще се свърже), като например адреса на източника и местоназначението.
Шифроване:
За разлика от протокола AH, който само удостоверява целостта на пакетите, подателите в IP заглавията, ESP (Encapsulating Security Payload) пакет допълнително предлага криптиране, което означава, че ако атакуващият прихване пакета, той няма да може да види съдържанието, защото е шифрована.
Асиметрични и симетрични криптиране
IPSEC комбинира както асиметрични, така и симетрични криптиране, за да осигури сигурност, като същевременно поддържа скорост.
Симетричните криптиране имат един ключ, споделен между потребителите, докато асиметричното криптиране е този, който използваме при удостоверяване с публични и частни ключове. Асиметричното криптиране е по-безопасно, защото ни позволява да споделяме публичен ключ с много потребители, докато защитата разчита на частния ключ, симетричното криптиране е по-малко безопасно, защото сме принудени да споделяме единствения ключ.
Предимство на симетричното криптиране е скоростта, а постоянното взаимодействие между две устройства, трайно удостоверяващи с асиметрично криптиране, ще бъде бавно. IPSEC интегрира и двамата, първо асиметричното криптиране удостоверява и установява безопасна връзка между устройствата, използващи протоколи IKE и AH и след това преминава към симетрично криптиране, за да поддържа скоростта на връзката, SSL протоколът също така интегрира както асиметрични, така и симетрични криптиране, но SSL или TLS принадлежат към по-висок слой на IP протокола, затова IPSEC може да се използва за TCP или UDP (можете също да използвате SSL или TLS, но това не е норма).
Използването на IPSEC е пример за необходимостта от добавяне на допълнителна поддръжка към нашето ядро, което да се използва, както е обяснено в предишна статия за ядрото на Linux. Можете да внедрите IPSEC на Linux с strongSwan, на системи Debian и Ubuntu можете да въведете:
apt инсталирайте strongswan -y
Публикувана е и статия за VPN услуги, включително IPSEC, лесна за настройка в Ubuntu.
Надявам се, че тази статия ви е била полезна за разбиране на протоколите IPSEC и как те работят. Продължавайте да следвате LinuxHint за повече съвети и актуализации за Linux.