Wat is IPsec en hoe werk dit?

Wat is IPsec-kodering en hoe werk dit_


IPsec is ‘n raamwerk van tegnieke waaraan gewoond is verseker die verband tussen twee punte. Dit staan ​​vir Internet Protocol Security en word die meeste in VPN’s gesien. Dit kan ietwat ingewikkeld wees, maar dit is ‘n nuttige opsie om verbindings in sekere situasies te beveilig.

Hierdie gids verdeel IPsec in maklike stukke en gee u ‘n inleiding wat die protokol is, hoe dit werk en sommige van die potensiële veiligheidskwessies..

IPsec: ‘n oorsig

IPsec is aanvanklik ontwikkel omdat die algemeenste internetprotokol, IPv4, nie baie veiligheidsbepalings het nie. Data wat via IPv4 oorgedra word, kan maklik onderskep word, verander of gestop word, wat dit ‘n swak stelsel maak vir belangrike transmissies.

‘N Nuwe stel standaarde was nodig om inligting te beskerm. IPsec het hierdie leemte gevul deur op te tree as ‘n raamwerk wat verbindings kan verifieer, asook om die integriteit van data te bewys en dit vertroulik te maak. IPsec is ‘n oop standaard wat op die netwerkvlak werk. Dit kan gebruik word om data veilig van gasheer-na-gasheer, netwerk-tot-netwerk of tussen ‘n netwerk en ‘n gasheer oor te dra.

IPsec word die meeste gebruik om verkeer te beveilig wat oor IPv4 beweeg. Aanvanklik was daar ook ‘n vereiste vir implementering van die nuwer internetprotokol, IPv6, om IPsec te ondersteun. Desondanks is dit nou slegs ‘n aanbeveling en word dit nie afgedwing nie.

As ‘n raamwerk, IPsec, bestaan ​​dit uit drie hoofelemente. Die eerste twee is die protokolle, Encapsulating Security Payload (ESP) and Authentication Header (AH). Veiligheidsverenigings (SA’s) is die finale aspek.

ESP kan gebruik word om data te versleut en te verifieer, terwyl AH slegs gebruik kan word om dit te verifieer. Die twee opsies word gewoonlik afsonderlik gebruik, hoewel dit moontlik is om dit saam te gebruik.

IPsec gebruik SA’s om die parameters van verbindings vas te stel. Hierdie parameters sluit die sleutelbestuurstelsels in wat elke party sal gebruik om mekaar te verifieer, sowel as koderingsalgoritmes, hash-algoritmes en ander elemente wat belangrik is vir die bestuur van ‘n veilige en stabiele verbinding.

IPsec kan beide ESP en AH in ‘n tonnel- of vervoermodus gebruik. Wanneer tonnelmodus gebruik word, is die volledige datapakket óf geïnkripteer óf geverifieerd (of albei). Die loonvrag, kop en sleepwa (indien ingesluit) word in ‘n ander datapakket toegedraai om dit te beskerm.

In die transportmodus bly die oorspronklike kopkop, maar ‘n nuwe kopstuk word hier onder bygevoeg. Daar is ook ‘n paar ander veranderinge, afhangende van of ESP of AH gebruik word. Dit dien om die pakkie te beskerm, maar inligting is nog steeds beskikbaar vir aanvallers.

Die mees algemene konfigurasie wat ons sien, is ESP met verifikasie in tonnelmodus. Dit is waarop baie VPN’s vertrou om data te beveilig. Dit funksioneer soos ‘n geënkripteerde tonnel en gee data ‘n veilige gang terwyl dit deur potensieel gevaarlike tussennetwerke beweeg.

Die geskiedenis van IPsec

In die vroeë dae van die internet was sekuriteit nie in baie situasies ‘n prioriteit nie. Dit is omdat die internetgemeenskap beperk was tot diegene wat die kennis, hulpbronne en die begeerte gehad het om dit te gebruik. Die aantal gebruikers was klein in vergelyking met die hedendaagse tyd, en ‘n baie kleiner hoeveelheid data is oorgedra. As gevolg hiervan het aanvallers baie minder geleenthede gehad.

Namate die gemeenskap groei en die internet aktiewer word, sekuriteit het meer noodsaaklik geword. In die tagtigerjare het die NSA sy Secure Data Network Systems (SDNS) -program gebruik om die ontwikkeling van ‘n aantal sekuriteitsgerigte protokolle te finansier..

Die resultate is in 1988 deur die National Institute of Standards and Technology (NIST) gepubliseer. Een van die protokolle wat deur NIST uiteengesit is, Sekuriteitsprotokol by laag 3 (SP3), het uiteindelik ‘n internetstandaard geword, die Netwerklaagbeveiligingsprotokol (NLSP).

Met verloop van tyd het verskillende organisasies begin verbeter op SP3, met projekte wat deur die US Naval Research Lab (NRL), AT&T Bell Labs, betroubare inligtingstelsels en ander. Terselfdertyd het ander vooruitgang, soos die apparaatbestuurder van die Data Encryption Standard (DES), dit moontlik gemaak om die data veilig teen die kus van die VS teen redelike snelhede vir die tydperk te stuur.

As hierdie ontwikkelinge apart gehou sou word, sou dit daartoe gelei het interoperabiliteitskwessies tussen die verskillende stelsels. Die Internet Engineering Task Force (IETF) het die IP Security Working Group gevorm om hierdie ontwikkelings in ‘n interoperabele protokol te standaardiseer. In 1995 publiseer die IETF die besonderhede van die IPsec-standaard in RFC 1825, RFC 1826 en RFC 1827.

Die NRL was die eerste met ‘n werkende implementering van die standaard, wat sedertdien in hoofstroomgebruik gebruik is. Daar was oor die jare talle opdaterings aan IPsec en die dokumentasie daarvan, maar dit is steeds ontplooi om beide kante van ‘n verbinding te verifieer en die data wat tussenin beweeg te beveilig.

Hoe werk IPsec?

Voordat ons die meer tegniese besonderhede van IPsec en die verskillende modusse daarvan bespreek, sal ons dit deur middel van ‘n analogie bespreek wat dit makliker maak om die ietwat ingewikkelde konfigurasies te visualiseer. Eerstens moet u ‘n bietjie verstaan ​​hoe pakkies oor IPv4 werk, en die veiligheidsprobleme wat daarmee gepaard gaan.

Wat is datapakkies en hoe werk dit?

Data word oorgedra in pakkies, wat bestaan ​​uit a loonvrag en kop in IPv4. Die loonvrag is die data self wat oorgedra word, terwyl die kop die tipe protokol, adresse en ander inligting bevat wat nodig is om seker te maak dat die data op die gewenste plek kan uitkom.

Een van die beste maniere om datapakkette voor te stel, is om dit as poskaarte te beskou. Die loonvrag is die boodskap wat iemand agterop skryf, en die kop is die afleweringsinligting wat u aan die voorkant plaas. Net soos met poskaarte, is die data wat in ‘n normale IPv4-pakket gestuur word, nie baie veilig nie.

In hierdie standaardpakkies, iemand kan die loonvrag sien, net soos die posman of enige aanvaller wat u poskaart onderskep, dit kan lees. Hierdie pakkies kan selfs verander word asof u die poskaart aanvanklik in potlood geskryf het en ‘n aanvaller die oorspronklike boodskap uitvee en in iets anders geskryf het..

Aanvallers kan ook die bladsyinligting sien, net soos die voorkant van u poskaart. Dit laat hulle weet met wie jy kommunikeer en hoe jy dit doen. Hulle kan selfs hul eie IPv4-pakkies vals maak om dit te laat lyk soos wat jy dit gestuur het, wat baie lyk asof hulle jou handskrifstyl gekopieer het en voorgee dat dit jy is.

Soos u kan sien, is dit skaars ‘n veilige manier van kommunikasie, en daar is baie maniere waarop dit deur die aanvallers ontwrig kan word. Dit is wat gelei het tot die ontwikkeling van IPsec. Ekt het ‘n manier voorsien om verbindings te verifieer, die integriteit van data te bewys en dit vertroulik te hou, alles op die netwerkvlak. Sonder IPsec of ander sekuriteitsprotokolle kan aanvallers vry wees om enige sensitiewe en waardevolle data wat hulle onderskep het, te sien of te verander.

Encapsulating Security Payload (ESP): ‘n visualisering

Ons sal eers oor ESP praat, want dit is die meer algemeen gebruikte protokol. As dit met verifikasie in die tonnelmodus geïmplementeer word, word dit gebruik om VPN’s te vorm verbind gashere en netwerke veilig oor die onveilige tussennetwerke wat tussenin lê.

Soos u hierbo gesien het, is dit onveilig om sensitiewe data met IPv4 oor te dra. Die ESP-modus van IPsec los hierdie probleem op deur ‘n manier te vind enkripteer die data, wat die data vertroulik maak en verhoed dat aanvallers toegang daartoe kan kry. ESP kan ook gebruik word om data te verifieer, wat die wettigheid daarvan kan bewys.

As ESP met kodering gebruik word, is dit baie soos om die poskaart in ‘n geslote boks te plaas en dit per koerier te stuur. Niemand kan die inhoud van die poskaart sien nie, en dit kan ook nie verander nie. Hulle kan sien watter posinligting op die geslote kassie staan, maar dit verskil van wat op die poskaart geskryf word.

As ESP ook met verifikasie gebruik word, is dit baie soos om die poskaart te onderteken of u eie persoonlike seël daarop te plaas voordat dit in die kassie geplaas word. As die ontvanger die geslote boks ontvang, kan hy dit oopmaak en die poskaart uithaal. As hulle die seël of die handtekening sien, weet hulle dat die poskaart wettiglik van u af is.

As ESP in die vervoermodus is, is dit asof die poskaart in ‘n vak gesluit is en per koerier gestuur word, behalwe dat die vak ‘n duidelike venster het waardeur u die adresinligting van die poskaart kan sien. As dit in ‘n tonnelmodus is, is dit asof die poskaart in ‘n soliede vakkie is met verskillende adresinligting aan die buitekant.

Dit is natuurlik net ‘n analogie om u te help om te visualiseer wat aangaan. In werklikheid is daar sommige redelike beduidende verskille soos data wat tussen netwerke en leërskare reis, eerder as net een persoon wat inligting aan ‘n ander stuur.

Encapsulating Security Payload (ESP): die tegniese besonderhede

Noudat ons u ‘n rowwe idee gegee het van hoe ESP werk om data te beskerm, is dit tyd om dit op ‘n meer tegniese vlak te ondersoek. ESP kan gebruik word met ‘n verskeidenheid verskillende koderingsalgoritmes, met AES een van die gewildste. Dit kan selfs sonder enkripsie geïmplementeer word, hoewel dit selde in die praktyk gedoen word. Die opskrifte van ESP-datapakkette het ‘n Security Parameters Index (SPI) en ‘n reeksnommer.

Die SPI is ‘n identifiseerder waarmee die ontvanger kan weet met watter verbinding die data betrekking het, asook die parameters van die verbinding. Die reeksnommer is nog ‘n identifiseerder wat help om te verhoed dat aanvallers datapakkette verander.

ESP bevat ook ‘n sleepwa wat opvulling bevat, besonderhede oor die protokoltipe vir die volgende kop en verifikasiedata (indien verifikasie gebruik word). Wanneer verifikasie in plek is, word dit gedoen met ‘n Hashed Message Authentication Code (HMAC), wat bereken word met behulp van algoritmes soos SHA-2 en SHA-3.

ESP-verifikasie valideer slegs die ESP-kop en die geïnkripteer laai, maar dit beïnvloed nie die res van die pakket nie. As ‘n pakkie met ESP geïnkripteer is, kan aanvallers slegs die gegewens vanaf die koptekst sien en nie die loonvrag nie.

Omhul sekuriteitslading (ESP): vervoer modus

ESP se vervoermodus word gebruik om die inligting wat tussen twee gashere gestuur word, te beskerm. Die IP-kop word bo-op die ESP-pakket gehou, en baie van die kopinligting bly dieselfde, insluitend die bron- en bestemmingsadresse. Dit versleutelt en keur die pakket moontlik, wat vertroulikheid bied en kan ook gebruik word om die integriteit van die pakkie te verifieer.

Omhul sekuriteitslading (ESP): tonnelmodus

As ESP in ‘n tonnelmodus is, word die hele IP-datapakket in ‘n ander een toegedraai en word ‘n nuwe kop bo-op gevoeg. Wanneer verifikasie ook in plek is, kan ESP-tonnelmodus as ‘n VPN gebruik word. Dit is die IPsec se mees gebruikte konfigurasie.

Die verifikasie, bewys van integriteit en vertroulikheidsmaatreëls wat betrokke is by ESP se geverifieerde tonnelmodus, maak dit nuttig om veilig by twee afsonderlike netwerke aan te sluit oor die onbetroubare en potensieel gevaarlike netwerke wat tussen hulle lê..

Hierdie modus word die beste beskryf deur die algemene cliche van die bou van ‘n geënkripteerde tonnel tussen die twee punte, wat ‘n veilige verbinding skep wat aanvallers nie kan binnedring nie. Wanneer ESP gebruik word om te enkripteer en te verifieer, aanvallers wat die data onderskep, kan net sien dat ‘n VPN vir die verbinding gebruik word. Hulle kan nie die loonvrag of die oorspronklike kop sien nie.

VPN’s is aanvanklik deur ondernemings gebruik om streekkantore met hoofkantoor te verbind. Hierdie tipe verbinding stel maatskappye in staat om data en data tussen hul afsonderlike liggings maklik en veilig te deel. In onlangse jare het VPN’s ook ‘n gewilde diens vir individue geword. Dit word dikwels gebruik vir geo-spoofing of vir die beveiliging van verbindings, veral as u openbare wifi gebruik.

Authentication Header (AH): ‘n visualisering

Noudat ons ESP gedek het, moet AH ‘n bietjie makliker wees om te verstaan. AH kan slegs gebruik word om datapakkette te verifieer, maar dit is soos om ‘n poskaart te onderteken of u eie seël daarby te voeg. Omdat geen enkripsie betrokke is nie, is daar geen toesluitkas of koerier in hierdie analogie nie.

Die gebrek aan geënkripteerde beskerming is soos ‘n poskaart wat deur die gewone pos gestuur word, waar die posman en enige aanvallers beide die adresinligting kan sien, sowel as die boodskap wat agter op die kaart geskryf is. Vanweë die seël of handtekening kan hierdie inligting egter nie verander word nie. Net so kan die seël en handtekening u bewys dat u die ware sender was, eerder as iemand wat u probeer naboots..

In AH-transportmodus is ‘n verifikasiekop word bygevoeg, wat die loonvrag en die oorgrote meerderheid van die kopinligting beskerm. Dit is soortgelyk aan ‘n denkbeeldige poskaart met ‘n duidelike seël wat die meerderheid van die inhoud beskerm.

Enigiets onder die seël kan nie verander word nie, maar die hele poskaart kan gesien word deur almal wat dit onderskep. ‘N Paar besonderhede word nie deur die seël gedek nie en kan moontlik verander word, maar al die belangrike inligting word deur die seël beveilig. Daar is ook inligting oor die seël, maar vir die doeleindes van hierdie voorbeeld is dit nie belangrik om dit nou uit te brei nie.

in in die tonnelmodus, word die pakkie in ‘n ander een toegedraai, en die meerderheid is geverifieer. Die analogie breek in hierdie geval ‘n bietjie af, maar dit is soort van om die poskaart in ‘n duidelike koevert met ‘n seël toe te maak. Die koevert bevat ook sy eie adresinligting, en die seël beskerm byna die hele ding teen verandering.

Authentication Header (AH): tegniese besonderhede

AH word gebruik om te verifieer dat data van ‘n wettige bron afkomstig is, sowel as dat dit hul integriteit behou. Dit kan gebruik word om aan te toon dat daar nie met data gepeuter is nie en om teen herhaalaanvalle te beskerm.

AH word nie gereeld geïmplementeer nie, maar dit is steeds belangrik om te bespreek. Dit voeg sy eie verifikasiekop by en gebruik dit Hash-boodskap-verifikasiekodes (HMAC’s) om die meerderheid van die datapakket te beskerm. Dit sluit die volledige loonvrag in, sowel as die meeste velde in die kop. Die HMAC’s word bereken met hash-algoritmes soos SHA-2.

Authentication Header (AH): Vervoermodus

AH-vervoermodus word oor die algemeen gebruik tweerigtingkommunikasie tussen gashere. ‘N AH-kop word by die pakkie gevoeg, en sommige van die protokolkode word rondgeskuif. As ‘n AH-pakket opdaag en die HMAC gekontroleer word, word die AH-kop verwyder en ‘n paar ander veranderinge aangebring. Sodra die datapakket weer in sy normale vorm is, kan dit soos gewoonlik verwerk word.

Authentication Header (AH): tonnelmodus

In hierdie modus word die oorspronklike pakket in ‘n ander toegedraai en dan met ‘n HMAC bevestig. hierdie proses voeg ‘n verifikasiekop by, die verklaring van die geheel van die oorspronklike kop (in die vervoermodus word enkele dele van die kop nie gedek nie), sowel as die meerderheid van die nuutgevoegde kop. Die loonvrag word ook bevestig.

As hierdie pakkies hul bestemming bereik, ondergaan hulle ‘n verifikasietoets, en dan word die pakkie na normaal teruggebring deur sowel die nuutgevoegde kop as die verifikasiekop weg te neem.

Veiligheidsverenigings (SA’s)

Veiligheidsverenigings (SA’s) stel en stoor die parameters vir ‘n IPsec-verbinding. Dit word deur AH en ESP gebruik om ‘n stabiele kommunikasieproses te vestig wat aan die veiligheidsbehoeftes van elke kant voldoen. Elke gasheer of netwerk het aparte SA’s vir elke party waarmee hy kontak maak, wat almal hul eie stel parameters het.

As twee leërskare die eerste keer oor hul verbinding onderhandel, doen hulle dit vorm ‘n SA met die parameters wat in die verbinding gebruik sal word. Hulle doen dit in ‘n stap-vir-stap proses, met die een party wat ‘n beleid aanbied wat die ander een kan aanvaar of verwerp. Hierdie proses duur voort totdat hulle ‘n beleid het wat wedersyds aanvaarbaar is en vir elke afsonderlike parameter herhaal word.

Elke SA bevat die algoritmes wat gebruik gaan word, of dit vir verifikasie (soos SHA-2) of kodering (soos AES) is. Die SA’s bevat ook die parameters vir sleuteluitruiling (soos IKE), die IP-filterbeleid, routingbeperkings en meer. Sodra ‘n Veiligheidsvereniging gestig is, word dit in die Security Association Database (SAD) gestoor.

As ‘n koppelvlak ‘n datapakket ontvang, gebruik dit drie verskillende inligtingstukke om die regte SA te vind. Die eerste is die Vennoot-IP-adres, wat, soos u aanvaar, die IP-adres van die ander party in die verbinding is. Die tweede is die IPsec-protokol, óf ESP óf AH.

Die finale inligting is die Sekuriteitsparameters-indeks (SPI), wat ‘n identifiseerder is wat by die bladsyopskrif gevoeg word. Dit word gebruik om tussen die SA’s van verskillende verbindings te kies om seker te maak dat die regte parameters toegepas word.

Elke SA gaan net een rigting, dus is ten minste twee nodig sodat kommunikasie in albei rigtings kan gaan. As AH en ESP saam gebruik sou word, sal ‘n SA in elke rigting vir elke protokol benodig word, altesaam vier.

IPsec teen TLS / SSL

Soms kan dit moeilik wees om die verskil tussen IPsec en protokolle soos TLS / SSL te verstaan. Na alles, albei bied net sekuriteit aan, nie waar nie? Hulle doen dit, maar hulle doen dit op verskillende maniere en op verskillende vlakke.

Een van die beste maniere om IPsec en TLS / SSL te vergelyk, is om kyk na hulle in die konteks van die OSI-model. Die OSI-model is ‘n konseptuele stelsel wat gebruik word om die verskillende aspekte en lae van ons ingewikkelde kommunikasieproses te verstaan ​​en te standaardiseer.

In hierdie model, IPsec funksioneer by die derde laag, die netwerklaag, wat beteken dat dit geposisioneer is om datapakkette oor te dra na ‘n gasheer oor ‘n enkele of reeks netwerke.

As ons na TLS / SSL kyk, raak dinge ‘n bietjie meer verwarrend. Dit is omdat dit oor ‘n ander vervoermedium, TCP, loop. Dit moet plaasvind TLS / SSL bo laag vier in die OSI-model.

TLS / SSL organiseer ook handskudboodskappe, wat die vyfde vlak is, die sessielaag. Dit sal TLS / SSL in ses of sewe lae plaas.

Dit raak ingewikkelder as u dink dat toepassings TLS / SSL as ‘n vervoerprotokol gebruik. Dit sal TLS / SSL op vlak vier of onder plaas. maar hoe kan dit gelyktydig wees in lae ses of sewe, sowel as in laag vier of hieronder?

Die antwoord is dat die TLS / SSL pas net nie by die model nie. Die redes hiervoor val buite die bestek van hierdie artikel. Die belangrikste ding wat u moet weet, is dat die OSI-model net ‘n model is, en dat die werklikheid soms nie ooreenstem met ons netjiese en netjiese modelle nie.

As ons prakties oor hierdie standaarde praat, Die rol van TLS / SSL is om data te verifieer, die integriteit daarvan te kontroleer, dit te versleut en te komprimeer. Dit kan geïmplementeer word om ‘n reeks ander protokolle te beveilig, soos HTTP of SMTP, en word ook gesien in ‘n wye verskeidenheid toepassings, soos VoIP en webblaai..

IPsec verskil op ‘n paar maniere, die eerste is dit dit is ‘n raamwerk, eerder as ‘n enkele protokol. Dit is ook meer ingewikkeld, wat dit moeilik maak om op te stel en te onderhou.

Uiteindelik is TLS / SSL eenvoudiger as IPsec, wat nog ‘n rede is waarom dit op ‘n meer algemene manier geïmplementeer word. Dit is ‘n kerndeel van een van die belangrikste alternatiewe tonnelprotokolle, OpenVPN.

Sien ook: Ultimate Guide to TCP / IP

IPsec sekuriteit

Daar is die laaste paar jaar baie gepraat regeringsagentskappe wat agterdeure in IPsec plaas en die kwesbaarhede benut om diegene wat die protokol gebruik te teiken. Van die vroeë bewerings het in 2010 verskyn toe Greg Perry die hoofontwikkelaar van OpenBSD gekontak het.

Hy het dit beaam die FBI het talle agterdeure, sowel as meganismes om die kanaalsleutel te lek, in die OpenBSD-kode geplaas. Na bewering het dit die OpenBSD IPsec-stapel, wat wyd gebruik word, beïnvloed.

In 2013 se Snowden-lekkasies, is dit aan die lig gebring dat die NSA het verskillende vorme van kodering en ander sekuriteitsinstrumente geteiken. Dit lyk asof die dokumente bevestig dat die NSA sy eie metodes gehad het om toegang te verkry tot die sleutels wat in IPsec gebruik word, waardeur hulle op sekere verbindings kon snuffel.

Dokumentasie wat in 2016 deur die Shadow Brokers gelek is, toon dat die NSA het ‘n instrument wat gebruik kan word om die IPsec-implementering wat in Cisco se PIX-firewalls gebruik word, te verbreek. Alhoewel hierdie firewalls in 2009 gestaak is, kon die BENIGNCERTAIN-aanval gebruik word om toegang tot die wagwoorde vir PIX-toestelle te kry.

Die aanval behels die stuur van Internet Key Exchange (IKE) -pakkette na ‘n PIX-bediener, wat daartoe sou lei dat hy ‘n deel van sy geheue vrylaat. Hierdie inligting kan deursoek word om die konfigurasie-inligting en die RSA-private sleutel te vind, wat dan deur die NSA gebruik kan word om die IPsec-verbinding te bespied. Hou in gedagte dat dit slegs een implementering is wat kwesbaar was, en dit beïnvloed nie die huidige vorme van IPsec nie.

In 2018 het navorsers ‘n fout in die IKE-protokol benut, wat hulle toegelaat het om verbindings te dekripteer. Die bewys-van-konsep kan gebruik word om aanvalle tussen die middel en die middel aan te voer, waar aanvallers data kan onderskep, daarmee kan peuter of selfs kan keer dat dit oorgedra word.

Die tegniek gebruik Bleichenbacher-orakels om nie-dekades te ontsyfer, wat die RSA-verifikasie in fase een van IKE ontwrig. Dit stel aanvallers in staat om simmetriese sleutels op bedrieglike wyse met hul teiken te gebruik. Hulle kan dan die IPsec-eindpunt verpes en die kodering ontwrig, wat hulle toelaat om hulself in te voeg in wat voorheen ‘n veilige verbinding was.

Alhoewel dit ‘n kommerwekkende aanval is, is lappies vrygestel vir die implementering wat dit bekend is. Huawei, Cisco, Clavister en XyXEL het almal lappe vrygestel kort nadat hulle gewaarsku is oor die kwesbaarheid. Dit is veilig om hierdie implemente wat voorheen geraak is, te gebruik, solank dit op datum is.

Daar is meer potensiële kwesbaarhede in IPsec, waarvan baie IKE behels. Ten spyte van hierdie probleme, IPsec word steeds as veilig beskou vir algemene gebruik, solank dit behoorlik geïmplementeer is en die nuutste opdaterings gebruik word.

IPsec self is nie stukkend nie. Dit is belangrik om te onthou dat dit slegs ‘n raamwerk is wat ‘n aantal verskillende protokolle kan gebruik. Dit is steeds moontlik om IPsec veilig te gebruik, solank die regte protokolle op die regte manier gebruik word. Onveilige konfigurasies kan egter deur die NSA en ander partye aangeval word, daarom is dit belangrik dat u IPsec korrek gebruik.

Indien u IPsec gebruik?

IPsec word meestal gebruik om ‘n veilige tonnel in VPN’s te vorm, maar dit is nie die enigste opsie nie. As u bekommerd is oor u veiligheid, is dit die beste om die ander opsies te oorweeg en ‘n oplossing te vind wat pas by u gebruiksgeval en risikoprofiel.

Die belangrikste alternatiewe is PPTP, SSTP en OpenVPN. Die punt-tot-punt-tonnelprotokol (PPTP) is oud en het baie veiligheidskwessies, so is dit ook is dit die beste om dit in alle omstandighede te vermy. Die Secure Socket Tunneling Protocol (SSTP) is egter ‘n beter opsie vir Windows-gebruikers nie onafhanklik geoudit nie.

OpenVPN is ‘n open source alternatief wat ‘n verskeidenheid verskillende konfigurasie-opsies het. Dit gebruik SSL / TLS en dit is nie bekend dat dit enige sekuriteitsprobleme het nie, dus is dit die beste keuse vir almal wat besorg is oor die veiligheidsprobleme wat in IPsec voorkom.

Dit beteken nie dat alle IPsec-verbindings inherent onseker is nie, dit beteken net dat daar veiliger alternatiewe is vir diegene wat veiligheidsbewus is of ‘n hoë bedreigingsvlak het.

Verwante: IPSec vs SSL

Rekenaarsleutelbord gelisensieer onder CC0

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map