Обзор IPsec

IPsec (IP Security) — набор протоколов для защиты данных, передаваемых по протоколу IP. Обеспечивает аутентификацию, проверку целостности и шифрование IP-пакетов. Применяется преимущественно для организации VPN-соединений и защиты сетевого периметра.

Режимы работы

Транспортный режим — шифруются только данные IP-пакета, исходный заголовок сохраняется. Используется для прямого соединения между хостами, а также для защиты туннелей, организованных сторонними средствами.

Туннельный режим — шифруется весь исходный IP-пакет целиком: данные, заголовок и маршрутная информация. Зашифрованный пакет инкапсулируется в новый пакет. Применяется для подключения удалённых узлов к виртуальной частной сети и для объединения разных сегментов VPN через открытые каналы связи.

Режимы не являются взаимоисключающими: на одном узле часть соединений может работать в транспортном режиме, часть — в туннельном.

Сценарии применения

VPN-туннели — основной сценарий использования IPsec. Протоколы ESP и AH работают в режиме туннелирования, обеспечивая шифрование всего трафика между узлами.

Межсетевой экран — настроив политики безопасности, IPsec можно использовать для фильтрации пакетов по заданным правилам. Например:

• запретить HTTP и HTTPS трафик, заблокировав соответствующие пакеты;
• для веб-сервера разрешить только соединения на порт 80 (TCP) или 443 (TCP при использовании HTTPS), отбросив весь остальной трафик.

Защита сервера — при использовании протокола ESP все обращения к серверу и его ответы шифруются. Трафик за VPN-шлюзом в пределах домена шифрования передаётся в открытом виде.

Шифрование трафика в локальной сети — IPsec в транспортном режиме защищает соединения между файловым сервером и рабочими станциями внутри сети.

Объединение офисов — IPsec в туннельном режиме обеспечивает безопасное соединение между сетями двух и более офисов через интернет.