Hvad er IPsec VPN?

Sidst opdateret: 02/09/2022

På grund af de stadigt flere cybersikkerhedsangreb træffer mennesker og virksomheder foranstaltninger for at beskytte sig mod ondsindede, der ønsker at stjæle vigtige personoplysninger eller virksomhedsoplysninger. Den almindelige bruger er nu mere opmærksom på de populære måder, som hackere og cyberkriminelle anvender til at stjæle personoplysninger. Nu mere end nogensinde er det blevet altafgørende, at internetsikkerhed er en afgørende del af hver enkelt persons eller organisations daglige rutine.

Et VPN (Virtual Private Network) giver dig mulighed for at etablere en sikker kanal til kommunikation over internettet, så du lukker af for dem, der forsøget at kigge med. Der er forskellige VPN-kategorier, der er baseret på de anvendte protokoller: SSL/TLS, IPsec, PPTP, L2TP, SSH og OpenVPN.

Hvad er IPsec VPN egentlig?

IPsec (Internet Protocol Security) er en kendt pakke af sikkerhedsprotokoller, der er udviklet af IETF (Internet Engineering Task Force) for at sikre forbindelser via internettet ved at kryptere IP-pakker og give autentificering mellem to slutpunkter. VPN-tjenester, der bruger IPsec til at beskytte din internetforbindelse, kaldes IPsec VPN’er.

IPSec sikrer dine internetforbindelser med disse funktioner:

1. Fortrolighed: IPsec krypterer dine data, hvilket sikrer, at ingen kan overvåge og aflytte din internetforbindelse og stjæle fortrolige oplysninger.

2. Integritet: IPsec har en mekanisme til at sikre, at ondsindede enheder kan ikke ændre dine data ved hjælp af en hashing-teknik, der gør det muligt at kontrollere integriteten af data.

3. Autentificering: Autentificering sker i begge ender af forbindelsen for at bekræfte, at brugere eller enheder er dem, de siger, de er.

4. Anti-replay: IPsec bruger sekvensnumre til at sikre, at en hacker ikke kan reproducere pakker, der allerede har bestået autentificeringsprocessen.

I netværkslaget krypterer protokollen ikke kun dataene, men hele IP-pakken. Virksomhedsorganisationer bruger typisk IPsec VPN til site-to-site-forbindelser, fordi det giver mere robust beskyttelse end andre VPN’er.

Der findes to IPsec-tilstande: tunnel- og transporttilstand. 

IPsec VPN’er, der opererer i tunneltilstand, krypterer hele den oprindelige IP-pakke og indkapsler den i en ny header. Tunnelen etableres mellem to gateways, såsom to routere eller en router og en firewall. Autentificering udføres også i begge ender af forbindelsen ved at føje en autentificeringsheader til pakken. Transporttilstand krypterer kun IP-pakkens data. Den krypterer eller ændrer ikke den oprindelige header.

Tunneltilstand er generelt mere sikker end transporttilstand, fordi kryptering ikke kun omfatter indholdet, men hele IP-pakken.

Hvilke hovedprotokoller bruger IPsec VPN?

IPsec VPN beskytter din internetforbindelse ved at levere datafortrolighed, autentificering, integritet og anti-replay ved hjælp af protokollerne. Som tidligere nævnt er IPsec sammensat af flere protokoller. Lad os se på følgende protokoller, som IPsec bruger til at levere disse funktioner:

1. Autentificeringsheader (AH)

Denne protokol bidrager til at autentificere IP-datapakker. Den sikrer, at datapakken kommer fra den anden ende af tunnelen. Brug af hash-funktioner sikrer dataintegritet ved at sikre, at ingen har ændret dataene. AH giver også mulighed for at bruge anti-replay beskyttelse.

2. Encapsulating Security Protocol (ESP)

ESP (Indkapsling af sikkerhedsprotokollen) beskytter data i tunnelen ved at kryptere både IP-headeren og pakkens indhold. Den tilføjer autentificering, integritet, fortrolighed og anti-replay til IP-pakken. Den indkapsler også den oprindelige IP-pakke ved at føje dens header og trailer til datapakken. IPsec-transporttilstand forhindrer ESP i at indkapsle IP-headeren og udfører kun kryptering på transportlagssegmentet og indholdet.

3. Security Association (SA)

SA (sikkerhedstilknytning) er ikke en protokol, men et middel til at vise, hvordan IPsec-tunnelslutpunkter sikkert opbygger en forbindelse mellem hinanden. Det er simpelthen en aftale om, hvordan tunnelen skal sikres. En SA kræver et SPI (Security Parameter Index), en IP-destinationsadresse og en IPsec-protokol (AH eller ESP). SA’er fungerer i simplex-kommunikationstilstand. Derfor opretter to SA’er (udgående og indgående) en IPsec VPN-tunnel per gateway. IPsec bruger IKE-protokollen (Internet Key Exchange) til at oprette SA’er mellem to slutpunkter.

Hvordan fungerer IPsec VPN?

Følgende er de vigtigste processer, der er involveret i IPSec VPN-processen:

1. Nøgleudveksling

Oprettelse af en IPsec-tunnel mellem to slutpunkter omfatter brug af IKE-protokollen (Internet Key Exchange Protocol).

Der er to faser af IKE; IKE fase 1 og IKE fase 2. I fase 1 bruger to peers/gateways SA’er til at finde ud af, hvilken krypterings-, autentificerings- og hashprotokol de skal bruge. Der er konfigureret en ISAKMP-session (Internet Security Association and Key Management Protocol). Fase 1 skaber tillid mellem de to slutpunkter, så fase 2 kan etablere VPN-tunnelen sikkert.

Den vellykkede udveksling i fase 1 mellem VPN-gateways betyder, at fase 2 nu kan begynde. I denne fase er gateways enige om SA’er: indkapslingstilstand, kryptering og autentificeringsalgoritmer. Når fase 2 er vellykket, har vi en IPsec VPN-tunnel, og data kan nu flytte fra en gateway til en anden.

2. Pakke-headere og -trailere

IP opdeler data, der passerer gennem netværket, i datapakker, der består af IP-headeren, dataindhold og andre oplysninger om dataene. Afhængigt af driftstilstanden tilføjer IPsec forskellige headere og trailere med oplysninger om pakkeautentificering og -kryptering.

3. Autentificering og kryptering

IPsec implementerer autentificering og kryptering ved hjælp af AH og ESP. AH garanterer autentificering, og ESP tager sig af kryptering.

4. Transmission

IPsec-pakker ved hjælp af en transportprotokol kan nu flytte gennem netværket til deres endelige destination.

5. Dekryptering

Dekryptering sker, når pakkerne når deres endelige destination, og programmer frit kan bruge data, som de vil.

Fordele ved at bruge IPsec VPN

IPsec har følgende fordele:

1. Sikkerhed på netværkslag

IPsec fungerer på netværkslaget og sikrer, at al netværkskommunikation er krypteret og sikker. al internettrafik, der sendes gennem tunnelen, er sikker. Dine personoplysninger er sikre mod alle former for overvågning. IPsec tillader overvågning af trafik, der går gennem netværket. Kryptering udføres på alle IP-pakker. Dette øger IPsec VPN-tjenesters sikkerhed og giver større fleksibilitet.

2. Fortrolighed

En anden fordel IPsec giver, er fortrolighed. I enhver dataoverførselsproces bruger IPsec offentlige krypteringsnøgler til at overføre fortrolige data sikkert. Disse nøgler bekræfter, at dataene er fra det rigtige slutpunkt. Derfor bliver det stadig mere vanskeligt at klone datapakker. Ved at sikre, at disse nøgler er sikre, holdes dine data sikre.

3. Uafhængighed af applikation eller program

Da det fungerer på netværkslaget, er IPsec transparant for programmer. Dette betyder, at du ikke behøver at bekymre dig om at ændre programmer eller applikationer for at bruge det; du benytter det bare, og det kører. Slutbrugeren behøver ikke at bekymre sig om sine konfigurationer. IPsec kræver kun ændringer af operativsystemet, da det fungerer i IP-stakken. Man behøver ikke at tænke over den anvendte programtype, i modsætning til SSL/TLS, der kræver ændringer i de respektive programmer/applikationer.

Ulemper ved at bruge IPsec VPN

Ligesom den har sine fordele, har IPsec VPN’er også ulemper. Lad os tage et kig på nogle af dem:

1. Dedikeret klient VPN

IPsec VPN’er har normalt brug for VPN-software på alle enheder, som du har tænkt dig at bruge den på. Adgang til virksomhedsnetværk uden en enhed med den specifikke VPN-klient, der er behov for, er ikke mulig. Hvis du f.eks. har brug for fjernadgang, mens du ikke har din bærbare arbejdscomputer, skal du downloade og installere VPN-klientsoftwaren, der bruges af din organisation. Afhængighed af klientsoftware betyder også, at eventuelle problemer med softwaren vil hindre brugen af VPN.

2. Stort adgangsområde

En væsentlig ulempe ved at bruge IPsec er, at det giver adgang til hele netværkets undernet. Du får f.eks. adgang til alle enheder på netværket, hvis du har fjernadgang til virksomhedens netværk fra hjemmenetværket. Bortset fra at der er andre sikkerhedsprocesser, der forhindrer adgang, kan sårbarheder, der findes på enheder, der bruger dit netværk, bevæge sig på tværs af virksomhedens netværk.

3. Kompatibilitet

Afhængigt af dit operativsystem skal du muligvis bruge forskellige klientprogramversioner til din IPsec VPN. Klientsoftware er muligvis ikke kompatibel med alle operativsystemer.

Andre problemer omfatter CPU-overhead og brug af brudte algoritmer.

Konklusion

IPsec VPN’er sikrer fortrolighed, integritet og autenticitet, når du surfer på internettet eller får adgang til organisationens netværk. Brug af IPsec til at implementere en VPN kan garantere høje beskyttelsesniveauer ved brug af nyttige sikkerhedsfunktioner som kryptering af høj kvalitet. Opsætning af en IPsec VPN kan være kompliceret, men med de sikkerhedsfunktioner, den kan prale af, er det det hele værd. Som enhver vigtig protokol derude har IPsec også sine begrænsninger og ulemper, men dette forhindrer den ikke i at blive en af de bedste til at sikre end-to-end kommunikation over internettet.