You are here: TUTWiki>Tietoturva>Sisällysluettelo?>YleistäIPSecistä (revision 1)

Yleistä IPSecistä

IPSec on IETF :n (Internet Engineering Task Force) julkaisema standardi, jolla Internet-protokollan turvallisuutta lisätään. Arkkitehtuurin puolesta IPSec asettuu luontevammin IP:n uuteen versioon (v6), mutta sitä voidaan käyttää yhtä hyvin myös nykyisin edelleen yleisemmän version (v4) kanssa. IPSec sijaitsee alemmalla protokollakerroksella kuin muuten samantapainen SSL/TLS . IPSec on sikäli yleiskäyttöisempi kuin SSL, että se toimii kuljetuskerroksen protokollien TCP tai UDP alla, kun SSL toimii vain TCP:n päällä (tyypillisesti). Lisäksi IPSec voidaan asettaa muillekin kuin päästä-päähän väleille ja sen ansiosta sitä voidaan käyttää esim. VPN:ien rakentamiseen.

IPSecin yleinen periaate on varsin yksinkertainen. Internet-protokolla saa ylemmän tason protokollalta (TCP, UDP tai ICMP) edelleen toimitettavakseen tietopaketin ja varustaa sen omilla IP-otsikkokentillään, erityisesti lähettäjän ja vastaanottajan IP-osoitteilla. IPSec muokkaa tätä pakettia valinnoista riippuen monin eri tavoin. Erityisesti IPSec

  • lisää joitakin omia otsikoita, joissa on ainakin tunnisteita, joiden perusteella vastaanottaja pystyy tulkitsemaan operaatiot.
  • mahdollisesti sijoittaa otsikkoon paketista lasketun autenttisuutta osoittavan (avaimellisen) hash-arvon. Tämän tekee IPSecin AH-protokolla (Authentication Header).
  • mahdollisesti salaa ylempää saadun datan. Tämän tekee IPSecin ESP-protokolla (Encapsulating Security Payload).

Nämä temput voidaan yksinkertaisen kuljetusmoodin sijasta tehdä myös tunnelointimoodissa. Tällöin salaus- ja/tai autentikointioperaatio koskee koko IP-pakettia ja tuloksen eteen asetetaan uusi IP-otsikko. Jos siis tehdään salausta tunneloimalla, koko alkuperäinen IP-paketti osoitteineen tulee salatuksi.

Valinnoista riippumatta tarvitaan avainten vaihtoa kommunikoivien koneiden välillä. Tämä toteutetaan sovellustason protokollalla IKE (Internet Key Exchange). Se on työkalu, jolla osapuolet neuvottelevat yhteydenpidon turvaehdot, tai -parametrit, joista käytetään nimeä SA eli Security Association. Nämä sisältävät tiedon kryptoalgoritmeista, kryptoperiodista, ja tietenkin avaimet.

-- JukkaKoskinen?

SivuTiedotLaajennettu edit

Vaativuus Perus
Valmius Valmisteilla
Tyyppi Ydin
Luokitus Uhkat
Mitä Luottamuksellisuus
Miltä Ihmisetön uhka
Missä Organisaatio
Kuka Tite-ammattilainen
Milloin Ennakolta
Miksi Hyvä tapa
Print version |  PDF  | History: r2 < r1 | 
Topic revision: r1 - 18 Apr 2010 - 16:00:23 - MaijuLehtonen?
 

TUTWiki

Copyright © by the contributing authors. All material on this collaboration platform is the property of the contributing authors.
Ideas, requests, problems regarding TUTWiki? Send feedback