Protokół IPSec

IPSec (IP Security) jest bardzo rozpowszechnioną metodą tworzenia sieci VPN. Jest w istocie zbiorem protokołów i metod podwyższania bezpieczeństwa w sieciach TCP/IP, kształtowanym przez IETF od 1992 r. W efekcie IPSec może przeprowadzać autoryzację nadawcy, sprawdzać integralność danych, zapewniać poufność transmisji i sterować dostępem w sieciach z IPv4 (opcjonalnie) oraz IPv6 (obowiązkowo). Tworzenie wirtualnych sieci prywatnych z wykorzystaniem tego protokołu jest już prawie standardem.

IPSec ma dwa tryby szyfrowania: tunelowy i transportowy. W pierwszym z nich szyfruje się nagłówek i ładunek każdego z pakietów, w drugim - tylko ładunek. Wszystkie urządzenia muszą używać wspólnego klucza, a zapory ogniowe muszą mieć ustanowione podobne polityki bezpieczeństwa. IPSec może szyfrować dane między różnymi urządzeniami, takimi jak dwa rutery, ruter i zapora ogniowa czy komputer osobisty i ruter. Obowiązkowym algorytmem szyfrowania jest DES (Data Encryption Standard) w trybie CBC (wektor inicjujący IV).

IPSec opiera się na trzech protokołach: AH (Authentication Header), ESP (Encapsulating Security Payload) oraz ISAKMP/Oakley (Internet Security Association and Key Management Protocol).

Protokół AH zapewnia uwierzytelnienie integralności i pochodzenia danych. Tę pierwszą własność uzyskuje się dzięki sumie kontrolnej generowanej przez kod identyfikacyjny wiadomości, np. MD5. Natomiast sprawdzenia oryginalności danych dokonuje się przez zamieszczenie sekretnego, współdzielonego klucza w danych przeznaczonych do identyfikowania.

Z kolei ESP zapewnia poufność danych dzięki szyfrowaniu. Może także opcjonalnie zapewnić uwierzytelnienie pochodzenia danych, sprawdzanie integralności i replay protection. Porównując ESP z AH, widać, że tylko ten pierwszy dostarcza szyfrowania, natomiast oba zapewniają identyfikację, sprawdzanie integralności i replay protection. Szyfrowanie ESP stosuje symetryczny współdzielony klucz, tzn. klucz jest współdzielony przy szyfrowaniu i deszyfrowaniu danych.

ISAKMP/Oakley definiuje standardową strukturę negocjowania SA (Security Association), inicjującego generowanie wszystkich kluczy kryptograficznych i późniejszego odświeżania tych kluczy. Oakley jest obowiązkowym protokołem zarządzania kluczem używanym w strukturze ISAKMP.

Protokół ISAKMP wspiera zautomatyzowane negocjowanie SA oraz automatyczne generowanie i odświeżanie kluczy kryptograficznych. Możliwość realizacji tych funkcji przy niewielkim (lub żadnym) udziale ręcznej konfiguracji urządzeń jest krytycznym elementem, od którego zależy wzrost rozmiaru VPN. Bezpieczna wymiana kluczy jest najważniejszym czynnikiem przy ustanawianiu bezpiecznej komunikacji; bez względu na to, jak silne są zastosowane metody identyfikowania i szyfrowania, to okażą się one bezwartościowe, kiedy klucz będzie narażony na atak. Obydwa protokoły powstały niezależnie, ale zostały połączone na potrzeby IPSec. IPSec został opisany w normach RFC 2401-2411, 2451 i 2709.

Sieci VPN oparte na BGP/MPLS

Innym sposobem tworzenia sieci wirtualnych jest jednoczesne wykorzystanie protokołów BGP i MPLS. VPN oparte na BGP/MPLS zostały opisane w RFC 2547. Jest już zdefiniowany mechanizm umożliwiający dostawcom usług wykorzystanie własnych szkieletowych sieci IP jako fundamentu pod budowę VPN dla klientów. Metodę opisaną w RFC 2547 nazywa się często BGP/MPLS VPN, ponieważ BGP jest używany do dystrybucji informacji o wyborze trasy VPN w sieci szkieletowej dostawcy, a MPLS jest odpowiedzialny za przesyłanie ruchu między punktami VPN.

Zręby koncepcji tworzenia prywatnych sieci wirtualnych opartych na BGP i MPLS można ująć zwięźle w kilku zdaniach. Jej nadrzędnym celem jest zaoferowanie klientom bardzo prostych usług nawet wtedy, kiedy nie mają doświadczenia w trasowaniu IP. Te usługi powinny też odznaczać się skalowalnością i ułatwiać szeroką ich implementację. Ponadto reguły, które są używane do tworzenia VPN, mogą być implementowane samodzielnie przez usługodawcę lub przy współpracy z klientem.