IPSec-ning qisqacha tarixi Internet protokoli 80-yillarning boshlarida ishlab chiqilganda, xavfsizlik ustuvor vazifalar ro'yxatida yuqori emas edi. Biroq, Internetdan foydalanuvchilar soni o'sishda davom etar ekan, ko'proq xavfsizlikka ehtiyoj sezildi.
Ushbu ehtiyojni qondirish uchun NSA (Milliy xavfsizlik agentligi) xavfsizlik protokollarini ishlab chiqishni 1980-yillarning o'rtalarida Secure Data Network Systems (SDNS) dasturi orqali moliyalashtira boshladi. Bu Layer 3 xavfsizlik protokoli (SP3) va oxir-oqibat tarmoq qatlami xavfsizligi protokoli (NLSP) ning rivojlanishiga olib keldi. 90-yillarda ushbu loyihada yana bir qancha muhandislar ishladilar va IPSec bu harakat tufayli o'sdi. IPSec endi IPv4 paketining bir qismi sifatida ochiq manbali standart hisoblanadi.
Ikkita kompyuter VPN ulanishini o'rnatmoqchi bo'lganda, shifrlangan tunnel yaratish uchun bir nechta narsalarni yaratish kerak. Ular xavfsizlik protokollari va shifrlash algoritmlari to'plami bo'yicha kelishib olishlari va shifrlangan ma'lumotlarni ochish va ko'rish uchun kriptografik kalitlarni almashishlari kerak.
Bu erda IPSec suratga tushadi. IPSec qurilmalar o'rtasida shaxsiy, ikki tomonlama aloqani o'rnatish uchun VPN tunnellari bilan ishlaydi. IPSec bitta protokol emas; aksincha, bu VPN tunnelidan o'tuvchi Internet ma'lumot paketlarining maxfiyligi, yaxlitligi va autentifikatsiyasini ta'minlash uchun birgalikda ishlaydigan protokollar va standartlarning to'liq to'plamidir.
IPSec xavfsiz VPN tunnelini qanday yaratadi:
U uzatishda ma'lumotlar paketining yaxlitligini ta'minlash uchun ma'lumotlarni tasdiqlaydi.
Internet-trafikni VPN tunnellari orqali shifrlaydi, shu sababli ma'lumotlarni ko'rib bo'lmaydi.
Bu hujumlardan himoya qiladi ma'lumotlarni ijro etish, bu ruxsatsiz kirishga olib kelishi mumkin.
Bu kompyuterlar o'rtasida kriptografik kalitlarning xavfsiz almashinuvini ta'minlaydi.
U ikkita xavfsizlik rejimini taklif etadi: tunnel va transport.
VPN IPSec xostdan xostga, tarmoqdan tarmoqqa, xostdan tarmoqqa va shlyuzga shlyuzga yuborilgan ma'lumotlarni himoya qiladi (tunnel rejimi deb ataladi, bu erda butun IP-paket shifrlangan va tasdiqlangan).
Asosiy IPSec protokollari
IPSec autentifikatsiya sarlavhasi (AH) : Ushbu protokol aloqa bilan shug'ullanadigan kompyuterlarning IP-manzillarini himoya qilish uchun ishlatiladi. Bu ma'lumotlar uzatmalarini yo'qotish, o'zgartirish yoki uzatish paytida buzilmasligini ta'minlaydi. AH shuningdek, ma'lumotni yuborgan shaxs uni haqiqatan ham yuborganligini, tunnelni ruxsatsiz foydalanuvchilardan himoya qilganligini tasdiqlaydi.
Kapsülleme xavfsizligi uchun foydali yuk (ESP) : ESP qurilmalar orasidagi ma'lumotlar trafikining maxfiyligini ta'minlaydigan IPSec shifrlashning bir qismini taqdim etadi. ESP ma'lumotlar paketlarini / foydali yuklarni shifrlaydi va foydali yuk va uning manbasini IPSec protokol to'plamida tasdiqlaydi. Ushbu protokol samarali ravishda Internet-trafikni chalg'itadi, shuning uchun tunnelga qaragan kishi u erda nima borligini ko'ra olmaydi.
ESP shifrlash uchun ham, ma'lumotlarni autentifikatsiya qilish uchun ham foydalanish mumkin, AH esa faqat ma'lumotlarning autentifikatsiyasi uchun ishlatilishi mumkin.
IPsec-ni qo'llab-quvvatlash komponentlari
Xavfsizlik assotsiatsiyasi (SA) : Xavfsizlik assotsiatsiyalari va siyosati birjada ishlatiladigan har xil xavfsizlik "shartnomalari" ni tuzishda ishlatiladi. Ushbu shartnomalar ishlatiladigan shifrlash va xeshlash algoritmlarining turini aniqlashi mumkin. Ushbu qoidalar ko'pincha moslashuvchan bo'lib, qurilmalarga qanday qilib biror narsa qilishni xohlashlarini hal qilishga imkon beradi.
Internet kalitlari almashinuvi (IKE) ... Shifrlash ishlashi uchun shaxsiy aloqada ishtirok etadigan kompyuterlar shifrlash kalitlarini bo'lishishi kerak. IKE ikkita kompyuterga VPN ulanishini o'rnatishda kriptografik kalitlarni xavfsiz almashtirish va almashish imkoniyatini beradi.
Shifrlash va xeshlash algoritmlari : Kriptografik kalit xash algoritmi yordamida hosil qilingan xash qiymati yordamida ishlaydi. AH va ESP keng tarqalgan, chunki ular ma'lum bir shifrlash turini ko'rsatmaydi.Biroq, IPsec tez-tez shifrlash uchun Message Digest 5 (MD5) yoki Secure Hash Algorithm 1 (SHA-1) dan foydalanadi.
Qaytadan himoyalash : IPSec shuningdek, muvaffaqiyatli kirish jarayonining bir qismi bo'lgan har qanday ma'lumotlar paketining ko'payishini oldini olish uchun standartlarni o'z ichiga oladi. Bu xakerlarning kirishni takrorlash uchun ko'paytirilgan ma'lumotdan foydalanishiga yo'l qo'ymaydi.
IPSec mustaqil VPN yechimi sifatida yoki L2TP va IKEv2 da shifrlash protokoli sifatida ishlatiladi.