Mikä on IPSec ja mitä se tarkoittaa?

IPSec tulee sanoista Internet Protocol Security. Se on joukko protokollia, jotka on suunniteltu suojaamaan IP-viestintää todentamalla ja salaamalla jokainen paketti tietovirrassa. Verkkokerroksella toimiva IPSec suojaa laitteiden, verkkojen tai VPN-päätepisteiden välillä kulkevaa dataa ilman sovellustason muutoksia.

Mitkä ovat kaksi pääasiallista tilaa, joissa IPSec toimii?

IPSec toimii Transport-tilassa ja Tunnel-tilassa. Transport-tila salaa ainoastaan datakuorman jättäen alkuperäisen IP-otsikon näkyviin, mikä tekee siitä sopivan päästä päähän -viestintään. Tunnel-tila salaa koko alkuperäisen paketin ja käärii sen uuteen IP-otsikkoon, ja sitä käytetään yleisesti sivustosta sivustoon -VPN-yhteyksissä.

Mistä protokollista IPSec-paketti koostuu?

IPSec koostuu kolmesta ydinkomponentista: Authentication Header (AH), joka tarjoaa tiedon eheyden ja todennuksen; Encapsulating Security Payload (ESP), joka lisää salauksen ja luottamuksellisuuden; sekä Internet Key Exchange (IKE), joka hallinnoi viestivien osapuolten välisten suojausavainten ja -assosiaatioiden neuvottelua ja hallintaa.

Miten IPSec vertautuu SSL/TLS:ään VPN-käytössä?

IPSec toimii verkkokerroksella suojaten kaiken liikenteen läpinäkyvästi ilman sovellusmuutoksia, mikä tekee siitä ihanteellisen sivustosta sivustoon -VPN-yhteyksiin. SSL/TLS toimii sovellustasolla vaatien selain- tai asiakastuen. IPSec tarjoaa yleensä paremman suorituskyvyn yritysympäristöihin, kun taas SSL-pohjaiset VPN-ratkaisut mahdollistavat helpomman etäkäytön tavallisten selainten kautta.

IPSec

IPSec: Turvallisen verkkoviestinnän taustalla oleva protokollakokoelma

Mikä se on

IPSec tulee sanoista Internet Protocol Security. Kyseessä ei ole yksittäinen protokolla, vaan kokoelma standardeja ja protokollia, jotka toimivat yhdessä suojatakseen IP-verkkojen kautta kulkevaa dataa. Sen voi ajatella suojauskehyksenä, joka on rakennettu suoraan internetviestinnän verkkokerrokseen — tasolle, jolla raakapaketit reititetään laitteiden välillä.

Alun perin Internet Engineering Task Forcen (IETF) ohjauksessa kehitetty IPSec on noussut yhdeksi laajimmin käytetyistä tietoturvatekniiknoista verkkoympäristöissä. Se on lukemattomien yritysten VPN-ratkaisujen, viranomaisten viestintäjärjestelmien ja VPN-palveluntarjoajasi mahdollisesti jo nyt käyttämien suojattujen tunneleiden perusta — usein ilman että edes huomaat sitä.

Miten se toimii

IPSec toimii OSI-mallin kerroksessa 3 eli verkkokerroksessa, mikä tarkoittaa, että se voi suojata kaiken läpi kulkevan liikenteen riippumatta sitä tuottavasta sovelluksesta. Tämä tekee siitä kattavamman kuin sovelluskohtaiset tietoturvatyökalut.

Kokoelma toimii kolmen keskeisen komponentin avulla:

Authentication Header (AH): Tämä protokolla varmistaa, että datapaketit tulevat laillisesta lähteestä eikä niitä ole muutettu siirron aikana. Se tarjoaa eheyden ja todennuksen, mutta ei salaa itse sisältöä.

Encapsulating Security Payload (ESP): Tämä on IPSec-salauksen varsinainen työjuhta. ESP salaa jokaisen paketin hyötykuorman ja voi tarjota myös todennuksen. Useimmissa VPN-toteutuksissa ESP on se komponentti, joka tekee raskaan työn.

Internet Key Exchange (IKE/IKEv2): Ennen kuin data voi kulkea turvallisesti, molempien osapuolten on sovittava salausmenetelmistä ja vaihdettava salausavaimia. IKE hoitaa tämän neuvottelun automaattisesti prosessissa nimeltä Security Association (SA). Päivitetty versio IKEv2 on nopeampi, vakaampi ja tukee ominaisuuksia kuten MOBIKE, joka auttaa yhteyden nopeassa palauttamisessa verkon vaihtuessa.

IPSec voi toimia kahdessa tilassa:

Transport Mode: Vain datahyötykuorma salataan. IP-otsikot pysyvät näkyvissä. Tätä käytetään tyypillisesti kahden laitteen väliseen päästä päähän -viestintään.
Tunnel Mode: Koko alkuperäinen IP-paketti — otsikot mukaan lukien — salataan ja kääritään uuden paketin sisälle. Tämä on VPN-tunneleissa käytettävä vakiotila, sillä se piilottaa sekä sisällön että alkuperäiset reititystiedot.

IPSecin kanssa yleisesti käytettyjä salausalgoritmeja ovat esimerkiksi AES-256, kun taas SHA-256 tai SHA-384 kaltaiset hajautusfunktiot huolehtivat datan eheyden tarkistuksesta.

Miksi tällä on merkitystä VPN-käyttäjille

Kun muodostat VPN-yhteyden, luot salatun tunnelin laitteesi ja VPN-palvelimen välille. IPSec on usein se teknologia, joka suojaa tuon tunnelin — joko yksinään tai yhdistettynä muihin protokolliin.

IPSec on IKEv2/IPSecin perusta, ja tämä on yksi tänä päivänä suosituimmista VPN-protokollakokoonpanoista. Sitä käytetään myös L2TP/IPSecissä, jossa Layer 2 Tunneling Protocol tarjoaa tunnelirakenteen IPSecin hoitaessa salauksen ja todennuksen.

Tavalliselle VPN-käyttäjälle tämä merkitsee sitä, että IPSec tarjoaa vahvan tietoturvan suhteellisen pienellä lisäkuormalla. IKEv2/IPSec tunnetaan erityisesti seuraavista ominaisuuksistaan:

Nopea yhteyden muodostus ja uudelleenyhdistäminen
Erinomainen vakaus mobiiliverkoissa
Vahva salaus, joka täyttää yritysten ja viranomaisten tietoturvavaatimukset
Laaja yhteensopivuus Windowsin, macOS:n, iOS:n, Androidin ja reitittimien kanssa

Käytännön käyttötapaukset

Yritysten etäkäyttö: Yritykset ottavat säännöllisesti käyttöön IPSec-pohjaisia VPN-ratkaisuja, joiden avulla työntekijät voivat käyttää turvallisesti sisäisiä verkkoja kotoa tai matkustaessaan. Protokollan vahvuus ja laaja laitetuki tekevät siitä luontevan valinnan yritysympäristöihin.

Toimipaikkojen väliset VPN-yhteydet: Usean toimiston yritykset käyttävät IPSec-tunneleita yhdistääkseen verkkonsa turvallisesti julkisen internetin kautta, luoden näin käytännössä yksityisen laajaverkon.

Mobiilikäyttäjät: Koska IKEv2/IPSec yhdistää nopeasti uudelleen Wi-Fi:n ja mobiilidatan välillä vaihdettaessa, se on suosittu valinta älypuhelimille ja tableteille.

Reititintason VPN-suojaus: Monet VPN-reitittimet käyttävät IPSeciä suojatakseen kaikki koti- tai yritysverkon laitteet samanaikaisesti ilman, että jokaiselle laitteelle tarvitsee asentaa erikseen sovellusta.

Vaikka uudemmat protokollat kuten WireGuard ovat kasvattaneet suosiotaan yksinkertaisuutensa ja nopeutensa ansiosta, IPSec on edelleen luotettava ja laajasti arvostettu vaihtoehto — erityisesti yritysympäristöissä, joissa yhteensopivuus, tarkastettavuus ja säädöstenmukaisuus ovat tärkeimpiä tekijöitä.

IPSecEdistynyt

IPSec: Turvallisen verkkoviestinnän taustalla oleva protokollakokoelma

Mikä se on

Miten se toimii

Miksi tällä on merkitystä VPN-käyttäjille

Käytännön käyttötapaukset

// FAQ