Wat is IPsec?
IPsec (Internet Protocol Security) verwijst naar een reeks protocollen die zijn ontworpen om veilige communicatie tussen apparaten via internet of een openbaar netwerk te garanderen.
Met IPsec kunnen bedrijven gegevensbronnen authenticeren en gevoelige informatie (bijvoorbeeld betalingsgegevens en vertrouwelijke communicatie) beschermen wanneer deze informatie via een netwerk wordt verzonden. Het is ook een veelgebruikte methode voor het verifiëren van verkeer en het beveiligen van gegevens binnen een virtueel privé-netwerk (VPN).
Wat is IPsec?
IPsec bestaat uit een reeks protocollen en processen die zijn ontworpen om veilige netwerkcommunicatie te garanderen, in plaats van een enkele technologie. Hier zijn de belangrijkste elementen van de IPsec-suite:
Authentication Header (AH)
Gegevens worden in segmenten (pakketten) over een netwerk verzonden. Elk pakket heeft een ‘header’: informatie die beschrijft wat het ontvangende apparaat kan verwachten van de datastroom. De Authentication Header (AH) fungeert in wezen als een verzegeling die niet kan worden gemanipuleerd. Het stelt het ontvangende apparaat in staat om de oorsprong van het datapakket te verifiëren en te controleren of het niet is geopend of gewijzigd tijdens de verzending.
Encapsulation Security Protocol (ESP)
Deze protocol is verantwoordelijk voor versleuteling en voegt een extra authenticatielaag toe om ervoor te zorgen dat alleen geautoriseerde apparaten de verzonden gegevens kunnen lezen.
Internet Security Association en Key Management Protocol
Met ESP gebruiken apparaten die met elkaar communiceren een gedeelde sleutel voor het versleutelen en ontsleutelen van de gegevens die ze uitwisselen. Om dit mogelijk te maken, definieert ISAKMP de kenmerken van de verbinding, inclusief het vaststellen van de versleutelingssleutel en het cryptografische algoritme dat wordt gebruikt.
Hoe werkt IPsec?
IPsec werkt in een van twee modi: tunnel of transport .
Tunnelmodus
In tunnelmodus wordt het volledige IP-datapakket – inclusief zowel de gegevenspayload als de header – tijdens de verzending versleuteld. IPsec versleutelt het pakket, voegt een nieuwe IP-header toe en stuurt het naar het andere eindpunt. Deze modus maakt veilige gegevensoverdracht mogelijk, zelfs wanneer u meerdere apparaten met elkaar laat communiceren via verschillende netwerken.
Transportmodus
In de transportmodus wordt alleen de gegevenspayload van het datapakket versleuteld en geauthenticeerd. Er worden geen wijzigingen aangebracht in de header. Qua bandbreedte heeft transportmodus een lagere overhead dan tunnelmodus. Het wordt vaak gebruikt voor apparaat- en netwerkbeheer, zoals wanneer een technicus een externe server benadert voor onderhoudswerkzaamheden.
IPsec-bedieningsstappen
Dit is hoe een IPsec-verbinding in de praktijk werkt…
Herkenning van de host
Het systeem herkent dat een datapakket beveiliging vereist. Het pakket wordt behandeld als “interessant verkeer”, waardoor automatisch het juiste IPsec-beveiligingsbeleid wordt geactiveerd.
IKE fase één
De communicerende apparaten (peers) worden geauthenticeerd. Er wordt ook een Internet Key Exchange (IKE) beleid onderhandeld tussen deze peers. Dit zorgt ervoor dat de partijen dezelfde encryptiesleutel gebruiken. Er wordt een beveiligde tunnel opgezet voor de uitwisseling van gegevens.
IKE fase twee
De parameters voor gegevensuitwisseling worden onderhandeld tussen peers met behulp van de ISAKMP.
Gegevensoverdracht
Gegevens worden versleuteld en vervolgens via de IPsec-tunnel verzonden. Aan de andere kant worden de pakketten gedecodeerd.
Hoe wordt IPsec gebruikt in VPN?
Een virtueel privé-netwerk (VPN) verbindt twee of meer apparaten, waardoor ze toegang krijgen tot een gedeeld systeem. Het is in wezen een beveiligde tunnel die via een openbaar netwerk kan werken.
Voor bedrijven kan een VPN een privéverbinding tot stand brengen tussen verspreide apparaten van werknemers en de systemen van het bedrijf, waardoor het ideaal is voor werken op afstand. Dit type oplossing is ook handig voor IoT-initiatieven, waardoor ingezette slimme apparaten kunnen communiceren met de infrastructuur die gegevens van deze apparaten beheert of verzamelt.
In IoT-systemen wordt IPSec VPN vaak gebruikt om verbindingen tussen bedrijfsnetwerken en MNO/MVNO-netwerken te beveiligen of om communicatie rechtstreeks met apparaten te beveiligen.
Bij een VPN wordt verzonden data versleuteld voordat het de internet service provider (ISP) van de afzender bereikt. Een van de meest voorkomende toepassingen van IPsec is het versleutelen en authenticeren van al het verkeer dat door de tunnel reist.
Ontdek meer
Met de VPN-oplossing van Wireless Logic krijgen bedrijven kosteneffectieve en betrouwbare beveiliging voor M2M- en IoT-SIM-apparaten, zonder dat de bestaande IT-architectuur hoeft te worden herzien.
Ontdek hier meer.