Che cos'è IPSec?
IPSec è un insieme di regole o protocolli di comunicazione per la creazione di connessioni sicure su una rete. Il protocollo Internet (IP) è lo standard comune che determina il modo in cui i dati viaggiano su Internet. IPSec aggiunge la crittografia e l'autenticazione per rendere il protocollo più sicuro. Ad esempio, i dati vengono criptati all'origine e decodificati a destinazione. Inoltre, autentica l'origine dei dati.
Perché IPSec è importante?
Negli anni '90, l'Internet Engineering Task Force ha sviluppato IPSec per assicurare la riservatezza, l'integrità e l'autenticità dei dati durante il loro accesso alle reti pubbliche. Ad esempio, gli utenti si connettono a Internet con una rete privata virtuale (VPN) IPSec per accedere ai file aziendali da remoto. Il protocollo IPSec crittografa le informazioni sensibili per impedire monitoraggi indesiderati. Il server può anche verificare che i pacchetti di dati ricevuti siano autorizzati.
Come viene utilizzato IPSec?
IPsec può essere utilizzato per svolgere le seguenti operazioni:
- Rendere sicuro il router durante l'invio dei dati attraverso la rete Internet pubblica.
- Crittografare dati dell'applicazione.
- Autenticare rapidamente i dati se questi provengono da un mittente sconosciuto.
- Proteggere i dati di rete configurando circuiti crittografati, denominati tunnel IPsec, che crittografano tutti i dati inviati tra due endpoint.
Le organizzazioni utilizzano IPSec per proteggersi da attacchi replay. Un attacco replay, o man-in-the-middle, è l'atto di intercettare e modificare la trasmissione in corso instradando i dati a un computer intermediario. Il protocollo IPSec assegna un numero sequenziale a ogni pacchetto di dati ed esegue controlli per rilevare segni di pacchetti duplicati.
Che cos'è la crittografia IPSec?
La crittografia IPSec è una funzione software che codifica i dati per proteggerne il contenuto da parti non autorizzate. I dati vengono crittografati da una chiave di crittografia, quindi è necessaria una chiave di decrittografia per decodificare le informazioni. IPSec supporta vari tipi di crittografia, tra cui AES, Blowfish, Triple DES, ChaCha e DES-CBC.
IPSec utilizza la crittografia asimmetrica e simmetrica per rendere veloce e sicuro il trasferimento dati. Nella crittografia asimmetrica, la chiave di crittografia è resa pubblica mentre quella di decrittografia viene mantenuta privata. La crittografia simmetrica utilizza la stessa chiave pubblica per crittografare e decrittografare i dati. IPSec stabilisce una connessione sicura con la crittografia asimmetrica e passa a quella simmetrica per velocizzare il trasferimento dati.
Come funziona IPSec?
Lo scambio di dati dei computer con il protocollo IPSec ha luogo nel modo seguente.
- Il computer mittente determina se la trasmissione dei dati necessita di protezione IPSec verificando la rispettiva policy di sicurezza. In caso affermativo, il computer avvia la trasmissione IPSec sicura con il computer destinatario.
- Entrambi i computer negoziano i requisiti per stabilire una connessione sicura. Ciò include l'accettazione reciproca dei parametri di crittografia, autenticazione e altre associazioni di sicurezza.
- Il computer invia e riceve i dati crittografati, convalidando quelli provenienti da origini attendibili. Esegue controlli per assicurare che il contenuto sottostante sia affidabile.
- Una volta completata la trasmissione o quando scade la sessione, il computer termina la connessione IPSec.
Che cosa sono i protocolli IPSec?
I protocolli IPSec inviano pacchetti di dati in modo sicuro. Un pacchetto di dati è una struttura specifica che formatta e prepara le informazioni da trasmettere in rete. È costituito da intestazione, payload e trailer.
- L'intestazione è una sezione precedente che contiene informazioni per l'instradamento del pacchetto di dati alla destinazione corretta.
- Payload è un termine che descrive le informazioni contenute effettivamente in un pacchetto di dati.
- Il trailer costituisce ulteriori dati che vengono aggiunti alla coda del payload per indicare la fine del pacchetto di dati.
Di seguito sono riportati alcuni protocolli IPSec.
Authentication Header (AH)
Il protocollo Authentication Header (AH) aggiunge un'intestazione che contiene i dati di autenticazione del mittente e protegge i contenuti dei pacchetti da modifiche da parte di terzi non autorizzati. Avvisa il destinatario di possibili manipolazioni del pacchetto di dati originale. Quando riceve il pacchetto di dati, il computer confronta il calcolo crittografico hash proveniente dal payload con l'intestazione per assicurare che entrambi i valori corrispondano. Un hash crittografico è una funzione matematica che riassume i dati in un valore unico.
Encapsulating Security Payload (ESP)
A seconda della modalità IPSec selezionata, il protocollo Encapsulating Security Payload (ESP) esegue la crittografia sull'intero pacchetto IP o solo sul payload. ESP aggiunge l'intestazione e il trailer al pacchetto di dati al momento della crittografia.
Internet Key Exchange (IKE)
Internet Key Exchange (IKE) è un protocollo che stabilisce una connessione sicura tra due dispositivi in Internet. In entrambi i dispositivi viene configurata un'associazione di sicurezza, che prevede la negoziazione di chiavi e algoritmi di crittografia per trasmettere e ricevere i pacchetti di dati successivi.
Che cosa sono le modalità IPSec?
IPSec funziona in due modi diversi con gradi di protezione differenti.
Tunnel
La modalità tunnel IPSec è adatta per trasferire i dati sulle reti pubbliche in quanto protegge maggiormente i dati da parti non autorizzate. Il computer crittografa tutti i dati, inclusi il payload e l'intestazione, e aggiunge loro una nuova intestazione.
Trasferimento
La modalità di trasferimento IPSec crittografa solo il payload del pacchetto di dati e lascia l'intestazione IP nella sua forma originale. L'intestazione del pacchetto non crittografata consente ai router di identificare l'indirizzo di destinazione di ogni pacchetto di dati. Pertanto, il trasferimento IPSec viene utilizzato in una rete chiusa e attendibile, ad esempio per proteggere una connessione diretta tra due computer.
Che cos'è VPN IPSec?
VPN, o rete privata virtuale, è un software di rete che consente agli utenti di navigare in Internet in modo anonimo e sicuro. VPN IPSec è un software VPN che utilizza il protocollo IPSec per creare tunnel crittografati su Internet. Fornisce crittografia end-to-end, vale a dire che i dati vengono codificati nel computer e decodificati nel server di ricezione.
VPN SSL
SSL è l'acronimo di Secure Socket Layer. È un protocollo di sicurezza che protegge il traffico Web. VPN SSL è un servizio di sicurezza della rete basato su browser che utilizza il protocollo SSL incorporato per crittografare e proteggere la comunicazione di rete.
Qual è la differenza fra VPN IPSec e VPN SSL?
Entrambi i protocolli di sicurezza vengono utilizzati su livelli diversi del modello Open Systems Interconnection (OSI). Il modello OSI definisce la struttura su più livelli del modo in cui i computer scambiano i dati in una rete.
I protocolli IPSec si applicano ai livelli di rete e di trasferimento al centro del modello OSI. Nel frattempo, SSL crittografa i dati nel livello più alto dell'applicazione. Puoi connetterti a una VPN SSL da un browser Web, ma devi installare un software separato per utilizzare VPN IPSec.
In che modo AWS supporta le connessioni IPSec?
VPN sito-sito AWS è un servizio completamente gestito che crea una connessione sicura tra data center o filiale e risorse AWS mediante tunnel IPSec. Quando si utilizza VPN sito-sito, è possibile connettersi sia al cloud privato virtuale (VPC) Amazon che ad AWS Transit Gateway. Vengono impiegati due tunnel per ogni connessione allo scopo di aumentare la ridondanza. VPN sito-sito AWS offre numerosi vantaggi, quali:
- Visibilità sull'integrità della rete locale e remota con il monitoraggio delle prestazioni.
- Migrazione facile e sicura delle applicazioni locali al Cloud AWS.
- Prestazioni delle applicazioni migliori quando vengono integrate con AWS Global Accelerator.
Inizia a usare AWS VPN oggi stesso registrandoti per un account AWS.
Passaggi successivi di IPsec con AWS
Ottieni accesso istantaneo al Piano gratuito di AWS.