IPSec-VPN
IPSec VPN is een populaire set protocollen die wordt gebruikt om veilige en privécommunicatie via Internet Protocol (IP)-netwerken te garanderen, wat wordt bereikt door de authenticatie en codering van IP-pakketten tussen twee eindpunten.
Wat is IPSec?
Internet Protocol Security, ook wel IPSec genoemd, is een raamwerk van open standaarden. Het is ontwikkeld door de Internet Engineering Task Force (IETF) en biedt cryptografisch gebaseerde beveiliging voor netwerkverkeer. Het maakt ook authenticatie van gegevensoorsprong, vertrouwelijkheid, integriteit en anti-replay mogelijk.
IPSec biedt ondersteuning voor zowel IPv4 als IPv6 en wordt ingezet als het gaat om de implementatie van een VPN. De termen ‘IPSec VPN’ of ‘VPN over IPSec’ verwijzen naar het proces van het tot stand brengen van verbindingen via het IPSec-protocol. Het is een veelgebruikte methode voor het creëren van een virtuele, gecodeerde link via het onbeveiligde internet.
In tegenstelling tot zijn tegenhanger (SSL) is IPSec relatief ingewikkeld om te configureren, omdat er clientsoftware van derden voor nodig is en het niet via de webbrowser kan worden geïmplementeerd. Bovendien wordt het vaak gebruikt voor veilige toegang op afstand tussen kantoren op meerdere locaties.
Belangrijkste kenmerken van IPSec VPN
Bescherming tegen herhaling
IPSec biedt bescherming tegen replay-aanvallen. Het wijst aan elk pakket een uniek volgnummer toe. Als het een pakket met een dubbel volgnummer detecteert, wordt het opnieuw afgespeeld en verwijderd.
Authenticatie van gegevensoorsprong
De Hash Message Authentication Code (HMAC) verifieert dat de pakketten niet zijn gewijzigd.
Perfecte voorwaartse geheimhouding
PFS in een IPSec VPN-service verbetert de veiligheid van uw VPN-verbinding. Dit gebeurt door voor elke onderhandeling een unieke sessiesleutel te garanderen.
Transparantie
IPSec werkt onder de transportlaag en is dus transparant voor gebruikers en applicaties. U hoeft dus geen softwarewijzigingen door te voeren wanneer u deze op uw router of firewall implementeert.
Dynamisch opnieuw intoetsen
Door met vaste tussenpozen opnieuw in te toetsen, wordt afscheid genomen van het handmatig opnieuw configureren van geheime sleutels. Het zorgt ook voor bescherming tegen de meeste onderscheppings- en imitatieaanvallen.
Vertrouwelijkheid
Pakketten worden vóór verzending door de afzender gecodeerd. Als gevolg hiervan bereiken gevoelige gegevens alleen de beoogde ontvanger.
IPSec versus SSL-vergelijking
Het volgende is een diepgaande vergelijking tussen SSL en IPSec, zodat u de beste voor uw behoeften kunt kiezen.
| Functies | IPSec | SSL |
|---|---|---|
| PRESTATIE | Werkt via een stukje software op de client, waardoor het wat langer kan duren om over verbindingen te onderhandelen. | Werkt via webbrowsers, waardoor het iets sneller gaat als het gaat om het onderhandelen over een verbinding. |
| BEVEILIGING | Ondersteunt herhalingsbescherming en authenticatie op netwerkniveau, evenals gegevensintegriteit en vertrouwelijkheid. | Gebruikt SSL of TLS voor codering, evenals openbare sleutels, privésleutels en digitale certificaten voor authenticatie. |
| MAKKELIJK TE GEBRUIKEN | Het implementatie- en configuratieproces duurt doorgaans lang. | Implementeerbaar met vrijwel elke moderne webbrowser. |
| FIREWALL-TRAVERSAL | Relatief eenvoudig te blokkeren door firewalls. | Geschikt om firewalls te omzeilen omdat poort 443 wordt gebruikt – de standaardpoort voor veilig HTTPS-verkeer. |
| CONTROLE | Brede toegang tot het interne netwerk of applicaties, wat tot beveiligingsproblemen kan leiden. | Gedetailleerdere toegangscontrole, maar vereist meer beheer. |
| GEGEVENSAUTHENTICATIE | Internetsleuteluitwisseling (IKE) | Algoritmen voor sleuteluitwisseling zoals Elliptic Curve Cryptography (ECC) en RSA. |
| BESCHERM TEGEN AANVALLEN | Omdat het externe toegang tot het hele netwerk biedt, is het aanvalsoppervlak groot. | Beperkt aanvalsoppervlak omdat het externe toegang tot specifieke applicaties en systemen mogelijk maakt. |
| CONCLUSIE | Ideaal als site-to-site VPN. | Voorkeur voor gedetailleerde toegang op afstand. |
Voor- en nadelen van het IPSec VPN-protocol
Voordelen
- Native compatibiliteit voor alle belangrijke apparaten.
- Het biedt de beste beveiliging omdat het een verscheidenheid aan cijfers gebruikt, zoals 3DES, AES en AES-256.
- Het is stabiel, vooral bij het wisselen van netwerk of het opnieuw verbinden na een verbroken verbinding.
- Werkt op netwerkniveau – u hoeft zich geen zorgen te maken over applicatie-afhankelijkheid!
- Ondersteunt site-to-site VPN-connectiviteit
Nadelen
- U kunt het blokkeren met beperkende firewalls.
- Het is niet het snelste protocol. De L2TP/IPSec kapselt gegevens tweemaal in, wat de verbinding vertraagt.
- Vereist aanzienlijke bandbreedte en verwerkingstijd.
- Breder aanvalsoppervlak
Hoe selecteert u het beste VPN-protocol?
U heeft de mogelijkheid om een ander protocol voor uw VPN-verbinding te gebruiken. Bekijk onze VPN-vergelijkingstabel voor een beter begrip van wat elk te bieden heeft. Nog steeds onzeker? Probeer deze VPN-protocollen in de volgende volgorde:
Veel Gestelde Vragen
Hoe werkt het IPSec-protocol?
IPSec VPN maakt gebruik van tunneling om een privéverbinding voor het netwerkverkeer tot stand te brengen. In tegenstelling tot andere protocollen die op de applicatielaag functioneren, werkt het op de netwerklaag. Hiermee kan het protocol het hele pakket versleutelen.
Voor dit doel zijn verschillende versleutelingsalgoritmen in het spel, maar we kunnen ze terugbrengen tot twee hoofdmechanismen die we hieronder hebben beschreven. IPSec maakt gebruik van Advanced Encryption Standard samen met andere technologieën voor gegevensveiligheid.Wat zijn de twee protocollen gedefinieerd door IPSec?
IPSec vertrouwt op de volgende kernprotocollen voor het coderen van uw informatie:
- IPSec Authentication Header (AH) Het protocol zorgt voor een digitale handtekening op elk pakket om uw gegevens en netwerk te beschermen. Dit betekent dat de inhoud niet zonder ontdekking kan worden gewijzigd. Het stelt de ontvanger ook in staat te verifiëren dat de ontvangen pakketten daadwerkelijk door de afzender zijn verzonden of niet. AH beschermt je ook tegen replay-aanvallen.
- Encapsulerende Security Payload (ESP) AH voorkomt dat er met een pakket wordt geknoeid en ESP zorgt voor de versleuteling van de pakketten. De lading van een pakket wordt gecodeerd via een ESP-header, ESP-trailer en ESP-authenticatieblok.
Beide protocollen werken samen om authenticatie, beveiliging en privacy te bieden.
Hoe IPSec VPN te gebruiken
Voor Android- en Windows-apparaten kan IPSec worden gebruikt met L2TP- en IKEv2-protocollen. Als het echter om iOS- en Mac-apparaten gaat, kunt u er alleen voor kiezen om IPSec alleen te gebruiken.
Welke poorten gebruikt IPSec?
Vaker wel dan niet zijn IPSec VPN-poorten meestal open in de firewall. Als dit niet het geval is, kunt u het laten werken door UDP-poort 500 te openen. Hierdoor kan ISAKEP-verkeer door uw firewalls worden doorgestuurd. Het staat ook IP-protocol-ID’s 50 toe om ESP-verkeer toe te staan en 51 om AH-verkeer toe te staan. Het verkeer wordt doorgestuurd via firewallfilters – zowel inkomend als ongebonden.
Ondersteunt PureVPN IPSec via IPv6?
Hoewel het mogelijk is om IPSec over IPv6 in te stellen, ondersteunt PureVPN IPSec over IPv6 niet.