IPsec ESP

Что такое IPsec?

IPsec (Internet Protocol Security) — это набор протоколов, разработанных IETF для обеспечения безопасной передачи данных по IP-сетям.

IPsec работает на сетевом уровне (уровень 3 модели OSI) и позволяет шифровать и аутентифицировать IP-пакеты, обеспечивая конфиденциальность, целостность и подлинность данных.

Что такое ESP в контексте IPsec?

ESP (Encapsulating Security Payload) — это один из основных протоколов IPsec, отвечающий за шифрование полезной нагрузки (payload) IP-пакета и аутентификацию сообщения.

ESP может использоваться как самостоятельно, так и совместно с другими протоколами IPsec, например, IKE (Internet Key Exchange).

Основные функции ESP

Функция	Описание
Шифрование	Защищает данные от прослушивания третьими лицами
Аутентификация	Гарантирует, что пакет пришёл от доверенного источника
Целостность данных	Проверяет, не были ли изменены данные во время передачи
Защита от повторного воспроизведения	Обнаруживает и отбрасывает повторные (перехваченные ранее) пакеты

4. Структура пакета ESP

+---------------------+
|     IP Header       |
+---------------------+
|      ESP Header     |
+---------------------+
|     Payload Data    | ← Шифруемая часть
+---------------------+
|     ESP Trailer     |
+---------------------+
|   ESP Authentication|
+---------------------+

Компоненты:

ESP Header — содержит SPI (Security Parameters Index) и порядковый номер пакета (Sequence Number)
Payload Data — данные приложения (TCP/UDP/ICMP и др.)
ESP Trailer — информация о заполнении (padding), типе данных
Authentication Data (ICV) — контрольная сумма для проверки целостности и аутентификации

ESP в транспортном и туннельном режимах

Режим	Описание	Использование
Транспортный	Шифруется только payload, заголовок IP остаётся открытым	Точка-точка соединение между двумя хостами
Туннельный	Весь оригинальный IP-пакет шифруется и инкапсулируется в новый IP-заголовок	Для создания VPN между шлюзами или офисами

Алгоритмы шифрования и аутентификации

🔒 Шифрование (Encryption):

AES (Advanced Encryption Standard) — AES-CBC, AES-GCM
3DES (Triple DES) — устаревший, но всё ещё используется
ChaCha20-Poly1305 — современный алгоритм, оптимизированный для мобильных устройств

🔐 Аутентификация (Integrity & Authentication):

HMAC-SHA1 / HMAC-SHA256
AES-GMAC
Poly1305

Современные реализации часто используют AES-GCM, который объединяет шифрование и аутентификацию в одном алгоритме.

Преимущества ESP

Преимущество	Описание
Конфиденциальность	Данные шифруются, недоступны для прослушивания
Целостность и аутентификация	Гарантирует достоверность отправителя и неизменность данных
Поддержка NAT и фрагментации	Совместим с большинством сетевых сред
Интеграция с IKE	Автоматическое управление ключами и политиками безопасности
Масштабируемость	Может использоваться в корпоративных и домашних VPN

Недостатки ESP

Недостаток	Описание
Дополнительная нагрузка	Шифрование и проверка увеличивают задержку и использование ресурсов
Сложность настройки	Требует понимания протоколов, политики безопасности, ключей
Проблемы с NAT	Без NAT traversal (NAT-T) возможны проблемы с прохождением через маршрутизаторы
Не скрывает IP-адреса	В транспортном режиме исходный и целевой IP видны
Зависимость от IKE	Управление ключами требует дополнительных компонентов

Где применяется ESP?

Сценарий	Примеры использования
VPN	Удалённый доступ сотрудников к корпоративной сети
Site-to-site соединения	Соединение офисов через защищённый туннель
Удалённая работа	Безопасное подключение через публичные Wi-Fi
IoT / M2M безопасность	Защита коммуникаций между устройствами
VoIP и VoWiFi	Защита голосового трафика от прослушивания
Облачные сервисы	Защищённый доступ к облачным инфраструктурам

ESP vs AH

Характеристика	ESP	AH
Шифрование	✅	❌
Аутентификация	✅	✅
Целостность	✅	✅
Защита заголовка IP	❌	✅ (в транспортном режиме)
Поддержка NAT	✅ (с NAT-T)	❌
Производительность	Ниже из-за шифрования	Выше, без шифрования
Распространённость	Широко используется	Редко используется