Good

IPsec — Захищена передача на рівні IP

IPsec (IP Security) — набір протоколів для автентифікації та шифрування IP-пакетів на мережевому рівні (L3), що забезпечує конфіденційність, цілісність і справжність переданих даних без змін у застосунках, які використовують мережу.

Опис

IPsec працює на рівні ядра операційної системи і є прозорим для застосунків — вони не "знають" про шифрування. Це відрізняє IPsec від TLS, який реалізується у застосунку. Протокол складається з кількох компонентів:

IKE (Internet Key Exchange) — протокол узгодження параметрів захищеного з'єднання. Сучасна версія IKEv2 виконує взаємну автентифікацію сторін (за допомогою сертифікатів або pre-shared key) і встановлює SA (Security Association) — набір погоджених параметрів шифрування та цілісності для конкретного з'єднання.

ESP (Encapsulating Security Payload) — протокол, що безпосередньо шифрує корисне навантаження і забезпечує цілісність пакету. Використовується в переважній більшості сучасних розгортань. AH (Authentication Header) — застарілий варіант, що забезпечує лише автентифікацію без шифрування.

IPsec має два режими роботи. Транспортний режим шифрує лише корисне навантаження IP-пакету, зберігаючи оригінальний заголовок. Тунельний режим шифрує весь оригінальний пакет і вкладає його в новий IP-пакет — саме так будується VPN між мережами (site-to-site). Для мобільних клієнтів зазвичай використовують IKEv2/IPsec як стандартний протокол VPN.

В контексті UMTC

IPsec у site-to-site режимі може пов'язати кілька польових позицій в одну захищену мережу поверх публічного Інтернету або супутникового каналу. RouterOS на MikroTik підтримує IKEv2/IPsec нативно і дозволяє налаштувати тунелі між вежами LTE без додаткового програмного забезпечення.

Порівняно з WireGuard, IPsec є складнішим у налаштуванні (більше параметрів: cipher suite, DH group, lifetime), але має перевагу у сумісності — підтримується на ширшому спектрі обладнання, включаючи цивільні маршрутизатори, комерційні VPN-шлюзи та програмні засоби МО. Це важливо при інтеграції з партнерськими мережами або цивільною інфраструктурою.

При використанні IPsec у польових умовах рекомендується застосовувати сильні алгоритми: AES-256-GCM для шифрування, SHA-256 або SHA-384 для цілісності, DH group 14 або вище для обміну ключами. Weak cipher suite (DES, MD5, DH group 1/2) є неприпустимим.

Пов'язані терміни

  • wireguard — сучасна альтернатива IPsec: простіша в налаштуванні, менший код, кращі характеристики для мобільних клієнтів
  • gre — незашифрований протокол тунелювання, що часто поєднується з IPsec для захисту GRE-тунелів
  • mtls — альтернативний підхід до взаємної автентифікації на транспортному рівні (L4)
  • vxlan — тунелювання L2 через L3, яке може захищатись IPsec

Посилання

Шлях: glossary/ipsec.md

UMTC Wiki © 2026 | Ukrainian Military Tactical Communications