مرکز آموزش اولین دیتا

IPSec چیست ؟

0

در این بحث به بررسی یکی از نماد های امنیت در شبکه پرداخته میشود. در دوره Security+ بطور مفصل مورد بررسی قرار میگیرد و یکی از پایه ای ترین مفاهیم در سری مطالب امنیت است که در هرجایی میتوانید ردی از آن را ببینید. دقت و درک صحیح مفهوم IPSec و مفاهیم مشابه لازمه شروع موفق سری دوره های امنیت خواهد بود.

IPSec مخفف و کوتاه شده عبارت IP Security است که به مجموعه ای از پروتکل ها اشاره کرده و تبادل امن بسته ها در لایه IP را پشتیبانی میکند. IPSec بطور گسترده در تکنولوژی VPN جهت احراز هویت، محرمانگی، یکپارچگی و مدیریت کلید در شبکه های مبتنی بر IP، مورد استفاده قرار میگیرد. IPSec امنیت ارتباطات را در بطن شبکه با کمک سرویس های امن رمزنگاری برقرار میکند. برای عملکرد صحیح و کامل IPSec، هر دو طرف فرستنده و گیرنده باید یک کلید عمومی را به اشتراک بگذارند که بواسطه استفاده از پروتکل “مدیریت کلید” عملی میشود. این پروتکل به گیرنده این اجازه را میدهد تا یک کلید عمومی را بدست آورده و فرستنده را بر اساس امضای دیجیتال احراز هویت نماید. مزایایی که IPSec برای یک ارتباط به ارمغان میآورد، شامل موارد زیر میباشد :

  • محافظت از حمله replay
  • محرمانگی اطلاعات (رمزنگاری)
  • یکپارچکی اطلاعات
  • احراز منبع و منشاء اطلاعات
  • احراز هویت در لایه Network

۳۴۳۱۳

انواع حالات IPSec

ipsecespmodes

حالات IPSec مرتبط با عملکرد دو پروتکل مرکزی اش است؛ (Encapsulating Security Payload (ESP و (Authentication Header(AH. هر دوی این پروتکل ها امنیت را با اضافه کردن دیتاگرام به هدر تامین میکنند. تفاوت بین این دو روش در نحوه رمزنگاری کردن بخشی از دیتاگرام است که محافظت شده است. IPSec دو حالت از رمزنگاری را پشتیبانی میکند؛ حالت Transport و حالت tunnel.

حالت Transport

در این حالت، IPSec هر بسته را در پیلود بدون دست زدن به هدر رمزنگاری میکند. این روش، ESP Encapsulation Security Payload هم نامیده میشود. در این روش هر دو طرف ارتباط احراز هویت شده و همچنین امکان رمزنگاری انتقال دیتا نیز وجود دارد. این حالت کاملا با NAT نیز سازگاری دارد؛ بنابراین برای ایجاد سرویس های VPN در شبکه های NAT مورد استفاده قرار میگیرد.

حالت Tunnel

در این حالت، IPSec هم پیلود و هم هدر را رمزنگاری میکند. بنابراین این حالت به نظر امن تر میرسد. حالت Tunnel به (AH(Authentication Header نیز معروف است. اطلاعات رمز شده در طرف گیرنده توسط سیستمی سازگار با IPSec، رمزگشایی میشود. از آنجایی که در حالت Tunnel هدر بسته IP، رمز میشود، NAT نمیتواند بر روی IP Header بازنویسی کند، بنابراین در NAT سرویس‌های VPN ایجاد نمیشوند.

معماری IPSec

IPSec سرویس های امن را در لایه شبکه پیشنهاد میدهد و همین باعث آزادی عمل در انتخاب پروتکل های امنیتی مورد نیاز و تعین الگوریتم مورد استفاده در سرویس ها است. برای ایجاد سرویس های درخواستی، اگر لازم باشد باید کلیدهای رمزنگاری مرتبط را نیز مورد استفاده قرار داد. سرویس های امنیتی که توسط IPSec ارائه میشود، شامل کنترل دسترسی، احراز هویت منشاء اطلاعات، یکپارچگی، پروتکل anti-replay و محرمانگی اطلاعات است. برای استفاده از این سرویس ها، IPSec از دو ترافیک پروتکل های امنیتی AH و ESP و پروتکل های مدیریت کلید رمزنگاری بهمراه فرآیندهای متناظرشان استفاده میکند. در ادامه ساختار پروتکل IPSec را در قالب معماری آن شاهد خواهیم بود :

پست های مرتبط

css_ipsec_blockdiagrame1

نکته: Anti-replay یکی از زیر پروتکل های IPSec است که مهمترین وظیفه ان کاهش احتمال تزریق یا دستکاری اطلاعات مبادله شده توسط نفوذگران است. این پروتکل بصورت غیر مستقیم امنیت را در یک ارتباط بین دو نود شبکه برقرار میکند.

(Encapsulating Security Payload (ESP: این شیوه بصورت عام در ارائه سرویس هایی مثل رمزنگاری و احراز هویت مورد استفاده قرار میگیرد.

(Authentication Header (AH: این روش فقط سرویس احراز هویت دیتاگرام را ایجاد کرده و رمزنگاری را ارائه نمیکند.

DOI: فرمت دهی payload، انواع تبادلات دیتا و نامگذاری اطلاعات امنیتی مثل الگوریتم رمزنگاری یا قوانین امنیتی را تعریف میکند. ISAKMP طوری طراحی شده است که علاوه بر لایه IP، سرویس های امنیتی را در دیگر لایه ها نیز پشتیبانی نماید. بنابراین IPSec نیاز به یک DOI خاص خودش دارد.

(ISAKMP (Internet Security Association and Key Management Protocol: این پروتکل یکی از کلیدی ترین پروتکل های موجود در IPSec است که امنیت لازم را در ارتباطات مختلف بر روی اینترنت مثل ارتباطات دولتی، خصوصی و تجاری با ترکیب مفاهیم امنیتی از احراز هویت، مدیریت کلید و ارتباطات امنیتی برقرار میسازد.

Policy :Policy عنصر کلیدی ای است که تعین میکند دو موجودیت میتوانند با یکدیگر ارتباط برقرار کنند یا خیر. اگر آن ها بتوانند با یکدیگر ارتباط بگیرند، تعین میکند که چه نوع تبادلی باید انجام پذیرد. اگر Policy بدرستی تعریف نشده باشد، ممکن است منجر به عدم ارتباط دو موجودیت شود.

احراز هویت و محرمانگی در IPSec

IPSec از دو روش امنیتی مختلف برای احراز هویت و محرمانگی اطلاعات استفاده میکند:

(Authentication Header (AH

این روش صحت هویت اطلاعات فرستنده را چک میکند. بعبارتی این روش ایجاد یکپارچگی و احراز هویت فرستنده اطلاعات را برای دیتاگرام تامین کرده و محافظی در برابر حملات replay است. در IPSec، احراز هویت دیتا به دو شیوه مختلف صورت میپذیرد، یکپارچگی اطلاعات و احراز هویت فرستنده اطلاعات. اگرچه احراز هویت فرستنده اطلاعات خود به یکپارچگی اطلاعات در مرحله بالاتر وابسته است اما میتواند به یکپارچگی اطلاعات و یا هر دوی مفاهیم اشاره داشته باشد.

یکپارچگی اطلاعات: عدم دستکاری و تغیر در اطلاعات را بررسی میکند.

احراز هویت فرستنده اطلاعات: بررسی میکند که اطلاعات واقعا از مبداء مورد نظر ارسال شده باشد.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد .