پروتكل IPsec

ارسال شده توسط admin | در دسته بندی وبلاگ

پروتكل IPsec

 

IP sec

پروتكل IPsec یك مجموعه پروتكل است كه امنیت ارتباطات پروتكل اینترنت (IP) را توسط عملیات احراز هویت و رمزنگاری برای هر بسته IP در یك نشست ارتباطی تامین می­كند. IPsec همچنین شامل پروتكل­هایی می­شود كه برای برقراری یك ارتباط دوطرفه بین عامل­ها در ابتدای نشست و مذاكره در مورد كلیدهای رمزنگاری برای استفاده در مدت زمان نشست، استفاده می­شوند.
پروتكل IPsec اساساً راهی است كه امنیت داده هایی را كه در یك شبكهبین كامپیوترها منتقل می­شوند، تضمین می­كند. IPsec تنها یكی از قابلیت­های ویندوز نیست، پیاده سازی ویندوزی IPsec بر اساس استانداردهای توسعه یافته توسط نیروی وظیفه مهندسی اینترنت (IETF) بنا شده است.
پروتكل IPsec در لایه اینترنت از مدل لایه ای پروتكل اینترنت كار می­كند. IPsec می­تواند از جریان­های داده مابین میزبان­ها (میزبان به میزبان)، مابین گذرگاه­های امنیتی (شبكه به شبكه) یا مابین یك گذرگاه امنیتی به یك میزبان، پشتیبانی كند.
تعدادی از سیستم­های امنیتی اینترنتی دیگر كه به صورت گسترده كاربرد دارند، مانند لایه سوكت امن (SSL)، لایه امنیت انتقال (TLS) و پوسته امن (SSH) در لایه های بالایی از مدل TCP/IP كار می­كنند. درصورتیكه IPsec هر نوع ترافیك در سراسر شبكه های مبتنی بر IP را پشتیبانی می­كند. اگر ترافیكی غیر از IP در شبكه وجود داشته باشد، باید از پروتكل دیگری مانند GRE در كنار IPSec استفاده كرد.
پروتكل IPSec توسط سرویس­های زیر، امنیت داده های ارسال شده بین دو آدرس IP در شبكه را تامین می­كند:
  • احراز هویت داده

شناسایی مبداء داده: شما می­توانید از IPsec استفاده كنید تا تضمین كند كه هر بسته ای كه از یك طرف قابل اعتماد دریافت كردید، در واقع توسط همان مبداء ارسال شده است و جعلی و دستكاری شده نیست.
تمامیت داده: شما می توانید از IPsec استفاده كنید تا تضمین كند كه داده ها در زمان انتقال تغییر نمی­كنند.
حفاظت ضد بازپخش: شما می توانید از IPsec استفاده كنید تا بررسی كند كه هر بسته ای كه دریافت می­كنید یكتا است و كپی برداری نشده است.
  • رمزگذاری

شما می­توانید از IPsec به منظور رمزگذاری داده ها در شبكه استفاده كنید تا برای سوء استفاده كنندگان قابل دسترسی نبوده و در طول مسیر، امكان استفاده غیر مجاز از آنها وجود نداشته باشد.
به بیان دیگر، كامپیوتر مبداء بسته اطلاعاتی TCP/IP عادی را به صورت یك بسته اطلاعاتی IPSec بسته بندیمی­كند و برای كامپیوتر مقصد ارسال می­كند. این بستهتا زمانی كه به مقصد برسد رمز شده است و طبیعتا كسی نمی تواند از محتوای آنهااطلاعاتی به دست آورد.
در ویندوز سرور 2008 و ویندوز ویستا، IPsec یك اجبار است كه باید به وسیله سیاست­های IPsec و یا قوانین امنیت ارتباط، اعمال گردد. سیاست­های IPsec كه به صورت پیش فرض روی سیستم­ها وجود دارد، تنها بر روی سرویس­های احراز هویت مذاكره می­كنند. اگر چه شما می­توانید با استفاده از سیاست­های IPsec و یا قوانین ارتباط امن، تنظیماتی را به سیستم اعمال نمایید تا هر تركیبی از سرویس­های امنیت داده را فراهم كند.

 معماری امنیتی

IPSec یك استاندارد باز است. پروتكل IPsec از پروتكل­های زیر برای تامین امنیت داده ها در شبكه استفاده می­كند.
سرآیند احراز هویت (AH): این پروتكل تمامیت و احراز هویت مبداء داده ها را برای بسته های داده IP فراهم كرده و از داده ها در مقابل حملاتپخشی محافظت می­كند.
بسته بندی امن داده (ESP): این پروتكل، محرمانگی، احراز هویت مبدأ داده ها، تمامیت و یك سرویس ضد بازپخشی را ارائه می­نماید.
مدیریت امنیت (SA): یك مجموعه از الگوریتم­ها و داده ها ارائه می­دهد كه این مجموعه، پارامترهای ضروری برای مدیریت كردن عملكرد پروتكل AH و/یا پروتكل ESP را فراهم می­كند. پروتكل ISAKMP، یك چهارچوب برای عملیات احراز هویت و تبادل كلید ارائه می­دهد، كه در واقع این كلیدها یا به وسیله تنظیم دستی توسط كلیدهایی كه از پیش به اشتراك گذاشته شده اند و یا از طریق Internet Key Exchange (IKE) تهیه می­گردند.

مدهای عملیاتی

پروتكل IPsec می­تواند برای روش انتقال میزبان به میزبان و روش تونل شبكه مورد استفاده قرار گیرد.
مد انتقالی:
در این مد، معمولا تنها اطلاعاتی كه به صورت بسته های IP ارسال می­شوند، رمزنگاری و/یا احراز هویت می­گردند. عملیات مسیریابی بدون تغییر باقی می­ماند، چرا كه سرآیند بستهIP  تغییر نكرده و رمز نشده است. هرچند هنگامی كه از سرآیند احراز هویت استفاده می­شود، آدرس­های IP قابل ترجمه نیستند، زیرا توسط الگوریتم درهم سازی اطلاعات آن رمزنگاری می­شود. لایه های انتقال و كاربرد همیشه توسط الگوریتم درهم سازی امن می­شوند، در نتیجه تحت هیچ شرایطی نمی­توان اطلاعات آنها را تغییر داد. مد انتقال برای ارتباطات میزبان به میزبان استفاده می­شود.
مد تونل شبكه:
در این مد، كل بسته IP رمزنگاری و/یا احراز هویت می­شود. سپس درون بسته دیگری بسته بندی شده و یك سرآیند جدید می­گیرد. این مد برای ایجاد شبكه های خصوصی مجازی برای ارتباطات شبكه به شبكه، ارتباطات میزبان به شبكه و ارتباطات میزبان به میزبان استفاده می­شود. این مد، پیمایش NAT را پشتیبانی می­كند.
شما می­توانید با دادن یك سری دستورالعمل­ها به ویندوز، این سیستم عامل را تعلیم دهید كه تحت چه شرایطی از IPSec استفاده كند. تحت این شرایط شما در واقع مشخص می­كنید كه ترافیك كدام گروه از IP ها باید توسط IPSec انجام شود و كدامیك نشود. IPSecبه شما امكان می­دهد كه تعریف كنید چه داده ای و چگونه باید رمزگذاری شود. برای این منظور معمولا” از روش فیلتر كردن IP استفاده می­شود. فهرست خاصی از IP های فیلتر شده كه شما تهیه می­كنید، می­تواند مرجعی برای استفاده از پروتكل IPSecبرای ویندوز باشد.

0 دیدگاه | آوریل 8, 2019

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

4 + یازده =