پروتكل IPsec
پروتكل IPsec یك مجموعه پروتكل است كه امنیت ارتباطات پروتكل اینترنت (IP) را توسط عملیات احراز هویت و رمزنگاری برای هر بسته IP در یك نشست ارتباطی تامین میكند. IPsec همچنین شامل پروتكلهایی میشود كه برای برقراری یك ارتباط دوطرفه بین عاملها در ابتدای نشست و مذاكره در مورد كلیدهای رمزنگاری برای استفاده در مدت زمان نشست، استفاده میشوند.
پروتكل IPsec اساساً راهی است كه امنیت داده هایی را كه در یك شبكهبین كامپیوترها منتقل میشوند، تضمین میكند. IPsec تنها یكی از قابلیتهای ویندوز نیست، پیاده سازی ویندوزی IPsec بر اساس استانداردهای توسعه یافته توسط نیروی وظیفه مهندسی اینترنت (IETF) بنا شده است.
پروتكل IPsec در لایه اینترنت از مدل لایه ای پروتكل اینترنت كار میكند. IPsec میتواند از جریانهای داده مابین میزبانها (میزبان به میزبان)، مابین گذرگاههای امنیتی (شبكه به شبكه) یا مابین یك گذرگاه امنیتی به یك میزبان، پشتیبانی كند.
تعدادی از سیستمهای امنیتی اینترنتی دیگر كه به صورت گسترده كاربرد دارند، مانند لایه سوكت امن (SSL)، لایه امنیت انتقال (TLS) و پوسته امن (SSH) در لایه های بالایی از مدل TCP/IP كار میكنند. درصورتیكه IPsec هر نوع ترافیك در سراسر شبكه های مبتنی بر IP را پشتیبانی میكند. اگر ترافیكی غیر از IP در شبكه وجود داشته باشد، باید از پروتكل دیگری مانند GRE در كنار IPSec استفاده كرد.
پروتكل IPSec توسط سرویسهای زیر، امنیت داده های ارسال شده بین دو آدرس IP در شبكه را تامین میكند:
-
احراز هویت داده
شناسایی مبداء داده: شما میتوانید از IPsec استفاده كنید تا تضمین كند كه هر بسته ای كه از یك طرف قابل اعتماد دریافت كردید، در واقع توسط همان مبداء ارسال شده است و جعلی و دستكاری شده نیست.
تمامیت داده: شما می توانید از IPsec استفاده كنید تا تضمین كند كه داده ها در زمان انتقال تغییر نمیكنند.
حفاظت ضد بازپخش: شما می توانید از IPsec استفاده كنید تا بررسی كند كه هر بسته ای كه دریافت میكنید یكتا است و كپی برداری نشده است.
-
رمزگذاری
شما میتوانید از IPsec به منظور رمزگذاری داده ها در شبكه استفاده كنید تا برای سوء استفاده كنندگان قابل دسترسی نبوده و در طول مسیر، امكان استفاده غیر مجاز از آنها وجود نداشته باشد.
به بیان دیگر، كامپیوتر مبداء بسته اطلاعاتی TCP/IP عادی را به صورت یك بسته اطلاعاتی IPSec بسته بندیمیكند و برای كامپیوتر مقصد ارسال میكند. این بستهتا زمانی كه به مقصد برسد رمز شده است و طبیعتا كسی نمی تواند از محتوای آنهااطلاعاتی به دست آورد.
در ویندوز سرور 2008 و ویندوز ویستا، IPsec یك اجبار است كه باید به وسیله سیاستهای IPsec و یا قوانین امنیت ارتباط، اعمال گردد. سیاستهای IPsec كه به صورت پیش فرض روی سیستمها وجود دارد، تنها بر روی سرویسهای احراز هویت مذاكره میكنند. اگر چه شما میتوانید با استفاده از سیاستهای IPsec و یا قوانین ارتباط امن، تنظیماتی را به سیستم اعمال نمایید تا هر تركیبی از سرویسهای امنیت داده را فراهم كند.
معماری امنیتی
IPSec یك استاندارد باز است. پروتكل IPsec از پروتكلهای زیر برای تامین امنیت داده ها در شبكه استفاده میكند.
سرآیند احراز هویت (AH): این پروتكل تمامیت و احراز هویت مبداء داده ها را برای بسته های داده IP فراهم كرده و از داده ها در مقابل حملاتپخشی محافظت میكند.
بسته بندی امن داده (ESP): این پروتكل، محرمانگی، احراز هویت مبدأ داده ها، تمامیت و یك سرویس ضد بازپخشی را ارائه مینماید.
مدیریت امنیت (SA): یك مجموعه از الگوریتمها و داده ها ارائه میدهد كه این مجموعه، پارامترهای ضروری برای مدیریت كردن عملكرد پروتكل AH و/یا پروتكل ESP را فراهم میكند. پروتكل ISAKMP، یك چهارچوب برای عملیات احراز هویت و تبادل كلید ارائه میدهد، كه در واقع این كلیدها یا به وسیله تنظیم دستی توسط كلیدهایی كه از پیش به اشتراك گذاشته شده اند و یا از طریق Internet Key Exchange (IKE) تهیه میگردند.
مدهای عملیاتی
پروتكل IPsec میتواند برای روش انتقال میزبان به میزبان و روش تونل شبكه مورد استفاده قرار گیرد.
مد انتقالی:
در این مد، معمولا تنها اطلاعاتی كه به صورت بسته های IP ارسال میشوند، رمزنگاری و/یا احراز هویت میگردند. عملیات مسیریابی بدون تغییر باقی میماند، چرا كه سرآیند بستهIP تغییر نكرده و رمز نشده است. هرچند هنگامی كه از سرآیند احراز هویت استفاده میشود، آدرسهای IP قابل ترجمه نیستند، زیرا توسط الگوریتم درهم سازی اطلاعات آن رمزنگاری میشود. لایه های انتقال و كاربرد همیشه توسط الگوریتم درهم سازی امن میشوند، در نتیجه تحت هیچ شرایطی نمیتوان اطلاعات آنها را تغییر داد. مد انتقال برای ارتباطات میزبان به میزبان استفاده میشود.
مد تونل شبكه:
در این مد، كل بسته IP رمزنگاری و/یا احراز هویت میشود. سپس درون بسته دیگری بسته بندی شده و یك سرآیند جدید میگیرد. این مد برای ایجاد شبكه های خصوصی مجازی برای ارتباطات شبكه به شبكه، ارتباطات میزبان به شبكه و ارتباطات میزبان به میزبان استفاده میشود. این مد، پیمایش NAT را پشتیبانی میكند.
شما میتوانید با دادن یك سری دستورالعملها به ویندوز، این سیستم عامل را تعلیم دهید كه تحت چه شرایطی از IPSec استفاده كند. تحت این شرایط شما در واقع مشخص میكنید كه ترافیك كدام گروه از IP ها باید توسط IPSec انجام شود و كدامیك نشود. IPSecبه شما امكان میدهد كه تعریف كنید چه داده ای و چگونه باید رمزگذاری شود. برای این منظور معمولا” از روش فیلتر كردن IP استفاده میشود. فهرست خاصی از IP های فیلتر شده كه شما تهیه میكنید، میتواند مرجعی برای استفاده از پروتكل IPSecبرای ویندوز باشد.
دیدگاهتان را بنویسید