IPsec چیست؟
IPsec گروهی از پروتکلها هستند که با هم برای راهاندازی اتصالات رمزگذاری شده بین دستگاهها استفاده میشوند و کمک می کند تا داده های ارسال شده از طریق شبکه های عمومی را ایمن نگه دارد. IPsec اغلب برای راه اندازی VPN ها استفاده می شود و با رمزگذاری بسته های IP، همراه با احراز هویت مبدأ که بسته ها از آنجا آمده اند، کار می کند.
در اصطلاح IP مخفف پروتکل اینترنت و sec به مهنای ایمن است. پروتکل اینترنت پروتکل اصلی مسیریابی مورد استفاده در اینترنت است. IPsec مشخص می کند که داده ها با استفاده از آدرس های IP به کجا خواهند رفت. این پروتکل امن است زیرا رمزگذاری و احراز هویت را به این فرآیند اضافه می کند. رمزگذاری، فرآیند پنهان کردن اطلاعات با تغییر ریاضی داده ها به گونه ای است که تصادفی به نظر برسد. به عبارت ساده تر، رمزگذاری استفاده از یک «کد مخفی» است که فقط اشخاص مجاز می توانند آن را تفسیر کنند.
VPN چیست؟ IPsec VPN چیست؟
virtual private network (VPN) یک اتصال رمزگذاری شده بین دو یا چند کامپیوتر است. اتصالات VPN از طریق شبکه های عمومی انجام می شود، اما داده های مبادله شده از طریق VPN همچنان خصوصی هستند زیرا رمزگذاری شده است. VPN ها دسترسی ایمن و تبادل داده های محرمانه را از طریق زیرساخت شبکه مشترک، مانند اینترنت عمومی، ممکن می سازند. به عنوان مثال، زمانی که کارمندان به جای اینکه در دفتر کار کنند از راه دور کار می کنند، اغلب از VPN برای دسترسی به فایل ها و برنامه های شرکتی استفاده می کنند.
بسیاری از VPN ها از مجموعه پروتکل IPsec برای ایجاد و اجرای این اتصالات رمزگذاری شده استفاده می کنند. با این حال، همه VPN ها از IPsec استفاده نمی کنند. پروتکل دیگر برای VPN ها، SSL/TLS است که در مدل OSI در لایه ای متفاوت از IPsec عمل می کند.
چگونه کاربران به IPsec VPN متصل می شوند؟
کاربران می توانند با ورود به یک برنامه VPN یا “کلاینت” به IPsec VPN دسترسی پیدا کنند. این معمولاً مستلزم آن است که کاربر برنامه را روی دستگاه خود نصب کرده باشد.
ورود به VPN معمولاً مبتنی بر رمز عبور است. در حالی که داده های ارسال شده از طریق VPN رمزگذاری شده است، اگر رمزهای عبور کاربر به خطر بیفتد، مهاجمان می توانند وارد VPN شده و این داده های رمزگذاری شده را بدزدند. استفاده از احراز هویت دو مرحلهای (FA2) میتواند امنیت IPsec VPN را تقویت کند، زیرا سرقت رمز عبور به تنهایی دیگر به مهاجم اجازه دسترسی نمیدهد.
IPsec چگونه کار می کند؟
IPsec connections شامل مراحل زیر است:
ـ تبادل کلید:
کلیدها برای رمزگذاری ضروری هستند. یک کلید رشته ای از کاراکترهای تصادفی است که می تواند برای “قفل کردن” (رمزگذاری encrypt) و “باز کردن قفل” (رمزگشایی decrypt) پیام ها استفاده شود. IPsec کلیدهایی را با تبادل کلید بین دستگاه های متصل تنظیم می کند، به طوری که هر دستگاه می تواند پیام های دستگاه دیگر را رمزگشایی کند.
ـ سرصفحه ها و تریلرهای بسته:
تمام داده هایی که از طریق شبکه ارسال می شوند به قطعات کوچکتری به نام packet ها تقسیم می شوند. packet ها شامل یک بار یا داده های واقعی ارسال شده و header ها یا اطلاعات مربوط به آن داده ها هستند تا سیستم های دریافت کننده packet ها بدانند که با آنها چه کاری انجام دهند. IPsec چندین هدر به packet های داده حاوی اطلاعات احراز هویت و رمزگذاری اضافه می کند. IPsec همچنین تریلرهایی را اضافه می کند که به جای قبل از هر packet، پس از بارگیری هر packet می روند.
ـ احراز هویت:
IPsec احراز هویت را برای هر packet فراهم می کند، مانند یک مهر اعتبار بر روی یک آیتم کلکسیونی. این تضمین می کند که packet ها از یک مبدا قابل اعتماد هستند و نه یک مهاجم.
ـ رمزگذاری:
IPsec محموله های درون هر packet و هدر IP هر بسته را رمزگذاری می کند. این داده های ارسال شده از طریق IPsec را امن و خصوصی نگه می دارد.
ـ انتقال:
packet های IPsec رمزگذاری شده با استفاده از یک پروتکل حمل و نقل از طریق یک یا چند شبکه به مقصد خود می روند. در این مرحله، ترافیک IPsec با ترافیک IP معمولی متفاوت است زیرا اغلب از UDP به عنوان پروتکل حمل و نقل خود به جای TCP استفاده می کند. TCP( Transmission Control Protocol) اتصالات اختصاصی را بین دستگاه ها تنظیم می کند و اطمینان می دهد که همه packet ها می رسند. UDP یا User Datagram Protocol این اتصالات اختصاصی را راه اندازی نمی کند. IPsec از UDP استفاده می کند زیرا به بسته های IPsec اجازه می دهد از فایروال ها عبور کنند.
ـ رمزگشایی: در انتهای دیگر ارتباط، packet ها رمزگشایی میشوند و برنامهها (مانند مرورگر) اکنون میتوانند از دادههای تحویلشده استفاده کنند.
چه پروتکل هایی در IPsec استفاده می شود؟
در شبکه، پروتکل یک روش مشخص برای قالببندی دادهها است به طوری که هر سیستم شبکهای میتواند دادهها را تفسیر کند. IPsec یک پروتکل نیست، بلکه مجموعه ای از پروتکل ها است. پروتکل هایی که زیر مجموعه IPsec را تشکیل می دهند:
- Authentication Header یا AH: پروتکل AH تضمین می کند که packet های داده از یک منبع قابل اعتماد هستند و داده ها دستکاری نشده اند، مانند یک مهر و موم ضد دستکاری روی یک محصول مصرفی. این هدرها هیچ رمزگذاری ارائه نمی دهند. آنها به پنهان کردن داده ها از مهاجمان کمک نمی کنند.
- ESP یا Encapsulating Security Protocol: این پروتکل هدر IP و محموله هر packet را رمزگذاری می کند (مگر اینکه از transport mode استفاده شود، در این صورت فقط محموله را رمزگذاری می کند). ESP هدر و یک تریلر خود را به هر packet داده اضافه می کند.
- Security Association یا SA: پروتکل SA به تعدادی از پروتکل های مورد استفاده برای مذاکره کلیدهای رمزگذاری و الگوریتم ها اشاره دارد. یکی از رایج ترین پروتکل های SA، Internet Key Exchange (IKE) است.
در نهایت، در حالی که پروتکل اینترنت (IP) بخشی از مجموعه IPsec نیست، IPsec مستقیماً در بالای IP اجرا می شود.
IPSec tunnel چیست؟
IPSec tunnel یا Internet Protocol Security tunnel مجموعهای از استانداردها و پروتکلها است که در ابتدا توسط گروه Internet Engineering Task Force (IETF) برای پشتیبانی از ارتباطات امن بهعنوان بستههای اطلاعاتی از یک آدرس IP در سراسر مرزهای شبکه و بالعکس، توسعه داده شد. یک tunnel IPSec امکان پیادهسازی یک شبکه خصوصی مجازی (VPN) را فراهم میکند که یک شرکت ممکن است از آن برای گسترش ایمن دسترسی خود فراتر از شبکه خود به مشتریان، شرکا و تامینکنندگان استفاده کند.
IPSec VPN ها ممکن است به صورت زیر طبقه بندی شوند:
- Intranet VPNs: دفتر مرکزی شرکت را با دفاتر در مکان های مختلف متصل می کند.
- Extranet VPNs: شرکت ها را با شرکای تجاری یا تامین کنندگان متصل می کند.
- Remote-Access VPNs: کاربران فردی و از راه دور مانند مدیران یا افرادی که از راه دور کار می کنند را به شبکه شرکت خود متصل می کند.
IPSec tunnel در مقابل normal security tunnel:
انواع مختلفی از پروتکل های VPN برای تونل زدن یا انتقال داده ها از طریق اینترنت وجود دارد. به عنوان مثال، اکثر سایت های تجارت الکترونیک از Secure Sockets Layer (SSL) و Transport Layer Security (TLS) استفاده می کنند. برخی از شبکه ها از Secure Shell (SSH) و برخی دیگر از Layer 2 Tunneling Protocol (L2TP) استفاده می کنند. در مقایسه با انواع مختلف tunnelهای معمولی، IPSec قویترین امنیت رمزنگاری را فراهم میکند.
IPSec tunnel لایه های امنیتی قوی ایجاد می کند تا به طور کامل از داده هایی که از طریق اینترنت یا از طریق شبکه سازمانی منتقل می شود محافظت کند. tunnel IPSec کل بسته داده را چنان به طور کامل رمزگذاری می کند که هیچ نهادی نمی تواند منبع داده، نقطه پایان داده یا نقطه مبدا داده را ببیند. تونل های امنیتی “عادی” به سادگی این نوع رمزگذاری را ندارند.
تفاوت بین حالت IPsec tunnel و حالت IPsec transport چیست؟
حالت tunnel IPsec بین دو روتر اختصاصی استفاده می شود که هر روتر به عنوان انتهای یک “تونل” مجازی از طریق یک شبکه عمومی عمل می کند. در حالت tunnel IPsec، هدر IP اصلی حاوی مقصد نهایی بسته، علاوه بر payload بسته، رمزگذاری می شود. برای اینکه به روترهای واسطه بگوید کجا بسته ها را ارسال کنند، IPsec یک هدر IP جدید اضافه می کند. در هر انتهای tunnel، روترها هدرهای IP را رمزگشایی می کنند تا بسته ها را به مقصد تحویل دهند.
در حالت انتقال، payload هر بسته رمزگذاری شده است، اما هدر IP اصلی رمزگذاری نشده است. بنابراین روترهای واسطه می توانند مقصد نهایی هر بسته را مشاهده کنند مگر اینکه از یک پروتکل tunneling جداگانه (مانند GRE) استفاده شود.
IPsec از چه پورتی استفاده می کند؟
پورت شبکه مکانی مجازی است که داده ها در یک سیستم در آنجا قرار می گیرند. پورت ها نحوه پیگیری فرآیندها و اتصالات مختلف توسط کامپیوترها هستند. اگر داده ها به پورت خاصی بروند، سیستم عامل کامپیوتر می داند که به کدام فرآیند تعلق دارد. IPsec معمولا از پورت 500 استفاده می کند.
IPsec چگونه بر MSS و MTU تأثیر می گذارد؟
MSS و MTU دو اندازه گیری اندازه packet هستند. بسته ها فقط می توانند به اندازه معینی برسند (بر حسب بایت اندازه گیری می شود) قبل از اینکه سیستم ها، روترها و سوئیچ ها نتوانند آنها را مدیریت کنند. MSS اندازه محموله هر packet را اندازه گیری می کند، در حالی که MTU کل packet، از جمله هدرها را اندازه گیری می کند. packet هایی که از MTU شبکه فراتر می روند ممکن است تکه تکه شوند، به این معنی که به packet های کوچکتر تقسیم شده و سپس دوباره سرهم می شوند. packet هایی که بیش از MSS هستند به سادگی حذف می شوند.
پروتکل های IPsec چندین هدر و تریلر به packet ها اضافه می کنند که همه آنها چندین بایت را اشغال می کنند. برای شبکههایی که از IPsec استفاده میکنند، یا باید MSS و MTU بر این اساس تنظیم شوند، یا بستهها تکه تکه شده و کمی تأخیر خواهند داشت. معمولا MTU برای یک شبکه 1500 بایت است. یک هدر IP معمولی 20 بایت طول دارد و یک هدر TCP نیز 20 بایت طول دارد، به این معنی که هر بسته می تواند حاوی 1460 بایت payload کند. با این حال، IPsec یک header احراز هویت، یک هدر ESP و تریلرهای مرتبط اضافه می کند. اینها 50-60 بایت به یک بسته یا بیشتر اضافه می کنند.
منبع : IPsec و IPSec tunnel چیست
:: بازدید از این مطلب : 579
|
امتیاز مطلب : 0
|
تعداد امتیازدهندگان : 0
|
مجموع امتیاز : 0