IPSec چیست؟
IPSec چیست؟

? برای عملکرد صحیح و کامل IPSec، هر دو طرف فرستنده و گیرنده باید یک کلید عمومی را به اشتراک بگذارند که بواسطه استفاده از پروتکل “مدیریت کلید” عملی میشود. این پروتکل به گیرنده این اجازه را میدهد تا یک کلید عمومی را بدست آورده و فرستنده را بر اساس امضای دیجیتال احراز هویت نماید.
انواع حالات آیپیسک
?حالات IPSec مرتبط با عملکرد دو پروتکل مرکزی اش است؛ (Encapsulating Security Payload (ESP و (Authentication Header(AH. هر دوی این پروتکل ها امنیت را با اضافه کردن دیتاگرام به هدر تامین میکنند.تفاوت بین این دو روش در نحوه رمزنگاری کردن بخشی از دیتاگرام است که محافظت شده است. IPSec دو حالت از رمزنگاری را پشتیبانی میکند؛ حالت Transport و حالت tunnel.
?حالت Transport
?در این حالت، IPSec هر بسته را در پیلود بدون دست زدن به هدر رمزنگاری میکند. این روش، ESP(Encapsulation Security Payload) هم نامیده میشود. در این روش هر دو طرف ارتباط احراز هویت شده و همچنین امکان رمزنگاری انتقال دیتا نیز وجود دارد. این جالت کاملا با NAT نیز سازگاری دارد؛ بنابراین برای ایجاد سرویس های VPN در شبکه های NAT مورد استفاده قرار میگیرد.
?حالت Tunnel
?در این حالت، IPSec هم پیلود و هم هدر را رمزنگاری میکند. بنابراین این حالت به نظر امن تر میرسد. حالت Tunnel به (AH(Authentication Header نیز معروف است. اطلاعات رمز شده در طرف گیرنده توسط سیستمی سازگار با IPSec، رمزگشایی میشود. از آنجایی که در حالت Tunnel هدر بسته IP، رمز میشود، NAT نمیتواند بر روی IP Header بازنویسی کند ، بنابراین در NAT سرویسهای VPN ایجاد نمیشوند.
معماری آیپیسک
?IPSec سرویس های امن را در لایه شبکه پیشنهاد میدهد و همین باعث آزادی عمل در انتخاب پروتکل های امنیتی مورد نیاز و تعین الگوریتم مورد استفاده در سرویس ها است.
?برای ایجاد سرویس های درخواستی، اگر لازم باشد باید کلیدهای رمزنگاری مرتبط را نیز مورد استفاده قرار داد.سرویس های امنیتی که توسط IPSec ارائه میشود، شامل: کنترل دسترسی، احراز هویت منشاء اطلاعات، یکپارچگی، پروتکل anti-replay و محرمانگی اطلاعات است.
?برای استفاده از این سرویس ها، IPSec از دو ترافیک پروتکل های امنیتی AH و ESP و پروتکل های مدیریت کلید رمزنگاری بهمراه فرآیندهای متناظرشان استفاده میکند.در ادامه ساختار پروتکل IPSec را در قالب معماری آن شاهد خواهیم بود:
نکته: Anti-replay یکی از زیر پروتکل های IPSec است که مهمترین وظیفه ان کاهش احتمال تزریق یا دستکاری اطلاعات مبادله شده توسط نفوذگران است. این پروتکل بصورت غیر مستقیم امنیت را در یک ارتباط بین دو نود شبکه برقرار میکند.
?(Encapsulating Security Payload (ESP : این شیوه بصورت عام در ارائه سرویس هایی مثل رمزنگاری و احراز هویت مورد استفاده قرار میگیرد.
?(Authentication Header (AH : این روش فقط سرویس احراز هویت دیتاگرام را ایجاد کرده و رمزنگاری را ارائه نمیکند.
?DOI : فرمت دهی payload، انواع تبادلات دیتا و نامگذاری اطلاعات امنیتی مثل الگوریتم رمزنگاری یا قوانین امنیتی را تعریف میکند. ISAKMP طوری طراحی شده است که علاوه بر لایه IP، سرویس های امنیتی را در دیگر لایه ها نیز پشتیبانی نماید. بنابراین IPSec نیاز به یک DOI خاص خودش دارد.
?(ISAKMP (Internet Security Association and Key Management Protocol:این پروتکل یکی از کلیدی ترین پروتکل های موجود در IPSec است که امنیت لازم را در ارتباطات مختلف بر روی اینترنت مثل ارتباطات دولتی، خصوصی و تجاری با ترکیب مفاهیم امنیتی از احراز هویت، مدیریت کلید و ارتباطات امنیتی برقرار میسازد.
?Policy :Policy عنصر کلیدی ای است که تعین میکند دو موجودیت میتوانند با یکدیگر ارتباط برقرار کنند یا خیر. اگر آن ها بتوانند با یکدیگر ارتباط بگیرند، تعین میکند که چه نوع تبدیلی باید انجام پذیرد. اگر Policy بدرستی تعریف نشده باشد، ممکن است منجر به عدم ارتباط دو موجودیت شود.
ویژگی های اصلی IPSec VPN
?محافظت از حملات Replay
IPSec از حملات replay محافظت میکند. این ویژگی، یک شماره ترتیبی منحصر به فرد را به هر بسته (پکت) اختصاص می دهد. اگر بستهای را با شماره ترتیبی تکراری تشخیص دهد، حذف میشود.
احراز هویت منبع اطلاعات
کد تأیید هویت پیام Hash (HMAC) تأیید میکند که بستهها تغییر نکردهاند.
?محرمانگی تام اطلاعات ( رمزنگاری )
PFS در این پروتکل، امنیت اتصال VPN شما را افزایش میدهد. این کار با ایجاد کلید منحصر به فرد، برای هر ارتباط انجام میشود.
?شفافیت
IPSec در زیر لایهی حمل کار میکند، بنابراین، برای کاربران و برنامهها شفاف است. در نتیجه، نیازی نیست هنگام اجرای آن روی مسیریاب یا فایروال خود، تغییری در نرم افزار ایجاد کنید.
?رمزنگاری مجدد پویا
رمزنگاری مجدد، در فواصل زمانی مشخص، برای تنظیم مجدد کلیدهای مخفی قطع میشود. بنابراین، در مقابل بیشتر حملات رهگیری و جعل هویت امن است.
?محرمانه بودن
بستهها قبل از انتقال توسط فرستنده رمزگذاری میشوند. در نتیجه، دادههای حساس فقط به گیرنده مورد نظر خود میرسند.
مزایای پروتکل IPSec VPN
مزایای ipsec به صورت ذیل میباشد:
?سازگاری با کلیه دستگاههای اصلی.
?بهترین امنیت را ارائه میدهد. دلیلش آنست که از رمزهای متنوعی مانند DES3 ،AES و AES-256 بهره میبرد.
?بهره وری کارمندان را افزایش میدهد و در هر زمان و هر مکان دسترسی ایمن به منابع شرکت را ممکن میسازد.
?کارایی کسب و کار را افزایش میدهد و هزینههای مرتبط با استقرار و مدیریت را با استفاده از یک راه حل ارتباطی ایمن و با کاربرد آسان و با نصب آسان، کاهش میدهد.
?پایدار است، به خصوص هنگام تعویض شبکه یا اتصال مجدد پس از قطع شدن اتصال.
?در سطح شبکه عمل می کند. نیازی به نگرانی در مورد وابستگی برنامه نیست.
معایب پروتکل IPSec VPN
معایب IPSec VPN به صورت ذیل است :
?می توانید با استفاده از فایروالهای محدود کننده آن را مسدود کنید.
?سریعترین پروتکل نیست. L2TP / IPSec داده ها را دو بار کپسوله میکند. این موضوع اتصال را کند میکند.
?به زمان پردازش و پهنای باند قابل توجهی نیاز دارد.
دیدگاهتان را بنویسید