IP مخفف Internet Protocol است که اصلی ترین پروتکل مسیریابی است که در بستر اینترنت مورد استفاده قرار می گیرد. این پروتکل مشخص می کند که داده ها، چه مسیری را باید طی کنند و به کدام مقصد برسند. اما پروتکل IPSec، رمزگذاری و احراز هویت را نیز به این فرایند اضافه میکند.
رمزگذاری فرآیند پنهان کردن اطلاعات است که در آن داده ها را با استفاده از فرمولهای ریاضی دستکاری کرده تا به صورت تصادفی ظاهر شوند . به عبارت ساده تر، رمزگذاری استفاده از کدی مخفی است که فقط اشخاص مجاز می توانند آن را بفهمند و تفسیر کنند.
IpSec ساخت کیست؟
این پروتکل محصول مشترک مایکروسافت و سیسکو | Cisco سیستمز است که به وسیلهٔ احراز هویت و رمزگذاری در هر بسته دیتا (packet) در یک سیر داده کار میکند.
عناصر تشکيل دهنده IPSec
IPDec Driver: نرم افزاريست که مراحل عملکردي پروتکل را که شامل رمزکردن، رمزگشايي، احراز هويت و تشخصي بسته است را انجام ميدهد.
Internet Key Exchange (IKE): IKE يک پروتکل IPSec است که کليدهاي امنيتي را براي IPSec و ديگر پروتکل ها ايجاد ميکند.
(Internet Security Association Key Management Protocol (ISAKMP: يک پروتکل IPSec است که به دو کامپيوتر اين اجازه را ميدهد تا با اطلاعات رمز شده بهمراه تنظيمات معمول آن با هم ارتباط برقرار کنند. علاوه بر اين، ISAKMP تبادل کليدها را نيز امن ميکند.
Oakley: پروتکلي است که از الگوريتم Diffie-Hellman براي ايجاد يک کليد اصلي و همچنين کليدي که خاص هر session است استفاده ميکند.
IPSec Policy Agent: سري مجموعه هايي از ويندوز سرور 2000 است که تنظيمات پاليسي IPSec را از اکتيو دايرکتوري جمع اوري کرده و در تنظيمات ساختاري هنگام استارت آپ آن را اعمال ميکند.
پورت نرم افزاری یا پورت پچ کورد شبکه جایی است که اطلاعات ارسال میشود. به عبارت دیگر پورت مکانی است که داده ها از طریق آن به کامپیوتر یا سرور وارد و یا از آن خارج می شوند و به هر یک از این درگاه ها یک عدد نسبت داده می شود که این اعداد بین 0 تا 65535 می باشند. IPsec هم برای انجام الگوریتم ها ی رمزگذاری و رمزگزگشایی معمولاً از پورت 500 استفاده می کند.
IPsec چگونه MSS و MTU را تحت تأثیر قرار می دهد؟
دو واحد اندازه گیری از اندازه بسته ها هستند. MSS یا (Maximum Segment Size) اندازه دیتای هر بسته را اندازه گیری می کند. در حالی که MTU (Maximum Transmission Unit) کل بسته از جمله هدر ها را اندازه گیری می کند. بسته هایی که از MTU شبکه بیشتر است ، تکه تکه fragmented می شوند ، به این معنی که در بسته های کوچکتر تقسیم می شوند. بسته هایی که از MSS بیشتر باشند به راحتی حذف می شوند.
پروتکل IPsec چند هدر و تریلر را به بسته ها اضافه می کنند ، که همه آنها چندین بایت را می گیرند. برای شبکه هایی که از IPsec استفاده می کنند باید MSS و MTU را مطابق با آن تنظیم کرد یا بسته ها تکه تکه شوند و کمی تأخیر اضافه کنند. معمولاً MTU برای یک شبکه ۱۵۰۰ بایت است. یک هدر IP معمولی ۲۰ بایت طول دارد و یک هدر TCP نیز ۲۰ بایت طول دارد ، بدین معنی که هر بسته می تواند حاوی ۱۴۶۰ بایت بار باشد. با این حال ، IPsec یک هدر تأیید اعتبار ، یک هدر ESP و تریلرهای مرتبط با آن اضافه می کند. اینها ۵۰-۶۰ بایت را به یک بسته اضافه می کنند.
نحوه تفسیر داده ها در پروتکل IPSec
داده هایی که در تمام شبکه ها تبادل میشوند به دسته بندی های کوچکتر به نام بسته ها تقسیم می شوند. بسته ها حاوی مقدار بار (payload) یا داده های اصلی ارسال شده ، و هدر header که اطلاعاتی در مورد آن داده ها هستند میباشد. این نوع تقسیم بندی به سیستم هایی که بسته ها را دریافت می کنند کمک میکند تا بدانند که با آنها چه کاری انجام دهند. در هر بارگزاری، IPsec چندین هدر به بسته های داده اضافه میکند که شامل اطلاعاتی از قبیل احراز و رمزگذاری است.
IPsec یک استاندارد منبع باز و بخشی از مجموعه IPv4 است. IPsec هم ميتواند در دو حالت transport mode و هم در حالت tunnel mode ارتباط طرفين را برقرار کند. IPsec يک استاندارد جهاني است و ميتواند با استفاد از مجموعهاي از پروتکلهايي که استفاده ميکند انواع و اقسام فرآيندهاي امنيتي را انجام دهد، از جمله پروتکلهاي مورد استفاده در IPsec ميتوان به Authentication Header يا AH براي مقابله با حملات Replay، پروتکل Encapsulating Security Payload يا ESP براي دادن قابليت محرمانگي به دادهها و در نهايت Security Associations يا SA براي ايجاد دادههاي مورد استفاده در AH و ESP اشاره کرد.
IPSec AH protocol
پروتکل Authentication Header (AH) در اوایل دهه 1990 در آزمایشگاه تحقیقات نیروی دریایی ایالات متحده ایجاد شد. این پروتوکل با احراز هویت بسته های IP، امنیت منبع داده را تضمین میکند. در این الگوریتم با استفاده از روش sliding window و حذف بسته های قدیمی و اختصاص دادن یک شماره توالی از محتوای بسته IPsec در برابر حملات مانند replay attacks محافظت میکند. در واقع با این تکنیک تنها میتوان مطمئن بود بسته های داده از یک منبع معتبر ارسال شده و دستکاری نشده اند.
در این حالت هم پیلود و هم هدر رمزنگاری می شود . به جای AH از اصطلاح Tunnel هم استفاده می شود . حفاظت تمام داده ها توسط HMAC انجام می شود. و فقط نقاط نظیر به نظیر از کلید سری که توسط HMAC ساخته شده خبر دارند و می توانند رمزگشایی کنند . و همان طور که گفته شد چون هدرها هم رمزنگاری می شوند و قابل تغییر نیست در شبکه هایی که NAT انجام می شود نمی توان از سرویس VPN استفاده کرد .
IP Encapsulating Security Payload (ESP)
پروتکل IP Encapsulating Security Payload (ESP) در آزمایشگاه تحقیقات نیروی دریایی از سال 1992 به عنوان بخشی از یک پروژه تحقیقاتی تحت حمایت DARPA ایجاد شد. کار این پروتکول ضمانت اصالت داده ها را از طریق الگوریتم تصدیق منبع ، یکپارچگی داده ها را از طریق تابع هش (Hash function) و محرمانه بودن را با رمزگذاری بسته های IP فراهم می کند. ESP در تنظیمات و پیکربندیهای که یا فقط از رمزگذاری و یا فقط از احراز هویت پشتیبانی می کنند، به کار میرود. این یک نوع ضعف محسوب میشود زیرا که استفاده از رمزگذاری بدون احراز هویت ناامن است.
در این حالت فقط پیلود رمزنگاری می شود و هدرها بدون تغییری به همان صورت باقی می مانند . به جای ESP از اصطلاح Transport هم استفاده می شود . در این روش هر دو طرف باید عملیات اهراز هویت انجام دهند و همچنین داده ها به صورت رمزنگاری شده ارسال می شود.
در واقع برخلاف پروتکل AH پروتکل ESP در حالت Transport یکپارچگی و احراز هویت را برای کل بسته IP فراهم نمی کند. در حالت Tunnel، جایی که کل بسته اصلی IP با یک هدر بسته جدید قرار دارد ، ESP از کل بسته IP داخلی (از جمله هدر داخلی) محافظت میکند در حالی که هدر خارجی (شامل گزینه های IPv4 خارجی یا پسوند IPv6) محافظت نشده باقی میمانند.
Security association
پروتکل های IPsec از یک انجمن امنیتی Security association استفاده کنند تا دو طرفی که باهم در ارتباط هستند ویژگیهای امنیتی مشترکی مانند الگوریتم ها و کلیدها را ایجاد کنند. در واقع هنگامی که مشخص شود پروتکل AH یا ESP استفاده می شود ،Security association طیف وسیعی از گزینه ها را فراهم می کند. قبل از تبادل داده، دو میزبان توافق می کنند که از کدام الگوریتم برای رمزگذاری بسته IP استفاده شود تابع هش برای اطمینان از یکپارچگی داده ها استفاده می شود. این پارامترها در هر جلسه که عمر (زمان) مشخصی دارد توافق می شوند و همچنین برای هر جلسه باید یک کلید اختصاصی نیز تایین شود.
لطفا شکیبا باشید ...