با دوره ی آموزش امنیت شبکه (Network Security) از وبسایت پی وی لرن همراه هستیم.
(Security Association (SA در IPsec و پارامترهای SA از مجمو عه ی امنیت شبکه رو در این قسمت که بخش آخر بررسی امنیت در لایه ی شبکه است، مورد بررسی قرار خواهیم داد. در ابتدا (Security Association (SA در IPsec رو خواهیم داشت.
(Security Association (SA بنیان ارتباط IPsec است. ویژگی های SA عبارتند از:
حال به پارامترهای SA خواهیم پرداخت.
هر SA به طور خاص با سه پارامتر زیر مشخص می شود. که در ادامه پارامترهای SA رو بررسی می نماییم.
(Security Parameters Index (SPI
آدرس IP مقصد
این می تواند آدرس IP روتر انتهایی باشد.
شناسه پروتکل امنیتی
این نشان می دهد که آیا این انجمن AH است یا ESP SA.
نمونه SA بین دو روتر درگیر در ارتباط IPsec در نمودار زیر نشان داده شده است.
در IPsec ، دو پایگاه داده وجود دارد که پردازش داده های IPsec را کنترل می کنند. یکی (Security Association Database (SAD و دیگری (Security Policy Database (SPD است. هر نقطه پایانی (endpoint) که با استفاده از IPsec ارتباط برقرار کند باید SAD و SPD منطقی مجزا داشته باشد.
در ارتباطات IPsec، نقطه پایانی (endpoint) حالت SA را در (Security Association Database (SAD نگه می دارد. هر ورودی SA در پایگاه داده SAD شامل نه پارامتر است که در جدول زیر نشان داده شده است.
ردیف | پارامترها و توضیحات |
---|---|
۱ | Sequence Number Counter این یک پارامتر ۳۲ بیتی است که در هدر های AH یا ESP ارائه می شود.
|
۲ | Sequence Number Overflow Counter یک flag را برای جلوگیری از ارتباطات بیش تر با استفاده از SA خاص تنظیم می کند
|
۳ | ۳۲-bit anti-replay window برای تعیین این که آیا یک بسته ورودی AH یا ESP یک replay است، استفاده می شود.
|
۴ | Lifetime SA زمان حیات SA. فاصله زمانی است که پس از آن SA باید پایان یابد یا با SA جدیدی عوض شود.
|
۵ | الگوریتم – AH در AH و کلید مرتبط استفاده می شود.
|
۶ | الگوریتم – ESP Auth در قسمت احراز هویت هدر ESP استفاده می شود.
|
۷ | ESP Encryption – الگوریتم در رمزگذاری ESP و اطلاعات کلیدی مرتبط با آن استفاده می شود.
|
۸ | حالت عملکرد IPsec روش Transport یا tunnel |
۹ | (Path MTU(PMTU حداکثر واحد انتقال (maximum transmission unit) هر مسیر (برای جلوگیری از fragmentation) |
تمام ورودی های SA در SAD توسط سه پارامتر SA فهرست بندی می شوند: آدرس IP مقصد ، شناسه پروتکل امنیتی و SPI.(یا Destination IP address, Security Protocol Identifier, و SPI.)
SPD برای پردازش بسته های خروجی استفاده می شود. این امر در تصمیم گیری در مورد استفاده از ورودی های SAD کمک می کند. اگر هیچ ورودی SAD وجود نداشته باشد ، SPD برای ایجاد موارد جدید استفاده می شود.
هر ورودی SPD شامل:
دیتاگرام IP خروجی برای گرفتن پارامترهای رمزگذاری از ورودی SPD به SA خاص می روند. دیتاگرام IPsec ورودی به طور مستقیم با استفاده از SPI / DEST IP / Protokol به SA صحیح می رسند و از آن جا ورودی SAD مرتبط را اکسترکت می کنند.
SPD همچنین می تواند ترافیکی را مشخص کند که باید IPsec را بایپس کند. SPD را می توان به عنوان یک فیلتر بسته در نظر گرفت که اقدامات تصمیم گیری در مورد فعال سازی فرآیندهای SA می باشد.
IPsec مجموعه ای از پروتکل ها برای امنیت اتصالات شبکه است. این یک مکانیسم پیچیده است، زیرا به جای تعریف ساده از یک الگوریتم رمزگذاری خاص و عملکرد احراز هویت ، فریم ورکی را فراهم می کند که امکان اجرای هر چیزی را که هر دو هدف برای ارتباط را امکان پذیر می سازد، فراهم کند.
(Authentication Header (AH و (Encapsulating Security Payload (ESP دو پروتکل ارتباطی اصلی هستند که توسط IPsec مورد استفاده قرار گرفته شده است. در حالی که AH فقط احراز هویت می کند ، ESP می تواند داده های منتقل شده بر روی connection را رمزگذاری و تأیید کند.
Transport Mode بدون ایجاد تغییر در هدر IP یک اتصال مطمئن بین دو نقطه انتهایی را فراهم می کند. Tunnel Mode کل payload IP packet را کپسوله می کند. هدر IP جدید را اضافه می کند. حالت دوم برای ایجاد یک VPN مرسوم استفاده می شود ، زیرا یک تونل ایمن مجازی را در سراسر یک اینترنت غیرقابل اعتماد فراهم می کند.
راهاندازی اتصال IPsec شامل انواع انتخاب رمزنگاری است. احراز هویت معمولاً در بالای یک هش رمزنگاری مانند MD5 یا SHA-1 ساخته می شود. الگوریتم های رمزگذاری DES ، ۳DES ، Blowfish و AES متداول هستند. الگوریتم های دیگر نیز ممکن است.
هر دو نقطه پایانی در حال برقراری ارتباط باید از مقادیر مخفی مورد استفاده در هش یا رمزگذاری مطلع شوند. کلیدهای دستی به مقادیر مخفی ورودی دستی در هر دو پایان نیاز دارند ، که احتمالاً توسط مکانیسم خارج از باند منتقل می شود ، و IKE (Internet Key Exchange) یک مکانیزم پیچیده برای انجام آنلاین است.
دوستان و کاربران وب سایت آموزشی پی وی لرن متشکریم که با جلسات آموزشی امنیت شبکه همراه هستید. در بخش آخر بررسی امنیت لایه Network به مرور (Security Association (SA در IPsec و پارامترهای SA و در آخر به Security Policy Database
پرداختیم. امیدارم جلسات مفید باشد. با ادامه ی مبحث آموزش امنیت شبکه همراه ما باشید.