مقدمه
با دوره ی آموزش امنیت شبکه (Network Security) از وبسایت پی وی لرن همراه هستیم.
در جلسه ی دوم از بررسی امنبت در لایه network قصد داریم، بررسی اجمالی IPsec و حالت های ارتباطی IPsec و سایر موارد مربوطه رو توضیح دهیم. جلسه رو با بررسی اجمالی IPsec آغاز می کنیم. با ما همراه باشید.
لایه شبکه – امنیت شبکه
بررسی اجمالی IPsec
IPsec یک framework/suite پروتکل برای تأمین امنیت در لایه IP است.
منشاء
در اوایل دهه ۱۹۹۰ ، تعداد معدودی از مؤسسات از اینترنت استفاده می کردند و بیش تر برای اهداف دانشگاهی بودند. اما در دهه های بعدی ، رشد اینترنت به دلیل گسترش شبکه و چندین سازمان که از آن برای ارتباطات و اهداف دیگر استفاده می کند ، به صورت نمایی شد.
با رشد گسترده اینترنت ، همراه با ضعف های امنیتی ذاتی پروتکل TCP / IP ، نیاز به فناوری ای وجود داشت که بتواند امنیت شبکه را در اینترنت فراهم کند. گزارشی با عنوان “امنیت در معماری اینترنت توسط (Internet Architecture Board (IAB در سال ۱۹۹۴ منتشر شد. گزارش، کلید زمینه های اصلی سازوکارهای امنیتی شناخته شده است.
IAB شامل احراز هویت و رمزگذاری به عنوان ویژگی های امنیتی اساسی در IPv6، آی پی نسل بعدی است. خوشبختانه ، این قابلیت های امنیتی به گونه ای تعریف شده اند که می توانند هم با IPv4 فعلی و هم با IPv6 آینده گرایانه عملی شوند.
فریم ورک امنیتی ، IPsec در چندین (Requests for comments (RFCs تعریف شده است. برخی از RFC بخش هایی از پروتکل ها را مشخص می کنند ، در حالی که برخی دیگر به طور کلی راه حل را مورد بررسی قرار می دهند.
عملکرد IPsec
IPsec suite می تواند در نظر گرفته شود که دو عملکرد جداگانه را با ارائه مجموعه ای کامل از خدمات امنیتی انجام می دهد. این دو عملیات، ارتباطات IPsec و تبادل کلید اینترنتی (IPsec Communication و Internet Key Exchange) است.
IPsec Communication
- به طور معمول با عملکرد استاندارد IPsec همراه است. این شامل رمزگذاری ، رمزگذاری و هش کردن داده های IP و رسیدگی به کلیه فرایندهای بسته بندی است.
- این مسئولیت مدیریت ارتباطات را مطابق (Security Associations (SA موجود بین طرفین ارتباط برقرار می کند.
- از پروتکل های امنیتی مانند (Header Authentication (AH و (Encapsulated SP (ESP استفاده می کند.
- ارتباط IPsec در ایجاد کلیدها یا مدیریت آن ها دخیل نیست.
- خود عملیات ارتباط IPsec معمولاً به عنوان IPsec گفته می شود.
(Internet Key Exchange (IKE
- IKE پروتکل مدیریت خودکار کلید است که برای IPsec استفاده می شود.
از نظر فنی ، مدیریت کلید برای ارتباط IPsec ضروری نیست و می توان کلیدها را به صورت دستی مدیریت کرد. با این حال ، مدیریت کلید دستی برای شبکه های بزرگ مطلوب نیست.
IKE مسئول ایجاد کلیدهای IPsec و احراز هویت در طی فرآیند ایجاد کلید است. اگرچه ، IPsec می تواند برای هر پروتکل مدیریت کلید دیگر مورد استفاده قرار گیرد ، IKE بصورت پیش فرض استفاده می شود.
IKE دو پروتکل (Oakley و SKEME) را تعریف می کند تا با فریم ورک مدیریت کلید تعریف شده قبلی ،(Internet Security Association Key Management Protocol (ISAKMP مورد استفاده قرار گیرد.
ISAKMP IPsec خاص نیست ، اما فریم ورکی برای ایجاد SA برای هر پروتکل فراهم می کند.
این فصل به طور عمده در مورد ارتباطات IPsec و پروتکل مرتبط با آن برای دستیابی به امنیت صحبت می کنیم.
حالت های ارتباطی IPsec
ارتباط IPsec دارای دو حالت عملکرد است. حالت transport و tunnel. این حالت ها بسته به نوع ارتباط مورد نظر ، می توانند به صورت ترکیبی مورد استفاده قرار گیرند.
Transport Mode
IPsec بسته ای را که از لایه بالایی دریافت می شود ، محصور نمی کند.
هدر اصلی IP حفظ می شود و داده ها براساس ویژگی های اصلی تعیین شده توسط پروتکل لایه بالایی ارسال می شوند.
نمودار زیر جریان داده ها را در پشته پروتکل نشان می دهد.
حالت های ارتباطی IPsec
محدودیت حالت Transport این است که هیچ گونه خدمات دروازه ای ارائه نمی شود. برای ارتباطات نقطه به نقطه همان طور که در تصویر زیر نشان داده شده است محفوظ است.
حالت های ارتباطی IPsec
Tunnel Mode
این حالت IPsec خدمات کپسوله سازی را به همراه سایر سرویس های امنیتی ارائه می دهد.
در عملیات حالت تونل ، کل بسته از لایه بالایی قبل از اعمال پروتکل امنیتی کپسوله می شود. هدر IP جدید اضافه شده است.
نمودار زیر جریان داده ها را در پشته پروتکل نشان می دهد.
حالت های ارتباطی IPsec – بررسی اجمالی IPsec
حالت Tunnel به طور معمول با فعالیت های gateway همراه است. کپسوله سازی امکان ارسال چندین جلسه از طریق یک دروازه واحد را فراهم می کند.
ارتباط حالت تونل معمولی همان طور که در نمودار زیر نشان داده شده است، می باشد
.
حالت های ارتباطی IPsec
در مورد نقاط پایانی، آن ها یک اتصال لایه transport مستقیم دارند. دیتاگرام از سیستمی که به سمت دروازه منتقل می شود کپسوله می شود و سپس به سمت دروازه راه دور منتقل می شود. دروازه مرتبط راه دور داده ها را دکپسوله می کند و آن را به نقطه انتهایی مقصد در شبکه داخلی منتقل می کند.
با استفاده از IPsec می توان حالت تونل زنی را نیز بین سیستم گیت و سیستم انتهای انفرادی ایجاد کرد.
حالت های ارتباطی IPsec
کلام پایانی
همراهان سایت پی وی لرن متشکریم از همراهیتون. در این جلسه که بررسی اجمالی IPsec رو داشتیم و جلسه ی قبل مواردی برای ایجاد امنیت در لایه ی شبکه از سری آموزش های امنیت شبکه بررسی نمودیم. در جلسات بعد این مباحث رو ادامه خواهیم داد.
فروشگاه
فیلم های آموزشی
کتاب های آموزشی
مقالات آموزشی
وردپرس
