IPSec چیست و چگونه کار می کند؟

IPSec چیست و چگونه کار می کند؟

با مقاله IPSec چیست و چگونه کار می کند؟ با برقچی همراه باشید تا با نحوه کارکرد پروتکل‌های IPsec که برای تنظیم اتصالات رمزگذاری شده بین دو یا چند دستگاه استفاده می‌شود، آشنا شوید. این نوع پروتکل‌ها به ایمن نگه داشتن داده های ارسالی از طریق شبکه های عمومی کمک می‌کند. باید بدانید که IPsec اغلب برای راه اندازی وی-پی-ان V.P.N استفاده می شود که این امر با رمزگذاری بسته های IP و احراز منبع بسته‌ها صورت می‌گیرد.

فهرست:

مزایای IPSec چیست ؟ : IPsec Secure

IPSec مخفف کلمه Internet Protocol Security بوده و به پروتکل اینترتی ایمن اشاره دارد. باید بدانید که پروتکل اینترنت پروتکل اصلی مسیریابی است که در اینترنت استفاده شده و مقصد هر داده را با توجه به آدرس IP آن مشخص می‎‌کند. IPsec به ایمنی این جابه‌جایی کمک می‎‌کند زیرا رمزگذاری و تأیید اعتبار را به این فرآیند اضافه می‌کند.

رمزگذاری فرآیند پنهان کردن اطلاعات است که در آن داده ها را با استفاده از فرمول‌های ریاضی دستکاری کرده تا به صورت تصادفی ظاهر شوند . به عبارت ساده تر، رمزگذاری استفاده از کدی مخفی است که فقط اشخاص مجاز می توانند آن را بفهمند و تفسیر کنند.

نحوه تفسیر داده ها در پروتکل IPSec

داده هایی که در تمام شبکه ها تبادل می‌شوند به دسته بندی های کوچکتر به نام بسته ها تقسیم می شوند. بسته ها حاوی مقدار بار(payload) یا داده های اصلی ارسال شده ، و هدر header که اطلاعاتی در مورد آن داده ها هستند می‌باشد. این نوع تقسیم بندی به سیستم هایی که بسته ها را دریافت می کنند کمک می‌کند تا بدانند که با آنها چه کاری انجام دهند. در هر بارگزاری، IPsec چندین هدر به بسته های داده اضافه می‌کند که شامل اطلاعاتی از قبیل احراز  و رمزگذاری است.

انواع پروتکل امنیتی آی پی  IPSec Protocols

IPsec یک استاندارد منبع باز و بخشی از مجموعه IPv4 است.در networking ، پروتکل یک روش مشخص برای دسته بندی داده‌ها است تا هر کامپیوتر شبکه ای بتواند داده ها را تفسیر کند.  IPSec از پروتکل های زیر برای انجام عملکردهای مختلف استفاده می کند :

1. IPSec AH protocol

پروتکل Authentication Header (AH) در اوایل دهه 1990 در آزمایشگاه تحقیقات نیروی دریایی ایالات متحده ایجاد شد. این پروتوکل با احراز هویت بسته های IP امنیت منبع داده را تضمین می‌کند. در این الگوریتم با استفاده از روش sliding window و حذف بسته های قدیمی  و اختصاص دادن یک شماره توالی  از محتوای بسته IPsec در برابر حملات مانند replay attacks محافظت می‌کند. در واقع با این تکنیک تنها می‌توان مطمئن بود بسته های داده از یک منبع معتبر ارسال شده و دستکاری نشده اند.

2.IP Encapsulating Security Payload (ESP)

پروتکل IP Encapsulating Security Payload (ESP)  در آزمایشگاه تحقیقات نیروی دریایی از سال 1992 به عنوان بخشی از یک پروژه تحقیقاتی تحت حمایت DARPA ایجاد شد. کار این پروتکول ضمانت اصالت داده ها را از طریق الگوریتم تصدیق منبع ، یکپارچگی داده ها را از طریق تابع هش (Hash function) و محرمانه بودن را با رمزگذاری بسته های IP فراهم می کند. ESP در تنظیمات و پیکربندی‌های که  یا فقط از رمزگذاری و یا فقط از احراز هویت پشتیبانی می کنند، به کار می‌رود. این یک نوع ضعف محسوب می‌شود زیرا که استفاده از رمزگذاری بدون احراز هویت ناامن است.

در واقع برخلاف پروتکل AH پروتکل ESP در حالت Transport یکپارچگی و احراز هویت را برای کل بسته IP فراهم نمی کند.  در حالت Tunnel، جایی که کل بسته اصلی IP با یک هدر بسته جدید قرار دارد ، ESP از کل بسته IP داخلی (از جمله هدر داخلی) محافظت می‌کند در حالی که هدر خارجی (شامل گزینه های IPv4 خارجی یا پسوند IPv6) محافظت نشده باقی می‌مانند.

3. Security association

پروتکل های IPsec از یک انجمن امنیتی Security association استفاده کنند تا دو طرفی که باهم در ارتباط هستند ویژگیهای امنیتی مشترکی مانند الگوریتم ها و کلیدها را ایجاد کنند. در واقع هنگامی که مشخص شود پروتکل AH یا ESP استفاده می شود ،Security association طیف وسیعی از گزینه ها را فراهم می کند. قبل از تبادل داده، دو میزبان توافق می کنند که از کدام الگوریتم برای رمزگذاری بسته IP استفاده شود تابع هش برای اطمینان از یکپارچگی داده ها استفاده می شود. این پارامترها در هر جلسه که عمر (زمان) مشخصی دارد توافق می شوند و هم‌چنین برای هر جلسه باید یک کلید اختصاصی نیز تایین شود.

Internet Key Exchange یا IKE، یکی از رایج ترین پروتکل های SA است.


بیشتر بخوانید: پروتکل HTTP و HTTPS و تفاوت آن‌ها


حالت کارکرد پروتکل های امنیتی  IPSec Operation Modes

پروتکل های IPsec AH و IPSec ESP را می توان در حالت انتقال میزبان به میزبان Host-to-host transport و همچنین در حالت تونل شبکه  network tunneling استفاده کرد.

1. حالت انتقال IPSec Transport Mode

در حالت transport  فقط بسته IP  رمزگذاری یا تأیید شده و مسیریابی دست نخورده باقی می‌مانند، زیرا هدر IP نه اصلاح شده و نه رمزگذاری شده است. اما ، وقتی از هدر احراز authentication header استفاده می شود مقدار هش hash value بی اعتبار شده و  آدرس های IP با متد Network address translation قابل اصلاح و ترجمه  نیستند. لایه های Transport و Application همیشه با یک هش امن میشوند ، بنابراین نمی توان آنها را به هیچ وجه حتی با ترجمه اعداد پورت اصلاح کرد.

2. حالت تونل Tunnel Mode یا IPSec Tunnel Configuration

در حالت تونل Tunnel، کل بسته IP رمزگذاری و احراز می شود. سپس در یک بسته IP جدید با یک هدر IP جدید دسته بندی می شود. از حالت تونل برای ایجاد شبکه های خصوصی مجازی برای ارتباطات شبکه به شبکه (به عنوان مثال بین روترها برای پیوند سایت ها) ، ارتباطات میزبان به شبکه (به عنوان مثال دسترسی کاربر از راه دور) و ارتباطات میزبان به میزبان (به عنوان مثال چت خصوصی) استفاده می شود.

الگورتیم‌های امنیتی آی پی IPSec Algorithms: نحوه کار IPSec

IPSec Algorithms
IPSec Algorithms

از الگوریتم‌ها و مراحلی که در پروتکل‌های امنیتی IPSec استفاده می‌شود می‌توان به موارد زیر اشاره کرد:

1. الگوریتم‌های تبادل کلید Key exchange algorithms

استفاده از کلیدها برای رمزگذاری ضروری است. کلید یک رشته از کاراکترهای تصادفی است  برای “قفل کردن” (رمزگذاری) و “باز کردن” (رمزگشایی) پیام ها استفاده می‌شود. IPsec کلید و مبادله کلید را بین  دستگاههای متصل تنظیم می کند تا هر دستگاه بتواند پیام های دستگاه دیگر را رمزگشایی کند. از الگوریتم های تبادل کلید می‌توان به موارد زیر اشاره کرد:

  • Diffie–Hellman (RFC 3526)
  • ECDH (RFC 4753)

 2. الگوریتم‌های رمزگذاری متقارن Symmetric encryption algorithms

IPsec ظرفیت اصلی هر بسته (payloads) و هدر IP هر بسته را رمزگذاری می کند (در حالت تونل).

encryption
encryption

این نوع الگوریتم داده های ارسالی از طریق IPsec را ایمن و خصوصی نگه می دارد. الگوریتم های رمزنگاری تعریف شده شامل موارد زیر است:

  • HMAC-SHA1/SHA2 برای محافظت از یکپارچگی و احراز
  • TripleDES-CBC برای محرمانه نگه داشتن تبادل اطلاعات
  • AES-CBC and AES-CTR برای محرمانه نگه داشتن تبادل اطلاعات
  • AES-GCM and ChaCha20-Poly1305 برای تضمن محرمانه بودن و احراز هویت به طور کارآمد

3. الگوریتم‌های رمزگشایی Authentication algorithms

IPsec قابلیت احراز را برای هر بسته فراهم می کند. اگر بخواهیم این عمل را در دنیای واقعی تشبیه کنیم مانند مهر اصالت روی کالاهای قابل اطمینان است. در واقع این نوع الگوریتم این اطمینان را می‌دهد که بسته ها از یک منبع مطمئن مبادله شده اند و بسته های مهاجم attackers نیستند. از الگوریتم‌هایی که برای برای انتقال ایمن داده استفاده می شود می‌توان به موارد زیر اشاره کرد:

  • RSA
  • ECDSA (RFC 4754)
  • PSK (RFC 6617)

معماری پروتکل امنیت آی پی IPSec Architecture

حال که با الگوریتم ها و پروتکل های امنیتی IPSec آشنا شدید معماری یا مکانیزم انجام این کار با مراجعه به تصویر زیر راحت تر خواهد بود.

IPSec Architecture
IPSec Architecture

 

مخابره اطلاعات IPSec Transmission

در پروسه مخابره اطلاعات بسته های رمزگذاری شده IPsec از طریق یک یا چند شبکه با استفاده از پروتکل transport به مقصد هدایت می‌شوند. در این مرحله ، ترافیک IPsec با ترافیک IP معمولی تفاوت دارد زیرا اغلب از UDP به عنوان پروتکل انتقال استفاده می کند. این در حالی است که IP از با استفاده از پروتکل TCP یا پروتکل کنترل انتقال، اتصالات اختصاصی بین دستگاه ها را تنظیم می کند و ورود همه بسته ها را تضمین می کند.

IPSec UDP

User Datagram Protocol یا UDP ، یک پروتکل ارتباطی است که در سراسر اینترنت برای انتقال های حساس به زمان مانند پخش فیلم یا جستجوی DNS استفاده می شود. این پروتکل سرعت اتصال را با ارتباط رسمی برقرار نکردن قبل از انتقال داده ها ، بالا می‌برد . البته این کار می‌تواند باعث از دست رفتن بسته ها در زمان انتقال شده و فرصت هایی را برای سودجویی نفر سوم از حملات DDoS ایجاد کند.

کاربرد و نحوه راه اندازی IPSec  چیست؟ : IPsec V.P.N

IPsec اغلب برای راه اندازی شبکه های خصوصی مجازی (VPN) استفاده می شود. V-P-N یک سرویس امنیتی اینترنتی است که به کاربران اجازه می دهد مانند اینکه به یک شبکه خصوصی متصل شده اند به اینترنت دسترسی داشته باشند. این مکانیزم ارتباطات اینترنتی را رمزگذاری می کند و تا آنجا که ممکن است آی پی شما را ناشناس می‌کند. V-P-N اغلب به کارمندان دورکار اجازه می دهد تا به طور ایمن به داده های شرکت دسترسی پیدا کنند. در همین حال ، کاربران عادی هم می‌توانند برای محافظت از حریم خصوصی خود از VPN استفاده کنند.

کاربران می توانند با نصب و ورود به یک برنامه V-P-N  به یک VPN IPsec دسترسی پیدا کنند. این اتصال به رمز عبور نیاز دارد. در حالی که داده های ارسالی از طریق V-P-N رمزگذاری شده است ، در صورتی که مهاجمان به رمز عبور را هک کنند می توانند به V-P-N شما وارد شوند داده های خصوصی شما را سرقت کنند. بنابراین برای جلوگیری از این اتفاق معمولا استفاده از احراز دو مرحله ای (2FA) به امنیت بالای IPSec VPN کمک می‌کند.

بسیاری از سیستم های V-P-N از مجموعه پروتکل IPsec برای ایجاد و اجرای رمزگذاری استفاده می کنند. با این حال ، همه VPN ها از IPsec استفاده نمی کنند. پروتکل دیگر VPN ها SSL / TLS است که در یک لایه متفاوت در مدل OSI نسبت به IPsec کار می کند.


بیشتر بخوانید: نحوه فلش کردن کش DNS برای افزایش عملکرد اینترنت ویندوز 10


تفاوت بین شبکه خصوصی مجازی IPsec VPNs و SSL VPNs

تفاوت SSL و IPsec  در لایه ای از OSI قرار دارند ریشه دارد. مدل OSI یک به طور انتزاعی  به “لایه” هایی از فرایندهایی که اساس کار اینترنت را تشکیل می‌دهند، تقسیم شده است.

تفاوت بین شبکه خصوصی مجازی IPsec VPNs و SSL VPNs
تفاوت بین شبکه خصوصی مجازی IPsec VPNs و SSL VPNs

IpSec در کدام لایه اینترنت است؟ IPSec Network Layer

همان‌طور که اشاره شد IPsec به انتقال داده های خصوصی از طریق شبکه عمومی کمک می‌کند. به طور خاص ، IPsec گروهی از پروتکل ها است که برای ایجاد اتصالات ایمن بین دستگاه ها در لایه 3 مدل OSI (لایه شبکه) با هم استفاده می شود.

مجموعه پروتکل IPsec در لایه شبکه مدل OSI کار می کند. این مستقیماً در بالای IP (پروتکل اینترنت) اجرا می شود ، که مسئول مسیریابی بسته های داده است. در همین حال ، SSL در لایه کاربرد مدل OSI عمل می کند. این ترافیک HTTP را به جای رمزگذاری مستقیم بسته های IP رمزگذاری می کند.

پروتکل‌های IPsec در لایه شبکه (network layer) مدل OSI کار می کند که  به طور مستقیم در بالای IP (پروتکل اینترنت) یا مسئول مسیریابی بسته های داده می‌باشد.

SSl Application Layer

در همین حال ، SSL در لایه کاربرد(application layer) مدل OSI عمل می کند. این ترافیک HTTP را به جای رمزگذاری مستقیم بسته های IP رمزگذاری می کند.

Secure Sockets Layer  یا SSL یک پروتکل برای رمزگذاری ترافیک آدرس HTTP می‌باشد که می‌توان به  اتصالات بین دستگاه های کاربر و وب سرورها اشاره کرد. وب سایت هایی که از رمزگذاری SSL استفاده می کنند به جای http: // در URL های خود https: // دارند. SSL چندین سال پیش توسط Transport Layer Security (TLS) جایگزین شد ، اما اصطلاح “SSL” همچنان برای مراجعه به پروتکل مورد استفاده قرار می گیرد.

پورت های امنیت آی پی IPSec Ports

پورت شبکه مجازی است قسمتی از فضای اختصاصی است داده ها درون رایانه قرار می دهد. درواقع پورت ها امکان ردیابی و پیگیری فرآیندها و اتصالات مختلف در رایانه ها را فراهم می‌کنند. به عنوان مثال اگر داده ها به یک پورت خاص بروند ، سیستم عامل کامپیوتر خواهد فهمید که این داده ها که به کدام پردازش تعلق دارند.IPsec هم برای انجام الگوریتم ها ی رمزگذاری و رمزگزگشایی معمولاً از پورت 500 استفاده می کند.

جمع بندی

با مقاله IPSec چیست و چگونه کار می کند؟ با ما همراه بودید و با نحوه کارکرد پروتکل‌های IPsec که برای تنظیم اتصالات رمزگذاری شده بین دو یا چند دستگاه استفاده می‌شود، آشنا شدید. مشاهده کردید که این نوع پروتکل‌ها به ایمن نگه داشتن داده های ارسالی از طریق شبکه های عمومی کمک کرده و از الگوریتم‌های رمزگذاری و رمزگشایی استفاده می‌کند. در ادامه با مکانیزم دسته بندی داده ها عمل انتقال داده ها و هم‌چنین کاربرد مجموعه پروتکل‌های IPSec آشنا شده و به این پی بردیم که  IPsec اغلب برای راه اندازی وی-پی-ان V.P.N استفاده شده و برای اینکار با الگوریتم های مخصوص به رمزگذاری بسته های IP و احراز منبع بسته‌ها می‌پردازد.

از اینکه با ما همراه بودید ممنونیم. امیدواریم این مطلب برای شما مفید بوده باشد.


بیشتر بخوانید: آی‌ پی ثابت یا آی پی استاتیک چیست؟


همچنین شما می‌توانید با مرکز مشاوره و راهنمایی تیم برقچی با شماره 35000020-021 در تماس باشید تا مشاورین ما در اسرع وقت پاسخگوی شما باشند.

 

 

اشتراک
اطلاع از
guest
0 دیدگاه
Inline Feedbacks
دیدن همه دیدگاه ها