IPsec چیست؟

IPSec گروهی از پروتکل‌هاست که برای تنظیم اتصالات رمزگذاری شده بین دستگاه‌ها با هم استفاده می‌شود. و به ایمن نگه‌داشتن داده‌های ارسالی از طریق شبکه‌های عمومی کمک می‌کند. و به ایمن نگه‌داشتن داده‌های ارسالی از طریق شبکه‌های عمومی کمک می‌کند. IPSec اغلب برای راه‌اندازی VPN استفاده می‌شود، با رمزنگاری بسته‌های IP، همراه با تأئید اعتبار منبع جائیکه بسته‌ها از آنجا فرستاده می‌شوند، کار می‌کند.

در اصطلاح IPSec کلمه IP مخفف Internet Protocol، و SEC برای Secure (امن) است. پروتکل اینترنت (Internet Protocol)، پروتکل اصلی مسیریابی است که در اینترنت استفاده می‌شود. این پروتکل مشخص می‌کند که داده‌ها با استفاده از آدرس‌های IP به کجا ارسال می‌شوند. IPSec ایمن است، زیرا رمزگذاری و تأیید اعتبار (Authentication) را به این فرآیند اضافه می‌کند.

رمزگذاری (Encryption) یک فرآیند پنهان سازی اطلاعات با تغییرات ریاضی داده‌ها به گونه‌ای است که در ظاهر به صورت تصادفی به نظر می‌رسد. به عبارت ساده‌تر، رمزگذاری استفاده از کد مخفی (Secret Code) است که فقظ اشخاص مجاز می‌توانند آن را تفسیر کنند.

VPN چیست؟ IPsec VPN چیست؟

یک شبکه مجازی خصوصی (VPN) یک ارتباط رمزگذاری شده بین 2 یا چند رایانه است. اتصالات VPN برروی شبکه‌های عمومی انجام می‌شود، اما داده‌های ردوبدل شده از طریق VPN خصوصی است زیرا رمزگذاری شده است. VPN دسترسی و تبادل اطلاعات محرمانه از طریق زیرساخت شبکه مشترک مانند اینترنت عمومی را امکان پذیر می‌کند. به عنوان مثال، وقتی کارمندان به جای کار در دفترکار از راه دور کار می‌کنند، اعلب از VPN برای دسترسی به پرونده‌ها و فایل‌های شرکتی استفاده می‌کننند.

بیشتر VPNها از پروتکل IPSec برای ایجاد اتصالات رمزگذاری شده استفاده می‌کنند. با این حال همۀ VPNها از IPSec استفاده نمی‌کنند. یک پروتکل دیگر برای VPNها SSL/TSL است، که در یک لایه متفاوت از OSI نسبت به IPSec عمل می‌کند.

چگونه کاربران به یک IPSec VPN وصل می‌شوند؟

کاربران می‌توانند با ورود به یک برنامه VPN به IPSec VPN دسترسی داشته باشند. این به طور معمول نیاز دارد که کاربر برنامه را روی دستگاه خود نصب کرده باشد. ورود به سیستم VPN معمولاً مبتنی بر رمز عبور است. در حالیکه داده‌های ارسال شده از طریق VPN رمزگذاری شده‌است، در صورت به خطر افتادن رمزهای عبور کاربر، مهاجمان می‌توانند به VPN وارد شوند و این داده‌های رمزگذاری شده را سرقت کنند. استفاده از احراز هویت دو عاملی (2FA) می‌تواند امنیت IPSec VPN را تقویت کند، در این صورت سرقت رمز عبور به مهاجمان اجازه دسترسی به داده‌ها را نخواهد داد.

IPSec چه‌طور کار می‌کند؟

اتصالات IPSec شامل مراحل زیر است:

Key Exchange :

Keyها برای رمزنگاری ضروری هستند، یک کلید یک رشته از کاراکترهای تصادفی است که برای قفل کردن (رمزگذاری) و بازکردن (رمز گشایی) پیام‌ها استفاده شود. IPSec کلیدهایی را برای مبادله کلید بین دستگاه‌های متصل تنظیم می‌کند که هر دستگاه بتواند پیام‌های دستگاه‌های دیگر را رمزگشایی کند.

IPSec کلیدهایی را برای مبادله کلید بین دستگاه‌های متصل تنظیم می‌کند که هر دستگاه بتواند پیام‌های دستگاه‌های دیگر را رمزگشایی کند.

Packet Headers AND Trailers :

تمام داده‌هایی که از طریق شبکه ارسال می‌شوند به بسته‌های کوچکتر به نام بسته‌ها (Packets) تقسیم می‌شوند. بسته‌ها حاوی یک محموله بار یا همان داده‌های واقعی ارسال شده، هدرها و یا اطلاعات مربوط به داده‌ها هستند بنابراین کامپیوترهای دریافت کننده بسته‌ها می‌دانند که باید با بسته‌ها چه کاری انجام دهند. IPSec چندین عنوان را به بسته‌های داده‌ها اضافه می‌کنند که شامل اطلاعات احراز هویت و رمزنگاری است. IPSec هم چنین یک ترایلر (پشت بند) به بسته‌ها اضافه می‌کند، که بعد از هر محموله بار(داده‌های واقعی) به جای قبلی می‌رود.

Authentication:

IPSec برای هر بسته یک احراز هویت را فراهم می‌کند، مانند یک مهر اصالت روی کالا. این تضمین می‌کند که بسته‌ها از یک منبع مطمئن هستند و نه یک مهاجم.

Encryption:

IPSec بارهای درون هر بسته و هدر IP هر بسته را رمزگذاری می‌کند. که این ویژگی داده‌های ارسالی از طریق IPSec را ایمن و خصوصی نگه می‌دارد.

Transmission:

بسته‌های رمزگذاری شده IPSec که از طریق شبکه ارسال می‌شوند، با استفاده از پروتکل‌های حمل و نقل به مقصد می‌روند. در این مرحله، ترافیک IPSec با ترافیک IP معمولی تفاوت دارد زیرا اغلب از UDP به جای TCP به عنوان پروتکل حمل و نقل استفاده می‌کنند.

TCP، پروتکل کنترل انتقال، اتصالات اختصاصی بین دستگاه‌ها را تنظیم می‌کند و ورود همه بسته‌ها را تضمین می‌کند (Transmission Control Protocol)

UDP  پروتکل اتصالات اختصاصی را تنظیم نمی‌کند. IPSec از UDP استفاده می‌کند، زیرا این امکان را به بسته‌های IPSec می‌دهد که از طریق فایروال عبور کنند.

Decryption:

در سمت دیگه ارتباطات (انتهای ارتباطات)،بسته‌ها رمزگشایی می‌شوند و برنامه‌ها می‌توانند از داده‌های ارائه شده استفاده کنند.

چه پروتکل‌هایی در IPSec استفاده می‌شوند؟

در شبکه سازی یک پروتکل یک روش مشخص برای قالب بندی داده‌ها است. به طوریکه هر کامپیوتر در شبکه می‌تواند داده‌ها را تفسیر کند. IPSec یک پروتکل نیست بلکه مجموعه‌ای از پروتکل‌هاست. پروتکل‌های زیر مجموعه IPSec را تشکیل می‌دهند:

Authentication Header (AH) :

پروتکل AH این اطمینان را می‌دهد که بسته‌های داده از یک منبع معتبر تهیه شده‌اند و داده‌ها دستکاری شده‌اند، مانند یک مهر و موم روی یک کالای مصرفی. این هدرها هیچ رمزنگاری را فراهم نمی‌کنند ، آنها به مخفی کردن داده‌ها از مهاجمان کمک نمی‌کنند.

Encapsulating Security Protocol (ESP) :

ESP، آی پی هدر و بار مجاز برای هر بسته را رمزگذاری می‌کند، مگر اینکه از حالت حمل و نقل استفاده شود، در این حالت فقط بار (محموله) را رمزگذاری می‌کند. ESP هدر و تریلر (پشت بند) خود را به هر بسته داده اضافه می‌کنند.

Security Association (SA) :

SA به تعدادی از پروتکل‌های مورد استفاده برای مذاکره در مورد کلیدهای رمزگذاری و الگوریتم‌ها اشاره دارد. یکی از رایج‌ترین پروتکل‌های SA تبادل کلید اینترنتی (Internet Key Exchange) IKE است. سرانجام در حالیکه پروتکل اینترنت (IP) بخشی از مجموعه IPSec نیست، IPSec مستقیماً در بالای IP اجرا می‌شود.

Security Association (SA) در IPsec

Security Association (SA)بنیان ارتباط IPsec است. ویژگی های SA عبارتند از:
  • قبل از ارسال داده ها ، یک ارتباط مجازی بین نهاد فرستنده و فرد دریافت کننده با نام Security   Association (SA) برقرار می شود.
  • IPsec گزینه‌های بسیاری برای انجام رمزگذاری شبکه و احراز هویت در اختیار شما قرار می‌دهد. هر اتصال IPsec می‌تواند رمزنگاری، یکپارچگی، احراز هویت یا هر سه سرویس را ارائه دهد. وقتی سرویس امنیتی تعیین می‌شود، دو نهاد IPsec باید دقیقاً الگوریتم های مورد استفاده را مشخص کنند (برای مثال ، DES یا 3DES  برای رمزگذاری؛ MD5 یا SHA-1 برای یکپارچگی). پس از تصمیم گیری در مورد الگوریتم ها ، دو دستگاه باید کلیدهای session را به اشتراک بگذارند.
  • SA مجموعه ای از پارامترهای ارتباطی فوق است که رابطه ای بین دو یا چند سیستم برای ایجاد یک جلسه IPsec را برقرار می کند.
  • از نظر ماهیت ساده است و از این رو دو SA برای ارتباطات دو جهته لازم است.
  • توسط یک شماره Security Parameter Index (SPI)شناسایی می‌شود که در هدر پروتکل امنیتی وجود دارد.
  • هر دو نهاد ارسال کننده و دریافت کننده اطلاعات وضعیت درباره SA را حفظ می‌کنند. این شبیه به نقاط پایانی TCP است که اطلاعات حالت را نیز حفظ می‌کند. IPsec مانند TCP ارتباط محور دارد.

حال به پارامترهای SA خواهیم پرداخت.

پارامترهای SA

هر SA به طور خاص با سه پارامتر زیر مشخص می شود. که در ادامه پارامترهای SA رو بررسی می نماییم.

Security Parameters Index (SPI)

  • این یک ارزش ۳۲ بیتی است که به SA اختصاص داده شده است. این مورد برای تمایز بین‌SA های مختلف خاتمه یافته در همان مقصد و با استفاده از همان پروتکل IPsec  استفاده می‌شود.
  • هر بسته IPsec دارای یک هدر است که حاوی قسمت SPI است.SPI  برای تهیه map بسته‌های دریافتی به SA ارائه شده است.
  • SPI یک عدد تصادفی است که توسط فرستنده برای شناسایی SA به گیرنده تولید می‌شود.

چه تفاوتی بین IPSec Tunnel و IPSec Transport وجود دارد؟

IPSec Tunnel Mode بین دو روتر اختصاصی استفاده می‌شود که هر روتر به عنوان نقطه انتهای تونل مجازی در روی یک شبکه عمومی عمل می‌کند. در حالت IPSec Tunnel، اورجینال آی پی هدر که شامل مقصد نهایی بسته است را علاوه بر داده‌های بسته، محموله به صورت رمزنگاری شده است.

برای اینکه به روترهای واسطه بگویید که بسته‌ها را کجا بفرستید IPSec یک هدر IP جدید اضافه می‌کند. روترها IP Headerها را رمزگشایی می‌کنند تا بسته‌ها را به مقصد برسانند. در حالت Transport (حمل و نقل) محموله بار (داده‌ها) هر بسته رمزنگاری شده است، اما عنوان اصلی IP اینگونه نیست. بنابراین روترهای واسطه قادر به مشاهده مقصد نهایی هر بسته هستند، مگر آنکه از پروتکل GRE استفاده شود.

در صورت داشتن هر گونه سوال تا اینجای مقاله با کارشناسان فنی شرکت تماس حاصل نمائید.

Type Of VPN:

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.

این فیلد را پر کنید

این فیلد را پر کنید
لطفاً یک نشانی ایمیل معتبر بنویسید.

فهرست