• مشکی
  • سفید
  • سبز
  • آبی
  • قرمز
  • نارنجی
  • بنفش
  • طلایی
  • تعداد بازديد :
  • 4357
  • چهارشنبه 23/2/1383
  • تاريخ :

مقدمه ای بر IPSec


IP Security یاIPSec رشته ای از پروتكلهاست كه برای ایجادVPN مورد استفاده قرار     می گیرند. مطابق با تعریفIETF (Internet Engineering Task Force) پروتكلIPSec به این شكل تعریف می شود:

یك پروتكل امنیتی در لایه شبكه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین كند. خدماتی كه به صورت منعطفی به پشتیبانی تركیبی از تایید هویت ، جامعیت ، كنترل دسترسی و محرمانگی بپردازد.

در اكثر سناریوها مورد استفاده ،IPSec به شما امكان می دهد تا یك تونل رمزشده را بین دو شبكه خصوصی ایجاد كنید.همچنین امكان تایید هویت دو سر تونل را نیز برای شما فراهم         می كند.اماIPSec تنها به ترافیك مبتنی برIP اجازه بسته بندی و رمزنگاری می دهد و درصورتی كه ترافیك غیرIP  نیز در شبكه وجود داشته باشد ، باید از پروتكل دیگری مانندGRE در كنارIPSec استفاده كرد.

IPSec به استانداردde facto در صنعت برای ساختVPN تبدیل شده است.بسیاری از فروشندگان تجهیزات شبكه ،IPSec را پیاده سازی كرده اند و لذا امكان كار با انواع مختلف تجهیزات از شركتهای مختلف ،IPSec را به یك انتخاب خوب برای ساختVPN مبدل كرده است.

 انواع IPSec VPN

شیوه های مختلفی برای دسته بندیIPSec VPN وجود دارد اما از نظر طراحی ،IPSec برای حل دو مسئله مورد استفاده قرار می گیرد :

1-اتصال یكپارچه دو شبكه خصوصی و ایجاد یك شبكه مجازی خصوصی

2-توسعه یك شبكه خصوصی برای دسترسی كاربران از راه دور به آن شبكه به عنوان بخشی از شبكه امن

بر همین اساس ،IPSec VPN ها را نیز می توان به دو دسته اصلی تقسیم كرد:

1-

پیاده سازی

LAN-to-LAN IPSec

این عبارت معمولا برای توصیف یك تونلIPSec بین دو شبكه محلی به كار می رود. در این حالت دو شبكه محلی با كمك تونلIPSec و از طریق یك شبكه عمومی با هم ارتباط برقرار می كنند به گونه ای كه كاربران هر شبكه محلی به منابع شبكه محلی دیگر، به عنوان عضوی از آن شبكه، دسترسی دارند.IPSec به شما امكان می دهد كه تعریف كنید چه داده ای و چگونه باید رمزنگاری شود.

2-

پیاده سازی

Remote-Access Client IPSec

این نوع ازVPN ها زمانی ایجاد می شوند كه یك كاربر از راه دور و با استفاده ازIPSec client نصب شده بر روی رایانه اش، به یك روترIPSec یاAccess server متصل می شود. معمولا این رایانه های دسترسی از راه دور به یك شبكه عمومی یا اینترنت و با كمك روشdialup یا روشهای مشابه متصل می شوند. زمانی كه این رایانه به اینترنت یا شبكه عمومی متصل می شود،IPSec client موجود بر روی آن می تواند یك تونل  رمز شده را بر روی شبكه عمومی ایجاد كند كه مقصد آن یك دستگاه پایانیIPSec،مانند یك روتر، كه بر لبه شبكه خصوصی مورد نظر كه كاربر قصد ورود به آن را دارد، باشد.

در روش اول تعداد پایانه هایIPSec محدود است اما با كمك روش دوم می توان تعداد پایانه ها را به ده ها هزار رساند كه برای پیاده سازی های بزرگ مناسب است.

 ساختار IPSec

IPSec برای ایجاد یك بستر امن یكپارچه ، سه پروتكل را با هم تركیب می كند :

1-

پروتكل مبادله كلید اینترنتی (

Internet Key Exchange

یا

IKE

)

این پروتكل مسئول طی كردن مشخصه های تونلIPSec بین دو طرف است. وظایف این پروتكل عبارتند از:

ü

طی كردن پارامترهای پروتكل

ü

مبادله كلیدهای عمومی

ü

تایید هویت هر دو طرف

ü

مدیریت كلیدها پس از مبادله

IKE مشكل پیاده سازی های دستی و غیر قابل تغییرIPSec را با خودكار كردن كل پردازه مبادله كلید حل می كند. این امر یكی از نیازهای حیاتی IPSecاست.IKE خود از سه پروتكل تشكیل می شود :

ü

SKEME

:

مكانیزمی را برای استفاده از رمزنگاری كلید عمومی در جهت تایید هویت تامین می كند.

ü

Oakley

:

مكانیزم مبتنی بر حالتی را برای رسیدن به یك كلید رمزنگاری، بین دو پایانهIPSec تامین می كند.

ü

ISAKMP

:

معماری تبادل پیغام را شامل قالب بسته ها و حالت گذار تعریف می كند.

IKE به عنوان استانداردRFC 2409 تعریف شده است. با وجودی كهIKE كارایی و عملكرد خوبی را برایIPSec تامین می كند، اما بعضی كمبودها در ساختار آن باعث شده است تا پیاده سازی آن مشكل باشد، لذا سعی شده است تا تغییراتی در آن اعمال شود و استاندارد جدیدی ارائه شود كهIKE v2 نام خواهد داشت.

2-

پروتكل

Encapsulating Security Payload

یا

ESP

این پروتكل امكان رمزنگاری ، تایید هویت و تامین امنیت داده را فراهم می كند.

3-

پروتكل سرآیند تایید هویت (

Authentication Header

یا

AH

)

این پروتكل برای تایید هویت و تامین امنیت داده به كار می رود.

برگرفته از سایت www.ircert.com

UserName