کد خبر: ۳۲۹۹۵۳۵

تاریخ انتشار: ۱۸ آذر ۱۴۰۰ - ۰۲:۱۳

IPSec چیست و چگونه کار می‌کند؟

پروتکل IPsec به ایمن نگه داشتن داده‌های ارسالی از طریق شبکه‌های عمومی کمک می‌کند.

به گزارش گروه فضای مجازی خبرگزاری صدا و سیما، باید بدانید که IPsec اغلب برای راه اندازی وی-پی-ان V.P.N استفاده می‌شود که این امر با رمزگذاری بسته‌های IP و احراز منبع بسته‌ها صورت می‌گیرد.

برای آشنایی با IPSec ابتدا باید IP را تعریف کنیم.

IP مخفف Internet Protocol است که اصلی‌ترین پروتکل مسیریابی است که در بستر اینترنت استفاده می‌شود. این پروتکل مشخص می‌کند که داده‌ها، چه مسیری را باید طی کنند و به کدام مقصد برسند. اما پروتکل IPSec، رمزگذاری و احراز هویت را نیز به این فرایند اضافه می‌کند.

IPSec چیست و چگونه کار می کند؟

رمزنگاری داده چیست؟

رمزگذاری فرآیند پنهان کردن اطلاعات است که در آن داده‌ها را با استفاده از فرمول‌های ریاضی دستکاری می‌کنند تا به صورت تصادفی ظاهر شوند. به عبارت ساده‌تر، رمزگذاری استفاده از کدی مخفی است که فقط اشخاص مجاز می‌توانند آن را بفهمند و تفسیر کنند.

IPSec چیست و چگونه کار می کند؟

IpSec ساخت کیست؟

این پروتکل محصول مشترک مایکروسافت و سیسکو Cisco سیستمی است که به وسیله احراز هویت و رمزگذاری در هر بسته دیتا (packet) در یک سیر داده کار می‌کند.

عناصر تشکيل دهنده IPSec

IPDec Driver: نرم‌افزاری است که مراحل عملکردی پروتکل شامل رمزگذاری، رمزگشایی، احراز هویت و تشخیص بسته را انجام می‌دهد.

Internet Key Exchange (IKE) :IKE یک پروتکل IPSec است که کلید‌های امنیتی را برای IPSec و دیگر پروتکل‌ها ایجاد می‌کند.

(Internet Security Association Key Management Protocol (ISAKMP: یک پروتکل IPSec است که به دو کامپیوتر این اجازه را می‌دهد تا با اطلاعات رمز شده به همراه تنظیمات معمول آن با هم ارتباط برقرار کنند. علاوه بر این، ISAKMP تبادل کلید‌ها را نیز امن می‌کند.

Oakley: پروتکلی است که از الگوریتم Diffie-Hellman برای ایجاد یک کلید اصلی و همچنین کلیدی که خاص هر session است استفاده می‌کند.

IPSec Policy Agent: سری مجموعه‌هایی از ویندوز سرور ۲۰۰۰ است که تنظیمات پالیسی IPSec را از اکتیو دایرکتوری جمع آوری و در تنظیمات ساختاری هنگام استارت آپ آن را اعمال می‌کند.

IPsec از چه پورتی استفاده می‌کند؟

پورت نرم افزاری یا پورت شبکه جایی است که اطلاعات ارسال می‌شود. به عبارت دیگر پورت مکانی است که داده‌ها از طریق آن به کامپیوتر یا سرور وارد و یا از آن خارج می‌شوند و به هر یک از این درگاه‌ها یک عدد نسبت داده می‌شود که این اعداد بین ۰ تا ۶۵۵۳۵ هستند. IPsec هم برای انجام الگوریتم ها‌ی رمزگذاری و رمزگشایی معمولاً از پورت ۵۰۰ استفاده می‌کند.

IPsec چگونه MSS و MTU را تحت تأثیر قرار می‌دهد؟

دو واحد اندازه گیری از اندازه بسته‌ها هستند. MSS یا (Maximum Segment Size) اندازه دیتای هر بسته را اندازه گیری می‌کند. در حالی که MTU (Maximum Transmission Unit) کل بسته از جمله هدرها را اندازه گیری می‌کند. بسته‌هایی که از MTU شبکه بیشتر است، تکه تکه fragmented می‌شوند، به این معنی که در بسته‌های کوچکتر تقسیم می‌شوند. بسته‌هایی که از MSS بیشتر باشند به راحتی حذف می‌شوند.

پروتکل IPsec چند هدر و تریلر را به بسته‌ها اضافه می‌کنند، که همه آن‌ها چندین بایت را می‌گیرند. برای شبکه‌هایی که از IPsec استفاده می‌کنند باید MSS و MTU را مطابق با آن تنظیم کرد یا بسته‌ها تکه تکه شوند و کمی تأخیر اضافه کنند. معمولاً MTU برای یک شبکه ۱۵۰۰ بایت است. یک هدر IP معمولی ۲۰ بایت طول دارد و یک هدر TCP نیز ۲۰ بایت طول دارد، بدین معنی که هر بسته می‌تواند حاوی ۱۴۶۰ بایت بار باشد. با این حال، IPsec یک هدر تأیید اعتبار، یک هدر ESP و تریلر‌های مرتبط با آن اضافه می‌کند. این‌ها ۵۰-۶۰ بایت را به یک بسته اضافه می‌کنند.

مزایای IPSec چیست؟

IPSec چیست و چگونه کار می کند؟

محافظت از حمله Replay: یک شماره اختصاصی به هر بسته داده (پکت) اختصاص می‌دهد که در صورت تکراری بودن آن شماره، پکت را حذف می‌کند.
محرمانگی اطلاعات یا رمزنگاری: امنیت ارتباط VPN به وسیله PFS در این پروتکل افزایش می‌یابد که با ایجاد کلید منحصر به فرد در هر ارتباط انجام می‌شود.
احراز هویت منبع اطلاعات: به وسیله کد تایید هویت پیام (Hash(HMAC تایید می‌شود که پیام تغییر نکرده است.
شفافیت: Ipsec در لایه شبکه کار می‌کند که در واقع برای برنامه‌ها و کاربران شفاف است. در نتیجه نیازی به تغییرات در مسریاب‌ها و فایروال‌ها هنگام استفاده، نیست.
رمزنگاری مجدد پویا: در فواصل زمانی مشخص کلیدهای امنیتی برای رمزگشایی تغییر می‌کند. که این باعث جلوگیری از جعل هویت و حملات هکرها می‌شود.
محافظت از حمله replay
هر نرم افزاری می‌تواند با این پروتکل سازگار باشد
محرمانگی اطلاعات (رمزنگاری)
دارا بودن حالت transport mode
دارا بودن حالت tunnel mode
احراز منبع و منشاء اطلاعات
احراز هویت در لایه ۳ یا Network

نحوه تفسیر داده‌ها در پروتکل IPSec

داده‌هایی که در همه شبکه‌ها تبادل می‌شوند به دسته‌بندی‌های کوچکتر به نام بسته‌ها تقسیم می‌شوند. بسته‌ها حاوی مقدار بار (payload) یا داده‌های اصلی ارسال شده، و هدر header که شامل اطلاعاتی درباره آن داده‌ها می‌شود، هستند. این نوع تقسیم بندی به سیستم‌هایی که بسته‌ها را دریافت می‌کنند کمک می‌کند تا بدانند که با آن‌ها چه کاری انجام دهند. در هر بارگزاری، IPsec چندین هدر به بسته‌های داده اضافه می‌کند که شامل اطلاعاتی از قبیل احراز و رمزگذاری است.

انواع پروتکل امنیتی IPSec

IPsec یک استاندارد منبع باز و بخشی از مجموعه IPv۴ است. IPsec هم می‌تواند در دو حالت transport mode و هم در حالت tunnel mode ارتباط طرفین را برقرار کند. IPsec یک استاندارد جهانی است و می‌تواند با استفاد از مجموعه‌ای از پروتکل‌هایی که استفاده می‌کند انواع و اقسام فرآیند‌های امنیتی را انجام دهد، از پروتکل‌های مورد استفاده در IPsec می‌توان به Authentication Header یا AH برای مقابله با حملات Replay، پروتکل Encapsulating Security Payload یا ESP برای دادن قابلیت محرمانگی به داده‌ها و در نهایت Security Associations یا SA برای ایجاد داده‌های مورد استفاده در AH و ESP اشاره کرد.

۱. IPSec AH protocol

پروتکل Authentication Header (AH) در اوایل دهه ۱۹۹۰ در آزمایشگاه تحقیقات نیروی دریایی ایالات متحده ایجاد شد. این پروتکل با احراز هویت بسته‌های IP، امنیت منبع داده را تضمین می‌کند. در این الگوریتم با استفاده از روش sliding window و حذف بسته‌های قدیمی و اختصاص دادن یک شماره توالی از محتوای بسته IPsec در برابر حملات مانند replay attacks محافظت می‌کند. در واقع با این تکنیک فقط می‌توان مطمئن بود بسته‌های داده از یک منبع معتبر ارسال شده و دستکاری نشده‌اند.

در این حالت هم پیلود و هم هدر رمزنگاری می‌شود. به جای AH از اصطلاح Tunnel هم استفاده می‌شود. حفاظت همه داده‌ها توسط HMAC انجام می‌شود؛ و فقط نقاط نظیر به نظیر از کلید سری که توسط HMAC ساخته شده خبر دارند و می‌توانند رمزگشایی کنند؛ و همان طور که گفته شد، چون هدر‌ها هم رمزنگاری می‌شوند و قابل تغییر نیست در شبکه‌هایی که NAT انجام می‌شود نمی‌توان از سرویس VPN استفاده کرد.

تمامیت داده ارسالی
احراز هویت مبدأ ارسال کننده داده
رد بسته‌های دوباره ارسال شده

۲. IP Encapsulating Security Payload (ESP)

پروتکل IP Encapsulating Security Payload (ESP) در آزمایشگاه تحقیقات نیروی دریایی از سال ۱۹۹۲ به عنوان بخشی از یک پروژه تحقیقاتی تحت حمایت DARPA ایجاد شد. کار این پروتکل ضمانت اصالت داده‌ها را از طریق الگوریتم تصدیق منبع، یکپارچگی داده‌ها را از طریق تابع هش (Hash function) و محرمانه بودن را با رمزگذاری بسته‌های IP فراهم می‌کند. ESP در تنظیمات و پیکربندی‌های که یا فقط از رمزگذاری و یا فقط از احراز هویت پشتیبانی می‌کنند، به کار می‌رود. این یک نوع ضعف محسوب می‌شود، زیرا که استفاده از رمزگذاری بدون احراز هویت ناامن است.

در این حالت فقط پیلود رمزنگاری می‌شود و هدر‌ها بدون تغییری به همان صورت باقی می‌مانند. به جای ESP از اصطلاح Transport هم استفاده می‌شود. در این روش هر دو طرف باید عملیات اهراز هویت انجام دهند و همچنین داده‌ها به صورت رمزنگاری شده ارسال می‌شود.

در واقع برخلاف پروتکل AH پروتکل ESP در حالت Transport یکپارچگی و احراز هویت را برای کل بسته IP فراهم نمی‌کند. در حالت Tunnel، جایی که کل بسته اصلی IP با یک هدر بسته جدید قرار دارد، ESP از کل بسته IP داخلی (از جمله هدر داخلی) محافظت می‌کند در حالی که هدر خارجی (شامل گزینه‌های IPv۴ خارجی یا پسوند IPv۶) محافظت نشده باقی می‌مانند.

۳. Security association

پروتکل‌های IPsec از یک انجمن امنیتی Security association استفاده کنند تا دو طرفی که باهم در ارتباط هستند ویژگی‌های امنیتی مشترکی مانند الگوریتم‌ها و کلید‌ها را ایجاد کنند. در واقع هنگامی که مشخص شود پروتکل AH یا ESP استفاده می‌شود، Security association طیف وسیعی از گزینه‌ها را فراهم می‌کند. قبل از تبادل داده، دو میزبان توافق می‌کنند که از کدام الگوریتم برای رمزگذاری بسته IP استفاده شود تابع هش برای اطمینان از یکپارچگی داده‌ها استفاده می‌شود. این پارامتر‌ها در هر جلسه که عمر (زمان) مشخصی دارد توافق می‌شوند و هم‌چنین برای هر جلسه باید یک کلید اختصاصی نیز تایین شود.

Internet Key Exchange یا IKE، یکی از رایج‌ترین پروتکل‌های SA است.

IPSec در چند حالت می‌تواند کار کند؟ (Operation Modes)

IPSec چیست و چگونه کار می کند؟
پروتکل‌های IPsec AH و IPSec ESP را می‌توان در حالت انتقال میزبان به میزبان Host-to-host transport و همچنین در حالت تونل شبکه network tunneling استفاده کرد.

۱. حالت انتقال IPSec Transport Mode

در حالت transport فقط بسته IP رمزگذاری یا تأیید شده و مسیریابی دست نخورده باقی می‌مانند، زیرا هدر IP نه اصلاح شده و نه رمزگذاری شده است. اما، وقتی از هدر احراز authentication header استفاده می‌شود مقدار هش hash value بی اعتبار می‌شود و آدرس‌های IP با متد Network address translation قابل اصلاح و ترجمه نیستند. لایه‌های Transport و Application همیشه با یک هش امن می‌شوند، بنابراین نمی‌توان آن‌ها را به هیچ وجه حتی با ترجمه اعداد پورت اصلاح کرد.

۲. حالت تونل Tunnel Mode یا IPSec Tunnel Configuration

در حالت تونل Tunnel، کل بسته IP رمزگذاری و احراز می‌شود. سپس در یک بسته IP جدید با یک هدر IP جدید دسته بندی می‌شود. از حالت تونل برای ایجاد شبکه‌های خصوصی مجازی برای ارتباطات شبکه به شبکه (به عنوان مثال بین روتر‌ها برای پیوند سایت‌ها)، ارتباطات میزبان به شبکه (به عنوان مثال دسترسی کاربر از راه دور) و ارتباطات میزبان به میزبان (به عنوان مثال چت خصوصی) استفاده می‌شود.

مدیریت کلید در پروتکل IPSec

IPSec به طور گسترده در تکنولوژی VPN برای احراز هویت، محرمانگی، یکپارچگی و مدیریت کلید در شبکه‌های مبتنی بر IP، استفاده می‌شود.

IPSec امنیت ارتباطات را در بطن تجهیزات شبکه با کمک سرویس‌های امن رمزنگاری برقرار می‌کند. برای عملکرد صحیح و کامل IPSec، هر دو طرف فرستنده و گیرنده باید یک کلید عمومی را به اشتراک بگذارند که با استفاده از پروتکل «مدیریت کلید» عملی می‌شود. این پروتکل به گیرنده این اجازه را می‌دهد تا یک کلید عمومی را به دست آورد و فرستنده را بر اساس امضای دیجیتال احراز هویت کند.

احراز هویت در IPSec چگونه است؟

IPsec برای حفاظت از داده‌های اشتراکی بین دو هاست، دو Gateway یا حتی یک Gateway و یک Host استفاده می‌شود. برخلاف سایر سیستم‌های امنیتی حتی می‌توان از IPsec در نرم افزار‌هایی که برای استفاده از آن طراحی نشده‌اند نیز استفاده کرد. در زمانی‌که یک Session ارتباطی قرار است ایجاد شود، پروتکل امنیتی IPsec به agent‌ها اجازه می‌دهد که یک احراز هویت دو طرفه یا Mutual Authentication را انجام دهد و همچنین کاری می‌کند که دو طرف ارتباط روی یک الگوریتم و کلید رمزنگاری برای رمزنگاری حین Session ارتباط موافقت کنند.

IPSec چیست و چگونه کار می کند؟
از الگوریتم‌ها و مراحلی که در پروتکل‌های امنیتی IPSec استفاده می‌شود می‌توان به موارد زیر اشاره کرد:

۱. الگوریتم‌های تبادل کلید Key exchange algorithms

استفاده از کلید‌ها برای رمزگذاری ضروری است. کلید یک رشته از کاراکتر‌های تصادفی است برای «قفل کردن» (رمزگذاری) و «باز کردن» (رمزگشایی) پیام‌ها استفاده می‌شود. IPsec کلید و مبادله کلید را بین دستگاه‌های متصل تنظیم می‌کند تا هر دستگاه بتواند پیام‌های دستگاه دیگر را رمزگشایی کند. از الگوریتم‌های تبادل کلید می‌توان به موارد زیر اشاره کرد:

Diffie–Hellman (RFC ۳۵۲۶)
ECDH (RFC ۴۷۵۳)

۲. الگوریتم‌های رمزگذاری متقارن Symmetric encryption algorithms

IPsec ظرفیت اصلی هر بسته (payloads) و هدر IP هر بسته را رمزگذاری می‌کند (در حالت تونل).

IPSec چیست و چگونه کار می کند؟

این نوع الگوریتم داده‌های ارسالی از طریق IPsec را ایمن و خصوصی نگه می‌دارد. الگوریتم‌های رمزنگاری تعریف شده شامل موارد زیر است:

HMAC-SHA1/SHA2 برای محافظت از یکپارچگی و احراز
TripleDES-CBC برای محرمانه نگه داشتن تبادل اطلاعات
AES-CBC and AES-CTR برای محرمانه نگه داشتن تبادل اطلاعات
AES-GCM and ChaCha20-Poly1305 برای تضمن محرمانه بودن و احراز هویت به طور کارآمد

۳. الگوریتم‌های رمزگشایی Authentication algorithms

IPsec قابلیت احراز را برای هر بسته فراهم می‌کند. اگر بخواهیم این عمل را در دنیای واقعی تشبیه کنیم مانند مهر اصالت روی کالا‌های قابل اطمینان است. در واقع این نوع الگوریتم این اطمینان را می‌دهد که بسته‌ها از یک منبع مطمئن مبادله شده‌اند و بسته‌های مهاجم attackers نیستند. از الگوریتم‌هایی که برای برای انتقال ایمن داده استفاده می‌شود می‌توان به موارد زیر اشاره کرد:

RSA
ECDSA (RFC ۴۷۵۴)
PSK (RFC ۶۶۱۷)

معماری پروتکل امنیت آی پی IPSec Architecture

حال که با الگوریتم‌ها و پروتکل‌های امنیتی IPSec آشنا شدید معماری یا مکانیزم انجام این کار با مراجعه به تصویر زیر راحت‌تر خواهد بود.

IPSec چیست و چگونه کار می کند؟

مخابره اطلاعات IPSec Transmission

در پروسه مخابره اطلاعات بسته‌های رمزگذاری شده IPsec از طریق یک یا چند شبکه با استفاده از پروتکل transport به مقصد هدایت می‌شوند. در این مرحله، ترافیک IPsec با ترافیک IP معمولی تفاوت دارد، زیرا اغلب از UDP به عنوان پروتکل انتقال استفاده می‌کند. در حالی که IP از با استفاده از پروتکل TCP یا پروتکل کنترل انتقال، اتصالات اختصاصی بین دستگاه‌ها را تنظیم می‌کند و ورود همه بسته‌ها را تضمین می‌کند.

IPSec UDP

User Datagram Protocol یا UDP، یک پروتکل ارتباطی است که در سراسر اینترنت برای انتقال‌های حساس به زمان مانند پخش فیلم یا جستجوی DNS استفاده می‌شود. این پروتکل سرعت اتصال را با ارتباط رسمی برقرار نکردن قبل از انتقال داده‌ها، بالا می‌برد. البته این کار می‌تواند باعث از دست رفتن بسته‌ها در زمان انتقال شود و فرصت‌هایی را برای سودجویی نفر سوم از حملات DDoS ایجاد کند.

کاربرد و نحوه راه اندازی IPsec V.P.N

IPsec اغلب برای راه اندازی شبکه‌های خصوصی مجازی (VPN) استفاده می‌شود. V-P-N یک سرویس امنیتی اینترنتی است که به کاربران اجازه می‌دهد مانند اینکه به یک شبکه خصوصی متصل شده‌اند به اینترنت دسترسی داشته باشند. این مکانیزم ارتباطات اینترنتی را رمزگذاری می‌کند و تا آنجا که ممکن است آی پی شما را ناشناس می‌کند. V-P-N اغلب به کارمندان دورکار اجازه می‌دهد تا به طور ایمن به داده‌های شرکت دسترسی پیدا کنند. در همین حال، کاربران عادی هم می‌توانند برای محافظت از حریم خصوصی خود از VPN استفاده کنند.

کاربران می‌توانند با نصب و ورود به یک برنامه V-P-N به یک VPN IPsec دسترسی پیدا کنند. این اتصال به رمز عبور نیاز دارد. در حالی که داده‌های ارسالی از طریق V-P-N رمزگذاری شده است، در صورتی که مهاجمان رمز عبور را هک کنند می‌توانند به V-P-N شما وارد شوند و داده‌های خصوصی شما را سرقت کنند. بنابراین برای جلوگیری از این اتفاق معمولا استفاده از احراز دو مرحله‌ای (2FA) به امنیت بالای IPSec VPN کمک می‌کند.

بسیاری از سیستم‌های V-P-N از مجموعه پروتکل IPsec برای ایجاد و اجرای رمزگذاری استفاده می‌کنند. با این حال، همه VPN ها از IPsec استفاده نمی‌کنند. پروتکل دیگر VPNها، SSL / TLS است که در یک لایه متفاوت در مدل OSI نسبت به IPsec کار می‌کند.

تفاوت IPsec VPNs و SSL VPNs

تفاوت SSL و IPsec در لایه‌ای از OSI قرار دارند ریشه دارد. مدل OSI یک به طور انتزاعی به لایه‌هایی از فرایندهایی که اساس کار اینترنت را تشکیل می‌دهند، تقسیم شده است.

IPSec چیست و چگونه کار می کند؟

IpSec در لایه چندم قرار گرفته است؟ IPSec Network Layer

IPsec بر خلاف دیگر پروتکلهای امنیتی نظیر SSL ،TSL ،SSH که در لایه انتقال (لایه ۴) به بالا قرار دارند در لایه شبکه یا همان لایه ۳ مدل مرجع OSI کار می‌کند یعنی لایه که آی پی در آن قرار دارد که باعث انعطاف بیشتر این پروتکل می‌شود به‌ طوری‌که می‌تواند از پروتکل‌های لایه ۴ نظیر تی سی پی و یو دی پی محافظت کند. مزیت بعدی IPsec به نسبت بقیه پروتکل‌های امنیتی نظیر اس اس ال این است که نیازی نیست که برنامه‌ای بر طبق این پروتکل طراحی شود.

SSl Application Layer

در همین حال، SSL در لایه کاربرد (application layer) مدل OSI عمل می‌کند. این ترافیک HTTP را به جای رمزگذاری مستقیم بسته‌های IP رمزگذاری می‌کند.

Secure Sockets Layer یا SSL یک پروتکل برای رمزگذاری ترافیک آدرس HTTP است که می‌توان به اتصالات بین دستگاه‌های کاربر و وب سرورها اشاره کرد. وب سایت هایی که از رمزگذاری SSL استفاده می‌کنند به جای //:http در URLهای خود //:https دارند. SSL چندین سال پیش توسط Transport Layer Security (TLS) جایگزین شد، اما اصطلاح «SSL» همچنان برای مراجعه به پروتکل استفاده می‌شود.

IPSec در ipv6 و ipv4

IPSEC معمولاً در ارتباط با IPV6 توسعه داده شد و در اصل در تمام پیاده‌سازی‌های استاندارد از IPV6 ،IPSEC مورد نیاز است. IPSEC برای پیاده‌سازی IPV4 اختیاری است و در IPV4 اغلب برای ایمن‌سازی ترافیک استفاده می‌شود.

جمع بندی

در این مطلب با نحوه کارکرد پروتکل‌های IPsec که برای تنظیم اتصالات رمزگذاری شده بین دو یا چند دستگاه استفاده می‌شود، آشنا شدید. مشاهده کردید که این نوع پروتکل‌ها به ایمن نگه داشتن داده‌های ارسالی از طریق شبکه‌های عمومی کمک و از الگوریتم‌های رمزگذاری و رمزگشایی استفاده می‌کند. در ادامه با مکانیزم دسته‌بندی داده‌ها عمل انتقال داده‌ها و هم‌چنین کاربرد مجموعه پروتکل‌های IPSec آشنا شدیم و به این پی بردیم که IPsec اغلب برای راه اندازی وی-پی-ان V.P.N استفاده می‌شود و برای اینکار با الگوریتم‌های مخصوص به رمزگذاری بسته‌های IP و احراز منبع بسته‌ها می‌پردازد.

بازدید از صفحه اول

ارسال به دوستان

نسخه چاپی

گزارش خطا

X Share

Telegram Google Plus Linkdin

ایتا سروش

عضویت در خبرنامه

نظر شما