ip چیست؟

IP مخفف Internet Protocol است که اصلی ترین پروتکل مسیریابی است که در بستر اینترنت مورد استفاده قرار می گیرد. این پروتکل مشخص می کند که داده ها، چه مسیری را باید طی کنند و به کدام مقصد برسند. اما پروتکل IPSec، رمزگذاری و احراز هویت را نیز به این فرایند اضافه میکند.

رمزنگاری داده چیست

رمزگذاری فرآیند پنهان کردن اطلاعات است که در آن داده ها را با استفاده از فرمول‌های ریاضی دستکاری کرده تا به صورت تصادفی ظاهر شوند . به عبارت ساده تر، رمزگذاری استفاده از کدی مخفی است که فقط اشخاص مجاز می توانند آن را بفهمند و تفسیر کنند.

IpSec ساخت کیست؟

این پروتکل محصول مشترک مایکروسافت و سیسکو | Cisco سیستمز است که به وسیلهٔ احراز هویت و رمزگذاری در هر بسته دیتا (packet) در یک سیر داده کار میکند.

عناصر تشکيل دهنده IPSec

IPDec Driver: نرم افزاريست که مراحل عملکردي پروتکل را که شامل رمزکردن، رمزگشايي، احراز هويت و تشخصي بسته است را انجام ميدهد.

Internet Key Exchange (IKE): IKE يک پروتکل IPSec است که کليدهاي امنيتي را براي IPSec و ديگر پروتکل ها ايجاد ميکند.

(Internet Security Association Key Management Protocol (ISAKMP: يک پروتکل IPSec است که به دو کامپيوتر اين اجازه را ميدهد تا با اطلاعات رمز شده بهمراه تنظيمات معمول آن با هم ارتباط برقرار کنند. علاوه بر اين، ISAKMP تبادل کليدها را نيز امن ميکند.

Oakley: پروتکلي است که از الگوريتم Diffie-Hellman براي ايجاد يک کليد اصلي و همچنين کليدي که خاص هر session است استفاده ميکند.

IPSec Policy Agent: سري مجموعه هايي از ويندوز سرور ۲۰۰۰ است که تنظيمات پاليسي IPSec را از اکتيو دايرکتوري جمع اوري کرده و در تنظيمات ساختاري هنگام استارت آپ آن را اعمال ميکند.

ip چیست

IPsec از چه پورت ای استفاده می کند؟

پورت نرم افزاری یا پورت پچ کورد شبکه جایی است که اطلاعات ارسال می‌شود. به عبارت دیگر پورت مکانی است که داده ها از طریق آن به کامپیوتر یا سرور وارد و یا از آن خارج می شوند و به هر یک از این درگاه ها یک عدد نسبت داده می شود که این اعداد بین ۰ تا ۶۵۵۳۵ می باشند. IPsec هم برای انجام الگوریتم ها ی رمزگذاری و رمزگزگشایی معمولاً از پورت ۵۰۰ استفاده می کند.

IPsec چگونه MSS و MTU را تحت تأثیر قرار می دهد؟

دو واحد اندازه گیری از اندازه بسته ها هستند. MSS یا (Maximum Segment Size) اندازه دیتای هر بسته را اندازه گیری می کند. در حالی که MTU (Maximum Transmission Unit) کل بسته از جمله هدر ها را اندازه گیری می کند. بسته هایی که از MTU شبکه بیشتر است ، تکه تکه fragmented می شوند ، به این معنی که در بسته های کوچکتر تقسیم می شوند. بسته هایی که از MSS بیشتر باشند به راحتی حذف می شوند.

پروتکل IPsec چند هدر و تریلر را به بسته ها اضافه می کنند ، که همه آنها چندین بایت را می گیرند. برای شبکه هایی که از IPsec استفاده می کنند باید MSS و MTU را مطابق با آن تنظیم کرد یا بسته ها تکه تکه شوند و کمی تأخیر اضافه کنند. معمولاً MTU برای یک شبکه ۱۵۰۰ بایت است. یک هدر IP معمولی ۲۰ بایت طول دارد و یک هدر TCP نیز ۲۰ بایت طول دارد ، بدین معنی که هر بسته می تواند حاوی ۱۴۶۰ بایت بار باشد. با این حال ، IPsec یک هدر تأیید اعتبار ، یک هدر ESP و تریلرهای مرتبط با آن اضافه می کند. اینها ۵۰-۶۰ بایت را به یک بسته اضافه می کنند.

نحوه تفسیر داده ها در پروتکل IPSec

داده هایی که در تمام شبکه ها تبادل می‌شوند به دسته بندی های کوچکتر به نام بسته ها تقسیم می شوند. بسته ها حاوی مقدار بار (payload) یا داده های اصلی ارسال شده ، و هدر header که اطلاعاتی در مورد آن داده ها هستند می‌باشد. این نوع تقسیم بندی به سیستم هایی که بسته ها را دریافت می کنند کمک می‌کند تا بدانند که با آنها چه کاری انجام دهند. در هر بارگزاری، IPsec چندین هدر به بسته های داده اضافه می‌کند که شامل اطلاعاتی از قبیل احراز و رمزگذاری است.

انواع پروتکل امنیتی آی پی سک IPSec

IPsec یک استاندارد منبع باز و بخشی از مجموعه IPv4 است. IPsec هم مي‌تواند در دو حالت transport mode و هم در حالت tunnel mode ارتباط طرفين را برقرار کند. IPsec يک استاندارد جهاني است و مي‌تواند با استفاد از مجموعه‌اي از پروتکل‌هايي که استفاده مي‌کند انواع و اقسام فرآيندهاي امنيتي را انجام دهد، از جمله پروتکل‌هاي مورد استفاده در IPsec مي‌توان به Authentication Header يا AH براي مقابله با حملات Replay، پروتکل Encapsulating Security Payload يا ESP براي دادن قابليت محرمانگي به داده‌ها و در نهايت Security Associations يا SA براي ايجاد داده‌هاي مورد استفاده در AH و ESP اشاره کرد.

IPSec AH protocol

پروتکل Authentication Header (AH) در اوایل دهه ۱۹۹۰ در آزمایشگاه تحقیقات نیروی دریایی ایالات متحده ایجاد شد. این پروتوکل با احراز هویت بسته های IP، امنیت منبع داده را تضمین می‌کند. در این الگوریتم با استفاده از روش sliding window و حذف بسته های قدیمی و اختصاص دادن یک شماره توالی از محتوای بسته IPsec در برابر حملات مانند replay attacks محافظت می‌کند. در واقع با این تکنیک تنها می‌توان مطمئن بود بسته های داده از یک منبع معتبر ارسال شده و دستکاری نشده اند.

در این حالت هم پیلود و هم هدر رمزنگاری می شود . به جای AH از اصطلاح Tunnel هم استفاده می شود . حفاظت تمام داده ها توسط HMAC انجام می شود. و فقط نقاط نظیر به نظیر از کلید سری که توسط HMAC ساخته شده خبر دارند و می توانند رمزگشایی کنند . و همان طور که گفته شد چون هدرها هم رمزنگاری می شوند و قابل تغییر نیست در شبکه هایی که NAT انجام می شود نمی توان از سرویس VPN استفاده کرد .

IP Encapsulating Security Payload (ESP)

پروتکل IP Encapsulating Security Payload (ESP) در آزمایشگاه تحقیقات نیروی دریایی از سال ۱۹۹۲ به عنوان بخشی از یک پروژه تحقیقاتی تحت حمایت DARPA ایجاد شد. کار این پروتکول ضمانت اصالت داده ها را از طریق الگوریتم تصدیق منبع ، یکپارچگی داده ها را از طریق تابع هش (Hash function) و محرمانه بودن را با رمزگذاری بسته های IP فراهم می کند. ESP در تنظیمات و پیکربندی‌های که یا فقط از رمزگذاری و یا فقط از احراز هویت پشتیبانی می کنند، به کار می‌رود. این یک نوع ضعف محسوب می‌شود زیرا که استفاده از رمزگذاری بدون احراز هویت ناامن است.

در این حالت فقط پیلود رمزنگاری می شود و هدرها بدون تغییری به همان صورت باقی می مانند . به جای ESP از اصطلاح Transport هم استفاده می شود . در این روش هر دو طرف باید عملیات اهراز هویت انجام دهند و همچنین داده ها به صورت رمزنگاری شده ارسال می شود.

در واقع برخلاف پروتکل AH پروتکل ESP در حالت Transport یکپارچگی و احراز هویت را برای کل بسته IP فراهم نمی کند. در حالت Tunnel، جایی که کل بسته اصلی IP با یک هدر بسته جدید قرار دارد ، ESP از کل بسته IP داخلی (از جمله هدر داخلی) محافظت می‌کند در حالی که هدر خارجی (شامل گزینه های IPv4 خارجی یا پسوند IPv6) محافظت نشده باقی می‌مانند.

Security association

پروتکل های IPsec از یک انجمن امنیتی Security association استفاده کنند تا دو طرفی که باهم در ارتباط هستند ویژگیهای امنیتی مشترکی مانند الگوریتم ها و کلیدها را ایجاد کنند. در واقع هنگامی که مشخص شود پروتکل AH یا ESP استفاده می شود ،Security association طیف وسیعی از گزینه ها را فراهم می کند. قبل از تبادل داده، دو میزبان توافق می کنند که از کدام الگوریتم برای رمزگذاری بسته IP استفاده شود تابع هش برای اطمینان از یکپارچگی داده ها استفاده می شود. این پارامترها در هر جلسه که عمر (زمان) مشخصی دارد توافق می شوند و هم‌چنین برای هر جلسه باید یک کلید اختصاصی نیز تایین شود.

ارسال یک پاسخ

آدرس ایمیل شما منتشر نخواهد شد.

2 × 1 =