مجازی سازی

IP مخفف Internet Protocol است که اصلی ترین پروتکل مسیریابی است که در بستر اینترنت مورد استفاده قرار می گیرد. این پروتکل مشخص می کند که داده ها، چه مسیری را باید طی کنند و به کدام مقصد برسند. اما پروتکل IPSec، رمزگذاری و احراز هویت را نیز به این فرایند اضافه میکند.

رمزنگاری داده چیست
رمزگذاری فرآیند پنهان کردن اطلاعات است که در آن داده ها را با استفاده از فرمول‌های ریاضی دستکاری کرده تا به صورت تصادفی ظاهر شوند . به عبارت ساده تر، رمزگذاری استفاده از کدی مخفی است که فقط اشخاص مجاز می توانند آن را بفهمند و تفسیر کنند.

IpSec ساخت کیست؟

این پروتکل محصول مشترک مایکروسافت و سیسکو | Cisco سیستمز است که به وسیلهٔ احراز هویت و رمزگذاری در هر بسته دیتا (packet) در یک سیر داده کار میکند.

عناصر تشکیل دهنده IPSec

IPDec Driver: نرم افزاریست که مراحل عملکردی پروتکل را که شامل رمزکردن، رمزگشایی، احراز هویت و تشخصی بسته است را انجام میدهد.

Internet Key Exchange (IKE): IKE یک پروتکل IPSec است که کلیدهای امنیتی را برای IPSec و دیگر پروتکل ها ایجاد میکند.

(Internet Security Association Key Management Protocol (ISAKMP: یک پروتکل IPSec است که به دو کامپیوتر این اجازه را میدهد تا با اطلاعات رمز شده بهمراه تنظیمات معمول آن با هم ارتباط برقرار کنند. علاوه بر این، ISAKMP تبادل کلیدها را نیز امن میکند.

Oakley: پروتکلی است که از الگوریتم Diffie-Hellman برای ایجاد یک کلید اصلی و همچنین کلیدی که خاص هر session است استفاده میکند.

IPSec Policy Agent: سری مجموعه هایی از ویندوز سرور 2000 است که تنظیمات پالیسی IPSec را از اکتیو دایرکتوری جمع اوری کرده و در تنظیمات ساختاری هنگام استارت آپ آن را اعمال میکند.

IPsec از چه پورت ای استفاده می کند؟

پورت نرم افزاری یا پورت پچ کورد شبکه جایی است که اطلاعات ارسال می‌شود. به عبارت دیگر پورت مکانی است که داده ها از طریق آن به کامپیوتر یا سرور وارد و یا از آن خارج می شوند و به هر یک از این درگاه ها یک عدد نسبت داده می شود که این اعداد بین 0 تا 65535 می باشند. IPsec هم برای انجام الگوریتم ها ی رمزگذاری و رمزگزگشایی معمولاً از پورت 500 استفاده می کند.

IPsec چگونه MSS و MTU را تحت تأثیر قرار می دهد؟

دو واحد اندازه گیری از اندازه بسته ها هستند. MSS یا (Maximum Segment Size) اندازه دیتای هر بسته را اندازه گیری می کند. در حالی که MTU (Maximum Transmission Unit) کل بسته از جمله هدر ها را اندازه گیری می کند. بسته هایی که از MTU شبکه بیشتر است ، تکه تکه fragmented می شوند ، به این معنی که در بسته های کوچکتر تقسیم می شوند. بسته هایی که از MSS بیشتر باشند به راحتی حذف می شوند.

پروتکل IPsec چند هدر و تریلر را به بسته ها اضافه می کنند ، که همه آنها چندین بایت را می گیرند. برای شبکه هایی که از IPsec استفاده می کنند باید MSS و MTU را مطابق با آن تنظیم کرد یا بسته ها تکه تکه شوند و کمی تأخیر اضافه کنند. معمولاً MTU برای یک شبکه ۱۵۰۰ بایت است. یک هدر IP معمولی ۲۰ بایت طول دارد و یک هدر TCP نیز ۲۰ بایت طول دارد ، بدین معنی که هر بسته می تواند حاوی ۱۴۶۰ بایت بار باشد. با این حال ، IPsec یک هدر تأیید اعتبار ، یک هدر ESP و تریلرهای مرتبط با آن اضافه می کند. اینها ۵۰-۶۰ بایت را به یک بسته اضافه می کنند.

نحوه تفسیر داده ها در پروتکل IPSec

داده هایی که در تمام شبکه ها تبادل می‌شوند به دسته بندی های کوچکتر به نام بسته ها تقسیم می شوند. بسته ها حاوی مقدار بار (payload) یا داده های اصلی ارسال شده ، و هدر header که اطلاعاتی در مورد آن داده ها هستند می‌باشد. این نوع تقسیم بندی به سیستم هایی که بسته ها را دریافت می کنند کمک می‌کند تا بدانند که با آنها چه کاری انجام دهند. در هر بارگزاری، IPsec چندین هدر به بسته های داده اضافه می‌کند که شامل اطلاعاتی از قبیل احراز و رمزگذاری است.

انواع پروتکل امنیتی آی پی سک IPSec
IPsec یک استاندارد منبع باز و بخشی از مجموعه IPv4 است. IPsec هم می‌تواند در دو حالت transport mode و هم در حالت tunnel mode ارتباط طرفین را برقرار کند. IPsec یک استاندارد جهانی است و می‌تواند با استفاد از مجموعه‌ای از پروتکل‌هایی که استفاده می‌کند انواع و اقسام فرآیندهای امنیتی را انجام دهد، از جمله پروتکل‌های مورد استفاده در IPsec می‌توان به Authentication Header یا AH برای مقابله با حملات Replay، پروتکل Encapsulating Security Payload یا ESP برای دادن قابلیت محرمانگی به داده‌ها و در نهایت Security Associations یا SA برای ایجاد داده‌های مورد استفاده در AH و ESP اشاره کرد.

IPSec AH protocol

پروتکل Authentication Header (AH) در اوایل دهه 1990 در آزمایشگاه تحقیقات نیروی دریایی ایالات متحده ایجاد شد. این پروتوکل با احراز هویت بسته های IP، امنیت منبع داده را تضمین می‌کند. در این الگوریتم با استفاده از روش sliding window و حذف بسته های قدیمی و اختصاص دادن یک شماره توالی از محتوای بسته IPsec در برابر حملات مانند replay attacks محافظت می‌کند. در واقع با این تکنیک تنها می‌توان مطمئن بود بسته های داده از یک منبع معتبر ارسال شده و دستکاری نشده اند.

در این حالت هم پیلود و هم هدر رمزنگاری می شود . به جای AH از اصطلاح Tunnel هم استفاده می شود . حفاظت تمام داده ها توسط HMAC انجام می شود. و فقط نقاط نظیر به نظیر از کلید سری که توسط HMAC ساخته شده خبر دارند و می توانند رمزگشایی کنند . و همان طور که گفته شد چون هدرها هم رمزنگاری می شوند و قابل تغییر نیست در شبکه هایی که NAT انجام می شود نمی توان از سرویس این نام مجاز نمی باشد استفاده کرد .

IP Encapsulating Security Payload (ESP)

پروتکل IP Encapsulating Security Payload (ESP) در آزمایشگاه تحقیقات نیروی دریایی از سال 1992 به عنوان بخشی از یک پروژه تحقیقاتی تحت حمایت DARPA ایجاد شد. کار این پروتکول ضمانت اصالت داده ها را از طریق الگوریتم تصدیق منبع ، یکپارچگی داده ها را از طریق تابع هش (Hash function) و محرمانه بودن را با رمزگذاری بسته های IP فراهم می کند. ESP در تنظیمات و پیکربندی‌های که یا فقط از رمزگذاری و یا فقط از احراز هویت پشتیبانی می کنند، به کار می‌رود. این یک نوع ضعف محسوب می‌شود زیرا که استفاده از رمزگذاری بدون احراز هویت ناامن است.

در این حالت فقط پیلود رمزنگاری می شود و هدرها بدون تغییری به همان صورت باقی می مانند . به جای ESP از اصطلاح Transport هم استفاده می شود . در این روش هر دو طرف باید عملیات اهراز هویت انجام دهند و همچنین داده ها به صورت رمزنگاری شده ارسال می شود.

در واقع برخلاف پروتکل AH پروتکل ESP در حالت Transport یکپارچگی و احراز هویت را برای کل بسته IP فراهم نمی کند. در حالت Tunnel، جایی که کل بسته اصلی IP با یک هدر بسته جدید قرار دارد ، ESP از کل بسته IP داخلی (از جمله هدر داخلی) محافظت می‌کند در حالی که هدر خارجی (شامل گزینه های IPv4 خارجی یا پسوند IPv6) محافظت نشده باقی می‌مانند.

Security association

پروتکل های IPsec از یک انجمن امنیتی Security association استفاده کنند تا دو طرفی که باهم در ارتباط هستند ویژگیهای امنیتی مشترکی مانند الگوریتم ها و کلیدها را ایجاد کنند. در واقع هنگامی که مشخص شود پروتکل AH یا ESP استفاده می شود ،Security association طیف وسیعی از گزینه ها را فراهم می کند. قبل از تبادل داده، دو میزبان توافق می کنند که از کدام الگوریتم برای رمزگذاری بسته IP استفاده شود تابع هش برای اطمینان از یکپارچگی داده ها استفاده می شود. این پارامترها در هر جلسه که عمر (زمان) مشخصی دارد توافق می شوند و هم‌چنین برای هر جلسه باید یک کلید اختصاصی نیز تایین شود.

پچ کورد شبکه