IPSec Framework چیست ؟ post thumbnail image

IPSec Framework چیست ؟

IPSec مخفف عبارت IPSecurity است. IPSec Framework مجموعه‌ای از پروتکل‌هاست یک ارتباط امن در یک محیط مانند اینترنت را فراهم می‌نماید. IPSec Framework محرمانگی (Confidentiality)، احراز هویت (Authentication)، یکپارچگی (Integrity) و تضمین عدم تکرار (Anti-Replay) را در ارتباطات تضمین می‌نماید.

۷ فروردین ۱۳۹۹

IPSecProtocol

IPSec با استفاده از یکی از پروتکل‌های AH ، EPS و یا ترکیبی از این دو پروتکل، بسته دریافتی را رمز نگاری می‌نماید.

  • AH یا Autehntication Header: این پروتکل دیتا را به هیچ عنوان رمزنگاری نمی‌نماید در واقع رمزنگاری را بدون دستکاری در Payload، در Header انجام می‌دهد. نام دیگر این پروتکل Transport است. این پروتکل در زمینه احراز هویت (Autehtication) و یکپارچگی (Integrity) سرویس ارائه می‌نماید. AH برای حفظ جامعیت بسته ارسال شده از یک HashProtocol یعنی MD5 یا SHA، هم در Payload و هم در Header بهره می‌برد که این امر موجب می‌شود در هنگام NAT کردن، زمانی که در هدر تغییراتی ایجاد می‌شود، مقدار Hash ثابت بماند و در واقع مقصد هنگام مقایسه بسته دریافتی با مقدار Hash تولید شده بسته را مرجوع می‌کند. عملا AH از NAT پشتیبانی نمی‌کند. مزیت AH نسبت به ESP سرعت بالاتر آن در رمزنگاری است.
  • ESP یا Encapsulation Security Protocol: این پروتکل بسته را هم در Payload و هم در Header رمزنگاری می‌نماید. نام دیگر این پروتکل Tunnle است. این پروتکل سرویس‌های Confidentiality ،Autehtication و Integrity را فراهم می‌نماید. در ESP برای حفظ جامعیت بسته‌ها از HashProtocol یعنی MD5 یا SHA استفاده می‌شود. در این پروتکل تنها Payload هش می‌شود و این امر موجب می‌شود که ESP از NAT پشتیبانی نماید. ESP در مقایسه با AH امنیت بالاتری را فراهم می‌نماید.
IPSec Framework

Confidentiality 

همان طور که در بحث IPSecProtocol بیان شد، محرمانگی در AH تامین نمی‌شود ولی در ESP با استفاده از الگوریتم رمز نگاری DES ،  3DES و AES این سرویس ارائه می‌گردد. پروتکل 3DES و AES طول رشته بیشتری نسبت به DES دارند لذا از نظر امنیت الگوریتم بهتری هستند. الگوریتم SEAL هم مخصوص Device‌های سیسکو است. در جدول زیر طول رشته الگوریتم‌های مختلف رمزنگاری مشاهده می‌گردد.

الگوریتم رمز نگاری طول رشته
DES(Data Encryption Standard) 56 بیت
3DES(Triple Data Encryption Standard) 168 بیت
AES(Advanced Encryption Standard) 128 ، 192 و یا 256 بیت
SEAL (تنها در Device های Cisco پشتیبانی می شود.) متغیر

Integrity

حفظ جامعیت دیتاهای ارسالی در IPSec با استفاده از هش MD5 و یا انواع SHA تامین می‌گردد. الگوریتم MD5 نسبت به انواع SHA  امنیت بسیار کمتری دارد. الگوریتم MD5 رشته دریافتی را به قطعات 512  بایتی تقسیم می‌کند (به جز قطعه آخر که 448 بایت است که با اضافه شدن 64 بایت به آخر آن تمام قطعات 512 بایتی می‌شود.) هر قطعه در یک آرایه ذخیره شده و درهم سازی می‌شوند و پس از جمع شدن شیفت داده می‌شوند و در نهایت طول چکیده رشته 16 بایت می‌گردد. این الگوریتم به راحتی توسط دیتابیس‌های بزرگی که از Hash در اینترنت وجود دارد کارآمدی خود را از دست داده است. با به وجود آمدن انواع SHA که از از الگوریتم‌های پیچیده‌تری نسب به MD5 برای درهم سازی استفاده می‌نمایند و همچنین تعداد دفعات شیفت در آن‌ها بیشتر است، غالب کاربران به استفاده از انواع SHA روی آورده‌اند. طول رشته چکیده در انواع مختلف SHA در جدول زیر مشاهده می‌شود.

SHA-512 512bit
SHA-384 384bit
SHA-224 224bit
SHA-256 256bit

Autehtication

برای احراز هویت فرستنده Packet از دو روش PSK(Pre-shared key) و RSA Digital Signature استفاده می‌گردد. در روش PSK یک رشته متنی محرمانه در دو طرف ارتباط موجود است که این رشته کاملا یکسان است و جهت احراز هویت طرف مقابل مورد استفاده قرار می‌گیرد. این رشته پس از هش شدن به عنوان یک Digital Sigature در نظر گرفته می‌شود. اما در روش RSA Digital Signature از یک CA جهت تولید Digital Signature استفاده می‌شود.

الگوریتم تبادل کلید (Diffi Hellman) دیفی هلمن الگوریتمی است که با انجام یکسری محاسبات ریاضی فرآیند تولید و تبادل کلید را بین فرستنده و گیرنده انجام می‌دهد. دیفی هلمن از نوع الگوریتم‌های Aymmetric است. رمزنگاری در دیفی هلمن با استفاده از یک کلید مشترک بین فرستنده انجام می‌شود. نحوه تولید این کلید با یک مثال توضیح داده می‌شود:

  1. a و b بر روی 2 عدد اول g و p توافق می‌کنند.
  2. کاربرهای a و b دو عدد اول Xa و Xb را که از حتما از p کوچکتر هستند را بطور تصادفی انتخاب می‌کنند و به عنوان کلید خصوصی برای خود محفوظ نگه می‌دارند.
  3. کاربر a کلیدی با استفاده از فرمول Ya=(g^Xa) mod p تولید و به کاربر b ارسال می‌نماید.
  4. کاربر b کلیدی با استفاده از فرمول Yb=(g^Xb) mod p تولید و به کاربر a ارسال می‌نماید.
  5. کاربر a پس از دریافت Yb با استفاده از فرمول Za=(Yb^Xa) mod p و کاربر b پس از دریافت Ya با استفاده از فرمول Zb=(Ya^Xb) mod p کلید اصلی که جهت رمز نگاری متقارن استفاده می‌شود را تولید می‌کنند. (Za=Zb)
    کلیدهای تولید شده در IPsec توسط Diffi Hellman در یکی از گروه‌های DH1 ،DH2 و DH5 قرار می‌گیرد. طول کلید در گروه‌های مختلف Diffi Hellman در جدول زیر مشاهده می‌شود.
Diffi Hellma Group Size of Key
DH1 768Bit
DH2 1024Bit
DH5 2048Bit

بیشتر بخوانید:

خدمات پسیو شبکه

ما تمام زیرساخت‌‌های لازم برای ایجاد یک شبکه کامپیوتری استاندارد را برای شما ایجاد می‌کنیم. طراحی زیرساخت شبکه، کابل کشی، نصب داکت، آرایش رک، نصب دوربین و ...

خدمات اکتیو شبکه

نصب و راه‌اندازی تمام سرویس‌های لازم برای استفاده از یک شبکه کامپیوتری استاندارد را به بهترین شکل انجام می‌دهیم. راه‌اندازی سرور، مجازی‌سازی، بک آپ اتوماتیک و ...

خدمات پشتیبانی شبکه

پشتیبانی تمام نیازهای IT شما در یک بسته جامع و مقرون به صرفه آخرین چیزی است که به آن نیاز خواهید داشت. بازدیدهای حضوری دوره‌ای، ریموت، پشتیبانی در مواقع اضطرار و...

پست‌های مرتبط
اجرای یک نرم افزار بدون نیاز به Authentication
اجرای یک نرم افزار بدون نیاز به Authentication
در محیط شبکه‌های Domain اگر Standard User به دلیل شرایط خاص بخواهد به برخی از نرم افزارهایی که نیاز به Authentication دارند، دسترسی داشته باشد در ابتدا باید