بخش های سایت
انتخاب سردبیر:
- تنظیم مجدد کارخانه سامسونگ گلکسی A3
- بایوس: از دیسک بوت شود
- نحوه بوت کردن از دی وی دی یا درایو فلش "نصب" - راه اندازی بایوس در تصاویر
- چگونه زمان بندی رم را به درستی تنظیم کنیم؟
- نصب Navitel بر روی ناوبر و کامپیوتر
- رمز عبور سرور Minecraft را از طریق حساب شخصی خود و در مشتری تغییر دهید
- کابل اسپیکر چیست
- استفاده از رایانه به عنوان تلفن
- نحوه استفاده از گوشی هوشمند به عنوان مودم برای لپ تاپ
- نحوه اتصال تلویزیون دوم به گیرنده یا ستاپ باکس تلویزیون دیجیتال
تبلیغات
IPsec VPN. مبانی |
شبکه، یک تونل امن (شکل 5.9)، که از طریق آن داده های محرمانه یا حساس منتقل می شود. چنین تونلی با استفاده از روش های رمزنگاری برای محافظت از اطلاعات ایجاد می شود. پروتکل در لایه شبکه مدل OSI عمل می کند و بر این اساس، برای برنامه ها "شفاف" است. به عبارت دیگر، برای برنامه های کاربردی (مانند وب سرور، مرورگر، DBMS، و غیره) تأثیری بر اینکه داده های ارسال شده با استفاده از IPSec محافظت می شود یا خیر، تأثیری ندارد. سیستم عامل خانواده ویندوز 2000 و بالاتر دارای پشتیبانی داخلی از پروتکل IPSec هستند. از دیدگاه مدل امنیتی چند لایه، این پروتکل یک ابزار امنیتی در سطح شبکه است.
معماری IPSec باز است، که به ویژه امکان استفاده از الگوریتمها و پروتکلهای رمزنگاری جدید را فراهم میکند، به عنوان مثال، آنهایی که استانداردهای ملی را برآورده میکنند تا از دادههای ارسالی محافظت کنند. برای انجام این کار، لازم است که طرفین تعامل از این الگوریتمها حمایت کنند و چنین خواهند بود به صورت استاندارددر توضیحات پارامترهای اتصال ثبت شده است. فرآیند انتقال امن داده ها توسط قوانین امنیتی اتخاذ شده در سیستم کنترل می شود. پارامترهای تونل ایجاد شده توسط یک ساختار اطلاعاتی به نام زمینه امنیتی یا انجمن امنیتی (از انجمن امنیت انگلیسی، خلاصه SA) توصیف می شود. همانطور که در بالا ذکر شد، IPSec مجموعه ای از پروتکل ها است و ترکیب SA ممکن است بسته به پروتکل خاص متفاوت باشد. SA شامل:
به طور معمول، زمینه امنیتی یک جهته است و از دو SA برای انتقال داده ها از طریق تونل در هر دو جهت استفاده می شود. هر میزبان پایگاه داده SA مخصوص به خود را دارد که عنصر مورد نیاز بر اساس SPI یا آدرس IP گیرنده انتخاب می شود. دو پروتکل موجود در IPSec عبارتند از:
هر دوی این پروتکل ها دو حالت عملیاتی دارند - حمل و نقل و تونل، دومی به عنوان اصلی تعریف شده است. حالت تونلاگر حداقل یکی از گره های اتصال یک دروازه امنیتی باشد استفاده می شود. در این حالت یک هدر IP جدید ایجاد می شود و بسته IP اصلی به طور کامل در بسته جدید کپسوله می شود. حالت حمل و نقلبر اتصال میزبان به میزبان متمرکز شده است. هنگام استفاده از ESP در حالت انتقال، فقط داده های بسته IP محافظت می شود، هدر تحت تأثیر قرار نمی گیرد. هنگام استفاده از AH، حفاظت به داده ها و بخشی از فیلدهای هدر گسترش می یابد. حالت های عملیاتی با جزئیات بیشتر در زیر توضیح داده شده است. پروتکل AHدر IP ver.4، هدر احراز هویت بعد از هدر IP قرار می گیرد. بیایید بسته IP اصلی را به عنوان ترکیبی از یک هدر IP، یک هدر پروتکل سطح بعدی (معمولاً TCP یا UDP، در شکل 5.10 ULP - از پروتکل سطح بالا) و داده تصور کنیم. برنج. 5.10. فرمت هدر ESP را در نظر بگیرید (شکل 5.13). با دو مقدار 32 بیتی شروع می شود - SPIو SN. نقش آنها مانند پروتکل AH است - SPI SA مورد استفاده برای ایجاد این تونل را شناسایی می کند. SN- به شما امکان می دهد در برابر پخش مجدد بسته ها محافظت کنید. SNو SPIرمزگذاری نشده اند فیلد بعدی قسمتی است که حاوی داده های رمزگذاری شده است. بعد از آنها یک قسمت نگهدارنده قرار دارد که برای تراز کردن طول فیلدهای رمزگذاری شده با مقداری که مضربی از اندازه بلوک الگوریتم رمزگذاری است مورد نیاز است. برنج. 5.12. برنج. 5.13. بعد از مکان نگهدار، فیلدهایی وجود دارد که شامل طول مکان نگهدار و نشانی از پروتکل سطح بالاتر است. چهار فیلد فهرست شده (داده، مکان نگهدار، طول، پروتکل بعدی) با رمزگذاری محافظت می شوند. اگر از ESP برای احراز هویت داده ها نیز استفاده شود، بسته با یک فیلد با طول متغیر حاوی ICV به پایان می رسد. برخلاف AH، در ESP، هنگام محاسبه مقدار imitovsert، فیلدهای هدر IP (جدید - برای حالت تونل، اصلاح شده قدیمی - برای حمل و نقل) در نظر گرفته نمی شود. در اشتراک گذاریپروتکل های AH و ESP، بعد از هدر IP می آید AH، پس از آن - ESP. در این مورد، ESP مشکلات اطمینان از محرمانه بودن، AH - اطمینان از یکپارچگی و احراز هویت منبع اتصال را حل می کند. بیایید تعدادی از مسائل اضافی مربوط به استفاده از IPSec را در نظر بگیریم. بیایید با جایی شروع کنیم که اطلاعات مربوط به پارامترهای اتصال - SA - از کجا آمده است. ایجاد یک پایگاه SA می تواند به روش های مختلفی انجام شود. به طور خاص، می توان آن را ایجاد کرد مدیر امنیتیبه صورت دستی یا تولید شده با استفاده از پروتکل های خاص - SKIP، ISAKMP ( امنیت اینترنتپروتکل انجمن و مدیریت کلید) و IKE (مبادله کلید اینترنت). IPSec و NATهنگام اتصال شبکه های سازمانی به اینترنت، اغلب از مکانیزم ترجمه آدرس شبکه استفاده می شود - NAT (ترجمه آدرس شبکه). این به شما این امکان را می دهد که تعداد آدرس های IP ثبت شده مورد استفاده در یک شبکه معین را کاهش دهید. آدرسهای ثبت نشده در شبکه استفاده میشوند (معمولاً از محدودههایی که به این منظور اختصاص داده میشوند، به عنوان مثال، آدرسهایی مانند 192.168.x.x برای شبکههای کلاس C). اگر بسته ای از چنین شبکه ای به اینترنت منتقل شود، آنگاه روتری که رابط خارجی آن حداقل یک آدرس IP ثبت شده به آن اختصاص داده شده است، هدر IP را تغییر می دهد. بسته های شبکه، آدرس ثبت شده را جایگزین آدرس های خصوصی کنید. نحوه انجام تعویض در جدول مخصوص ثبت می شود. هنگامی که پاسخ دریافت می شود، جایگزینی معکوس مطابق با جدول انجام می شود و بسته به شبکه داخلی ارسال می شود. بیایید به مثالی از استفاده از NAT در شکل نگاه کنیم. 5.14. در این مورد، آدرس های خصوصی 192.168.0.x در شبکه داخلی استفاده می شود. از رایانه ای با آدرس 192.168.0.2 تماس شبکه خارجیبه رایانه ای با آدرس 195.242.2.2. اجازه دهید این یک اتصال به یک وب سرور باشد (پروتکل HTTP که از پورت TCP 80 استفاده می کند). هنگامی که بسته ای از مسیریاب عبور می کند که ترجمه آدرس را انجام می دهد، آدرس IP فرستنده (192.168.0.2) با آدرس جایگزین می شود. رابط خارجیروتر (195.201.82.146)، و ورودی مشابه آنچه در نشان داده شده است پیشینه تاریخی مختصری از ظهور پروتکل در سال 1994، هیئت معماری اینترنت (IAB) گزارش "امنیت معماری اینترنت" را منتشر کرد. این سند زمینه های اصلی استفاده از ابزارهای امنیتی اضافی در اینترنت، یعنی محافظت در برابر نظارت غیرمجاز، جعل بسته ها، و کنترل جریان داده را شرح می دهد. از جمله اولین و مهمترین اقدامات حفاظتی، نیاز به توسعه یک مفهوم و مکانیسم های اساسی برای اطمینان از یکپارچگی و محرمانه بودن جریان داده ها بود. از زمان تغییر پروتکل های اساسیخانواده TCP/IP باعث بازسازی کامل اینترنت می شد؛ وظیفه تضمین امنیت تبادل اطلاعات در شبکه های مخابراتی باز بر اساس پروتکل های موجود تعیین شد. بنابراین، مشخصات IP امن، تکمیل کننده پروتکل های IPv4 و IPv6 شروع به ایجاد کرد. معماری IPSec عکس. 1. معماری IPSec شکل 2. مدل OSI/ISO هدرهای AH و ESP هدر احراز هویت AH شکل 3. فرمت هدر AH کپسوله سازی داده های ESP رمزگذاری شده شکل 4. فرمت هدر ESP انجمن های امنیتی خط مشی امنیتی پروتکل ISAKMP/Oakley پروتکل IKE iPad = بایت 0x36، تکرار B بار. برای محاسبه HMAC از داده های "متن"، باید عملیات زیر را انجام دهید: H(K XOR opad، H(K XOR iPad، متن)) از توضیحات بر می آید که IKE از مقادیر HASH برای احراز هویت احزاب استفاده می کند. توجه داشته باشید که HASH در این مورد صرفاً به نام Payload در ISAKMP اشاره دارد و این نام هیچ ارتباطی با محتوای آن ندارد. حملات به AH، ESP و IKE همانطور که می دانید این حمله ای است که هیچ دفاع کاملی از آن وجود ندارد. با این حال، رد سریع بسته های بد و عدم واکنش خارجی به آنها (طبق RFC) امکان مقابله کم و بیش با این حمله را به خوبی فراهم می کند. در اصل، اکثر (اگر نه همه) حملات شبکه شناخته شده (خریدن، جعل، ربودن، و غیره) با موفقیت توسط AH و ESP زمانی که به درستی استفاده شوند، مقاومت می کنند. با IKE کمی پیچیده تر است. پروتکل بسیار پیچیده است و تجزیه و تحلیل آن دشوار است. علاوه بر این، به دلیل اشتباهات املایی (در فرمول محاسبه HASH_R) هنگام نوشتن آن و راه حل های نه کاملاً موفق (همان HASH_R و HASH_I)، حاوی چندین "حفره" بالقوه است (به ویژه، در مرحله اول، نه همه Payloads در پیام ها تأیید می شوند)، با این حال، آنها خیلی جدی نیستند و حداکثر منجر به امتناع از برقراری ارتباط می شوند. IKE کم و بیش با موفقیت از خود در برابر حملاتی مانند پخش مجدد، جعل، استشمام کردن، ربودن محافظت می کند. با رمزنگاری تا حدودی پیچیده تر است - مانند AH و ESP به طور جداگانه انجام نمی شود، اما در خود پروتکل پیاده سازی می شود. با این حال، اگر از الگوریتمهای پایدار و الگوریتمهای اولیه (PRF) استفاده میکنید، هیچ مشکلی وجود ندارد. تا حدودی می توان به عنوان ضعف IPsec در نظر گرفت که DES به عنوان تنها الگوریتم رمزنگاری اجباری در مشخصات فعلی نشان داده شده است (این برای ESP و IKE صادق است) که 56 بیت از کلید آن دیگر کافی در نظر گرفته نمی شود. . با این حال، این یک ضعف کاملاً رسمی است - مشخصات خود مستقل از الگوریتم هستند و تقریباً همه فروشندگان معروف مدتهاست که 3DES را پیادهسازی کردهاند (و برخی قبلاً AES را پیادهسازی کردهاند). بنابراین، اگر به درستی اجرا شود، "خطرناکترین" حمله باقی میماند. خود داری از خدمات . ارزیابی پروتکل IPSec (The Internet Key Exchange (IKE)) - تبادل کلید. معماری IPsecپروتکل های IPsec، بر خلاف سایر پروتکل های معروف SSL و TLS، در لایه شبکه (لایه 3 مدل OSI) عمل می کنند. این باعث می شود IPsec انعطاف پذیرتر شود به طوری که می توان از آن برای محافظت از پروتکل های مبتنی بر TCP و UDP استفاده کرد. IPsec می تواند برای تامین امنیت بین دو میزبان IP، بین دو دروازه امنیتی یا بین یک میزبان IP و یک دروازه امنیتی استفاده شود. پروتکل یک "روبنا" در بالای پروتکل IP است و بسته های IP تولید شده را به روشی که در زیر توضیح داده شده پردازش می کند. IPsec می تواند یکپارچگی و/یا محرمانه بودن داده های منتقل شده از طریق شبکه را تضمین کند. IPsec از پروتکل های زیر برای انجام عملکردهای مختلف استفاده می کند:
انجمن امنیتمفهوم "اتصال مجازی امن" (SA، "Security Association") برای معماری IPsec اساسی است. SA یک اتصال سیمپلکس است که برای حمل ترافیک مناسب روی آن شکل می گیرد. هنگام اجرای سرویس های امنیتی، یک SA بر اساس استفاده از پروتکل های AH یا ESP (یا هر دو به طور همزمان) تشکیل می شود. SA مطابق با مفهوم اتصال بین ترمینال (نقطه به نقطه) تعریف شده است و می تواند در دو حالت کار کند: حالت حمل و نقل (RTR) و حالت تونل زنی (RTU). حالت انتقال با SA بین دو گره IP پیاده سازی می شود. در حالت تونل سازی، SA یک تونل IP را تشکیل می دهد. همه SA ها در SADB (پایگاه داده های انجمن های امنیتی) ماژول IPsec ذخیره می شوند. هر SA دارای یک نشانه منحصر به فرد است که از سه عنصر تشکیل شده است:
ماژول IPsec با داشتن این سه پارامتر، می تواند یک ورودی در SADB برای یک SA خاص پیدا کند. لیست اجزای SA شامل: شماره سریالمقدار 32 بیتی که برای تشکیل فیلد استفاده می شود شماره ترتیبدر هدرهای AH و ESP. سرریز شمارنده شماره دنبالهپرچمی که نشان می دهد شمارنده شماره دنباله سرریز شده است. پنجره ای برای سرکوب حملات تکراریبرای تعیین ارسال مجدد بسته استفاده می شود. اگر مقدار در فیلد شماره ترتیبدر محدوده مشخص شده قرار نمی گیرد، بسته از بین می رود. اطلاعات قالگوریتم احراز هویت مورد استفاده، کلیدهای مورد نیاز، طول عمر کلید و سایر پارامترها. اطلاعات ESPالگوریتم های رمزگذاری و احراز هویت، کلیدهای مورد نیاز، پارامترهای اولیه (به عنوان مثال، IV)، طول عمر کلید و سایر پارامترها حالت عملیات IPsecتونل یا حمل و نقل MTUحداکثر اندازه بسته ای که می تواند از طریق یک کانال مجازی بدون تکه تکه شدن منتقل شود.از آنجایی که اتصالات مجازی امن (SA) ساده هستند، حداقل دو SA برای سازماندهی یک کانال دوبلکس مورد نیاز است. علاوه بر این، هر پروتکل (ESP/AH) باید SA مخصوص به خود را برای هر جهت داشته باشد، یعنی ترکیب AH+ESP به چهار SA نیاز دارد. همه این داده ها در SADB قرار دارند.
علاوه بر پایگاه داده SADB، پیاده سازی های IPsec از پایگاه داده SPD (Security Policy Database) پشتیبانی می کنند. یک ورودی SPD شامل مجموعه ای از مقادیر فیلد هدر IP و فیلدهای هدر پروتکل لایه بالایی است. این فیلدها انتخابگر نامیده می شوند. انتخابگرها برای فیلتر کردن بسته های خروجی به منظور تطبیق هر بسته با یک SA خاص استفاده می شوند. هنگامی که یک بسته تولید می شود، مقادیر فیلدهای مربوطه در بسته (فیلدهای انتخابگر) با موارد موجود در SPD مقایسه می شود. SAهای مربوطه یافت می شوند. SA (در صورت وجود) برای بسته و شاخص پارامتر امنیتی مرتبط با آن (SPI) سپس تعیین می شود. پس از آن عملیات IPsec (عملیات پروتکل AH یا ESP) انجام می شود. نمونه هایی از انتخابگرها که در SPD موجود است:
سربرگ احراز هویت
از پروتکل AH برای احراز هویت استفاده میشود، یعنی تأیید میکند که ما با کسی که فکر میکنیم در ارتباط هستیم و دادههایی که دریافت میکنیم در حین انتقال خراب نمیشوند. پردازش بسته های IP خروجیاگر ماژول IPsec ارسال کننده مشخص کند که بسته با یک SA مرتبط است که شامل پردازش AH است، پردازش را آغاز می کند. بسته به حالت (حالت حمل و نقل یا تونل زنی)، هدر AH را به صورت متفاوتی در بسته IP وارد می کند. در حالت انتقال، هدر AH بعد از هدر پروتکل IP و قبل از هدرهای پروتکل لایه بالایی (معمولا TCP یا UDP) قرار می گیرد. در حالت تونل، کل بسته IP اصلی ابتدا توسط هدر AH و سپس توسط هدر پروتکل IP احاطه می شود. این هدر خارجی و هدر بسته IP اصلی داخلی نامیده می شود. پس از این، ماژول IPsec ارسال کننده باید یک شماره سریال تولید کند و آن را در فیلد بنویسد شماره ترتیب. هنگامی که یک SA ایجاد می شود، شماره دنباله روی 0 تنظیم می شود و قبل از ارسال هر بسته IPsec یک عدد افزایش می یابد. علاوه بر این، بررسی می شود که آیا شمارنده وارد یک حلقه شده است یا خیر. اگر به حداکثر مقدار خود رسیده باشد، آنگاه به 0 برمی گردد. اگر از سرویس پیشگیری از پخش مجدد استفاده می شود، هنگامی که شمارنده به حداکثر مقدار خود رسید، ماژول IPsec ارسال کننده SA را بازنشانی می کند. این امر محافظت در برابر ارسال مجدد بسته را تضمین می کند - ماژول IPsec دریافت کننده فیلد را بررسی می کند شماره ترتیبو دریافت مجدد بسته ها را نادیده بگیرید. در مرحله بعد، چک جمع ICV محاسبه می شود. لازم به ذکر است که در اینجا چکسام با استفاده از یک کلید مخفی محاسبه میشود که بدون آن مهاجم میتواند هش را مجدداً محاسبه کند، اما بدون دانستن کلید، نمیتواند چکسام صحیح را ایجاد کند. الگوریتم های خاص مورد استفاده برای محاسبه ICV را می توان در RFC 4305 یافت. در حال حاضر به عنوان مثال می توان از الگوریتم های HMAC-SHA1-96 یا AES-XCBC-MAC-96 استفاده کرد. پروتکل AH یک جمع کنترل (ICV) را بر اساس فیلدهای زیر بسته IPsec محاسبه می کند:
پردازش بسته های IP ورودیپس از دریافت بسته ای حاوی پیام پروتکل AH، ماژول دریافت IPsec با استفاده از آدرس IP گیرنده، پروتکل امنیتی (SA) و شاخص SPI، SADB مربوطه (پایگاه داده های انجمن های امنیتی) را جستجو می کند. اگر SA منطبقی یافت نشد، بسته دور انداخته می شود. اتصال مجازی امن (SA) یافت شده نشان می دهد که آیا از سرویس پیشگیری از پخش مجدد بسته استفاده می شود یا خیر. در مورد نیاز به بررسی میدان شماره ترتیب. در صورت استفاده از سرویس، فیلد بررسی می شود. برای این کار از روش پنجره کشویی استفاده می شود. ماژول IPsec دریافت کننده پنجره ای با عرض W ایجاد می کند. لبه سمت چپ پنجره با حداقل تعداد دنباله مطابقت دارد ( شماره ترتیب) N بسته دریافتی صحیح. بسته با فیلد شماره ترتیبکه حاوی مقداری از N+1 تا N+W است، به درستی پذیرفته شده است. اگر بسته دریافتی در حاشیه سمت چپ پنجره باشد، از بین می رود. سپس ماژول دریافت IPsec ICV را از فیلدهای مربوطه بسته دریافتی با استفاده از الگوریتم احراز هویت که از رکورد SA یاد می گیرد محاسبه می کند و نتیجه را با مقدار ICV واقع در فیلد Integrity Check Value مقایسه می کند. اگر مقدار ICV محاسبه شده با مقدار دریافتی مطابقت داشته باشد، بسته دریافتی معتبر تلقی می شود و برای پردازش IP بیشتر پذیرفته می شود. اگر چک نتیجه منفی داد، بسته دریافت کننده از بین می رود.
پردازش بسته های خروجی IPsecاگر ماژول IPsec ارسال کننده تشخیص دهد که بسته با یک SA مرتبط است که به پردازش ESP نیاز دارد، پردازش را آغاز می کند. بسته به حالت (حالت حمل و نقل یا تونل زنی)، بسته IP اصلی متفاوت پردازش می شود. در حالت انتقال، ماژول IPsec فرستنده، پروتکل سطح بالایی (مثلاً TCP یا UDP) را با استفاده از هدر ESP و تریلر ESP بدون تأثیر بر هدر بسته IP منبع، فریم بندی (کپسوله کردن) انجام می دهد. در حالت تونل سازی، بسته IP توسط یک هدر ESP و یک تریلر ESP احاطه شده و سپس توسط یک هدر IP بیرونی احاطه شده است. در مرحله بعد، رمزگذاری انجام می شود - در حالت انتقال، فقط پیام پروتکل بالای لایه زیرین رمزگذاری می شود (یعنی همه چیزهایی که بعد از هدر IP در بسته منبع بود)، در حالت تونل، کل بسته IP منبع. ماژول IPsec ارسالی الگوریتم رمزگذاری و کلید مخفی را از رکورد SA تعیین می کند. استانداردهای IPsec امکان استفاده از الگوریتم های رمزگذاری triple-DES، AES و Blowfish را می دهد. از آنجایی که اندازه متن ساده باید مضربی از تعداد معینی از بایت ها باشد، به عنوان مثال، اندازه بلوک برای الگوریتم های بلوک، padding لازم برای پیام رمزگذاری شده نیز قبل از رمزگذاری انجام می شود. پیام رمزگذاری شده در فیلد قرار می گیرد داده های بار. در زمینه طول پدمتناسب با طول اضافه سپس مانند ق محاسبه می شود شماره ترتیب. پس از آن چک جمع (ICV) محاسبه می شود. چکسوم برخلاف پروتکل AH که برخی از فیلدهای هدر IP نیز در هنگام محاسبه آن در نظر گرفته میشود، در ESP فقط از فیلدهای بسته ESP منهای فیلد ICV محاسبه میشود. قبل از محاسبه جمع کنترلی با صفر پر می شود. الگوریتم محاسبه ICV، مانند پروتکل AH، توسط ماژول IPsec ارسال کننده از رکورد SA که بسته در حال پردازش با آن مرتبط است، آموخته می شود. پردازش بسته های IPsec ورودیپس از دریافت یک بسته حاوی پیام پروتکل ESP، ماژول دریافت IPsec اتصال مجازی امن مربوطه (SA) را در SADB (پایگاه داده های انجمن های امنیتی) با استفاده از آدرس IP گیرنده، پروتکل امنیتی (ESP) و شاخص SPI جستجو می کند. اگر SA منطبقی یافت نشد، بسته دور انداخته می شود. اتصال مجازی امن (SA) یافت شده نشان می دهد که آیا از سرویس پیشگیری از پخش مجدد بسته استفاده می شود یا خیر. نیاز به بررسی فیلد Sequence Number. در صورت استفاده از سرویس، فیلد بررسی می شود. برای این کار همانند هجری قمری از روش پنجره کشویی استفاده می شود. ماژول IPsec دریافت کننده پنجره ای با عرض W ایجاد می کند. لبه سمت چپ پنجره با حداقل شماره دنباله N بسته دریافتی درست مطابقت دارد. بسته ای با فیلد Sequence Number حاوی مقداری از N+1 تا N+W به درستی دریافت می شود. اگر بسته دریافتی در حاشیه سمت چپ پنجره باشد، از بین می رود. سپس، در صورت استفاده از سرویس احراز هویت، ماژول دریافت IPsec، ICV را از فیلدهای مناسب بسته دریافتی با استفاده از الگوریتم احراز هویت که از رکورد SA یاد می گیرد، محاسبه می کند و نتیجه را با مقدار ICV واقع در فیلد Integrity Check Value مقایسه می کند. اگر مقدار ICV محاسبه شده با مقدار دریافتی مطابقت داشته باشد، بسته دریافتی معتبر در نظر گرفته می شود. اگر چک نتیجه منفی داد، بسته دریافت کننده از بین می رود. سپس بسته رمزگشایی می شود. ماژول دریافت IPsec از رکورد SA یاد می گیرد که کدام الگوریتم رمزگذاری استفاده شده و کلید مخفی. لازم به ذکر است که فرآیند تأیید و رمزگشایی چکسوم میتواند نه تنها به صورت متوالی، بلکه به صورت موازی نیز انجام شود. در مورد دوم، روال تأیید جمعبندی چک باید قبل از فرآیند رمزگشایی به پایان برسد، و اگر بررسی ICV ناموفق باشد، روند رمزگشایی نیز باید خاتمه یابد. این به شما امکان می دهد تا بسته های خراب را به سرعت شناسایی کنید، که به نوبه خود، سطح محافظت در برابر حملات انکار سرویس (حملات DOS) را افزایش می دهد. بعد پیام رمزگشایی شده مطابق با فیلد است هدر بعدیبرای پردازش بیشتر منتقل می شود. استفادهپروتکل IPsec عمدتا برای سازماندهی تونل های VPN استفاده می شود. در این حالت پروتکل های ESP و AH در حالت تونل زنی عمل می کنند. علاوه بر این، با پیکربندی سیاست های امنیتی به روشی خاص، می توان از پروتکل برای ایجاد یک فایروال استفاده کرد. هدف یک فایروال این است که بسته های عبوری از آن را مطابق با قوانین مشخص شده کنترل و فیلتر می کند. مجموعه ای از قوانین نصب شده است و صفحه نمایش به تمام بسته های عبوری از آن نگاه می کند. اگر بسته های ارسال شده در محدوده این قوانین قرار گیرند، فایروال آنها را بر این اساس پردازش می کند. به عنوان مثال، می تواند بسته های خاصی را رد کند و در نتیجه اتصالات ناامن را متوقف کند. با تنظیم سیاست امنیتی بر این اساس، می توانید برای مثال ترافیک اینترنت را مسدود کنید. برای این کار کافی است ارسال بسته های حاوی پیام های پروتکل HTTP و HTTPS را ممنوع کنید. IPsec همچنین می تواند برای محافظت از سرورها استفاده شود - برای این کار، همه بسته ها دور ریخته می شوند، به جز موارد ضروری برای اجرای صحیح عملکردهای سرور. به عنوان مثال، برای یک وب سرور، می توانید تمام ترافیک به جز اتصالات را از طریق پورت TCP 80 یا از طریق پورت TCP 443 در مواردی که از HTTPS استفاده می شود، مسدود کنید. همچنین ببینیدپیوندها
0 این مقاله مروری بر ابزارهای IP Security (IP Security) و پروتکلهای IPSec مرتبط موجود در محصولات Cisco که برای ایجاد شبکههای خصوصی مجازی (VPN) استفاده میشوند، ارائه میکند. در این مقاله تعریف می کنیم که IPSEC چیست و چه پروتکل ها و الگوریتم های امنیتی زیربنای IPSEC هستند. معرفیIP Security مجموعه ای از پروتکل هایی است که با مسائل مربوط به رمزگذاری، احراز هویت و امنیت در حین انتقال بسته های IP سروکار دارد. اکنون شامل نزدیک به 20 پیشنهاد استاندارد و 18 RFC است.محصولات Cisco VPN از مجموعه پروتکل IPSec استفاده می کنند که استاندارد صنعتی برای ارائه قابلیت های VPN غنی است. IPSec مکانیزمی را برای انتقال ایمن داده از طریق شبکه های IP ارائه می دهد که از محرمانه بودن، یکپارچگی و قابلیت اطمینان داده های منتقل شده از طریق شبکه های ناامن مانند اینترنت اطمینان می دهد. IPSec قابلیت های VPN زیر را در شبکه های سیسکو فراهم می کند:
IPSec مجموعه ای از پروتکل ها و الگوریتم های امنیتی مبتنی بر استاندارد است. فناوری IPSec و پروتکلهای امنیتی مرتبط با آن مطابق با استانداردهای باز است که توسط کارگروه مهندسی اینترنت (IETF) نگهداری میشود و در مشخصات RFC و پیشنویسهای IETF توضیح داده شده است. IPSec در لایه شبکه عمل می کند و امنیت و احراز هویت را برای بسته های IP ارسال شده بین دستگاه های IPSec (طرفین) - مانند روترهای Cisco، فایروال های PIX، مشتریان و متمرکز کننده های Cisco VPN، و بسیاری از محصولات دیگر که از IPSec پشتیبانی می کنند، فراهم می کند. IPSec از مقیاس های بسیار کوچک تا شبکه های بسیار بزرگ پشتیبانی می کند. انجمن امنیت (SA)IPSec یک راه استاندارد برای احراز هویت و رمزگذاری ارتباطات بین طرفین در ارتباط ارائه می کند. برای ایمن سازی ارتباطات، IPSec از الگوریتم های رمزگذاری و احراز هویت استاندارد (یعنی فرمول های ریاضی) به نام تبدیل استفاده می کند. IPSec از استانداردهای باز برای مذاکره کلید رمزگذاری و مدیریت اتصال استفاده می کند تا قابلیت همکاری بین طرفین را فراهم کند. فن آوری IPSec روش هایی را ارائه می دهد که به طرفین IPSec اجازه می دهد در مورد استفاده توافق شده از خدمات "مذاکره" کنند. IPSec از تداعی های امنیتی برای تعیین پارامترهای مورد مذاکره استفاده می کند.انجمن دفاع(Security Association - SA) یک سیاست یا روش مورد توافق برای پردازش داده ها است که قرار است بین دو دستگاه طرف ارتباط رد و بدل شود. یکی از اجزای چنین سیاستی ممکن است الگوریتم مورد استفاده برای رمزگذاری داده ها باشد. هر دو طرف می توانند از الگوریتم یکسانی برای رمزگذاری و رمزگشایی استفاده کنند. پارامترهای SA موثر در پایگاه داده انجمن امنیت (SAD) هر دو طرف ذخیره می شود. دو کامپیوتر در هر طرف SA، حالت، پروتکل، الگوریتمها و کلیدهای مورد استفاده در SA را ذخیره میکنند. هر SA فقط در یک جهت استفاده می شود. ارتباط دو طرفه به دو SA نیاز دارد. هر SA یک حالت و پروتکل را پیاده سازی می کند. بنابراین، اگر نیاز به استفاده از دو پروتکل برای یک بسته (مانند AH و ESP) باشد، دو SA مورد نیاز است. پروتکل IKE (Internet Key Exchange) یک پروتکل ترکیبی است که سرویس خاصی را برای IPSec ارائه می دهد، یعنی احراز هویت طرفین IPSec، مذاکره در مورد پارامترهای ارتباط امنیتی IKE و IPSec، و انتخاب کلیدها برای الگوریتم های رمزگذاری مورد استفاده در IPSec. پروتکل IKE متکی بر پروتکل های انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP) و پروتکل های Oakley است که برای مدیریت ایجاد و پردازش کلیدهای رمزگذاری مورد استفاده در تبدیل IPSec استفاده می شود. پروتکل IKE همچنین برای ایجاد ارتباطات امنیتی بین طرف های بالقوه IPSec استفاده می شود. تابع هشیک عملکرد مقاوم در برابر برخورد است. مقاومت در برابر برخورد به این واقعیت اشاره دارد که یافتن دو پیام مختلف m1 و m2 غیرممکن است به طوری که H(m1)=H(m2)، که در آن H تابع هش است. در مورد توابع شبه تصادفی، در حال حاضر یک تابع هش به جای PRF های خاص در طراحی HMAC استفاده می شود (HMAC مکانیزم احراز هویت پیام با استفاده از توابع هش است). برای تعریف HMAC، ما به یک تابع هش رمزنگاری (بیایید آن را H بنامیم) و یک کلید مخفی K نیاز داریم. فرض میکنیم که H یک تابع درهمسازی است که در آن دادهها با استفاده از یک روش فشردهسازی بهطور متوالی بر روی یک دنباله از بلوکهای داده هش میشوند. طول این بلوک ها را با B نشان می دهیم و طول بلوک های به دست آمده در نتیجه هش را با L (L) نشان می دهیم برای محاسبه HMAC از داده های "متن"، باید عملیات زیر را انجام دهید: H(K XOR opad، H(K XOR iPad، متن)) از توضیحات بر می آید که IKE از مقادیر HASH برای احراز هویت احزاب استفاده می کند. توجه داشته باشید که HASH در این مورد صرفاً به نام Payload در ISAKMP اشاره دارد و این نام ربطی به محتوای آن ندارد. زیرساخت IPSecشبکههای VPN مبتنی بر IPSec را میتوان با استفاده از طیف گستردهای از دستگاههای Cisco-روترهای Cisco، فایروالهای Cisco Secure PIX، نرمافزار مشتری Cisco Secure VPN و متمرکزکنندههای سری Cisco VPN 3000 و 5000 ساخت. روترهای Cisco دارای پشتیبانی داخلی VPN با غنی متناظر هستند. قابلیتهای نرمافزار سیسکو IOS، که پیچیدگی راهحلهای شبکه را کاهش میدهد و هزینه کلی VPN را کاهش میدهد و در عین حال امکان حفاظت چند سطحی از خدمات ارائهشده را فراهم میکند. فایروال PIX یک دستگاه شبکه با کارایی بالا است که میتواند به نقاط پایانی تونل خدمت کند و توان عملیاتی بالا و عملکرد فایروال برتر را برای آنها فراهم کند. نرم افزار CiscoSecure VPN Client از سخت گیرانه ترین الزامات دسترسی از راه دور VPN برای تجارت الکترونیک و برنامه های کاربردی دسترسی موبایل پشتیبانی می کند و اجرای کامل استانداردهای IPSec را ارائه می دهد و از قابلیت همکاری قابل اعتماد بین روترهای Cisco و فایروال های PIX اطمینان می دهد.نحوه عملکرد IPSecIPSec به تعدادی از فناوری ها و روش های رمزگذاری متکی است، اما به طور کلی می توان IPSec را به عنوان مراحل اصلی زیر در نظر گرفت:
IPsec یک پروتکل نیست، بلکه سیستمی از پروتکل هایی است که برای محافظت از داده ها در سطح شبکه شبکه های IP طراحی شده است. این مقاله تئوری استفاده از IPsec برای ایجاد یک تونل VPN را شرح می دهد. معرفیVPN مبتنی بر فناوری IPsec را می توان به دو بخش تقسیم کرد:
بخش اول (IKE) مرحله مذاکره است که طی آن دو نقطه VPN انتخاب می کنند که از کدام روش برای محافظت از ترافیک IP ارسال شده بین آنها استفاده شود. علاوه بر این، IKE همچنین برای مدیریت اتصالات با معرفی مفهوم Security Associations (SA) برای هر اتصال استفاده می شود. SA ها فقط به یک جهت اشاره می کنند، بنابراین یک اتصال IPsec معمولی از دو SA استفاده می کند. بخش دوم آن دسته از داده های IP است که قبل از انتقال با استفاده از روش های توافق شده در قسمت اول (IKE) باید رمزگذاری و احراز هویت شوند. پروتکل های IPsec مختلفی وجود دارد که می توان از آنها استفاده کرد: AH، ESP یا هر دو. توالی ایجاد VPN از طریق IPsec را می توان به طور خلاصه به شرح زیر توصیف کرد:
IKE، تبادل کلید اینترنتبرای رمزگذاری و احراز هویت داده ها، باید روش رمزگذاری/ احراز هویت (الگوریتم) و کلیدهای استفاده شده در آنها را انتخاب کنید. وظیفه پروتکل تبادل کلید اینترنت، IKE، در این مورد به توزیع دادههای «کلید جلسه» و توافق بر سر الگوریتمهایی است که از دادهها بین نقاط VPN محافظت میکند. وظایف اصلی IKE:
IKE با اختصاص دادن به هر یک از آنها یک انجمن امنیتی خاص، SA، اتصالات را ردیابی می کند. SA پارامترهای یک اتصال خاص، از جمله پروتکل IPsec (AH/ESP یا هر دو)، کلیدهای جلسه مورد استفاده برای رمزگذاری/رمزگشایی و/یا احراز هویت داده ها را توصیف می کند. SA یک جهته است، بنابراین چندین SA در هر اتصال استفاده می شود. در بیشتر موارد، زمانی که فقط از ESP یا AH استفاده می شود، برای هر یک از اتصالات فقط دو SA ایجاد می شود، یکی برای ترافیک ورودی و دیگری برای ترافیک خروجی. هنگامی که ESP و AH با هم استفاده می شوند، SA به چهار مورد نیاز دارد. فرآیند مذاکره IKE چندین مرحله (مرحله) را طی می کند. این مراحل عبارتند از:
اتصالات IKE و IPsec از نظر مدت زمان (بر حسب ثانیه) و میزان انتقال داده (بر حسب کیلوبایت) محدود هستند. این کار برای افزایش امنیت انجام می شود. برای مذاکره با IKE، مفهوم IKE Proposal معرفی شده است - این یک پیشنهاد در مورد نحوه محافظت از داده ها است. نقطه VPN که اتصال IPsec را آغاز می کند لیستی (جمله) را ارسال می کند که روش های مختلف برای ایمن سازی اتصال را نشان می دهد. فاز 1 IKE - مذاکرات امنیتی IKE (تونل ISAKMP) فاز 2 IKE - مذاکره امنیتی IPsec اگر از مکانیزم استفاده شود رازداری کامل حمل و نقل (PFS)، سپس یک مبادله کلید Diffie-Hellman جدید برای هر فاز دوم مذاکره استفاده خواهد شد. با کاهش اندکی سرعت عملکرد، این روش تضمین می کند که کلیدهای جلسه مستقل از یکدیگر هستند، که امنیت را افزایش می دهد، زیرا حتی اگر یکی از کلیدها به خطر بیفتد، نمی توان از آن برای انتخاب بقیه استفاده کرد. تنها یک حالت عملیاتی برای فاز دوم مذاکره IKE وجود دارد که به آن حالت سریع می گویند. در مرحله دوم فرآیند مذاکره، سه پیام رد و بدل می شود. در پایان فاز دوم، اتصال VPN برقرار می شود. گزینه های IKE
روش های احراز هویت IKE
پروتکل های IPsecپروتکل های IPsec برای محافظت از داده های ارسالی استفاده می شود. انتخاب پروتکل و کلیدهای آن در طول مذاکره IKE انجام می شود. AH (سربرگ احراز هویت)AH توانایی احراز هویت داده های ارسالی را فراهم می کند. برای انجام این کار، یک تابع هش رمزنگاری در رابطه با داده های موجود در بسته IP استفاده می شود. خروجی این تابع (هش) همراه با بسته ارسال می شود و به نقطه VPN راه دور اجازه می دهد تا یکپارچگی بسته IP اصلی را تأیید کند و تأیید کند که در طول مسیر اصلاح نشده است. علاوه بر داده های بسته IP، AH بخشی از هدر آن را نیز احراز هویت می کند. در حالت انتقال، AH هدر خود را بعد از بسته IP اصلی جاسازی می کند. ESP (محصور محموله امنیتی)پروتکل ESP برای رمزگذاری، احراز هویت یا هر دو در رابطه با یک بسته IP استفاده می شود. در حالت انتقال، پروتکل ESP هدر خود را بعد از هدر IP اصلی وارد می کند. دو تفاوت اصلی بین ESP و AH:
کار پشت NAT (NAT Traversal)
پیمایش NAT فقط در صورتی استفاده می شود که هر دو نقطه پایانی از آن پشتیبانی کنند. هنگامی که نقاط پایانی تشخیص دهند که پیمایش NAT مورد نیاز است، مذاکره IKE از درگاه UDP 500 به پورت 4500 منتقل میشود. این کار به این دلیل انجام میشود که برخی از دستگاهها هنگام استفاده از NAT، جلسه IKE در پورت 500 را به درستی مدیریت نمیکنند. |
خواندن: |
---|
جدید
- بایوس: از دیسک بوت شود
- نحوه بوت کردن از دی وی دی یا درایو فلش "نصب" - راه اندازی بایوس در تصاویر
- چگونه زمان بندی رم را به درستی تنظیم کنیم؟
- نصب Navitel بر روی ناوبر و کامپیوتر
- رمز عبور سرور Minecraft را از طریق حساب شخصی خود و در مشتری تغییر دهید
- کابل اسپیکر چیست
- استفاده از رایانه به عنوان تلفن
- نحوه استفاده از گوشی هوشمند به عنوان مودم برای لپ تاپ
- نحوه اتصال تلویزیون دوم به گیرنده یا ستاپ باکس تلویزیون دیجیتال
- بهترین نت بوک ها با توجه به نظرات مشتریان