IPsec یا همان Internet Protocol security عبارت است از مجموعه‌ای از چندین پروتکل که برای ایمن‌سازی پروتکل اینترنت در ارتباطات به وسیلهٔ احراز هویت و رمزگذاری در هر بسته(packet) در یک سیر داده به کار می‌رود. این پروتکل محصول مشترک مایکروسافت و سیسکو سیستمز است که در نوع خود جالب توجه است.

مزایا

ویرایش
  • IPsec برخلاف دیگر پروتکلهای امنیتی نظیر SSL, TSL, SSH که در لایه انتقال (لایه ۴) به بالا قرار دارند در لایه شبکه یا همان لایه ۳ مدل مرجع OSI کار می‌کند یعنی لایه که آی پی در آن قرار دارد که باعث انعطاف بیشتر این پروتکل می‌شود به‌طوری‌که می‌تواند از پروتکل‌های لایه ۴ نظیر تی سی پی و یو دی پی محافظت کند.
  • مزیت بعدی IPsec به نسبت بقیه پروتکل‌های امنیتی نظیر اس اس ال این است که: نیازی نیست که برنامه بر طبق این پروتکل طراحی شود.

ساختار

ویرایش

خانواده پروتکل IPSec شامل دو پروتکل است؛ یعنی سرآیند احراز هویت یا AH یا همان authentication header وESP هر دوی این پروتکل‌ها از IPSec مستقل خواهد بود.

پروتکل AH

ویرایش

به‌طور خلاصه پروتکل AH در واقع تأمین‌کننده سرویس‌های امنیتی زیر خواهد بود:

  1. تمامیت داده ارسالی
  2. تصدیق هویت مبدأ داده ارسالی
  3. رد بسته‌های دوباره ارسال شده

این پروتکل برای تمامیت داده ارسالی از HMAC استفاده می‌کند و برای انجام این کار مبنای کارش را مبتنی بر کلید سری قرار می‌دهد که payload پکت و بخش‌هایی تغییرناپذیر سرآیند IP شبیه IP آدرس خواهد بود. بعد از اینکار این پروتکل سرآیند خودش را به آن اضافه می‌کند در شکل زیر سرآیندها و فیلدهای AH نمایش داده شده‌است.

۰–۷ بیت ۸–۱۵ بیت ۱۶–۲۳ بیت ۲۴–۳۱ بیت
next header Payload طول رزرو
Security parameters index SPI
Sequence number

Authentication data (متغیر)

سرآیند AH،۲۴ بایت طول دارد. حال به توضیح فیلدهای این پروتکل می‌پردازیم.

  • ۱. اولین فیلد همان Next Header است. این فیلد پروتکل‌های بعدی را تعیین می‌کند. در حالت Tunnel یک دیتاگرام کامل IP کپسوله می‌شود بنابراین مقدار این فیلد برابر ۴ است. وقتی که کپسوله کردن یک دیتا گرام TCP در حالت انتقال (transport mode) باشد، مقدار این فیلد برابر ۶ خواهد شد
  1. فیلد payload lengthهمانطوری‌که از نامش پیداست طول payload را تعیین می‌کند.
  2. فیلد Reserved از دو بایت تشکیل شده‌است. برای آینده در نظر گرفته شده‌است.
  • ۴. فیلد security parameter Index یا SPI از ۳۲ بیت تشکیل شده‌است. این فیلد از SA تشکیل شده که جهت باز کردن پکت‌های کپسوله شده بکار می‌رود. نهایتاً ۹۶ بیت نیز جهت نگهداری احراز هویت پیام Hash یا (HMAC) بکار می‌رود.
  • ۵.HMAC حفاظت تمامیت دادهٔ ارسالی را برعهده دارد؛ زیرا فقط نقاط نظیر به نظیر از کلید سری اطلاع دارند که توسط HMAC به وجود آمده و توسط همان چک می‌شود. چون پروتکل HA حفاظت دیتاگرام IP شامل بخش‌های تغییرناپذیری مثل IP آدرس‌ها نیز هست، پروتکل AH اجازه ترجمه آدرس شبکه را نمی‌دهد. NAT یا ترجمه آدرس شبکه در فیلد IP آدرس دیگری (که معمولاً IP آدرس بعداً است) قرار می‌گیرد؛ و به این جهت تغییر بعدی HMAC معتبر نخواهد بود. در شکل زیر حالتهای انتقال و تونل در پروتکل AH به نمایش درآمده‌است. همان‌طور که می‌بینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم می‌آورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش(Firewall) را ممکن می‌سازد.[۱]

پروتکل (Encapsulation Security Payload(ESP

ویرایش

پروتکل ESP سرویس‌های امنیتی زیر را ارائه می‌کند:

  1. محرمانگی
  2. احراز هویت مبدأ داده ارسالی
  3. رد بسته‌های دوباره ارسال شده

در واقع پروتکل ESP هم امنیت تمامیت داده (سلامت داده‌های ارسالی) پکت‌هایی که از HMAC استفاده می‌کنند را تأمین کنید و هم محرمانگی از طریق اصول رمزنگاری (Encryption principle) بکار گرفته شده. بعد از رمزنگاری پکت و محاسبات مربوط به HMAC، سرآیند ESP محاسبه و به پکت اضافه می‌شود. سرآیند ESP شامل دو بخش است که مطابق شکل زیر نمایش داده شده‌است.

۰–۷ بیت ۸–۱۵ بیت ۱۶–۲۳ بیت ۲۴–۳۱ بیت
Security parameters index
Sequence number

Payload data (متغیر)

لاگذاری (۲۵۵–۰ بایت)
Pad Length Next Header

Authentication Data (متغیر)

  • ۱. اولین ۳۲ بیت سرآیند ESP همان SPI است که درSA بکار گرفته شده و جهت بازگشایی پکت کپسوله شده ESP بکار می‌رود.
  1. دومین فیلد همان شماره توالی یا Sequence Number است که به جهت حفاظت از تهاجمات داده‌های بازگشتی استفاده می‌شود.
  2. سومین فیلد همان بردار مقدار اولیه یا IV یا همان initial vector است. این فیلد نیز برای پردازش رمزنگاری بکار می‌رود. الگوریتم‌های رمزنگاری متقارن اگر از IV استفاده نکنند، مورد تهاجم متوالی روی پکت قرار می‌گیرد. IV این اطمینان را می‌دهد تا دو مشخصه Payload روی دو Payload رمز شده مختلف قرار گیرد.

پردازش رمزنگاری در IPSec در دو بلوک رمز (Cipher) بکار می‌رود؛ بنابراین اگر طول Payloadها تک تک باشند. Payload, IPSecها را به شکل لایه لایه قرار می‌دهد؛ و از اینرو طول این لایه‌ها همواره در حال اضافه شدن است. طول لایه (Pad length) ۲ بایت است.

  1. فیلد بعدی که همان Next header است، سرآیند بعدی را مشخص می‌کند.
  2. این پروتکل HMAC است که مانند پروتکل HA از تمامیت و سلامت داده‌های ارسالی حفاظت می‌کند. فقط این سرآیند است که می‌تواند به Payload اعتبار دهد. سرآیند IP شامل پروسه محاسبه نمی‌باشد.

NAT هیچ ارتباطی به کار ESP ندارد و این بخش هنوز هم ممکن است بخشی از IPSec باشد و با آن ترکیب گردد. برگردان نشانی شبکه پیمایشی (NAT-Traversal) راه حلی است در کپسوله کردن پکت‌های ESP به همراه پکت‌های UDP. در شکل زیر حالتهای انتقال و تونل در پروتکلESP به نمایش درآمده‌است.

همان‌طور که می‌بینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم می‌آورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش (Firewall) را ممکن می‌سازد.[۲]

انجمن امنیتی

ویرایش

معماری امنیتی با استفاده از مفهوم انجمن امنیتی (security association) مبنایی یرای ایجاد توابع امنیتی در IP است. انجمن امنیتی یک بسته ساده از الگوریتم‌ها و پارامترها (مثل کلیدها) ست که در رمزگذاری و احراز هویت یک جریان خاص در یک جهت استفاده می‌شود؛ بنابراین در ترافیک‌های دوطرفه از یک جفت انجمن امنیتی، برای امن کردن استفاده می‌شود. انجمن امنیتی با استفاده از انجمن امنیت اینترنت و پروتوکل مدیریت کلید (ISAKMP) ایجاد شده‌است. ISAKMP توسط پیکربندی دستی و با رمزهای مشترک قبلی پیاده‌سازی می‌شود.

در مالتی کست، انجمن امنیتی برای گروه فراهم می‌شود و Duplicate در تمام گیرنده‌های مجاز گروه اتفاق می‌افتد. ممکن است برای یک گروه بیش از یک انجمن امنیتی با استفاده از SPIsهای مختلف وجود داشته باشد که در نتیجه سطوح امنیتی مختلفی در یک گروه ایجاد می‌کند.

حالت‌های عمل

ویرایش

IPSEC می‌تواند حالت انتقال هاست به هاست را در شبکه و درمد تونل پیاده‌سازی کند.

حالت انتقال

ویرایش

در مد انتقال تنها پیلود بسته‌های IP معمولاً به صورت رمزگذاری شده یا معتبر است از آنجایی که هدر IP نه تغییر داده شده و نه رمز شده‌است، با این حال زمانی که هدر احراز هویت می‌شود، IP آدرس را نمی‌تواند ترجمه کند که این مقدار hash بی‌اعتبار است. لایه انتقال و لایه کاربرد معمولاً به وسیله hash امن می‌شوند؛ بنابراین آن‌ها نمی‌توانند به هیچ وجه تغییر پیدا کنند (به عنوان مثال با ترجمه شماره پورت).

حالت تونل

ویرایش

در مد تونل تمام بسته‌های اطلاعاتی IP رمزگذاری و احراز هویت می‌شوند. پس از آن در یک بسته IP جدید با یک سرآیند جدید کپسوله می‌شوند. حالت تونل برای ایجاد شبکه خصوصی مجازی در ارتباطات شبکه به شبکه (به عنوان مثال بین روتر و لینک سایت)، ارتباطات هاست به شبکه (مانند دسترسی به کاربر از راه دور) و ارتباطات هاست به هاست (مانند چت خصوصی) استفاده می‌شود.

الگوریتم‌های رمزنگاری

ویرایش

الگوریتم‌های رمزنگاری تعریف شده برای استفاده با IPSEC شامل:

SHA1-HAMC برای حفاظت از صداقت و صحت

CBC-TRIPLE DES برای محرمانگی

AES برای قابلیت اعتماد

پیاده‌سازی‌های نرم‌افزار

ویرایش

پیاده‌سازی‌های موجود IPSEC معمولاً شامل AH,ESP و IKE V2 است. پیاده‌سازی IPSEC موجود روی سیستم عامل‌های شبه یونیکس، مانند سولاریس یا لینوکس معمولاً شامل PF-KEY V2 هستند.

وضعیت استانداردها

ویرایش

IPSEC معمولاً در ارتباط با IP V6 توسعه داده شد و در اصل در تمام پیاده‌سازی‌های استاندارد از IPV6، IPSEC مورد نیاز است. IPSEC برای پیاده‌سازی IPV4 اختیاری است و در IPV4 اغلب برای ایمن‌سازی ترافیک مورد استفاده قرار می‌گیرد. پروتوکل IPSEC در اصل در RFC 182 و RFC 1829 تعریف شد که در سال ۱۹۹۵ منشر شد. در سال ۱۹۹۸ این اسناد توسط RFC 2401 و RFC 2412 با جزئیات مهندسی ناسازگار جایگزین شدند اگرچه از لحاظ مفهومی یکسان بودند. IP SEC نسل سوم استانداردها است.

منابع

ویرایش