پروتکل اینترنت نسخه ۶: تفاوت میان نسخهها
محتوای حذفشده محتوای افزودهشده
بدون خلاصۀ ویرایش |
جز ربات ردهٔ همسنگ (۲۲) +تمیز(۲.۸): + رده:پروتکل اینترنت نسخه ۶ |
||
خط ۱:
{{ویکیسازی}}
{{تمیزکاری}}
{{پشته پروتکل اینترنت}}
== امنیت در IPv6 ==
سطر ۱۹ ⟵ ۱۸:
در مد انتقال مکانیزم رمز نگاری روی قسمت دادهای بسته IP اعمال میشود و سرآیند بسته IP تغییر نخواهد کرد. بنابراین مبدا و مقصد نهایی بسته ممکن است توسط افراد غیر مجاز مشاهده شود، اما چون در این مد سرآیند لایه ۴ رمزنگاری شدهاست، اطلاع دقیق از نوع و کیفیت بسته ارسالی برای کابران غیر مجاز امکانپذیر نخواهد بود. معمولاَ از این مد زمانی استفاده میشود که هم مبدا و هم مقصد پروتکل IPSec را پشتیبانی نماید. در مد تونل، تمامی بسته IP رمزنگاری میشود و سپس یک سرآیند جدید به بسته رمزنگاری شده الحاق میگردد. از این مد زمانی استفاده میشود که یک یا هر دو طرف اتصال IPSec دروازههای امنیتی باشند که از این پروتکل حمایت میکنند، در حالی که مبدا و مقصد اصلی که در پشت این دروازهها قرار دارند پروتکل IPSec را پشتیبانی نمیکنند. در این حالت مبدا و مقصد اصلی بستهها از دید کاربران غیر مجاز پنهان خواهد ماند.
==
خانواده پروتکل IPSec شامل دو پروتکل است. یعنی سرآیند احراز هویت یا AH (Authentication Header) وESP هر دوی این پروتکلها از IPSec مستقل خواهد بود.
بطور خلاصه پروتکل AH در واقع تأمین کنندة سرویسهای امنیتی زیر خواهد بود:
سطر ۳۲ ⟵ ۳۱:
سرآیند AH،24 بایت طول دارد. حال به توضیح فیلدهای این پروتکل میپردازیم.
# اولین فیلد همان Next Headerمی باشد. این فیلد پروتکلهای بعدی را تعیین میکند. در حالت Tunnel یک دیتاگرام کامل IP کپسوله میشود بنابراین مقدار این فیلد برابر ۴ است. وقتی که کپسوله کردن یک دیتا گرام TCP در حالت انتقالmode) (Transport باشد، مقدار این فیلد برابر ۶ خواهد شد
# فیلدpayload length همانطوریکه از نامش پیداست طول payload را تعیین میکند.
سطر ۴۰ ⟵ ۳۸:
چون پروتکل HA حفاظت دیتاگرام IP شامل بخشهای تغییر ناپذیری مثل IP آدرسها نیز هست، پروتکل AH اجازه ترجمه آدرس شبکه را نمیدهد. NAT یا ترجمه آدرس شبکه در فیلد IP آدرس دیگری (که معمولاً IP آدرس بعداً میباشد) قرار میگیرد. وبه این جهت تغییر بعدی HMAC معتبر نخواهد بود. در شکل زیر حالتهای انتقال و تونل در پروتکل AH به نمایش در آمدهاست.همان طور که میبینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم میآورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش(Firewall) را ممکن میسازد.
== پروتکل (Encapsulation Security Payload(ESP
پروتکل ESP سرویسهای امنیتی زیر را ارائه میکند:
# محرمانگی
# احراز هویت مبدا داده ارسالی
سطر ۴۹ ⟵ ۴۶:
در واقع پروتکل ESP هم امنیت تمامیت داده (سلامت دادههای ارسالی) پکتهایی که از HMAC استفاده میکنند را تامین کنید و هم محرمانگی از طریق اصول رمزنگاری (Encryption principle ) بکار گرفته شده .بعد از رمزنگاری پکت و محاسبات مربوط به HMAC، سرآیند ESP محاسبه و به پکت اضافه میشود. سرآیند ESP شامل دو بخش است که مطابق شکل زیر نمایش داده شدهاست.
# اولین ۳۲ بیت سرآیند ESP همان SPI است که درSA بکار گرفته شده و جهت بازگشایی پکت کپسوله شده ESP بکار میرود.
# دومین فیلد همان شماره توالی یا Sequence Number میباشد که به جهت حفاظت از تهاجمات دادههای بازگشتی استفاده میشود.
سطر ۵۹ ⟵ ۵۵:
همان طور که میبینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم میآورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش(Firewall) را ممکن میسازد.
== پروتکل IKE
IKE پروتکلی است که چندین مسئله مهم در ارتباط امن را تنظیم میکند. احراز هویت نقاط نظیر و کلید تبادلی متقارن. این پروتکل مجمع امنیت (SA) را ایجاد کرده و درSAD یا پایگاه مجمع امنیت (Security Association data base ) قرار میدهد. IKE پروتکلی است که عموماً نیازمند فضای کاربر فوق العادهای است و روی سیستمهای عامل پیاده سازی نمیشود. پروتکل IKE، از پورت شماره UDP/500 استفاده میکنند.
سطر ۶۸ ⟵ ۶۴:
معمولاً دو نقطه نظیر روی SAKMP SA با هم مذاکره و توافق میکنند که هر دو طرف معمولاً روی چندین مذاکره (حداقل ۲ تا) بطور غیر مستقیم توافق کنند.
با استفاده از پروتکل IPsec شما میتوانید پنهان کردن دادهها، صحت دادهها، اعتبار یا سندیت و Anti Reply Protection را برای ترافیک شبکه به صورت زیر ایجاد کنید:
سطر ۷۹ ⟵ ۷۵:
سیستمعامل WIN2000 پیکربندی و مدیریت امنیت شبکه را بوسیله IP Security آسان کردهاست.
==
(SSL یا Secure Socket Layer) راهحلی جهت برقراری ارتباطات ایمن میان یک سرویسدهنده و یک سرویسگیرندهاست که توسط شرکت Netscape ارایه شدهاست. در واقع SSL پروتکلی است که پایینتر از لایه کاربرد (لایه ۴ از مدل TCP/IP) و بالاتر از لایه انتقال (لایه سوم از مدل TCP/IP) قرار میگیرد. مزیت استفاده از این پروتکل بهرهگیری از موارد امنیتی تعبیه شده آن برای امن کردن پروتکلهای غیرامن لایه کاربردی نظیرHTTP ،LDAP ،IMAP و... میباشد که براساس آن الگوریتمهای رمزنگاری بر روی دادههای خام (plain text) که قرار است از یک کانال ارتباطی غیرامن مثل اینترنت عبور کنند، اعمال میشود و محرمانه ماندن دادهها را در طول کانال انتقال تضمین میکند.
به بیان دیگر شرکتی که صلاحیت صدور و اعطاء گواهیهای دیجیتال SSL را دارد برای هر کدام از دو طرفی که قرار است ارتباطات میان شبکهای امن داشته باشند، گواهیهای مخصوص سرویسدهنده و سرویسگیرنده را صادر میکند و با مکانیزمهای احراز هویت خاص خود، هویت هر کدام از طرفین را برای طرف مقابل تأیید میکند، البته غیر از اینکار میبایست تضمین کند که اگر اطلاعات حین انتقال مورد سرقت قرار گرفت، برای رباینده قابل درک و استفاده نباشد که اینکار را با کمک الگوریتمهای رمزنگاری و کلیدهای رمزنگاری نامتقارن و متقارن انجام میدهد.
==
برای داشتن ارتباطات امن مبتنی بر SSL عموماً به دو نوع گواهی دیجیتال SSL یکی برای سرویسدهنده و دیگری برای سرویسگیرنده و یک مرکز صدور و اعطای گواهینامه دیجیتال یا CA نیاز میباشد. وظیفه CA این است که هویت طرفین ارتباط، نشانیها، حسابهای بانکی و تاریخ انقضای گواهینامه را بداند و براساس آنها هویتها را تعیین نماید.
==
پروتکل SSL دارای دو زیر پروتکل تحت عناوین زیر میباشد.
# SSL Record Protocol که نوع قالببندی دادههای ارسالی را تعیین میکند.
# SSL Handshake Protocol که براساس قالب تعیین شده در پروتکل قبلی، مقدمات ارسال دادهها میان سرویسدهندهها و سرویسگیرندههای مبتنی بر SSL را تهیه میکند.
سطر ۱۰۹ ⟵ ۱۰۳:
با تشکر امیر علی انوری (-:
==
همانطور که میدانید SSL میتواند از ترکیب رمزنگاری متقارن و نامتقارن استفاده کند. رمزنگاری کلید متقارن سریعتر از رمزنگاری کلیدعمومی است و از طرف دیگر رمزنگاری کلید عمومی تکنیکهای احراز هویت قویتری را ارایه میکند. یک جلسه SSL Session) SSL) با یک تبادل پیغام ساده تحت عنوان SSL Handshake شروع میشود. این پیغام اولیه به سرویسدهنده این امکان را میدهد تا خودش را به سرویسدهنده دارای کلید عمومی معرفی نماید و سپس به سرویسگیرنده و سرویسدهنده این اجازه را میدهد که یک کلید متقارن را ایجاد نمایند که برای رمزنگاریها و رمزگشایی سریعتر در جریان ادامه مبادلات مورد استفاده قرار میگیرد. گامهایی که قبل از برگزاری این جلسه انجام میشوند براساس الگوریتم RSA Key Exchange عبارتند از:
سطر ۱۳۳ ⟵ ۱۲۷:
- در این مرحله SSL Handshake تمام میشود و از این به بعد جلسه SSL شروع میشود و هر دو عضو سرویسدهنده و گیرنده شروع به رمزنگاری و رمزگشایی و ارسال دادهها میکنند. (همانند شکل فوق)
==
SSL نیز از حملات و نفوذهای مختلف در امان نیست. بعضی از حملات متداولی که براین پروتکل واقع میشود عبارتند ازTraffic Analysis : یا تحلیل ترافیک، حملات Certification Injection و حملات از نوع Man in the middle.
==
به عنوان یک تعریف بسیار ساده میتوان SSH را این گونه بیان کرد :
سطر ۱۴۴ ⟵ ۱۳۸:
نکته : باید توجه داشته باشید تشابه نام Secure Shell با محیطهایی مانند Bourne shell و یا C Shell نشان دهنده این نیست که SSH نیز محیطی است که وظیفه تفسیر فرامین برای سیستمعامل را بر عهده دارد.
با اینکه SSH تمامی مشکلات را حل نخواهد کرد، اما در مورد بسیاری از موارد میتواند راه حل مناسبی باشد. برخی از این موارد عبارتند از :
* یک پروتکل خادم/مخدوم امن برای کدگذاری و انتقال دادهها در شبکه.
* تعیین هویت کاربران به وسیله کلمه عبور ، host ، public key و یا استفاده از Kerberos،PGP و یا PAM
سطر ۱۵۰ ⟵ ۱۴۳:
* بدون هیچ تغییر در استفاده کاربر نهایی ( End User ) پیاده شده و قابلیت پیاده سازی بر روی بیشتر سیستمعاملها را دارد.
▲== منابع و مراجع: ==
▲{{انبار-رده|IPv6}}
# R. Atkinson. Security Architecture for the Internet Protocol, RFC2401
# R. Atkinson. IP Authentication Header(AH), RFC2402
سطر ۱۶۰ ⟵ ۱۵۱:
# C. Huitema. IPv6 The New Internet Protocol, Prentice Hall, New Jersey, 1996
[[رده:پروتکل اینترنت نسخه ۶]]
[[رده:پروتکلهای اینترنت]]
[[رده:پروتکلهای لایه اینترنت]]
|