پروتکل امنيت در لايه شبکه IPSec

در پشته پروتکل  TCP/IP  هر لايه داراي يک يا چند پروتکل مي باشد که هر پروتکل وظيفه خاصي را در آن لايه انجام مي دهد, بر همين اساس جهت ايجاد امنيت هر لايه بنا به اصول طراحي زير پروتکلها ، يک  يا چند پروتکل امنيتي تعبيه شده است.مطابق اصول طراحي زير لايه هر لايه وظيفه اي را بر عهده دارد که منحصر بفرد مي باشد و در هر لايه نيز هر پروتکل مي تواند بنا به قرارداد عمليات خاصي را برعهده بگيرد .بر همين اساس امنيت در لايه شبکه بر عهده IPSec     مي باشد. از اين پروتکل بطور وسيعي در شبکه هاي مجازي خصوصي (Virtal Private Network  ) VPN براي دفاترمربوط به يک شرکت يا سازمان و اساساً ايجاد ارتباط امن بين دو يا چند سازمان  بکار مي رود . امنيت  شبکه هاي  مجازي خصوصي((VPN از چند روش امکان پذير مي باشد که عبارت اند از استفاده از ديواره آتش ، IPsec , AAA Server و کپسوله سازي.
اما روش IPsec به علت امن بودن ، پايداري بالا ،ارزان بودن ،انعطاف پذير بودن و مديريت بالا، مورد توجه قرار گرفته است. اين پروتکل شامل مباحث :
  - سرآيند احراز هويت (Authentication Header(AH) ) :که بحث پيرامون فرمت بسته ها و مسائل عمومي مربوط به استفاده از AH براي احراز هويت بسته مي پردازد.
  - الگوريتم رمزنگاري (Encryption Algorithm ) :که به نحوي رمزنگاري هاي مختلف در ESP مي پردازد.
- الگوريتم احراز هويت كه نحوه استفاده از الگوريتمهاي احراز هويت مختلف در  ESP , AH (اختياري) را بيان مي دارد.
- مديريت كليد(Key Management ) :كه به مسائل مربوط به مديريت كليد مي پردازد.
- ارتباط بين دامنه اي (Domain of Inter Predation ): يا مطالب مربوط به ارتباط بين قسمت هاي مختلف مانند شناسه هاي استفاده شده براي الگوريتم ها و پارامترهايي از قبيل طول عمر كليد.
 پروتکل IPSec خود شامل اجزاء تشكيل دهنده قراردادها و نحوي تامل بين آنهاست. در شكل 1 ارتباط بخشهاي مختلف اين قرارداد نمايش داده شده است.
معماري پروتکل IPSec  و نحوي تامل اجزاء آن
در پروتکل  IPSecسرويسهاي امنيتي در دو قرارداد ESP , AH تدارک ديده شده اند .اين سرويسهاي امنيتي شامل_ :كنترل دسترسي (Access Control )  ،صحت و درستي (Integrity)   ، احراز هويت مبدا داده (Data Origin Authentication )  ، رد بسته هاي دوباره ارسال شده (Anti Replay  ) ، محرمانگي (confidentially) ، محرمانگي جريان ترافيك بصورت محدود_ خواهند بود.
 اين سرويسها در سه نوع ترکيب  IPSec   ارتباط فراهم آمده اند:
 پروتكلهاي ESP , AH فقط بصورت رمزنگاري (Encryption) و ESP بصورت Encryption و احراز هويت (Authentication).
IPSec يك پروتكل توسعه يافته روي پروتكل IP است كه جهت امنيت IP تهيه شده است. اين پروتكل از دو پروتكل  AHوESP  براي اطمينان بيشتر روي احراز هويت،تماميت داده ها(سلامت داده) و محرمانگي استفاده مي كند. اين پروتكل مي تواند،هم امنيت درلايه شبکه و هم امنيت در پروتكلهاي لايه بالاتر در حالت Transport Modeرا برقرار سازد. اين پروتكل از دو حالت  Tunnel و Transport جهت اعمال سرويسهاي امنيتي استفاده مي كنند، يعني براي امنيت لايه شبکه از حالت mode Tunnel استفاده مي كند و براي امنيت لايه هاي بالاتر از حالت انتقال يا mode  Transport استفاده مي نمايد.
درحالت Tunneling ؛ديتاگرام IP بطور كامل توسط ديتاگرامIP جديدي كپسوله شده و آنرا براي پروتكل IPSec بكار مي برد. ولي در حالت Transport فقط payload ديتاگرام بوسيله پروتكل IPSec فيلد سرآيند IPSec و سرآيندIP و فيلدهاي لايه هاي بالايي درج (inserting) مي شود.مطابق شكل2 اين دو حالت به نمايش در آمده است.
 حالت انتقال و تونل
مزاياي حالت Tunnel اين است كه آدرسها معمولاً آدرس Gateway هاست كه پس از بازگشايي آدرس واقعي بدست مي آيد و اين موضوع از حملات شبكه جلوگيري مي كند و مزيت دوم آن است كه بسته بيروني، يك بسته IP همانند بقيه بسته هاست و قابليت مسيريابي دارد.
در حالت Transport احراز هويت بصورت مستقيم بين Server و سرويس گيرنده (Client)توسط كليد متقارن مشترك انجام ميگيرد. در اين حالت كه الزاماً دو كامپيوتر در يك LAN قرار ندارند. اما در حالت Tunnel، سرويس گيرنده هويت خود را به Gateway اثبات مي كند. در هر دو روش هر يك حالت خودشان (Transport mode Manuel mode) را از طريق  SA استخراج کرده و مورد استفاده قرار مي دهند.
حالت هاي انتقال و تونل در AH
 قرارداد AH در بسته IP  براي حفاظت ازتماميت داده هاي تبادلي ديتاگرام IP ، IPSec از كدهاي هَش احراز هويت پيام hash (Hash Message Authentication Code- )و يا با اختصار HMAC استفاده مي كند. براي استفاده از HMAC،پروتكلهاي IPSec از الگوريتم هاي hash ؛SHA براي محاسبات يك hash مبنا روي يك كليد سري(secret key) و محتويات ديتاگرام IP استفاده مي كند.
بنابراين اين كدهاي هش احراز هويت پيام hash هم در سرآيند پروتكل IPSec  و هم در پكت هاي دريافتي كه بتواند اين كدها را چك نمايد كه در واقع مي تواند به كليد سري دسترسي داشته باشد،قرار مي گيرد. براي ارائه سرويس محرمانگي ديتاگرام IP ،پروتكلهاي IPSec از استانداردهاي الگوريتم رمزنگاري متقارن (Symmetric Encryption Algorithm  ) استفاده مي كنند. IPSec از استانداردهاي NULL ، DESاستفاده خواهد كرد. امروزه معمولاً يكي از الگوريتم هاي قوي مثل Blowfish , AES,3DES را بكار مي برد.
IPSec براي  دفاع وحفاظت از تهاجمات داده هاي تبادلي(Denial of services) ،از روش پنجرة اسلايدي sliding windows استفاده مي كند. در اين روش هر پكت يك شمارة توالي(sequence number)  را به خود اختصاص مي دهد و اگر عدد آن پكت به همراه يك windowsيا newer درست شده باشد، در اين صورت پكت قديمي بلافاصله دور انداخته (dispatched) مي شود(اين روش همچنين براي حفاظت از تهاجمات ميانه راه پاسخ (The– of- middle  Response Attach)  نيز دوباره بكار مي آيد يعني حفاظت از مهاجماني كه پكت هاي اصلي را ثبت كرده و بعد از چند لحظه تأخير و احتمالاً تغيير دادن آن، ارسال مي دارند.
براي كپسوله كردن و بازگشائي اين يک پكت كپسوله شده ، با استفاده ازروشهاي ذخيرة سازي، كليدهاي سري،الگوريتم هاIP و آدرسها درگير در تبادلات اينترنتي را ذخيره نمايند و بکار ميگيرد. همة اين پارامترهاي مورد نياز جهت حفاظت ديتاگرامIP درجايي بنام مجمع امنيتي يا SA ها ذخيره مي شوند. اين مجمع امنيتي به نوبت در پايگاه دادة مجمع امنيتي(security association database ) يا (SAD) ذخيره مي شوند.
مجمع امنيتي (SA) داراي سه پارامتر يگانه (يكتا-يكه) است كه شامل :
1-    شاخص پارامتر امنيت :(Security Parameter Index) اين پارامتر 32 بيتي ارزش محلي داشته. اين پارامتربهمراه ESP , HA حمل مي شود تا سيستم دريافت كننده بتواند SA مربوط به آن را انتخاب نمايد.
2-    مشخصه پارامتر امنيت (security Parameter Identifier )SPI :اين پارامتر نوع پروتكل امنيتي SA را تعيين مي كند، AH يا ESP طبيعتاً اين مشخصه بطور همزمان هر دو پروتكل را بهمراه ندارد.
3-       آدرس مقصد : IP ، اين آدرس اساساً  آدرس يك نقطه انتهايي يا يك شبكه (روتر، حفاظ) خواهد بود.
   با اين تفاصيل، بطور کاملترو ريزتر مجمع امنيتي يا SA شامل اطلاعات و پارامترهاي زير است:
1-       آدرس مبداءو مقصد مربوط به سرآيند IPSec.اينها IP آدرسهاي پكت هاي نظير به نظير مبداء و مقصد حفاظت شده توسط IPSec مي باشند.
2-       الگوريتم و كليد سري بكار برده شده در IPSec ( ESP Informationو .AH Informantion)
برخي پايگاه ذخيره سازي SA ها،اطلاعات بيشتري را نيز ذخيره مي كنند كه شامل:
3-       حالت هاي اصلي انتقال بستهIPSec(Transport ياTunnel )
4-       اندازه Sliding windows جهت حفاظت از تهاجمات بازگشتي (replay attach)
5-       زمان حيات (life time ) SA ها .فاصله زماني است كه پس از آن SA بايد پايان يابد يا باSA جديدي عوض شود.
6-       حالت ويژه پروتكل IPSec كه در اين پارامتر علاوه بر حالتهاي Transport , Tunnel ، حالت wildcard  نيز مشخص مي شود.
Sequence Number caurter-9  كه يك پارامتر 32 بيتي كه در سرآيند ESP,AH بعنوان فيلد شمارة سريال قراردارد.
sequence caunter cnerflow-10 يك شمارشگر كه سرريز در شماره سريال را ثبت مي كند و تعيين اينكه بسته هاي بعدي SA ارسال شود يا خير؟
11-Path Maximum Transportation limit يا ماكزيمم بسته اي كه در مسير قابل انتقال است.
از آنجائيكه IP آدرس مبدأ و مقصد توسط خود SA ها تعريف مي شوند. حفاظت از مسير دو طرفه كامل IPSec بطور مستقيم فقط براي يك طرف امكان پذير خواهد بود. براي اينكه بتوانيم حفاظت هر دو طرف را انجام دهيم نيازمند دو مجمع امنيتي غير مستقيم (indirection  ) خواهيم بود. SA ها فقط چگونگي حفاظت توسط IPSec را تعريف مي كنند:
اطلاعات مقررات امنيتي راجع به هر پكت در مقررات امنيتي (Security Policy) تعريف شده است كه در پايگاه ذخيره كنندة مقررات امنيتي (Database Security Policy  ) ثبت ونگهداري مي شود.
SP يامقررات امنيتي شامل اطلاعات زير است:
1-   آدرس مبدأ و مقصد پكت هاي حفاظت شده. در حالت Transport اين آدرسها درست همان آدرسهاي مبدأ و مقصد SA است.
2-  پروتكل و پورت حفاظت شده . برخي  IPSecها اجاره نمي دهند يك پروتكل به خصوص حفاظت شود. در اين حالت تمام تبادلات ارسال و دريافت بين IP آدرسهاي ذكر شده حفاظت مي شوند.
3-   مجمع امنيتي(SA) (Security Associate )  براي حفاظت پكت ها مورد استفاده قرار مي گردد.
تنظيم دستي SA ها همواره دچار خطا و بي دقت است. از سوي ديگر كليد سري و الگوريتم هاي رمزنگاري مابين همه نقاط شبكه اختصاصي مجازي (VPN) بايد به اشتراك گذاشته شود. به خصوص براي مديران سيستم , تبادل كليد مسئله بحراني خواهد كرد. بطور مثال اينكه چطور مي توانيم تشخيص دادهيم هيچ عمليات رمزنگاري انجام نمي شود تا در آن هنگام تبادل کليد متقارن سري انجام گيرد يکي از همين مسائل است.براي حل اين مشکل پروتكل تبادل كليد اينترنت (Internet Key Exchange  ) پياده سازي شده است . اين پروتكل احراز هويت، براي نقاط نظير اولين گام خواهد بود. دومين گام ايجاد SA و كليد سري متقارن جهت انتخاب و بكارگيري كلي تبادلي ديفن هيلمن(Diffle – Hellman key exchange ) خواهد بود.پروتكلIKE براي اطمينان از محرمانگي بطور دوره اي بدقت كليد سري را دوباره دريافت مي دارد.

ستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعالستاره غیر فعال
 

آدرس : تهران - میدان ولی عصر - مرکز تجارت ایرانیان - طبقه نهم - واحد پنج

ساعت کاری بخش اداری : 9 صبح تا 7 عصر

کلاس های روز جمعه ویژه کارمندان و دوره های فشرده دایر میباشد 

phone325 3

اطلاعات-تماس