IPSec چیست؟
IPsec مخفف Internet Protocol Security است. بستههای IP که از طریق رسانه انتقال منتقل میشوند حاوی دادهها به صورت متن ساده هستند. این اطمینان میدهد که هر کسی که بستههای IP را مشاهده میکند میتواند به بستههای IP دسترسی داشته باشد و دادهها را بخواند. برای غلبه بر این مشکل و ایمن سازی بستههای IP ، IPsec وارد تصویر میشود.
ایده پشت IPSec رمزگذاری و مهر و موم کردن دادههای لایه انتقال و برنامه در حین انتقال است. همچنین محافظت از یکپارچگی لایه اینترنت را ارائه میدهد. هدر اینترنت خود رمزگذاری نمیشود ، به همین دلیل روترهای میانی میتوانند پیامهای رمزگذاری شده IPSec را به گیرنده مورد نظر تحویل دهند. لایه IPSec بین لایه انتقال و لایه اینترنت قرار دارد.
پروتکل های IPSec
بستههای IP از دو قسمت تشکیل شده است که یک عنوان سربرگ IP است و بخش دوم دادههای واقعی است. این ویژگیها در قالب سرفصلهای IP اضافی که به عنوان سرفصلهای استاندارد ، استاندارد IP پیش فرض نامیده میشوند ، پیاده سازی میشوند. این سرفصلهای IP افزودنی باید از سرصفحههای IP استاندارد پیروی کند. امنیت IP دو سرویس اصلی ارائه میدهد که یکی احراز هویت و دیگری محرمانه بودن است که هریک از آنها به سربرگهای افزونه مخصوص خود نیاز دارد. برای پشتیبانی از این IPSec از دو سرفصل افزودنی IP پشتیبانی میشود ، یکی برای احراز هویت و دیگری برای محرمانه بودن.
1. پروتکل هدر احراز هویت
پروتکل هدر احراز هویت یکپارچگی ، احراز هویت و خدمات ضد پخش را ارائه میدهد. سرصفحه احراز هویت IPSec یک سرصفحه در بسته IP است که شامل یک چک چک رمزنگاری شده برای محتویات بسته است. این هدر احراز هویت بین سرصفحه IP و هر محتوای بسته بعدی قرار میگیرد. نیازی به تغییر در محتویات داده بسته نیست ، بنابراین امنیت به طور کامل در محتویات هدر احراز هویت وجود دارد.
2. پروتکل ESP
پروتکل ESP مخفف Encapsulating Security Payload Protocol است. محرمانگی دادهها را ارائه میدهد. Encapsulating Security Payload Protocol همچنین هدر جدیدی را که باید در بسته IP وارد شود ، تعریف میکند. پروتکل ESP همچنین دادههای محافظت شده را به فرمت رمزگذاری شده یعنی فرمت غیرقابل خواندن تبدیل میکند. در شرایط عادی ، پروتکل Encapsulating Security Payload درون هدر احراز هویت قرار میگیرد . این بدان معناست که ابتدا رمزگذاری و احراز هویت را انجام میدهد .
هنگامی که گیرنده بسته IP را که توسط IPSec پردازش میشود دریافت میکند ، گیرنده ابتدا هدر احراز هویت را در صورت وجود پردازش میکند. بر اساس نتیجه این امر ، گیرنده تصمیم میگیرد که آیا محتویات بسته درست است یا خیر ، آیا دادهها در حین ارسال تغییر کرده یا خیر. اگر گیرنده محتویات را قابل قبول بداند ، کلید و الگوریتمهای مرتبط با Encapsulating Security Payload را استخراج کرده و محتویات را رمزگشایی میکند.
حالت های عملکرد
هدر احراز هویت و Encapsulating Security Payload را می توان در یکی از دو گره استفاده کرد. دو گره عبارتند از - حالت تونل و حالت حمل و نقل.
1. حالت تونل
در حالت تونل ، یک تونل رمزگذاری شده بین دو میزبان ایجاد میشود. فرض کنید A و B دو میزبان هستند و میخواهند با استفاده از حالت تونل IPsec با یکدیگر ارتباط برقرار کنند. ابتدا ، آنها پروکسیهای مربوطه را میگویند ، مثلاً Pro1 و Pro2 و تونل رمزگذاری شده منطقی بین این دو پروکسی ایجاد میشود. A پیام خود را به Pro1 ارسال میکند و تونل این پیام را به Pro2 منتقل میکند. Pro2 این پیام ارسال شده توسط A به B. را در حالت تونل ، از کل دیتاگرام IP محافظت میکند. این عنوان و تریلر IPSec را به دیتاگرام Iap اضافه میکند و کل را رمزگذاری میکند. سپس یک سربرگ IP جدید به این دیتاگرام رمزگذاری شده اضافه میکند.
2. حالت حمل و نقل
در حالت حمل و نقل ، آدرس مبدا و آدرس مقصد در حین انتقال پنهان نمیشوند. آنها به صورت متن ساده هستند ، یعنی هر کسی میتواند آن را بخواند. در حالت حمل و نقل ، بار حمل و نقل لایه را میگیرد و سرآیند و تریلر IPSec را اضافه میکند و سپس آنها را به طور کلی رمزگذاری میکند. پس از آن هدر IP را اضافه میکند ، بنابراین هدر IP رمزگذاری نمیشود.
برنامه های کاربردی IPSec
1.ایمن دسترسی به اینترنت از راه دور: با امنیت IP ، ما میتوانیم با IPS (ارائه دهنده خدمات اینترنت) خود تماس بگیریم تا به صورت ایمن به شبکه سازمان خود متصل شویم. ما همچنین میتوانیم به امکانات شبکه شرکتی یا سرورها/رایانههای رومیزی از راه دور دسترسی داشته باشیم.
2. برقراری ارتباط با سایر سازمانها: از آنجا که امنیت IP امکان برقراری ارتباط بین شاخههای مختلف سازمان را فراهم میآورد ، میتوان از آن برای اتصال ایمن شبکههای سازمانهای مختلف نیز استفاده کرد.
3. اتصال به شعبه امن: این امکان را به سازمان میدهد تا IPSec را فعال کند که شبکه را قادر میسازد تمام شعب خود را از طریق اینترنت به طور ایمن متصل کند. این ویژگی هزینه سازمانی را که برای اتصال شعب سازمان در شهرها یا کشورها نیاز دارد ، کاهش میدهد.
مزایا
مزایا به شرح زیر است.
- این اجازه میدهد تا سفرهای سریع دسترسی ایمن به شبکه شرکتی داشته باشید.
- این امکان ایجاد ارتباط متقابل بین شاخههای سازمان را به صورت امن و ارزان فراهم میکند.
- در لایه شبکه کار میکند ، بنابراین نیازی به تغییر در لایههای بالایی یعنی لایه برنامه و لایه حمل نیست.
- این برای کاربران نهایی شفاف است. نیازی به آموزش کاربر ، صدور کلید و لغو نیست.
- همچنین در دیوار آتش برای محافظت از ترافیک ورودی و خروجی استفاده میشود.
- هنگامی که امنیت IP برای کار با فایروال پیکربندی میشود ، تنها یک نقطه ورود و خروج برای همه ترافیک میشود تا امنیت بیشتری داشته باشد.