آریا شبکه پیشرو
LOADING
image desc

IPSec چیست؟

دسته بندی :

IPsec مخفف Internet Protocol Security است. بسته‌های IP که از طریق رسانه انتقال منتقل می‌شوند حاوی داده‌ها به صورت متن ساده هستند. این اطمینان می‌دهد که هر کسی که بسته‌های IP را مشاهده می‌کند می‌تواند به بسته‌های IP دسترسی داشته باشد و داده‌ها را بخواند. برای غلبه بر این مشکل و ایمن سازی بسته‌های IP ، IPsec وارد تصویر می‌شود.

ایده پشت IPSec رمزگذاری و مهر و موم کردن داده‌های لایه انتقال و برنامه در حین انتقال است. همچنین محافظت از یکپارچگی لایه اینترنت را ارائه می‌دهد. هدر اینترنت خود رمزگذاری نمی‌شود ، به همین دلیل روترهای میانی می‌توانند پیام‌های رمزگذاری شده IPSec را به گیرنده مورد نظر تحویل دهند. لایه IPSec بین لایه انتقال و لایه اینترنت قرار دارد.

پروتکل های IPSec

بسته‌های IP از دو قسمت تشکیل شده است که یک عنوان سربرگ IP است و بخش دوم داده‌های واقعی است. این ویژگی‌ها در قالب سرفصل‌های IP اضافی که به عنوان سرفصل‌های استاندارد ، استاندارد IP پیش فرض نامیده می‌شوند ، پیاده سازی می‌شوند. این سرفصل‌های IP افزودنی باید از سرصفحه‌های IP استاندارد پیروی کند. امنیت IP دو سرویس اصلی ارائه می‌دهد که یکی احراز هویت و دیگری محرمانه بودن است که هریک از آنها به سربرگ‌های افزونه مخصوص خود نیاز دارد. برای پشتیبانی از این IPSec از دو سرفصل افزودنی IP پشتیبانی می‌شود ، یکی برای احراز هویت و دیگری برای محرمانه بودن.

1. پروتکل هدر احراز هویت

پروتکل هدر احراز هویت یکپارچگی ، احراز هویت و خدمات ضد پخش را ارائه می‌دهد. سرصفحه احراز هویت IPSec یک سرصفحه در بسته IP است که شامل یک چک چک رمزنگاری شده برای محتویات بسته است. این هدر احراز هویت بین سرصفحه IP و هر محتوای بسته بعدی قرار می‌گیرد. نیازی به تغییر در محتویات داده بسته نیست ، بنابراین امنیت به طور کامل در محتویات هدر احراز هویت وجود دارد.

2. پروتکل ESP

پروتکل ESP مخفف Encapsulating Security Payload Protocol است. محرمانگی داده‌ها را ارائه می‌دهد. Encapsulating Security Payload Protocol همچنین هدر جدیدی را که باید در بسته IP وارد شود ، تعریف می‌کند. پروتکل ESP همچنین داده‌های محافظت شده را به فرمت رمزگذاری شده یعنی فرمت غیرقابل خواندن تبدیل می‌کند. در شرایط عادی ، پروتکل Encapsulating Security Payload درون هدر احراز هویت قرار می‌گیرد . این بدان معناست که ابتدا رمزگذاری و احراز هویت را انجام می‌دهد .

هنگامی که گیرنده بسته IP را که توسط IPSec پردازش می‌شود دریافت می‌کند ، گیرنده ابتدا هدر احراز هویت را در صورت وجود پردازش می‌کند. بر اساس نتیجه این امر ، گیرنده تصمیم می‌گیرد که آیا محتویات بسته درست است یا خیر ، آیا داده‌ها در حین ارسال تغییر کرده یا خیر. اگر گیرنده محتویات را قابل قبول بداند ، کلید و الگوریتم‌های مرتبط با Encapsulating Security Payload را استخراج کرده و محتویات را رمزگشایی می‌کند.

حالت های عملکرد

هدر احراز هویت و Encapsulating Security Payload را می توان در یکی از دو گره استفاده کرد. دو گره عبارتند از - حالت تونل و حالت حمل و نقل.

1. حالت تونل

در حالت تونل ، یک تونل رمزگذاری شده بین دو میزبان ایجاد می‌شود. فرض کنید A و B دو میزبان هستند و می‌خواهند با استفاده از حالت تونل IPsec با یکدیگر ارتباط برقرار کنند. ابتدا ، آنها پروکسی‌های مربوطه را می‌گویند ، مثلاً Pro1 و Pro2 و تونل رمزگذاری شده منطقی بین این دو پروکسی ایجاد می‌شود. A پیام خود را به Pro1 ارسال می‌کند و تونل این پیام را به Pro2 منتقل می‌کند. Pro2 این پیام ارسال شده توسط A به B. را در حالت تونل ، از کل دیتاگرام IP محافظت می‌کند. این عنوان و تریلر IPSec را به دیتاگرام Iap اضافه می‌کند و کل را رمزگذاری می‌کند. سپس یک سربرگ IP جدید به این دیتاگرام رمزگذاری شده اضافه می‌کند.

2. حالت حمل و نقل

در حالت حمل و نقل ، آدرس مبدا و آدرس مقصد در حین انتقال پنهان نمی‌شوند. آنها به صورت متن ساده هستند ، یعنی هر کسی می‌تواند آن را بخواند. در حالت حمل و نقل ، بار حمل و نقل لایه را می‌گیرد و سرآیند و تریلر IPSec را اضافه می‌کند و سپس آنها را به طور کلی رمزگذاری می‌کند. پس از آن هدر IP را اضافه می‌کند ، بنابراین هدر IP رمزگذاری نمی‌شود.

برنامه های کاربردی IPSec

1.ایمن دسترسی به اینترنت از راه دور:  با امنیت IP ، ما می‌توانیم با IPS (ارائه دهنده خدمات اینترنت) خود تماس بگیریم تا به صورت ایمن به شبکه سازمان خود متصل شویم. ما همچنین می‌توانیم به امکانات شبکه شرکتی یا سرورها/رایانه‌های رومیزی از راه دور دسترسی داشته باشیم.

2. برقراری ارتباط با سایر سازمانها: از  آنجا که امنیت IP امکان برقراری ارتباط بین شاخه‌های مختلف سازمان را فراهم می‌آورد ، می‌توان از آن برای اتصال ایمن شبکه‌های سازمان‌های مختلف نیز استفاده کرد.

3. اتصال به شعبه امن:  این امکان را به سازمان می‌دهد تا IPSec را فعال کند که شبکه را قادر می‌سازد تمام شعب خود را از طریق اینترنت به طور ایمن متصل کند. این ویژگی هزینه سازمانی را که برای اتصال شعب سازمان در شهرها یا کشورها نیاز دارد ، کاهش می‌دهد.

مزایا

مزایا به شرح زیر است.

  •  این اجازه می‌دهد تا سفرهای سریع دسترسی ایمن به شبکه شرکتی داشته باشید.
  • این امکان ایجاد ارتباط متقابل بین شاخه‌های سازمان را به صورت امن و ارزان فراهم می‌کند.
  • در لایه شبکه کار می‌کند ، بنابراین نیازی به تغییر در لایه‌های بالایی یعنی لایه برنامه و لایه حمل نیست.
  •  این برای کاربران نهایی شفاف است. نیازی به آموزش کاربر ، صدور کلید و لغو نیست.
  •  همچنین در دیوار آتش برای محافظت از ترافیک ورودی و خروجی استفاده می‌شود.
  • هنگامی که امنیت IP برای کار با فایروال پیکربندی می‌شود ، تنها یک نقطه ورود و خروج برای همه ترافیک می‌شود تا امنیت بیشتری داشته باشد.