آیپیسک
 |
لحن این مقاله برای دانشنامهٔ ویکیپدیا نامناسب است. لطفا کلمات ستایشگونه و غیر ادبی و عبارات غیردانشنامهای موجود در این مقاله را بزدایید. برای راهنمایی بیشتر صفحهٔ راهنمایی برای نوشتن مقالههای بهتر را ببینید. |
| مجموعه پروتکل اینترنت | |
|---|---|
| لایه کاربرد | |
|
BGP · DHCP · DNS · FTP · GTP · HTTP · IMAP · IRC · LDAP · Megaco · MGCP · NNTP · NTP · POP · RIP · RPC · RTP · RTSP · SDP · SIP · SMTP · SNMP · SOAP · SSH · Telnet · TLS/SSL · XMPP · (بیشتر) |
|
| لایه انتقال | |
|
TCP · UDP · DCCP · SCTP · RSVP · ECN · (بیشتر) |
|
| لایه اینترنت | |
|
IP (IPv4, IPv6) · ICMP · ICMPv6 · IGMP · IPsec · (بیشتر) |
|
| لایه پیوند | |
|
ARP/InARP · NDP · OSPF · Tunnels (L2TP) · PPP · زیرلایه نظارت بر دسترسی به رسانه انتقال (اترنت, خط اشتراک دیجیتال, ISDN, FDDI) · (بیشتر) |
|
IPsec یا همان Internet Protocol security عبارت است از مجموعهای از چندین پروتکل که برای ایمن سازی پروتکل اینترنت در ارتباطات بوسیله احراز هویت و رمز گذاری در هر بسته(packet) در یک سیر داده به کار میرود. این پروتکل محصول مشترک مایکروسافت و سیسکو سیستمز میباشد که در نوع خود جالب توجه است .
محتویات |
مزایا [ویرایش]
- IPsec بر خلاف دیگر پروتکلهای امنیتی نظیر SSL، TSL، SSH که در لایه انتقال (لایه ۴) به بالا قرار دارند در لایه شبکه یا همان لایه ۳ مدل مرجع OSI کار میکند یعنی لایه که آی پی در آن قرار دارد که باعث انعطاف بیشتر این پروتکل میشود به طوری که میتواند از پروتکلهای لایه ۴ نظیر تی سی پی و یو دی پی محافظت کند.
- مزیت بعدی IPsec به نسبت بقیه پروتکلهای امنیتی نظیر اس اس ال این است که : نیازی نیست که برنامه بر طبق این پروتکل طراحی شود.
ساختار [ویرایش]
خانواده پروتکل IPSec شامل دو پروتکل است. یعنی سرآیند احراز هویت یا AH یا همان authentication header وESP هر دوی این پروتکلها از IPSec مستقل خواهد بود.
پروتکل AH [ویرایش]
بطور خلاصه پروتکل AH در واقع تأمین کننده سرویسهای امنیتی زیر خواهد بود:
- ۱.تمامیت داده ارسالی
- ۲.تصدیق هویت مبدا داده ارسالی
- ۳.رد بستههای دوباره ارسال شده
این پروتکل برای تمامیت داده ارسالی از HMAC استفاده میکند و برای انجام این کار مبنای کارش را مبتنی بر کلید سری قرار میدهد که payload پکت و بخشهایی تغییر ناپذیر سرآیند IP شبیه IP آدرس خواهد بود. بعد از اینکار این پروتکل سرآیند خودش را به آن اضافه میکند در شکل زیرسرآیندها و فیلدهای AH نمایش داده شده است.
| 0 - 7 بیت | 8 - 15 بیت | 16 - 23 بیت | 24 - 31 بیت |
|---|---|---|---|
| next header | Payload طول | رزرو | |
| Security parameters index SPI | |||
| Sequence number | |||
|
Authentication data (متغیر) |
|||
سرآیند AH،۲۴ بایت طول دارد. حال به توضیح فیلدهای این پروتکل می پردازیم.
- ۱.اولین فیلد همان Next Header میباشد. این فیلد پروتکلهای بعدی را تعیین میکند. در حالت Tunnel یک دیتاگرام کامل IP کپسوله میشود بنابراین مقدار این فیلد برابر ۴ است. وقتی که کپسوله کردن یک دیتا گرام TCP در حالت انتقال (transport mode ) باشد، مقدار این فیلد برابر ۶ خواهد شد
- ۲. فیلد payload lengthهمانطوریکه از نامش پیداست طول payload را تعیین میکند.
- ۳. فیلد Reserved از دو بایت تشکیل شده است.برای آینده در نظر گرفته شده است.
- ۴. فیلد security parameter Index یا SPI از ۳۲ بیت تشکیل شده است. این فیلد از SA تشکیل شده که جهت باز کردن پکتهای کپسوله شده بکار میرود. نهایتاً ۹۶ بیت نیز جهت نگهداری احراز هویت پیام Hash یا (HMAC) بکار میرود.
- ۵.HMAC حفاظت تمامیت دادهٔ ارسالی را برعهده دارد. زیرا فقط نقاط نظیر به نظیر از کلید سری اطلاع دارند که توسط HMAC بوجود آمده و توسط همان چک میشود. چون پروتکل HA حفاظت دیتاگرام IP شامل بخشهای تغییر ناپذیری مثل IP آدرسها نیز هست، پروتکل AH اجازه ترجمه آدرس شبکه را نمیدهد. NAT یا ترجمه آدرس شبکه در فیلد IP آدرس دیگری (که معمولاً IP آدرس بعداً میباشد) قرار میگیرد. وبه این جهت تغییر بعدی HMAC معتبر نخواهد بود. در شکل زیر حالتهای انتقال و تونل در پروتکل AH به نمایش در آمده است.همان طور که می بینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم میآورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش(Firewall) را ممکن می سازد.[۱]
پروتکل (Encapsulation Security Payload(ESP [ویرایش]
پروتکل ESP سرویسهای امنیتی زیر را ارائه میکند:
- ۱.محرمانگی
- ۲.احراز هویت مبدا داده ارسالی
- ۳.رد بستههای دوباره ارسال شده
در واقع پروتکل ESP هم امنیت تمامیت داده (سلامت دادههای ارسالی) پکت هایی که از HMAC استفاده میکنند را تامین کنید و هم محرمانگی از طریق اصول رمزنگاری (Encryption principle ) بکار گرفته شده .بعد از رمزنگاری پکت و محاسبات مربوط به HMAC، سرآیند ESP محاسبه و به پکت اضافه میشود. سرآیند ESP شامل دو بخش است که مطابق شکل زیر نمایش داده شده است.
| 0 - 7 بیت | 8 - 15 بیت | 16 - 23 بیت | 24 - 31 بیت |
|---|---|---|---|
| Security parameters index | |||
| Sequence number | |||
|
Payload data (متغیر) |
|||
| لا گذاری ( ۲۵۵-۰ بایت ) | |||
| Pad Length | Next Header | ||
|
Authentication Data (متغیر) |
|||
- ۱. اولین ۳۲ بیت سرآیند ESP همان SPI است که درSA بکار گرفته شده و جهت بازگشایی پکت کپسوله شده ESP بکار میرود.
- ۲. دومین فیلد همان شماره توالی یا Sequence Number میباشد که به جهت حفاظت از تهاجمات دادههای بازگشتی استفاده میشود.
- ۳. سومین فیلد همان بردار مقدار اولیه یا IV یا همان initial vector میباشد. این فیلد نیز برای پردازش رمزنگاری بکار میرود. الگوریتمهای رمزنگاری متقارن اگر از IV استفاده نکنند، مورد تهاجم متوالی روی پکت قرار میگیرد. IV این اطمینان را میدهد تا دو مشخصه Payload روی دو Payload رمز شده مختلف قرار گیرد.
پردازش رمزنگاری در IPSec در دو بلوک رمز (Cipher) بکار میرود. بنابراین اگر طول Payloadها تک تک باشند. Payload ، IPSecها را به شکل لایه لایه قرار میدهد. و از اینرو طول این لایهها همواره در حال اضافه شدن است. طول لایه (Pad length) ۲ بایت است.
- ۴. فیلد بعدی که همان Next header میباشد، سرآیند بعدی را مشخص میکند.
- ۵. این پروتکل HMAC است که مانند پروتکل HA از تمامیت و سلامت دادههای ارسالی حفاظت میکند. فقط این سرآیند است که میتواند به Payload اعتبار دهد. سرآیند IP شامل پروسه محاسبه نمیباشد.
NAT هیچ ارتباطی به کار ESP ندارد و این بخش هنوز هم ممکن است بخشی از IPSec باشد و با آن ترکیب گردد. برگردان نشانی شبکه پیمایشی (NAT-Traversal ) راه حلی است در کپسوله کردن پکتهای ESP به همراه پکتهای UDP. در شکل زیر حالتهای انتقال و تونل در پروتکلESP به نمایش در آمده است.
همان طور که می بینید این پروتکل در این دو حالت ارتباط امن بین دو نقطه انتهائی که در دو شبکه مجزا قرار دارند را فراهم میآورد، همچنین ارتباط امن بین دو نقطه در یک شبکه داخلی و یک نقطه انتهائی و یک مسیر یاب یا حفاظ دیواره آتش (Firewall) را ممکن می سازد.[۲]
