IP security چیست؟
IP security چیست؟
IP security یا IP sec رشته ایی از پروتکل هاست که برای ایجاد VPN مورد استفاده قرار می گیرند. مطابق با تعریف IETF ) internet engineering task force) پروتکل IP sec به این شکل تعریف می شود:
یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند. خدماتی که به صورت منعطفی به پشتیبانی ترکیبی از تایید هویت، جامعیت، کنترل دسترسی و محرمانگی بپردازد. در اکثر سناریوها مورد استفاده، IP sec به شما امکان می دهد تا یک تونل رمز شده را بین دو شبکه خصوصی ایجاد کنید. همچنین امکان تایید هویت دو سر تونل را نیز برای شما فراهم می کند.اما IP sec تنها به ترافیک مبتنی بر IP اجازه بسته بندی و روز نگاری می دهد و در صورتی که ترافیک غیر IP نیز در شبکه وجود داشته باشد، باید از پروتکل دیگری مانند GRE در کنار IP sec استفاده کرد. IP sec به استاندارد de facto در صنعت برای ساخت VPN تبدیل شده است. بسیاری از فروشندگان تجهیزات شبکه، IP sec را پیاده سازی کرده اند و لذا امکان کار با انواع مختلف تجهیزات از شرکتهای مختلف، IP sec را به یک انتخاب خوب برای ساخت VPN مبدل کرده است.
انواع VPN و IP sec :
شیوه های مختلف برای دسته بندی IP sec VPN وجود دارد اما از نظر طراحی ، IP sec برای دو ممسئله مورد استفاده قرار می گیرد:
1) اتصال یکپارچه دو شبکه خصوصی و ایجاد یک شبکه خصوصی مجازی
2) توسعا یک شبکه خصوصی برای دسترسی کاربران از راه دوربه آن شبکه به عنوان بخشی از شبکه امن
بر همین اساس VPN IP sec را می توان به دو دسته اصلی تقسیم کرد:
1. پیاده سازی LAN-to-LAN IP sec
این عبارت معمولا برای توصیف یک تونل IP sec بین دو شبکه محلی به کار می رود. در این حالت دو شبکه محلی با کمک تونل IP sec و از طریق یک شبکه محلی با کمک تونل IP sec و ازطرسق یک شبکه عمومی باهم ارتباط برقرار می کنند به گونه ایی که کاربران هر شبکه محلی به منابع شبکه محلی دیگر، به عنوان عضوی از آن شبکه، دسترسی دارند. IP sec به شما امکان می دهد که تعریف کنید چه داده ایی و چگونه باید رمزنگاری شود.
2. پیاده سازی Remote-Access Client IP sec
این نوع از VPN ها زمانی ایجاد می شوند که یک کاربر از راه دور و با استفاده از IP sec client نصب شده بر روی رایانه اش، به یک روتر IP sec یا Access server متصل می شود.معمولا این رایانه های دسترسی از راه دور به یک شبکه عمومی یا اینترنت و با کمک روش Dialup یا روش های مشابه متصل می شوند. زمانی که این رایانه به اینترنت یا شبکه عمومی متصل می شود، IP sec client موجود بر روی آن می تواند یک تونل رمز شده را بر روی شبکه عمومی ایجاد کند که مقصد آن یک دستگاه پایانی IP sec ، مانند یک روتر، که بر لبه شبکه خصوصی موردنظر که کاربر قصد ورود به آن را دارد، باشد.
در روش اول تعداد پایانه های IP sec محدود است اما با کمک روش دوم می توان تعداد پایانه ها را به ده ها هزار رساند که برای پیاده سازی های بزرگ مناسب است.
ساختار IP sec :
IP sec برای ایجاد یک بستر امن یکپارچه، سه پروتکل را با هم ترکیب می کند:
1. پروتکل مبادله اینترنتی (Internet Key Exchange یا IKE )
این پروتکل مسئول طی کردن مشخصه های تونل IP sec بین دو طرف است. وظایف این پروتکل عبارتند از:
· طی کردن پارامترهای پروتکل
· مبادله کلیدهای عمومی
· تایید هویت هر دو طرف
· مدیریت کلیدها پس از مبادله
مشکل پیاده سازی های دستی و غیر قابل تغییر IP sec را با خودکار کردن کل پردازه مبادله کلید حل می کند. این امر یکی از نیازهای حیاتی IP sec است. IKE خود از سه پروتکل تشکیل می شود:
• SKEME : مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تایید هویت تامین می کند.
• Oakley : مکانیزمی مبتنی بر حالتی را برای رسیدن به یک کلید رمزنگاری، بین دو پایانه IP sec تامین می کند.
• ISAKMP : معماری تبادل پیغام را شامل قالب بسته ها و حالت گذار تعریف می کند.
به عنوان استاندارد RFC 2409 تعریف شده است. با وجودی که IKE کارایی و عملکرد خوبی را برای IP sec تامین می کند، اما بعضی کمبودها در ساختار آن باعث شده است تا پیاده سازی آن مشکل باشد، لذا سعی شده است تا تغییراتی در آن اعمال شود و استاندارد جدیدی ارائه شود که IKE v2 نام خواهد داشت.
2. پروتکل Encapsulating Security Payload یا ESP
این پروتکل امکان رمزنگاری، تایید هویت و تامین امنیت داده را فراهم می کند.
3. پروتکل سرآیند تایید هویت (Authentication Header یا Ah)
این پروتکل برای تایید هویت و تامین امنیت داده به کار می رود.