پروتکل IPsec

پروتکل IPsec یک مجموعه پروتکل است که امنیت ارتباطات پروتکل اینترنت (IP) را توسط عملیات احراز هویت و رمزنگاری برای هر بسته IP در یک نشست ارتباطی تامین می کند. IPsec همچنین شامل پروتکل هایی می شود که برای برقراری یک ارتباط دوطرفه بین عامل ها در ابتدای نشست و مذاکره در مورد کلیدهای رمزنگاری برای استفاده در مدت زمان نشست، استفاده می شوند.

پروتکل IPsec اساسا راهی است که امنیت داده هایی را که در یک شبکه بین کامپیوترها منتقل می شوند، تضمین می کند. IPsec تنها یکی از قابلیت های ویندوز نیست، پیاده سازی ویندوزی IPsec بر اساس استانداردهای توسعه یافته توسط نیروی وظیفه مهندسی اینترنت (IETF) بنا شده است.

پروتکل IPsec در لایه اینترنت از مدل لایه ای پروتکل اینترنت کار می کند. IPsec می تواند از جریان های داده مابین میزبان ها (میزبان به میزبان)، مابین گذرگاه های امنیتی (شبکه به شبکه) یا مابین یک گذرگاه امنیتی به یک میزبان، پشتیبانی کند.

تعدادی از سیستم های امنیتی اینترنتی دیگر که به صورت گسترده کاربرد دارند، مانند لایه سوکت امن (SSL)، لایه امنیت انتقال (TLS) و پوسته امن (SSH) در لایه های بالایی از مدل TCP/IP کار می کنند. درصورتیکه IPsec هر نوع ترافیک در سراسر شبکه های مبتنی بر IP را پشتیبانی می کند. اگر ترافیکی غیر از IP در شبکه وجود داشته باشد، باید از پروتکل دیگری مانند GRE در کنار IPSec استفاده کرد.  

پروتکل IPSec توسط سرویس های زیر، امنیت داده های ارسال شده بین دو آدرس IP در شبکه را تامین می کند:

• احراز هویت داده

شناسایی مبداء داده: شما می توانید از IPsec استفاده کنید تا تضمین کند که هر بسته ای که از یک طرف قابل اعتماد دریافت کردید، در واقع توسط همان مبداء ارسال شده است و جعلی و دستکاری شده نیست.

تمامیت داده: شما می توانید از IPsec استفاده کنید تا تضمین کند که داده ها در زمان انتقال تغییر نمی کنند.

حفاظت ضد بازپخش: شما می توانید از IPsec استفاده کنید تا بررسی کند که هر بسته ای که دریافت می کنید یکتا است و کپی برداری نشده است.

• رمزگذاری

شما می توانید از IPsec به منظور رمزگذاری داده ها در شبکه استفاده کنید تا برای سوء استفاده کنندگان قابل دسترسی نبوده و در طول مسیر، امکان استفاده غیر مجاز از آنها وجود نداشته باشد.

به بیان دیگر، کامپیوتر مبداء بسته اطلاعاتی TCP/IP عادی را به صورت یک بسته اطلاعاتی IPSec بسته بندیمی کند و برای کامپیوتر مقصد ارسال می کند. این بستهتا زمانی که به مقصد برسد رمز شده است و طبیعتا کسی نمی تواند از محتوای آنهااطلاعاتی به دست آورد.

در ویندوز سرور 2008 و ویندوز ویستا، IPsec یک اجبار است که باید به وسیله سیاست های IPsec و یا قوانین امنیت ارتباط، اعمال گردد. سیاست های IPsec که به صورت پیش فرض روی سیستم ها وجود دارد، تنها بر روی سرویس های احراز هویت مذاکره می کنند. اگر چه شما می توانید با استفاده از سیاست های IPsec و یا قوانین ارتباط امن، تنظیماتی را به سیستم اعمال نمایید تا هر ترکیبی از سرویس های امنیت داده را فراهم کند.

 

 معماری امنیتی

IPSec یک استاندارد باز است. پروتکل IPsec از پروتکل های زیر برای تامین امنیت داده ها در شبکه استفاده می کند.

سرآیند احراز هویت (AH): این پروتکل تمامیت و احراز هویت مبداء داده ها را برای بسته های داده IP فراهم کرده و از داده ها در مقابل حملات پخشی محافظت می کند.

بسته بندی امن داده (ESP): این پروتکل، محرمانگی، احراز هویت مبدأ داده ها، تمامیت و یک سرویس ضد بازپخشی را ارائه می نماید.

مدیریت امنیت (SA): یک مجموعه از الگوریتم ها و داده ها ارائه می دهد که این مجموعه، پارامترهای ضروری برای مدیریت کردن عملکرد پروتکل AH و/یا پروتکل ESP را فراهم می کند. پروتکل ISAKMP، یک چهارچوب برای عملیات احراز هویت و تبادل کلید ارائه می دهد، که در واقع این کلیدها یا به وسیله تنظیم دستی توسط کلیدهایی که از پیش به اشتراک گذاشته شده اند و یا از طریق Internet Key Exchange (IKE) تهیه می گردند.

مدهای عملیاتی

پروتکل IPsec می تواند برای روش انتقال میزبان به میزبان و روش تونل شبکه مورد استفاده قرار گیرد.

مد انتقالی:

در این مد، معمولا تنها اطلاعاتی که به صورت بسته های IP ارسال می شوند، رمزنگاری و/یا احراز هویت می گردند. عملیات مسیریابی بدون تغییر باقی می ماند، چرا که سرآیند بستهIP  تغییر نکرده و رمز نشده است. هرچند هنگامی که از سرآیند احراز هویت استفاده می شود، آدرس های IP قابل ترجمه نیستند، زیرا توسط الگوریتم درهم سازی اطلاعات آن رمزنگاری می شود. لایه های انتقال و کاربرد همیشه توسط الگوریتم درهم سازی امن می شوند، در نتیجه تحت هیچ شرایطی نمی توان اطلاعات آنها را تغییر داد. مد انتقال برای ارتباطات میزبان به میزبان استفاده می شود.

مد تونل شبکه:

در این مد، کل بسته IP رمزنگاری و/یا احراز هویت می شود. سپس درون بسته دیگری بسته بندی شده و یک سرآیند جدید می گیرد. این مد برای ایجاد شبکه های خصوصی مجازی برای ارتباطات شبکه به شبکه، ارتباطات میزبان به شبکه و ارتباطات میزبان به میزبان استفاده می شود. این مد، پیمایش NAT را پشتیبانی می کند.

شما می توانید با دادن یک سری دستورالعمل ها به ویندوز، این سیستم عامل را تعلیم دهید که تحت چه شرایطی از IPSec استفاده کند. تحت این شرایط شما در واقع مشخص می کنید که ترافیک کدام گروه از IP ها باید توسط IPSec انجام شود و کدامیک نشود.  IPSecبه شما امکان می دهد که تعریف کنید چه داده ای و چگونه باید رمزگذاری شود. برای این منظور معمولا" از روش فیلتر کردن IP استفاده می شود. فهرست خاصی از IP های فیلتر شده که شما تهیه می کنید، می تواند مرجعی برای استفاده از پروتکل IPSec برای ویندوز باشد.