مقدمه ای بر IP Sec

این پروتکل برای این منظور طراحی شده که بتواند بسته(Packet) ‌های اطلاعاتی TCP/IP را توسط کلید عمومی رمز کند تا در طول مسیر، امکان استفاده غیر مجاز از آنها وجود نداشته باشدIP Security . یاIPSec  رشته‌ای از پروتکلهاست که برای ایجاد VPN  مورد استفاده قرار می‌گیرند.

مطابق با تعریف IETF (Internet Engineering Task Force)  پروتکل IPSec  به این شکل تعریف می‌شود:
یک پروتکل امنیتی در لایه شبکه تولید خواهد شد تا خدمات امنیتی رمزنگاری را تامین کند. خدماتی که به‌صورت منطقی به پشتیبانی ترکیبی از تایید هویت، جامعیت، کنترل دسترسی و محرمانگی بپردازد.

در بیشتر سناریوهای مورد استفاده، IPSec به شما امکان می‌دهد تا یک تونل رمزشده را بین دو شبکه خصوصی ایجاد کنید.

همچنین امکان تایید هویت دو سر تونل را نیز برای شما فراهم می‌آورد. اما IPSec تنها به ترافیک مبتنی بر IP اجازه بسته‌بندی و رمزنگاری می‌دهد و درصورتی که ترافیک غیر از IP نیز در شبکه وجود داشته باشد، باید از پروتکل دیگری مانندGRE  در کنار IPSec استفاده کردIPSec . به استانداردی برای ساخت VPN تبدیل شده است. بسیاری از فروشندگان تجهیزات شبکه، IPSec را پیاده‌سازی کرده‌اند و لذا امکان کار با انواع مختلف تجهیزات از شرکت‌های مختلف، IPSec را به یک انتخاب خوب برای ساخت VPN مبدل کرده است.

انواع IPSec VPN

شیوه‌های مختلفی برای دسته‌بندی IPSec VPN وجود دارد اما از نظر طراحی، IPSec برای حل دو مساله مورد استفاده قرار می‌گیرد:

1- اتصال یکپارچه دو شبکه خصوصی و ایجاد یک شبکه مجازی خصوصی‌

2- توسعه یک شبکه خصوصی برای دسترسی کاربران از راه دور به آن شبکه به‌عنوان بخشی از شبکه امن.

بر همین اساس، IPSec VPN ها را نیز می‌توان به دو دسته اصلی تقسیم کرد:

1- پیاده‌سازیLAN-to-LAN IPSec

این عبارت معمولا برای توصیف یک تونل IPSec بین دو شبکه محلی به‌کار می‌رود. در این حالت دو شبکه محلی با کمک تونل IPSec و از طریق یک شبکه عمومی با هم ارتباط برقرار می‌کنند به‌گونه‌ای که کاربران هر شبکه محلی به منابع شبکه محلی دیگر، به‌عنوان عضوی از آن شبکه، دسترسی دارندIPSec . به شما امکان می‌دهد که تعریف کنید چه داده‌ای و چگونه باید رمزنگاری شود.

2- پیاده‌سازیRemote-Access Client IPSec

این نوع ازVPNها زمانی ایجاد می‌شوند که یک کاربر از راه دور و با استفاده ازIPSec client  نصب شده بر روی رایانه‌اش، به یک روترIPSec یا Access server  متصل می‌شود.

معمولا این رایانه‌های دسترسی از راه دور به یک شبکه عمومی یا اینترنت و با کمک روشDialup  یا روش‌های مشابه متصل می‌شوند. زمانی که این رایانه به اینترنت یا شبکه عمومی متصل می‌شود، IPSec‌ client  موجود بر روی آن می‌تواند یک تونل رمز شده را روی شبکه عمومی ایجاد کند که مقصد آن یک دستگاه پایانیIPSec ، مانند یک روتر، که بر لبه شبکه خصوصی مورد نظر که کاربر قصد ورود به آن را دارد، باشد. در روش اول تعداد پایانه هایIPSec محدود است اما با کمک روش دوم می‌توان تعداد پایانه‌ها را به ده‌ها هزار رسانید که برای پیاده سازی‌های بزرگ مناسب است.

ساختارIPSec

IPSec برای ایجاد یک بستر امن یکپارچه، سه پروتکل را با هم ترکیب می‌کند:

1- پروتکل مبادله کلید اینترنتی Internet Key Exchange)  یا(IKE

این پروتکل مسوول تبادل مشخصه‌های تونل IPSec بین دو طرف است. وظایف این پروتکل عبارتند از:

- طی کردن پارامترهای پروتکل‌

 - مبادله کلیدهای عمومی‌

 - تایید هویت هر دو طرف‌

 - مدیریت کلیدها پس از مبادله‌

IKE مشکل پیاده‌سازی‌های دستی و غیرقابل تغییر IPSec را با خودکار کردن کل پردازه مبادله کلید حل می‌کند. این امر یکی از نیازهای حیاتی IPSec است IKE . خود از سه پروتکل تشکیل می‌شود:

SKEME: مکانیزمی را برای استفاده از رمزنگاری کلید عمومی در جهت تایید هویت تامین می‌کند.

Oakley :مکانیزم مبتنی بر حالتی را برای رسیدن به یک کلید رمزنگاری، بین دو پایانه IPSec تامین می‌کند.

ISAKMP :معماری تبادل پیغام را شامل قالب بسته‌ها و حالت گذار تعریف می‌کند.

IKE به‌عنوان استاندارد 2409 RFCتعریف شده است. با وجودی که  IKE  کارایی و عملکرد خوبی را برای IPSec تامین می‌کند، اما برخی کمبودها در ساختار آن باعث شده است تا پیاده‌سازی آن مشکل باشد، لذا سعی شده است تا تغییراتی در آن اعمال شود و استاندارد جدیدی ارایه شود که 2 IKE v نام خواهد داشت.

2-پروتکل Encapsulating SecurityPayload یاESP

این پروتکل امکان رمزنگاری، تایید هویت و تامین امنیت داده را فراهم می‌کند.

3- پروتکل سرآیند تایید هویت(Authentication Header)  یاAH)

این پروتکل برای تایید هویت و تامین امنیت داده به‌کار می‌رود.

بهروز کمالیان‌