پروتكل IPsec

IRCAR201110118
پروتكل IPsec يك مجموعه پروتكل است كه امنيت ارتباطات پروتكل اينترنت (IP) را توسط عمليات احراز هويت و رمزنگاري براي هر بسته IP در يك نشست ارتباطي تامين مي­كند. IPsec همچنين شامل پروتكل­هايي مي­شود كه براي برقراري يك ارتباط دوطرفه بين عامل­ها در ابتداي نشست و مذاكره در مورد كليدهاي رمزنگاري براي استفاده در مدت زمان نشست، استفاده مي­شوند.
پروتكل IPsec اساسا راهي است كه امنيت داده هايي را كه در يك شبكه بين كامپيوترها منتقل مي­شوند، تضمين مي­كند. IPsec تنها يكي از قابليت­هاي ويندوز نيست، پياده سازي ويندوزي IPsec بر اساس استانداردهاي توسعه يافته توسط نيروي وظيفه مهندسي اينترنت (IETF) بنا شده است.
پروتكل IPsec در لايه اينترنت از مدل لايه اي پروتكل اينترنت كار مي­كند. IPsec مي­تواند از جريان­هاي داده مابين ميزبان­ها (ميزبان به ميزبان)، مابين گذرگاه­هاي امنيتي (شبكه به شبكه) يا مابين يك گذرگاه امنيتي به يك ميزبان، پشتيباني كند.
تعدادي از سيستم­هاي امنيتي اينترنتي ديگر كه به صورت گسترده كاربرد دارند، مانند لايه سوكت امن (SSL)، لايه امنيت انتقال (TLS) و پوسته امن (SSH) در لايه هاي بالايي از مدل TCP/IP كار مي­كنند. درصورتيكه IPsec هر نوع ترافيك در سراسر شبكه هاي مبتني بر IP را پشتيباني مي­كند. اگر ترافيكي غير از IP در شبكه وجود داشته باشد، بايد از پروتكل ديگري مانند GRE در كنار IPSec استفاده كرد.
پروتكل IPSec توسط سرويس­هاي زير، امنيت داده هاي ارسال شده بين دو آدرس IP در شبكه را تامين مي­كند:

احراز هويت داده
شناسايي مبداء داده: شما مي­توانيد از IPsec استفاده كنيد تا تضمين كند كه هر بسته اي كه از يك طرف قابل اعتماد دريافت كرديد، در واقع توسط همان مبداء ارسال شده است و جعلي و دستكاري شده نيست.
تماميت داده: شما مي توانيد از IPsec استفاده كنيد تا تضمين كند كه داده ها در زمان انتقال تغيير نمي­كنند.
حفاظت ضد بازپخش: شما مي توانيد از IPsec استفاده كنيد تا بررسي كند كه هر بسته اي كه دريافت مي­كنيد يكتا است و كپي برداري نشده است.

رمزگذاري
شما مي­توانيد از IPsec به منظور رمزگذاري داده ها در شبكه استفاده كنيد تا براي سوء استفاده كنندگان قابل دسترسي نبوده و در طول مسير، امكان استفاده غير مجاز از آنها وجود نداشته باشد.
به بيان ديگر، كامپيوتر مبداء بسته اطلاعاتي TCP/IP عادي را به صورت يك بسته اطلاعاتي IPSec بسته بنديمي­كند و براي كامپيوتر مقصد ارسال مي­كند. اين بستهتا زماني كه به مقصد برسد رمز شده است و طبيعتا كسي نمي تواند از محتواي آنهااطلاعاتي به دست آورد.
در ويندوز سرور 2008 و ويندوز ويستا، IPsec يك اجبار است كه بايد به وسيله سياست­هاي IPsec و يا قوانين امنيت ارتباط، اعمال گردد. سياست­هاي IPsec كه به صورت پيش فرض روي سيستم­ها وجود دارد، تنها بر روي سرويس­هاي احراز هويت مذاكره مي­كنند. اگر چه شما مي­توانيد با استفاده از سياست­هاي IPsec و يا قوانين ارتباط امن، تنظيماتي را به سيستم اعمال نماييد تا هر تركيبي از سرويس­هاي امنيت داده را فراهم كند.

معماري امنيتي
IPSec يك استاندارد باز است. پروتكل IPsec از پروتكل­هاي زير براي تامين امنيت داده ها در شبكه استفاده مي­كند.
سرآيند احراز هويت (AH): اين پروتكل تماميت و احراز هويت مبداء داده ها را براي بسته هاي داده IP فراهم كرده و از داده ها در مقابل حملات پخشي محافظت مي­كند.
بسته بندي امن داده (ESP): اين پروتكل، محرمانگي، احراز هويت مبدأ داده ها، تماميت و يك سرويس ضد بازپخشي را ارائه مي­نمايد.
مديريت امنيت (SA): يك مجموعه از الگوريتم­ها و داده ها ارائه مي­دهد كه اين مجموعه، پارامترهاي ضروري براي مديريت كردن عملكرد پروتكل AH و/يا پروتكل ESP را فراهم مي­كند. پروتكل ISAKMP، يك چهارچوب براي عمليات احراز هويت و تبادل كليد ارائه مي­دهد، كه در واقع اين كليدها يا به وسيله تنظيم دستي توسط كليدهايي كه از پيش به اشتراك گذاشته شده اند و يا از طريق Internet Key Exchange (IKE) تهيه می‌گردند.

مدهاي عملياتي
پروتكل IPsec مي­تواند براي روش انتقال ميزبان به ميزبان و روش تونل شبكه مورد استفاده قرار گيرد.

• مد انتقالي:
  در اين مد، معمولا تنها اطلاعاتي كه به صورت بسته هاي IP ارسال مي­شوند، رمزنگاري و/يا احراز هويت مي­گردند. عمليات مسيريابي بدون تغيير باقي مي­ماند، چرا كه سرآيند بستهIP تغيير نكرده و رمز نشده است. هرچند هنگامي كه از سرآيند احراز هويت استفاده مي­شود، آدرس­هاي IP قابل ترجمه نيستند، زيرا توسط الگوريتم درهم سازي اطلاعات آن رمزنگاري مي­شود. لايه هاي انتقال و كاربرد هميشه توسط الگوريتم درهم سازي امن مي­شوند، در نتيجه تحت هيچ شرايطي نمي­توان اطلاعات آنها را تغيير داد. مد انتقال براي ارتباطات ميزبان به ميزبان استفاده مي­شود.
• مد تونل شبكه:
  در اين مد، كل بسته IP رمزنگاري و/يا احراز هويت مي­شود. سپس درون بسته ديگري بسته بندي شده و يك سرآيند جديد مي­گيرد. اين مد براي ايجاد شبكه هاي خصوصي مجازي براي ارتباطات شبكه به شبكه، ارتباطات ميزبان به شبكه و ارتباطات ميزبان به ميزبان استفاده مي­شود. اين مد، پيمايش NAT را پشتيباني مي­كند.

شما مي­توانيد با دادن يك سري دستورالعمل­ها به ويندوز، اين سيستم عامل را تعليم دهيد كه تحت چه شرايطي از IPSec استفاده كند. تحت اين شرايط شما در واقع مشخص مي­كنيد كه ترافيك كدام گروه از IP ها بايد توسط IPSec انجام شود و كداميك نشود. IPSecبه شما امكان مي­دهد كه تعريف كنيد چه داده اي و چگونه بايد رمزگذاري شود. براي اين منظور معمولا" از روش فيلتر كردن IP استفاده مي­شود. فهرست خاصي از IP هاي فيلتر شده كه شما تهيه مي­كنيد، مي­تواند مرجعي براي استفاده از پروتكل IPSec براي ويندوز باشد.