IRCAR201110118
پروتكل IPsec يك مجموعه پروتكل است كه امنيت ارتباطات پروتكل اينترنت (IP) را توسط عمليات احراز هويت و رمزنگاري براي هر بسته IP در يك نشست ارتباطي تامين ميكند. IPsec همچنين شامل پروتكلهايي ميشود كه براي برقراري يك ارتباط دوطرفه بين عاملها در ابتداي نشست و مذاكره در مورد كليدهاي رمزنگاري براي استفاده در مدت زمان نشست، استفاده ميشوند.
پروتكل IPsec اساسا راهي است كه امنيت داده هايي را كه در يك شبكه بين كامپيوترها منتقل ميشوند، تضمين ميكند. IPsec تنها يكي از قابليتهاي ويندوز نيست، پياده سازي ويندوزي IPsec بر اساس استانداردهاي توسعه يافته توسط نيروي وظيفه مهندسي اينترنت (IETF) بنا شده است.
پروتكل IPsec در لايه اينترنت از مدل لايه اي پروتكل اينترنت كار ميكند. IPsec ميتواند از جريانهاي داده مابين ميزبانها (ميزبان به ميزبان)، مابين گذرگاههاي امنيتي (شبكه به شبكه) يا مابين يك گذرگاه امنيتي به يك ميزبان، پشتيباني كند.
تعدادي از سيستمهاي امنيتي اينترنتي ديگر كه به صورت گسترده كاربرد دارند، مانند لايه سوكت امن (SSL)، لايه امنيت انتقال (TLS) و پوسته امن (SSH) در لايه هاي بالايي از مدل TCP/IP كار ميكنند. درصورتيكه IPsec هر نوع ترافيك در سراسر شبكه هاي مبتني بر IP را پشتيباني ميكند. اگر ترافيكي غير از IP در شبكه وجود داشته باشد، بايد از پروتكل ديگري مانند GRE در كنار IPSec استفاده كرد.
پروتكل IPSec توسط سرويسهاي زير، امنيت داده هاي ارسال شده بين دو آدرس IP در شبكه را تامين ميكند:
احراز هويت داده
شناسايي مبداء داده: شما ميتوانيد از IPsec استفاده كنيد تا تضمين كند كه هر بسته اي كه از يك طرف قابل اعتماد دريافت كرديد، در واقع توسط همان مبداء ارسال شده است و جعلي و دستكاري شده نيست.
تماميت داده: شما مي توانيد از IPsec استفاده كنيد تا تضمين كند كه داده ها در زمان انتقال تغيير نميكنند.
حفاظت ضد بازپخش: شما مي توانيد از IPsec استفاده كنيد تا بررسي كند كه هر بسته اي كه دريافت ميكنيد يكتا است و كپي برداري نشده است.
رمزگذاري
شما ميتوانيد از IPsec به منظور رمزگذاري داده ها در شبكه استفاده كنيد تا براي سوء استفاده كنندگان قابل دسترسي نبوده و در طول مسير، امكان استفاده غير مجاز از آنها وجود نداشته باشد.
به بيان ديگر، كامپيوتر مبداء بسته اطلاعاتي TCP/IP عادي را به صورت يك بسته اطلاعاتي IPSec بسته بنديميكند و براي كامپيوتر مقصد ارسال ميكند. اين بستهتا زماني كه به مقصد برسد رمز شده است و طبيعتا كسي نمي تواند از محتواي آنهااطلاعاتي به دست آورد.
در ويندوز سرور 2008 و ويندوز ويستا، IPsec يك اجبار است كه بايد به وسيله سياستهاي IPsec و يا قوانين امنيت ارتباط، اعمال گردد. سياستهاي IPsec كه به صورت پيش فرض روي سيستمها وجود دارد، تنها بر روي سرويسهاي احراز هويت مذاكره ميكنند. اگر چه شما ميتوانيد با استفاده از سياستهاي IPsec و يا قوانين ارتباط امن، تنظيماتي را به سيستم اعمال نماييد تا هر تركيبي از سرويسهاي امنيت داده را فراهم كند.
معماري امنيتي
IPSec يك استاندارد باز است. پروتكل IPsec از پروتكلهاي زير براي تامين امنيت داده ها در شبكه استفاده ميكند.
سرآيند احراز هويت (AH): اين پروتكل تماميت و احراز هويت مبداء داده ها را براي بسته هاي داده IP فراهم كرده و از داده ها در مقابل حملات پخشي محافظت ميكند.
بسته بندي امن داده (ESP): اين پروتكل، محرمانگي، احراز هويت مبدأ داده ها، تماميت و يك سرويس ضد بازپخشي را ارائه مينمايد.
مديريت امنيت (SA): يك مجموعه از الگوريتمها و داده ها ارائه ميدهد كه اين مجموعه، پارامترهاي ضروري براي مديريت كردن عملكرد پروتكل AH و/يا پروتكل ESP را فراهم ميكند. پروتكل ISAKMP، يك چهارچوب براي عمليات احراز هويت و تبادل كليد ارائه ميدهد، كه در واقع اين كليدها يا به وسيله تنظيم دستي توسط كليدهايي كه از پيش به اشتراك گذاشته شده اند و يا از طريق Internet Key Exchange (IKE) تهيه میگردند.
مدهاي عملياتي
پروتكل IPsec ميتواند براي روش انتقال ميزبان به ميزبان و روش تونل شبكه مورد استفاده قرار گيرد.
- مد انتقالي:
در اين مد، معمولا تنها اطلاعاتي كه به صورت بسته هاي IP ارسال ميشوند، رمزنگاري و/يا احراز هويت ميگردند. عمليات مسيريابي بدون تغيير باقي ميماند، چرا كه سرآيند بستهIP تغيير نكرده و رمز نشده است. هرچند هنگامي كه از سرآيند احراز هويت استفاده ميشود، آدرسهاي IP قابل ترجمه نيستند، زيرا توسط الگوريتم درهم سازي اطلاعات آن رمزنگاري ميشود. لايه هاي انتقال و كاربرد هميشه توسط الگوريتم درهم سازي امن ميشوند، در نتيجه تحت هيچ شرايطي نميتوان اطلاعات آنها را تغيير داد. مد انتقال براي ارتباطات ميزبان به ميزبان استفاده ميشود. - مد تونل شبكه:
در اين مد، كل بسته IP رمزنگاري و/يا احراز هويت ميشود. سپس درون بسته ديگري بسته بندي شده و يك سرآيند جديد ميگيرد. اين مد براي ايجاد شبكه هاي خصوصي مجازي براي ارتباطات شبكه به شبكه، ارتباطات ميزبان به شبكه و ارتباطات ميزبان به ميزبان استفاده ميشود. اين مد، پيمايش NAT را پشتيباني ميكند.
شما ميتوانيد با دادن يك سري دستورالعملها به ويندوز، اين سيستم عامل را تعليم دهيد كه تحت چه شرايطي از IPSec استفاده كند. تحت اين شرايط شما در واقع مشخص ميكنيد كه ترافيك كدام گروه از IP ها بايد توسط IPSec انجام شود و كداميك نشود. IPSecبه شما امكان ميدهد كه تعريف كنيد چه داده اي و چگونه بايد رمزگذاري شود. براي اين منظور معمولا" از روش فيلتر كردن IP استفاده ميشود. فهرست خاصي از IP هاي فيلتر شده كه شما تهيه ميكنيد، ميتواند مرجعي براي استفاده از پروتكل IPSec براي ويندوز باشد.
- 12