مقدمه اي بر IP Sec اگر با ويندوزهاي سرور به صورت جدي كار كرده باشيد، حتما متوجه شده ايد كه يكي از مزاياي خوب آن وجود پروتكلي بنامIPSec در آن است.
اين پروتكل براي اين منظور طراحي شده كه بتواند بسته(Packet) هاي اطلاعاتي TCP/IP را توسط كليد عمومي رمز كند تا در طول مسير، امكان استفاده غير مجاز از آنها وجود نداشته باشدIP Security . ياIPSec رشته اي از پروتكلهاست كه براي ايجاد VPN مورد استفاده قرار مي گيرند.
مطابق با تعريف IETF (Internet Engineering Task Force) پروتكل IPSec به اين شكل تعريف مي شود:
يك پروتكل امنيتي در لايه شبكه توليد خواهد شد تا خدمات امنيتي رمزنگاري را تامين كند. خدماتي كه به صورت منطقي به پشتيباني تركيبي از تاييد هويت، جامعيت، كنترل دسترسي و محرمانگي بپردازد.
در بيشتر سناريوهاي مورد استفاده، IPSec به شما امكان مي دهد تا يك تونل رمزشده را بين دو شبكه خصوصي ايجاد كنيد.
همچنين امكان تاييد هويت دو سر تونل را نيز براي شما فراهم مي آورد. اما IPSec تنها به ترافيك مبتني بر IP اجازه بسته بندي و رمزنگاري مي دهد و درصورتي كه ترافيك غير از IP نيز در شبكه وجود داشته باشد، بايد از پروتكل ديگري مانندGRE در كنار IPSec استفاده كردIPSec . به استانداردي براي ساخت VPN تبديل شده است. بسياري از فروشندگان تجهيزات شبكه، IPSec را پياده سازي كرده اند و لذا امكان كار با انواع مختلف تجهيزات از شركت هاي مختلف، IPSec را به يك انتخاب خوب براي ساخت VPN مبدل كرده است.
انواع IPSec VPN
شيوه هاي مختلفي براي دسته بندي IPSec VPN وجود دارد اما از نظر طراحي، IPSec براي حل دو مساله مورد استفاده قرار مي گيرد:
1- اتصال يكپارچه دو شبكه خصوصي و ايجاد يك شبكه مجازي خصوصي
2- توسعه يك شبكه خصوصي براي دسترسي كاربران از راه دور به آن شبكه به عنوان بخشي از شبكه امن.
بر همين اساس، IPSec VPN ها را نيز مي توان به دو دسته اصلي تقسيم كرد:
1- پياده سازيLAN-to-LAN IPSec
اين عبارت معمولا براي توصيف يك تونل IPSec بين دو شبكه محلي به كار مي رود. در اين حالت دو شبكه محلي با كمك تونل IPSec و از طريق يك شبكه عمومي با هم ارتباط برقرار مي كنند به گونه اي كه كاربران هر شبكه محلي به منابع شبكه محلي ديگر، به عنوان عضوي از آن شبكه، دسترسي دارندIPSec . به شما امكان مي دهد كه تعريف كنيد چه داده اي و چگونه بايد رمزنگاري شود.
2- پياده سازيRemote-Access Client IPSec
اين نوع ازVPNها زماني ايجاد مي شوند كه يك كاربر از راه دور و با استفاده ازIPSec client نصب شده بر روي رايانه اش، به يك روترIPSec يا Access server متصل مي شود.
معمولا اين رايانه هاي دسترسي از راه دور به يك شبكه عمومي يا اينترنت و با كمك روشDialup يا روش هاي مشابه متصل مي شوند. زماني كه اين رايانه به اينترنت يا شبكه عمومي متصل مي شود، IPSec client موجود بر روي آن مي تواند يك تونل رمز شده را روي شبكه عمومي ايجاد كند كه مقصد آن يك دستگاه پايانيIPSec ، مانند يك روتر، كه بر لبه شبكه خصوصي مورد نظر كه كاربر قصد ورود به آن را دارد، باشد. در روش اول تعداد پايانه هايIPSec محدود است اما با كمك روش دوم مي توان تعداد پايانه ها را به ده ها هزار رسانيد كه براي پياده سازي هاي بزرگ مناسب است.
ساختارIPSec
IPSec براي ايجاد يك بستر امن يكپارچه، سه پروتكل را با هم تركيب مي كند:
1- پروتكل مبادله كليد اينترنتي Internet Key Exchange) يا(IKE
اين پروتكل مسوول تبادل مشخصه هاي تونل IPSec بين دو طرف است. وظايف اين پروتكل عبارتند از:
- طي كردن پارامترهاي پروتكل
- مبادله كليدهاي عمومي
- تاييد هويت هر دو طرف
- مديريت كليدها پس از مبادله
IKE مشكل پياده سازي هاي دستي و غيرقابل تغيير IPSec را با خودكار كردن كل پردازه مبادله كليد حل مي كند. اين امر يكي از نيازهاي حياتي IPSec است IKE . خود از سه پروتكل تشكيل مي شود:
SKEME: مكانيزمي را براي استفاده از رمزنگاري كليد عمومي در جهت تاييد هويت تامين مي كند.
Oakley :مكانيزم مبتني بر حالتي را براي رسيدن به يك كليد رمزنگاري، بين دو پايانه IPSec تامين مي كند.
ISAKMP :معماري تبادل پيغام را شامل قالب بسته ها و حالت گذار تعريف مي كند.
IKE به عنوان استاندارد 2409 RFCتعريف شده است. با وجودي كه IKE كارايي و عملكرد خوبي را براي IPSec تامين مي كند، اما برخي كمبودها در ساختار آن باعث شده است تا پياده سازي آن مشكل باشد، لذا سعي شده است تا تغييراتي در آن اعمال شود و استاندارد جديدي ارايه شود كه 2 IKE v نام خواهد داشت.
2-پروتكل Encapsulating SecurityPayload ياESP
اين پروتكل امكان رمزنگاري، تاييد هويت و تامين امنيت داده را فراهم مي كند.
3- پروتكل سرآيند تاييد هويت(Authentication Header) ياAH)
اين پروتكل براي تاييد هويت و تامين امنيت داده به كار مي رود.
هیچ نظری موجود نیست:
ارسال یک نظر