IPSec چیست؟
IPSec مجموعهای از قوانین یا پروتکلهای ارتباطی برای ایجاد اتصالات امن بر روی یک شبکه است. پروتکل اینترنت (IP) استاندارد رایجی است که تعیین میکند دادهها چگونه در اینترنت منتقل شوند. IPSec رمزگذاری و احراز هویت را اضافه میکند تا پروتکل ایمنتر شود. برای مثال، دادهها را در مبدأ رمزگذاری (به هم ریخته) و در مقصد رمزگشایی میکند. همچنین منبع داده را احراز هویت میکند.
چرا IPSec مهم است؟
کارگروه مهندسی اینترنت (IETF) در دهه ۱۹۹۰ IPSec را برای تضمین محرمانگی، یکپارچگی و اصالت دادهها هنگام دسترسی به شبکههای عمومی توسعه داد. برای مثال، کاربران با یک شبکه خصوصی مجازی (VPN) مبتنی بر IPSec به اینترنت متصل میشوند تا از راه دور به فایلهای شرکت دسترسی پیدا کنند. پروتکل IPSec اطلاعات حساس را برای جلوگیری از نظارت ناخواسته رمزگذاری میکند. سرور همچنین میتواند تأیید کند که بستههای داده دریافتی مجاز هستند.
موارد استفاده از IPSec چیست؟
از IPSec میتوان برای موارد زیر استفاده کرد:
- تأمین امنیت روتر هنگام ارسال دادهها در اینترنت عمومی.
- رمزگذاری دادههای برنامه.
- احراز هویت سریع دادهها در صورت منشأ گرفتن داده از یک فرستنده شناخته شده.
- محافظت از دادههای شبکه با ایجاد مدارهای رمزگذاری شده، به نام تونلهای IPSec، که تمام دادههای ارسال شده بین دو نقطه پایانی را رمزگذاری میکنند.
سازمانها از IPSec برای محافظت در برابر حملات بازپخش (replay attack) استفاده میکنند. حمله بازپخش، یا حمله مرد میانی (man-in-the-middle attack)، عملی است مبنی بر رهگیری و تغییر انتقال در حال انجام با مسیریابی دادهها به یک رایانه واسطه. پروتکل IPSec یک شماره ترتیبی به هر بسته داده اختصاص میدهد و بررسیهایی را برای تشخیص نشانههای بستههای تکراری انجام میدهد.
رمزگذاری IPSec چیست؟
رمزگذاری IPSec یک عملکرد نرمافزاری است که دادهها را برای محافظت از محتوای آن در برابر اشخاص غیرمجاز رمزگذاری میکند. دادهها توسط یک کلید رمزگذاری رمزگذاری میشوند و برای رمزگشایی اطلاعات به یک کلید رمزگشایی نیاز است. IPSec از انواع مختلف رمزگذاری، از جمله AES، Blowfish، Triple DES، ChaCha و DES-CBC پشتیبانی میکند.
IPSec از رمزگذاری متقارن و نامتقارن برای ارائه سرعت و امنیت در طول انتقال داده استفاده میکند. در رمزگذاری نامتقارن، کلید رمزگذاری عمومی میشود در حالی که کلید رمزگشایی خصوصی نگه داشته میشود. رمزگذاری متقارن از همان کلید عمومی برای رمزگذاری و رمزگشایی دادهها استفاده میکند. IPSec یک اتصال امن با رمزگذاری نامتقارن برقرار میکند و برای افزایش سرعت انتقال داده به رمزگذاری متقارن تغییر میکند.
IPSec چگونه کار میکند؟
رایانهها با پروتکل IPSec از طریق مراحل زیر دادهها را مبادله میکنند:
- رایانه فرستنده با بررسی سیاست امنیتی خود تعیین میکند که آیا انتقال داده به حفاظت IPSec نیاز دارد یا خیر. اگر نیاز باشد، رایانه انتقال امن IPSec را با رایانه گیرنده آغاز میکند.
- هر دو رایانه در مورد الزامات ایجاد یک اتصال امن مذاکره میکنند. این شامل توافق متقابل در مورد رمزگذاری، احراز هویت و سایر پارامترهای انجمن امنیتی (SA) است.
- رایانه دادههای رمزگذاری شده را ارسال و دریافت میکند و تأیید میکند که از منابع مورد اعتماد آمدهاند. بررسیهایی را انجام میدهد تا اطمینان حاصل کند که محتوای اصلی قابل اعتماد است.
- پس از اتمام انتقال یا اتمام زمان جلسه، رایانه اتصال IPSec را خاتمه میدهد.
پروتکلهای IPSec چیست؟
پروتکلهای IPSec بستههای داده را به صورت ایمن ارسال میکنند. یک بسته داده یک ساختار خاص است که اطلاعات را برای انتقال در شبکه قالببندی و آماده میکند. از یک سربرگ، بار (payload) و دنباله (trailer) تشکیل شده است.
- سربرگ بخشی مقدماتی است که حاوی اطلاعات دستوری برای مسیریابی بسته داده به مقصد صحیح است.
- بار اصطلاحی است که اطلاعات واقعی موجود در یک بسته داده را توصیف میکند.
- دنباله دادههای اضافی است که به انتهای بار اضافه میشود تا پایان بسته داده را نشان دهد.
برخی از پروتکلهای IPSec در زیر آورده شده است:
- سربرگ احراز هویت (AH): پروتکل سربرگ احراز هویت (AH) یک سربرگ اضافه میکند که حاوی دادههای احراز هویت فرستنده است و از محتویات بسته در برابر تغییر توسط اشخاص غیرمجاز محافظت میکند. گیرنده را از دستکاری احتمالی بسته داده اصلی مطلع میکند. هنگام دریافت بسته داده، رایانه محاسبه درهمسازی رمزنگاری از بار را با سربرگ مقایسه میکند تا اطمینان حاصل شود که هر دو مقدار مطابقت دارند. درهمسازی رمزنگاری یک تابع ریاضی است که دادهها را به یک مقدار منحصر به فرد خلاصه میکند.
- بار امنیتی کپسوله شده (ESP): بسته به حالت IPSec انتخاب شده، پروتکل بار امنیتی کپسوله شده (ESP) رمزگذاری را روی کل بسته IP یا فقط بار انجام میدهد. ESP هنگام رمزگذاری یک سربرگ و دنباله به بسته داده اضافه میکند.
- تبادل کلید اینترنت (IKE): تبادل کلید اینترنت (IKE) پروتکلی است که یک اتصال امن بین دو دستگاه در اینترنت برقرار میکند. هر دو دستگاه انجمن امنیتی (SA) را تنظیم میکنند که شامل مذاکره در مورد کلیدها و الگوریتمهای رمزگذاری برای انتقال و دریافت بستههای داده بعدی است.
حالتهای IPSec چیست؟
IPSec در دو حالت مختلف با درجات مختلف محافظت عمل میکند:
- تونل: حالت تونل IPSec برای انتقال داده در شبکههای عمومی مناسب است زیرا محافظت از دادهها را در برابر اشخاص غیرمجاز افزایش میدهد. رایانه تمام دادهها، از جمله بار و سربرگ را رمزگذاری میکند و یک سربرگ جدید به آن اضافه میکند.
- انتقال (Transport): حالت انتقال IPSec فقط بار بسته داده را رمزگذاری میکند و سربرگ IP را به شکل اصلی خود باقی میگذارد. سربرگ بسته رمزگذاری نشده به روترها اجازه میدهد تا آدرس مقصد هر بسته داده را شناسایی کنند. بنابراین، انتقال IPSec در یک شبکه بسته و مورد اعتماد، مانند ایمن کردن اتصال مستقیم بین دو رایانه استفاده میشود.
VPN IPSec چیست؟
VPN یا شبکه خصوصی مجازی، یک نرمافزار شبکهسازی است که به کاربران اجازه میدهد به صورت ناشناس و ایمن در اینترنت مرور کنند. یک VPN IPSec یک نرمافزار VPN است که از پروتکل IPSec برای ایجاد تونلهای رمزگذاری شده در اینترنت استفاده میکند. رمزگذاری سرتاسر را فراهم میکند، به این معنی که دادهها در رایانه رمزگذاری و در سرور دریافت کننده رمزگشایی میشوند.
VPN SSL
SSL مخفف لایه سوکت امن است. این یک پروتکل امنیتی است که از ترافیک وب محافظت میکند. یک VPN SSL یک سرویس امنیتی شبکه مبتنی بر مرورگر است که از پروتکل SSL داخلی برای رمزگذاری و محافظت از ارتباطات شبکه استفاده میکند.
تفاوت بین VPN IPSec و VPN SSL چیست؟
هر دو پروتکل امنیتی روی لایههای مختلف مدل اتصال سیستمهای باز (OSI) کار میکنند. مدل OSI ساختار لایهای نحوه تبادل داده رایانهها در یک شبکه را تعریف میکند.
پروتکلهای IPSec در لایههای شبکه و انتقال در وسط مدل OSI اعمال میشوند. در همین حال، SSL دادهها را در بالاترین لایه برنامه رمزگذاری میکند. شما میتوانید از یک مرورگر وب به یک VPN SSL متصل شوید، اما برای استفاده از VPNهای IPSec باید نرمافزار جداگانه نصب کنید.
