پروتکل IPsec (امنیت پروتکل اینترنت) مجموعه ای از پروتکل ها و الگوریتم ها برای ایمن سازی داده های ارسال شده از طریق اینترنت یا هر شبکه عمومی است. گروه Internet Engineering Task Force یا IETF پروتکل های IPsec را در اواسط دهه 1990 برای تامین امنیت لایه IP از طریق احراز هویت و رمزگذاری بسته های شبکه IP ایجاد کرد.
IPsec در ابتدا دو پروتکل را برای ایمن سازی بسته های IP تعریف کرد: Authentication Header (AH) و Encapsulating Security Payload (ESP). اولی یکپارچگی داده و خدمات دیگر را ارائه می دهد و دومی داده ها را رمزگذاری و احراز هویت می کند.
مجموعه IPsec همچنین شامل تبادل کلید اینترنت (IKE) است که برای تولید کلید های امنیتی مشترک برای ایجاد یک ارتباط امنیتی (SA) استفاده می شود. SA برای فرآیند های رمزگذاری و رمزگشایی مورد نیاز است تا سطح امنیتی بین دو نهاد مورد بحث قرار گیرد. یک روتر یا فایروال ویژه که بین دو شبکه قرار دارد معمولاً فرآیند SA را انجام می دهد.
پروتکل IPsec چیست؟
IPsec گروهی از پروتکل ها هستند که با هم برای راه اندازی ارتباطات رمزگذاری شده بین دستگاه ها استفاده می شوند. این کمک می کند تا داده های ارسال شده از طریق شبکه های عمومی را ایمن نگه دارد. IPsec اغلب برای راه اندازی VPN استفاده می شود و با رمزگذاری بسته های IP، همراه با احراز هویت منبعی که بسته ها از آنجا آمده اند، کار می کند.
در اصطلاح «IPsec»، «IP» مخفف «پروتکل اینترنت» و «sec» به معنای «امن» است. پروتکل اینترنت پروتکل مسیریابی اصلی مورد استفاده در اینترنت است. مشخص می کند که داده ها با استفاده از آدرس های IP به کجا می روند. IPsec امن است زیرا رمزگذاری* و احراز هویت را به این فرآیند اضافه می کند.
*رمزگذاری فرآیند پنهان کردن اطلاعات با تغییر ریاضی داده ها به گونه ای است که تصادفی به نظر برسد. به عبارت ساده تر، رمزگذاری استفاده از یک “کد مخفی” است که فقط اشخاص مجاز می توانند آن را تفسیر کنند.
IPsec برای چه مواردی استفاده می شود؟
IPsec برای محافظت از داده های حساس مانند تراکنش های مالی، سوابق پزشکی و ارتباطات شرکتی استفاده می شود، چون در سراسر شبکه منتقل می شود. همچنین برای ایمن سازی شبکه های خصوصی مجازی (VPN) استفاده می شود، جایی که تونل IPsec تمام داده های ارسال شده بین دو اند پوینت را رمزگذاری می کند. IPsec همچنین می تواند داده های لایه برنامه را رمزگذاری کند و برای روتر هایی که داده های مسیریابی را در سراسر اینترنت عمومی ارسال می کنند، امنیت ایجاد کند. IPsec همچنین می تواند برای ارائه احراز هویت بدون رمزگذاری مورد استفاده قرار گیرد – به عنوان مثال، برای احراز هویت داده هایی که از یک فرستنده شناخته شده منشا گرفته اند.
رمزگذاری در برنامه یا لایههای انتقال مدل Open Systems Interconnection (OSI) میتواند دادهها را بدون استفاده از IPsec به طور ایمن انتقال دهد. در لایه برنامه، پروتکل امن انتقال ابرمتن (HTTPS) رمزگذاری را انجام می دهد. در حالی که در لایه انتقال، پروتکل امنیت لایه حمل و نقل (TLS) رمزگذاری را فراهم می کند. با این حال، رمزگذاری و احراز هویت در این لایه های بالاتر، احتمال قرار گرفتن در معرض داده ها و رهگیری اطلاعات پروتکل توسط مهاجمان را افزایش می دهد.
پروتکل های IPsec
IPsec بسته های داده ارسال شده از طریق شبکه های مبتنی بر IPv4 و IPv6 را احراز هویت و رمزگذاری می کند. هدر های پروتکل IPsec در سرآیند IP یک بسته یافت می شوند و نحوه مدیریت داده های یک بسته، از جمله مسیریابی و تحویل آن در سراسر شبکه را مشخص می کنند. IPsec چندین مؤلفه را به هدر IP اضافه می کند، از جمله اطلاعات امنیتی و یک یا چند الگوریتم رمزنگاری.
پروتکل های IPsec از فرمتی به نام Request for Comments (RFC) برای توسعه الزامات استاندارد های امنیت شبکه استفاده می کنند. استاندارد های RFC در سراسر اینترنت برای ارائه اطلاعات مهمی استفاده می شوند که به کاربران و توسعه دهندگان امکان ایجاد، مدیریت و نگهداری شبکه را می دهد.
پروتکل های کلیدی
زمانی که سیستمی از IPsec استفاده می کند، هدر های IPsec به عنوان پسوند هدر IP ظاهر می شوند.
موارد زیر پروتکل های کلیدی IPsec هستند:
IP AH. AH در RFC 4302 مشخص شده است. این سرویس یکپارچگی داده و خدمات حفاظت از حمل و نقل را ارائه می دهد. AH برای درج در بسته IP برای افزودن داده های احراز هویت و محافظت از محتویات در برابر تغییر طراحی شده است.
IP ESP. ESP که در RFC 4303 مشخص شده است، احراز هویت، یکپارچگی و محرمانه بودن را از طریق رمزگذاری بسته های IP فراهم می کند.
IKE. تعریف شده در RFC 7296، IKE پروتکلی است که دو سیستم یا دستگاه را توانا می کند تا یک کانال ارتباطی امن را روی یک شبکه غیرقابل اطمینان ایجاد کنند. این پروتکل از یک سری تبادل کلید برای ایجاد یک تونل امن بین مشتری و سرور استفاده می کند که از طریق آن می توانند ترافیک رمزگذاری شده را ارسال کنند. امنیت تونل بر اساس تبادل کلید Diffie-Hellman است.
انجمن امنیت اینترنت و پروتکل مدیریت کلید (ISAKMP). ISAKMP به عنوان بخشی از پروتکل IKE و RFC 7296 مشخص شده است. این چارچوبی برای ایجاد کلید، احراز هویت و مذاکره یک SA برای تبادل امن بسته ها در لایه IP است. به عبارت دیگر، ISAKMP پارامتر های امنیتی را برای نحوه ارتباط دو سیستم یا هاست با هم تعریف می کند. هر SA یک اتصال را در یک جهت، از یک هاست به دیگری تعریف می کند. SA شامل تمام ویژگی های اتصال، از جمله الگوریتم رمزنگاری، حالت IPsec، کلید رمزگذاری و سایر پارامتر های مربوط به انتقال داده از طریق اتصال است.
IPsec از بسیاری از پروتکل های دیگر مانند الگوریتم های امضای دیجیتال و بیشتر پروتکل های مشخص شده در انتقال داده IPsec و IKE یا RFC 6071 استفاده میکند یا توسط آن استفاده می شود.
پروتکل IPsec چگونه کار می کند؟
پنج مرحله کلیدی در ارتباط با نحوه عملکرد IPsec وجود دارد. آنها به شرح زیر است:
تشخیص هاست. فرآیند IPsec زمانی شروع می شود که یک سیستم هاست یا میزبان تشخیص دهد که یک بسته نیاز به حفاظت دارد و باید با استفاده از سیاست های IPsec منتقل شود. چنین بسته هایی برای اهداف IPsec “interesting traffic” در نظر گرفته می شوند و سیاست های امنیتی را فعال می کنند. برای بسته های خروجی، این به این معنی است که رمزگذاری و احراز هویت مناسب اعمال می شود. هنگامی که یک بسته دریافتی جالب است، سیستم میزبان تأیید می کند که به درستی رمزگذاری و احراز هویت شده است.
مذاکره، یا فاز 1 IKE. در مرحله دوم، میزبان ها از IPsec برای مذاکره درباره مجموعه سیاست هایی که برای یک مدار امن استفاده خواهند کرد، استفاده می کنند. آنها همچنین خود را برای یکدیگر احراز هویت می کنند و یک کانال امن بین خود راهاندازی می کنند که برای مذاکره درباره نحوه رمزگذاری یا احراز هویت داده های ارسال شده از طریق مدار IPsec استفاده می شود. این فرآیند مذاکره با استفاده از حالت اصلی یا حالت تهاجمی انجام می شود.
با حالت اصلی، میزبانی که جلسه را آغاز می کند، پیشنهاد هایی را ارسال می کند که الگوریتم های رمزگذاری و احراز هویت ترجیحی خود را نشان می دهد. مذاکره تا زمانی ادامه می یابد که هر دو میزبان توافق کنند و یک IKE SA راه اندازی کنند که مدار IPsec مورد استفاده را تعریف کند. این روش از حالت تهاجمی ایمن تر است زیرا یک تونل امن برای تبادل داده ایجاد می کند.
در حالت تهاجمی، میزبان شروع کننده اجازه مذاکره را نمی دهد و IKE SA را برای استفاده مشخص می کند. پذیرش میزبان پاسخ دهنده، جلسه را تأیید می کند. با این روش هاست ها می توانند مدار IPsec را سریعتر راه اندازی کنند.
مدار IPsec یا فاز 2 IKE. مرحله سوم یک مدار IPsec را روی کانال امن ایجاد شده در فاز 1 IKE تنظیم می کند. میزبان های IPsec الگوریتم هایی را که در طول انتقال داده استفاده می شوند، بررسی می کنند. میزبان ها همچنین روی کلید های رمزگذاری و رمزگشایی که قصد استفاده از آنها را برای ترافیک به و از شبکه محافظت شده دارند، توافق می کنند و مبادله می کنند. هاست ها همچنین nonces رمزنگاری را مبادله می کنند، که اعداد تصادفی هستند که برای احراز هویت جلسات استفاده می شوند.
انتقال IPsec در مرحله چهارم، میزبان ها داده های واقعی را در تونل امنی که ایجاد کرده اند، مبادله می کنند. IPsec SAهایی که قبلاً راه اندازی شده اند برای رمزگذاری و رمزگشایی بسته ها استفاده می شوند.
پایان IPsec در نهایت، تونل IPsec خاتمه می یابد. معمولاً این اتفاق پس از گذشتن تعداد مشخصی از بایت ها از تونل IPsec یا اتمام زمان جلسه رخ می دهد. هنگامی که هر یک از آن رویداد ها اتفاق می افتد، میزبان ها ارتباط برقرار می کنند و خاتمه رخ می دهد. پس از پایان، هاست ها کلید های خصوصی مورد استفاده در هنگام انتقال داده ها را از بین می برند.
VPN چیست؟ IPsec VPN چیست؟
شبکه خصوصی مجازی (VPN) یک اتصال رمزگذاری شده بین دو یا چند کامپیوتر است. اتصالات VPN از طریق شبکه های عمومی انجام می شود، اما داده های مبادله شده از طریق VPN همچنان خصوصی هستند زیرا رمزگذاری شده است.
VPN ها امکان دسترسی ایمن و تبادل داده های محرمانه را از طریق زیرساخت شبکه مشترک مانند اینترنت عمومی فراهم می کنند. به عنوان مثال، هنگامی که کارمندان به جای کار در دفتر از راه دور کار می کنند، اغلب از VPN برای دسترسی به فایل ها و برنامه های شرکتی استفاده می کنند.
بسیاری از VPN ها از مجموعه پروتکل IPsec برای ایجاد و اجرای این اتصالات رمزگذاری شده استفاده می کنند. با این حال، همه VPN ها از IPsec استفاده نمی کنند. پروتکل دیگر برای VPN ها SSL/TLS است که در مدل OSI در لایه ای متفاوت از IPsec عمل می کند. (مدل OSI یک نمایش انتزاعی از فرآیند هایی است که اینترنت را به کار می اندازد.)
چگونه کاربران به IPsec VPN متصل می شوند؟
کاربران می توانند با ورود به یک برنامه VPN یا Client به IPsec VPN دسترسی پیدا کنند. این معمولاً مستلزم آن است که کاربر برنامه را روی دستگاه خود نصب کرده باشد.
ورود به VPN معمولاً بر اساس رمز عبور است. در حالی که داده های ارسال شده از طریق VPN رمزگذاری شده است، اگر رمز های عبور کاربر به خطر بیفتد، مهاجمان می توانند وارد VPN شده و این داده های رمزگذاری شده را بدزدند. استفاده از احراز هویت دو مرحله ای (2FA) می تواند امنیت IPsec VPN را تقویت کند، زیرا سرقت رمز عبور به تنهایی دیگر به مهاجم دسترسی نخواهد داد.
پروتکل IPsec چگونه در VPN استفاده می شود؟
VPN اساساً یک شبکه خصوصی است که روی یک شبکه عمومی پیاده سازی شده است. هر کسی که به VPN متصل شود می تواند به این شبکه خصوصی دسترسی داشته باشد که گویی مستقیماً به آن متصل است. VPN ها معمولاً در مشاغلی مورد استفاده قرار می گیرند تا کارمندان بتوانند از راه دور به شبکه شرکت خود دسترسی داشته باشند.
IPsec معمولا برای ایمن سازی VPN ها استفاده می شود. در حالی که VPN یک شبکه خصوصی بین رایانه کاربر و سرور VPN ایجاد می کند، پروتکل های IPsec یک شبکه امن را پیاده سازی می کنند که از داده های VPN در برابر دسترسی خارجی محافظت می کند. VPN ها را می توان با استفاده از یکی از دو حالت IPsec راه اندازی کرد.
حالت های پروتکل IPsec چیست؟
به زبان ساده، حالت انتقال داده ها یا transport mode را هنگام انتقال از یک دستگاه به دستگاه دیگر، معمولاً برای یک جلسه، ایمن می کند. روش دیگر، حالت تونل یا tunnel mode، کل مسیر داده را، از نقطه A تا نقطه B، بدون توجه به دستگاه های موجود در بین آن، ایمن می کند.
Tunnel Mode. حالت تونل IPsec که معمولاً بین دروازه های شبکه ایمن استفاده می شود، میزبان های پشت یکی از مسیر ها را قادر می سازد تا به طور ایمن با میزبان های پشت گیت وی دیگر ارتباط برقرار کنند. برای مثال، اگر شعبه و دفتر اصلی دروازه های امنی داشته باشند تا به عنوان پروکسی IPsec برای میزبان ها در دفاتر مربوطه عمل کنند، هر کاربر سیستم در یک شعبه سازمانی می تواند بهطور ایمن با هر سیستمی در دفتر اصلی ارتباط برقرار کند. تونل IPsec بین دو میزبان دروازه ایجاد می شود، اما خود تونل ترافیک را از هر میزبانی در داخل شبکه های محافظت شده حمل می کند. حالت تونل برای راهاندازی مکانیزمی برای محافظت از تمام ترافیک بین دو شبکه، از میزبانهای متفاوت در هر دو طرف مفید است.
Transport Mode. این حالت IPsec حالت انتقال زمانی است که دو میزبان یک اتصال IPsec VPN مستقیماً متصل را راه اندازی می کنند. به عنوان مثال، این نوع مدار ممکن است به گونه ای تنظیم شود که تکنسین پشتیبانی فناوری اطلاعات از راه دور (IT) را قادر سازد تا برای انجام کار های تعمیر و نگهداری به یک سرور راه دور وارد شود. حالت انتقال IPsec در مواردی استفاده می شود که یک میزبان نیاز به تعامل با میزبان دیگر دارد. دو هاست مدار IPsec را مستقیماً با یکدیگر مذاکره می کنند و مدار معمولاً پس از اتمام جلسه از بین می رود.
مقایسه IPsec VPN با SSL VPN
VPN لایه سوکت ایمن یا Secure Socket Layer (SSL) روش دیگری برای ایمن سازی اتصال شبکه عمومی است. این دو بسته به شرایط و الزامات امنیتی می توانند با هم یا به صورت جداگانه استفاده شوند.
با IPsec VPN، بسته های IP هنگام حرکت به دروازه IPsec در درگاه یک شبکه خصوصی و میزبان ها و شبکه های راه دور محافظت می شوند. یک SSL VPN از ترافیک هنگام حرکت بین کاربران راه دور و یک درگاه SSL محافظت می کند. VPN های IPsec از همه برنامه های مبتنی بر IP پشتیبانی می کنند، در حالی که VPN های SSL فقط از برنامه های مبتنی بر مرورگر پشتیبانی می کنند، اگرچه می توانند برنامه های کاربردی دیگر را با توسعه سفارشی پشتیبانی کنند.
مقایسه دقیق تر SSL و IPsec
IPsec و SSL متداول ترین فناوری های VPN هستند. هر دوی آنها مکانیزم های رمزگذاری و احراز هویت برای اطمینان از امنیت دسترسی از راه دور دارند.
OSI یک چارچوب هفت لایه را برای اتصال شبکه تعریف می کند: لایه فیزیکی، لایه پیوند داده، لایه شبکه، لایه انتقال، لایه جلسه، لایه ارائه و لایه برنامه. IPsec در لایه شبکه کار می کند و مستقیماً روی پروتکل اینترنت (IP) اجرا می شود. SSL که در لایه برنامه کار می کند، یک پروتکل لایه کاربردی است که ترافیک HTTP را به جای بسته های IP رمزگذاری می کند.
IPsec VPN برای شبکه های سایت به سایت قابل استفاده است. در این شبکه، درگاه های VPN باید در هر سایت مستقر شوند، یا کاربران از راه دور باید کلاینت های اختصاصی VPN را نصب کنند. بنابراین، پیکربندی و استقرار پیچیده است و هزینه تعمیر و نگهداری بالا است. SSL VPN برای شبکه های مشتری به سایت قابل استفاده است. در این شبکه، کاربران راه دور فقط باید افزونه مشخص شده را روی مرورگر استاندارد پشتیبانی کننده SSL نصب کنند. یک درگاه VPN در یک دیتا سنتر برای مدیریت و نگهداری متمرکز مستقر شده است. بنابراین، پیکربندی و استقرار ساده است و هزینه نگهداری کم است.
IPsec در لایه شبکه کار می کند تا از تمام داده های منتقل شده بین سایت ها محافظت کند. IPsec VPN به کاربران راه دور نیاز دارد تا یک کلاینت اختصاصی VPN را نصب کنند یا یک درگاه VPN در سایت قرار دهند. دسترسی کاربر توسط مشتری یا درگاه از نظر قوانین احراز هویت کاربر، قوانین خط مشی امنیتی یا فیلتر کردن امنیت محتوا بررسی می شود. بنابراین IPsec VPN امن تر است. SSL VPN به کلاینت ها یا دروازه های اختصاصی در سایت های دسترسی نیاز ندارد. بنابراین، SSL VPN در برابر تهدیدات امنیتی آسیب پذیرتر است.
IPsec در لایه شبکه کار می کند و نمی تواند کنترل دسترسی دقیق را بر اساس برنامه ها اجرا کند. SSL VPN در کنترل دسترسی ریز منعطف تر است. مدیران شبکه می توانند منابع شبکه را بر اساس انواع برنامه ها به انواع مختلف طبقه بندی کنند. هر نوع منبع دارای مجوز های دسترسی متفاوتی است.
پروتکل IPsec از چه پورتی استفاده می کند؟
پورت شبکه مکانی مجازی است که داده ها در یک کامپیوتر در آنجا قرار می گیرند. پورت ها نحوه پیگیری فرآیند ها و اتصالات مختلف توسط کامپیوتر ها هستند. اگر داده ها به پورت خاصی بروند، سیستم عامل کامپیوتر می داند که به کدام فرآیند تعلق دارد. IPsec معمولا از پورت 500 استفاده می کند.
IPsec چگونه بر MSS و MTU تأثیر می گذارد؟
MSS و MTU دو اندازه گیری اندازه بسته هستند. بسته ها فقط می توانند به اندازه معینی برسند (اندازه گیری شده در بایت) قبل از اینکه رایانه ها، روترها و سوئیچ ها نتوانند آنها را مدیریت کنند. MSS اندازه محموله هر بسته را اندازه گیری می کند، در حالی که MTU کل بسته، از جمله هدر ها را اندازه گیری می کند. بسته هایی که از MTU شبکه فراتر می روند ممکن است بخش بخش شوند، به این معنی که به بسته های کوچکتر تقسیم شده و سپس دوباره سرهم می شوند. بسته هایی که بیش از ظرفیت MSS هستند به سادگی حذف می شوند.
پروتکل های IPsec چندین هدر و تریلر به بسته ها اضافه می کنند که همه آنها چندین بایت را اشغال می کنند. برای شبکه هایی که از IPsec استفاده می کنند، یا باید MSS و MTU بر اساس آن تنظیم شوند، یا بسته ها تکه تکه شده و کمی تأخیر خواهند داشت. معمولا MTU برای یک شبکه 1500 بایت است. یک هدر IP معمولی 20 بایت طول دارد و یک هدر TCP نیز 20 بایت طول دارد، به این معنی که هر بسته می تواند حاوی 1460 بایت بار باشد. با این حال، IPsec یک هدر احراز هویت، یک هدر ESP و تریلر های مرتبط اضافه می کند. اینها 50-60 بایت به یک بسته یا بیشتر اضافه می کنند.
چه پورت هایی در IPsec استفاده می شود؟
در IPsec، پروتکل IKE از پورت UDP 500 برای شروع و پاسخگویی به مذاکرات استفاده می کند. بنابراین، برای اطمینان از اینکه بسته های مذاکره IKE می توانند از یک درگاه عبور کنند، باید یک سیاست امنیتی روی درگاه پیکربندی کنید تا بسته ها با پورت UDP 500 مجاز باشد.
AH و ESP پروتکل های لایه شبکه هستند و شامل پورت نمی شوند. برای اطمینان از راهاندازی موفقیتآمیز تونل IPsec، باید یک خطمشی امنیتی روی درگاه پیکربندی کنید تا سرویس های AH (شماره پروتکل IP 51) و ESP (شماره پروتکل IP 50) را فعال کنید.
منابع: info.support.huawei، techtarget و cloudflare
