.:!:. KIMIANETWORKS .:!:. - IPSec چيست؟

IP Security يا IPSec رشته اى از پروتكل هاست كه براى ايجاد VPN مورد استفاده قرارمى گيرند. مطابق با تعريف IETF (Internet Engineering Task Force) پروتكل IPSec به اين شكل تعريف مى شود: يك پروتكل امنيتى در لايه شبكه تا خدمات امنيتى رمزنگارى را تامين كند. خدماتى كه به صورت منعطفى به پشتيبانى تركيبى از تاييد هويت، جامعيت، كنترل دسترسى و محرمانگى بپردازد. در اكثر سناريوها مورد استفاده،IPSec به شما امكان مى دهد تا يك تونل رمزشده را بين دو شبكه خصوصى ايجاد كنيد.همچنين امكان تأييد هويت دو سر تونل را نيز براى شما فراهم مى كند.اما IPSec تنها به ترافيك مبتنى بر IP اجازهبسته بندى و رمزنگارى مى دهد و درصورتى كه ترافيك غير IP نيز در شبكه وجود داشته باشد، بايد از پروتكل ديگرى مانند GRE در كنار IPSec استفاده كرد. IPSec به استاندارد de facto در صنعت براى ساخت VPN تبديل شده است.بسيارى از فروشندگان تجهيزات شبكه، IPSec را پياده سازى كرده اند و بنابراين امكان كار با انواع مختلف تجهيزات از شركتهاى مختلف، IPSec را به يك انتخاب خوب براى ساخت VPN مبدل كرده است. انواع IPSec VPN شيوه هاى مختلفى براى دسته بندى IPSec VPN وجود دارد اما از نظر طراحى، IPSec براى حل دو مسأله مورد استفاده قرار مى گيرد: ۱- اتصال يكپارچه دو شبكه خصوصى و ايجاد يك شبكه مجازى خصوصى ۲- توسعه يك شبكه خصوصى براى دسترسى كاربران از راه دور به آن شبكه به عنوان بخشى از شبكه امن بر همين اساس، IPSec VPN ها را نيز مى توان به دو دسته اصلى تقسيم كرد: 1- پياده سازى LAN-to-LAN IPSec اين عبارت معمولا براى توصيف يك تونل IPSec بين دو شبكه محلى به كار مى رود. در اين حالت دو شبكه محلى با كمك تونل IPSec و از طريق يك شبكه عمومى با هم ارتباط برقرار مى كنند به گونه اى كه كاربران هر شبكه محلى به منابع شبكه محلى ديگر، به عنوان عضوى از آن شبكه، دسترسى دارند. IPSec به شما امكان مى دهد كه تعريف كنيد چه داده اى و چگونه بايد رمزنگارى شود. 2- پياده سازى Remote-Access Client IPSec اين نوع از VPN ها زمانى ايجاد مى شوند كه يك كاربر از راه دور و با استفاده از IPSec client نصب شده بر روى رايانه اش، به يك روتر IPSec يا Access server متصل مى شود. معمولا اين رايانه هاى دسترسى از راه دور به يك شبكه عمومى يا اينترنت و با كمك روش dialup يا روشهاى مشابه متصل مى شوند. زمانى كه اين رايانه به اينترنت يا شبكه عمومى متصل مى شود، IPSec client موجود بر روى آن مى تواند يك تونل رمز شده را بر روى شبكه عمومى ايجاد كند كه مقصد آن يك دستگاه پايانى IPSec،مانند يك روتر، كه بر لبه شبكه خصوصى مورد نظر كه كاربر قصد ورود به آن را دارد، باشد. در روش اول تعداد پايانه هاى IPSec محدود است اما با كمك روش دوم مى توان تعداد پايانه ها را به ده ها هزار رساند كه براى پياده سازى هاى بزرگ مناسب است. ساختار IPSec IPSec براى ايجاد يك بستر امن يكپارچه، سه پروتكل را با هم تركيب مى كند: ۱- پروتكل مبادله كليد اينترنتى (Internet Key Exchange يا IKE) اين پروتكل مسئول طى كردن مشخصه هاى تونل IPSec بين دو طرف است. وظايف اين پروتكل عبارتند از: - طى كردن پارامترهاى پروتكل - مبادله كليدهاى عمومى - تاييد هويت هر دو طرف - مديريت كليدها پس از مبادله IKE مشكل پياده سازى هاى دستى و غير قابل تغيير IPSec را با خودكار كردن كل پردازه مبادله كليد حل مى كند. اين امر يكى از نيازهاى حياتى IPSecاست. IKE خود از سه پروتكل تشكيل مى شود: SKEME - مكانيزمى را براى استفاده از رمزنگارى كليد عمومى در جهت تأييد هويت تامين مى كند. Oakley - مكانيزم مبتنى بر حالتى را براى رسيدن به يك كليد رمزنگارى، بين دو پايانه IPSec تامين مى كند. ISAKMP - معمارى تبادل پيغام را شامل قالب بسته ها و حالت گذار تعريف مى كند. IKE به عنوان استاندارد RFC 2409 تعريف شده است. با وجودى كه IKE كارايى و عملكرد خوبى را براى IPSec تأمين مى كند، اما بعضى كمبودها در ساختار آن باعث شده است تا پياده سازى آن مشكل باشد، بنابراين سعى شده است تا تغييراتى در آن اعمال شود و استاندارد جديدى ارائه شود كه IKE v2 نام خواهد داشت. ۲- پروتكل Encapsulating Security Payload يا ESP اين پروتكل امكان رمزنگارى، تأييد هويت و تأمين امنيت داده را فراهم مى كند. ۳- پروتكل سرآيند تأييد هويت (Authentication Header يا AH) اين پروتكل براى تأييد هويت و تأمين امنيت داده به كار مى رود. microrayaneh.com