IRCERT - مقالات - IPSecمقدمه اي بر

صفحه اول > مقالات

مقدمه اي بر IPSec

IP Security يا IPSec رشته اي از پروتكلهاست كه براي ايجاد VPN مورد استفاده قرار مي گيرند. مطابق با تعريف IETF (Internet Engineering Task Force) پروتكل IPSec به اين شكل تعريف مي شود:

يك پروتكل امنيتي در لايه شبكه توليد خواهد شد تا خدمات امنيتي رمزنگاري را تامين كند. خدماتي كه به صورت منعطفي به پشتيباني تركيبي از تاييد هويت ، جامعيت ، كنترل دسترسي و محرمانگي بپردازد.

در اكثر سناريوها مورد استفاده ،IPSec به شما امكان مي دهد تا يك تونل رمزشده را بين دو شبكه خصوصي ايجاد كنيد.همچنين امكان تاييد هويت دو سر تونل را نيز براي شما فراهم مي كند.اما IPSec تنها به ترافيك مبتني بر IP اجازه بسته بندي و رمزنگاري مي دهد و درصورتي كه ترافيك غير IP نيز در شبكه وجود داشته باشد ، بايد از پروتكل ديگري مانند GRE در كنار IPSec استفاده كرد.

IPSec به استاندارد de facto در صنعت براي ساخت VPN تبديل شده است.بسياري از فروشندگان تجهيزات شبكه ، IPSec را پياده سازي كرده اند و لذا امكان كار با انواع مختلف تجهيزات از شركتهاي مختلف ، IPSec را به يك انتخاب خوب براي ساخت VPN مبدل كرده است.

انواع IPSec VPN

شيوه هاي مختلفي براي دسته بندي IPSec VPN وجود دارد اما از نظر طراحي ، IPSec براي حل دو مسئله مورد استفاده قرار مي گيرد :

1- اتصال يكپارچه دو شبكه خصوصي و ايجاد يك شبكه مجازي خصوصي

2- توسعه يك شبكه خصوصي براي دسترسي كاربران از راه دور به آن شبكه به عنوان بخشي از شبكه امن

بر همين اساس ، IPSec VPN ها را نيز مي توان به دو دسته اصلي تقسيم كرد:

1- پياده سازي LAN-to-LAN IPSec

اين عبارت معمولا براي توصيف يك تونل IPSec بين دو شبكه محلي به كار مي رود. در اين حالت دو شبكه محلي با كمك تونل IPSec و از طريق يك شبكه عمومي با هم ارتباط برقرار مي كنند به گونه اي كه كاربران هر شبكه محلي به منابع شبكه محلي ديگر، به عنوان عضوي از آن شبكه، دسترسي دارند. IPSec به شما امكان مي دهد كه تعريف كنيد چه داده اي و چگونه بايد رمزنگاري شود.

2- پياده سازي Remote-Access Client IPSec

اين نوع از VPN ها زماني ايجاد مي شوند كه يك كاربر از راه دور و با استفاده از IPSec client نصب شده بر روي رايانه اش، به يك روتر IPSec يا Access server متصل مي شود. معمولا اين رايانه هاي دسترسي از راه دور به يك شبكه عمومي يا اينترنت و با كمك روش dialup يا روشهاي مشابه متصل مي شوند. زماني كه اين رايانه به اينترنت يا شبكه عمومي متصل مي شود، IPSec client موجود بر روي آن مي تواند يك تونل رمز شده را بر روي شبكه عمومي ايجاد كند كه مقصد آن يك دستگاه پاياني IPSec ،مانند يك روتر، كه بر لبه شبكه خصوصي مورد نظر كه كاربر قصد ورود به آن را دارد، باشد.

در روش اول تعداد پايانه هاي IPSec محدود است اما با كمك روش دوم مي توان تعداد پايانه ها را به ده ها هزار رساند كه براي پياده سازي هاي بزرگ مناسب است.

ساختار IPSec

IPSec براي ايجاد يك بستر امن يكپارچه ، سه پروتكل را با هم تركيب مي كند :

1- پروتكل مبادله كليد اينترنتي ( Internet Key Exchange يا IKE )

اين پروتكل مسئول طي كردن مشخصه هاي تونل IPSec بين دو طرف است. وظايف اين پروتكل عبارتند از:

ü طي كردن پارامترهاي پروتكل

ü مبادله كليدهاي عمومي

ü تاييد هويت هر دو طرف

ü مديريت كليدها پس از مبادله

IKE مشكل پياده سازي هاي دستي و غير قابل تغيير IPSec را با خودكار كردن كل پردازه مبادله كليد حل مي كند. اين امر يكي از نيازهاي حياتي IPSecاست. IKE خود از سه پروتكل تشكيل مي شود :

ü SKEME : مكانيزمي را براي استفاده از رمزنگاري كليد عمومي در جهت تاييد هويت تامين مي كند.

ü Oakley : مكانيزم مبتني بر حالتي را براي رسيدن به يك كليد رمزنگاري، بين دو پايانه IPSec تامين مي كند.

ü ISAKMP : معماري تبادل پيغام را شامل قالب بسته ها و حالت گذار تعريف مي كند.

IKE به عنوان استاندارد RFC 2409 تعريف شده است. با وجودي كه IKE كارايي و عملكرد خوبي را براي IPSec تامين مي كند، اما بعضي كمبودها در ساختار آن باعث شده است تا پياده سازي آن مشكل باشد، لذا سعي شده است تا تغييراتي در آن اعمال شود و استاندارد جديدي ارائه شود كه IKE v2 نام خواهد داشت.

2- پروتكل Encapsulating Security Payload يا ESP

اين پروتكل امكان رمزنگاري ، تاييد هويت و تامين امنيت داده را فراهم مي كند.

3- پروتكل سرآيند تاييد هويت (Authentication Header يا AH)

اين پروتكل براي تاييد هويت و تامين امنيت داده به كار مي رود.