IPSec Framework چیست ؟

۱۰ آذر ، ۱۳۹۷

IPSec مخفف عبارت IPSecurity می باشد. IPSec Framework مجموعه ای از پروتکل ها می باشد یک ارتباط امن در یک محیط مانند اینترنت را فراهم می نماید. IPSec Framework محرمانگی   (Confidentiality) ، احراز هویت (Authentication) ، یکپارچگی (Integrity) و تضمین عدم تکرار (Anti-Replay) را در ارتباطات تضمین می نماید   

IPSecProtocol

IPSec با استفاده از یکی از پروتکل های AH ، EPS و یا ترکیبی از این دو پروتکل بسته دریافتی را رمز نگاری می نماید.

  • AH یا Autehntication Header: این پروتکل دیتا را به هیچ عنوان رمز نگاری نمی نماید در واقع رمزنگاری را بدون دستکاری در Payload ، در Header انجام می دهد . نام دیگر این پروتکل Transport می باشد. این پروتکل در زمینه ی احراز هویت (Autehtication) و یکپارچگی (Integrity) سرویس ارائه می نماید. AH برای حفظ جامعیت بسته ی ارسال شده از یک HashProtocol یعنی MD5 یا SHA، هم در Payload و هم در Header بهره می برد که این امر موجب می شود در هنگام NAT کردن ، زمانی که در هدر تغییراتی ایجاد می شود مقدار Hash ثابت بماند و در واقع مقصد هنگام مقایسه بسته ی دریافتی با مقدار Hash تولید شده بسته را مرجوع می کند. عملا AH از NAT پشتیبانی نمی کند. مزیت AH نسبت به ESP سرعت بالاتر آن در رمز نگاری می باشد.
  • ESP یا Encapsulation Security Protocol: این پروتکل بسته را هم در Payload و هم در Header رمز نگاری می نماید . نام دیگر این پروتکل Tunnle می باشد. این پروتکل سرویس های Confidentiality ، Autehtication و Integrity را فراهم می نماید. در ESP برای حفظ جامعیت بسته ها از HashProtocol یعنی MD5 یا SHA استفاده می شود. در این پروتکل تنها Payload هش می شود و این امر موجب می شود که ESP از NAT پشتیبانی نماید . ESP در مقایسه با AH امنیت بالاتری را فراهم می نماید.

Confidentiality 

همان طور که در بحث IPSecProtocol بیان شد ، محرمانگی در AH تامین نمی شود ولی در ESP با استفاده از الگوریتم رمز نگاری DES ،  3DES و AES این سرویس ارائه می گردد. پروتکل 3DES  و AES طول رشته ی بیشتری نسبت به DES دارند لذا از نظر امنیت الگوریتم بهتری می باشند. الکوریتم SEAL هم مخصوص Device های سیسکو می باشد. در جدول زیر طول رشته الگوریتم های مختلف رمز نگاری مشاهده می گردد.

الگوریتم رمز نگاری

طول رشته

DES(Data Encryption Standard)

56 بیت

3DES(Triple Data Encryption Standard)

168 بیت

AES(Advanced Encryption Standard)

128 ، 192 و یا 256 بیت

SEAL (تنها در Device های Cisco پشتیبانی می شود.)

متغیر

Integrity

حفظ جامعیت دیتا های ارسالی  در IPSec با استفاده از هش MD5 و یا انواع SHA تامین می گردد . الگوریتم MD5 نسبت به انواع SHA  امنیت بسیار کمتری دارد.الگوریتم MD5 رشته ی دریافتی را به قطعات 512  بایتی تقسیم می کند (به جز قطعه آخر که 448 بایت می باشد که با اضاه شدن 64 بایت به آخر آن تمام قطعات 512 بایتی می شود.) هر قطعه در یک آرایه ذخیره شده و در هم سازی می شوند و پس از جمع شدن شیفت داده می شوند و در نهایت طول چکیده رشته 16 بایت می باشد. این الگوریتم براحتی توسط دیتا بیس های بزرگی که از Hash در اینترنت وجود دارد کارآمدی خود را از دست داده است. با به وجود آمدن انواع SHA که از از الگوریتم های پیچیده تری نسب به MD5 برای درهم سازی استفاده می نمایند و همچنین تعداد دفعات شیفت در آن ها بیشتر می باشد ، غالب کاربران به استفاده از انواع SHA روی آورده اند. طول رشته چکیده در انواع مختلف SHA در جدول زیر مشاهده می شود.

SHA-512

512bit

SHA-384

384bit

SHA-224

224bit

SHA-256

256bit

Autehtication

برای احراز هویت فرستنده Packet از دو روش PSK(Pre-shared key) و RSA Digital Signature استفاده می می گردد. در روش PSK یک رشته متنی محرمانه در دو طرف ارتباط موجود می باشد که این رشته کاملا یکسان است و جهت احراز هویت طرف مقابل مورد استفاده قرار می گیرد. این رشته پس از هش شدن به عنوان یک Digital Sigature در نظر گرفته می شود. اما در روش RSA Digital Signature از یک CA جهت تولید Digital Signature استفاده می شود.

الگوریتم تبادل کلید (Diffi Hellman) : دیفی هلمن الگوریتمی می باشد که با انجام یکسری محاسبات ریاضی فرآیند تولید و تبادل کلید را بین فرستنده و گیرنده انجام می دهد. دیفی هلمن از نوع الگوریتم های Aymmetric می باشد . رمز نگاری در دیفی هلمن با استفاده از یک کلید مشترک بین فرستنده انجام می شود. نحوه ی تولید این کلید با یک مثال توضیح داده می شود:

  1. a و b بروی 2 عدد اول g و p توافق می کنند.
  2. کاربرهای a و b دو عدد اول Xa و Xb را که از حتما از p کوچکتر هستند را بطور تصادفی انتخاب می کنند و به عنوان کلید خصوصی برای خود محفوظ نگه می دارند.
  3. کاربر a کلیدی با استفاده از فرمول Ya=(g^Xa) mod p تولید و به کاربر b ارسال می نماید.
  4. کاربر b کلیدی با استفاده از فرمول Yb=(g^Xb) mod p تولید و به کاربر a ارسال می نماید.
  5. کاربر a پس از دریافت Yb با استفاده از فرمول Za=(Yb^Xa) mod p و کاربر b پس از دریافت Ya با استفاده از فرمول Zb=(Ya^Xb) mod p کلید اصلی که جهت رمز نگاری متقارن استفاده می شود را تولید می کنند. (Za=Zb)
    کلید های تولید شده در IPsec توسط Diffi Hellman در یکی از گروه های DH1 ، DH2 و DH5 قرار می گیرد. طول کلید در گروه های مختلف Diffi Hellman در جدول زیر مشاهده می شود.

Diffi Hellma Group

Size of Key

DH1

768Bit

DH2

1024Bit

DH5

2048Bit


میانگین آرا:
100% (7 نفر)
رای دهید:
مقالات مرتبط
مشاهده بیشتر...