IPsec چارچوبی از تکنیک هایی است که قبلاً مورد استفاده قرار می گرفت اتصال بین دو نقطه را تضمین کنید. این مخفف پروتکل امنیت اینترنتی است و بیشتر در VPN مشاهده می شود. این می تواند تا حدودی پیچیده باشد ، اما گزینه مناسبی برای امنیت اتصالات در موقعیت های خاص است.
این راهنما IPsec را به تکه های آسان تجزیه می کند ، مقدمه ای را ارائه می دهد که پروتکل ، نحوه عملکرد و برخی از مسائل امنیتی احتمالی آن را در بر می گیرد..
IPsec: یک مرور کلی
IPsec در ابتدا توسعه داده شد زیرا رایج ترین پروتکل اینترنت ، IPv4 ، مقررات امنیتی زیادی در کار نیست. داده های منتقل شده از طریق IPv4 به راحتی می توانند رهگیری ، تغییر یا متوقف شوند, که آن را به یک سیستم ضعیف برای هرگونه انتقال مهم تبدیل می کند.
مجموعه جدیدی از استانداردها برای محافظت از اطلاعات مورد نیاز بود. IPsec با ایجاد یک چارچوبی که می تواند ارتباطات را تأیید کند و همچنین صحت اطلاعات را اثبات کرده و آن را محرمانه می کند ، این شکاف را پر کرد.. IPsec یک استاندارد باز است که در سطح شبکه عمل می کند. این می تواند برای انتقال ایمن داده ها از هاست به میزبان ، شبکه به شبکه یا بین شبکه و میزبان استفاده شود.
IPsec بیشتر برای تأمین ترافیکی که از IPv4 عبور می کند ، استفاده می شود. در ابتدا ، همچنین نیاز به اجرای پروتکل جدیدتر اینترنت ، IPv6 ، برای پشتیبانی از IPsec بود. با وجود این ، اکنون فقط یک توصیه است و اجرا نمی شود.
به عنوان یک چارچوب ، IPsec از سه عنصر اصلی تشکیل شده است. دو مورد اول پروتکل هستند, Encapsulating Security Payload (ESP) و هدر تأیید هویت (AH). انجمن های امنیتی (SA) جنبه نهایی است.
ESP می تواند برای رمزگذاری و تأیید صحت داده ها استفاده شود ، در حالی که AH فقط برای تأیید اعتبار آن قابل استفاده است. این دو گزینه معمولاً به طور جداگانه مورد استفاده قرار می گیرند ، اگرچه امکان استفاده از آنها در کنار هم وجود دارد.
IPsec از SA برای تعیین پارامترهای اتصالی استفاده می کند. این پارامترها شامل سیستم های مدیریت کلیدی است که هر یک از طرفین برای تأیید هویت یکدیگر از آنها استفاده می کنند ، همچنین الگوریتم های رمزگذاری ، الگوریتم های هشن و سایر عناصر مهم برای عملکرد یک اتصال امن و پایدار.
IPsec می تواند از ESP و AH در حالت تونل یا حمل و نقل استفاده کند. وقتی از حالت تونل استفاده می شود ، کل بسته داده رمزگذاری یا تأیید اعتبار می شود (یا هر دو). بار ، هدر و تریلر (در صورت گنجاندن) در بسته داده دیگری بسته می شوند تا از آن محافظت کنند.
در حالت حمل و نقل ، عنوان اصلی باقی می ماند ، اما یک هدر جدید زیر آن اضافه می شود. بسته به کاربرد ESP یا AH ، تغییرات دیگری نیز وجود دارد. این در خدمت محافظت از بسته است ، با این حال ، برخی از اطلاعات هنوز در دسترس مهاجمان است.
رایج ترین پیکربندی که می بینیم این است ESP با تأیید اعتبار در حالت تونل. این همان چیزی است که بسیاری از VPN ها برای اطمینان از داده ها به آن اعتماد می کنند. این مانند تونل رمزگذاری شده عمل می کند ، و از آنجا که از طریق شبکه های واسطه بالقوه خطرناک عبور می کند ، به داده های یک گذرگاه امن می دهد.
تاریخچه IPsec
در اوایل اینترنت ، امنیت در بسیاری از شرایط از اولویت اصلی برخوردار نبود. این امر به این دلیل است که جامعه اینترنتی فقط برای کسانی که دانش ، منابع و تمایل به استفاده از آن را داشتند محدود شده بود. تعداد کاربران در مقایسه با مدرن بسیار اندک بود و تعداد بسیار کمی از داده ها نیز منتقل می شد. به همین دلیل ، مهاجمان فرصت های بسیار کمتری داشتند.
با رشد جامعه و اینترنت فعال تر شد, امنیت بیش از پیش به یک ضرورت تبدیل شد. در دهه هشتاد ، NSA از برنامه Secure Data Network Systems (SDNS) خود برای تأمین بودجه ساخت تعدادی از پروتکل های متمرکز بر امنیت استفاده کرد..
نتایج به دست آمده توسط موسسه ملی استاندارد و فناوری (NIST) در سال 1988 منتشر شد. یکی از پروتکل های ارائه شده توسط NIST, پروتکل امنیتی در لایه 3 (SP3), به یک استاندارد اینترنتی تبدیل شد ، پروتکل امنیتی لایه های شبکه (NLSP).
با گذشت زمان ، سازمان های مختلفی با SP3 شروع به پیشرفت کردند ، و پروژه های انجام شده توسط آزمایشگاه تحقیقات نیروی دریایی ایالات متحده (NRL) ، AT&آزمایشگاه های T Bell ، سیستم های اطلاعاتی معتبر و دیگران. در همین زمان ، پیشرفتهای دیگر ، مانند درایور دستگاه برای استاندارد رمزگذاری داده ها (DES) ، امکان ارسال ایمن داده ها بین سواحل ایالات متحده را با سرعت مناسب برای مدت زمان امکان پذیر کرده است..
اگر این پیشرفت ها به صورت جداگانه ادامه یابد ، منجر به این امر می شد مسائل مربوط به قابلیت همکاری بین سیستم های مختلف. کارگروه مهندسی اینترنت (IETF) کارگروه امنیت IP را تشکیل داد تا این پیشرفت ها را در یک پروتکل قابل تعامل بطور استاندارد انجام دهد. در سال 1995 ، IETF جزئیات استاندارد IPsec را در RFC 1825 ، RFC 1826 و RFC 1827 منتشر کرد..
NRL اولین نفری بود که با اجرای استاندارد از استاندارد استفاده کرد ، که از آن زمان به بعد به استفاده اصلی رسیده است. با گذشت سالها ، به روزرسانی های زیادی در IPsec و مستندات آن به وجود آمده است ، اما هنوز هم برای تأیید اعتبار هر دو طرف یک اتصال و تأمین امنیت داده هایی که بین آن ها سفر می شود ، مستقر شده است..
IPsec چگونه کار می کند?
قبل از اینکه به جزئیات فنی IPsec و حالتهای مختلف آن بپردازیم ، از طریق قیاس با آن صحبت خواهیم کرد که تجسم تنظیمات کمی پیچیده را آسان تر می کند. اول ، شما باید کمی در مورد چگونگی عملکرد بسته ها در IPv4 و مشکلات امنیتی مرتبط با آنها کمی درک کنید.
بسته های داده چیست و چگونه کار می کنند?
داده ها در بسته ها منتقل می شوند ، که از آنها تشکیل شده است payload و یک هدر در IPv4. payload همان داده هایی است که در حال انتقال است ، در حالی که هدر نوع پروتکل ، آدرس ها و سایر اطلاعات لازم را برای اطمینان از دستیابی داده ها به مکان مورد نظر خود درج می کند..
یکی از بهترین راهها برای تصویربرداری از بسته های داده ، فکر کردن به عنوان کارت پستال است. مبلغ پرداختی پیامی است که شخصی در پشت آن می نویسد ، و هدر اطلاعات تحویل است که شما در جلو قرار می دهید. درست مانند کارت پستال ، داده های ارسال شده در یک بسته IPv4 معمولی بسیار ایمن نیستند.
در این بسته های استاندارد, هر کسی می تواند بار کار را ببیند, درست مانند پستچی یا هر مهاجمی که کارت پستال شما را رهگیری می کند می تواند آن را بخواند. این بسته ها حتی می توانند طوری تغییر کنند که گویی در ابتدا کارت پستال را با مداد نوشتید و یک مهاجم پیام اصلی را پاک کرد و در چیز دیگری نوشت.
مهاجمان همچنین می توانند اطلاعات مربوط به عنوان را مشاهده کنند, درست مثل قسمت جلوی کارت پستال. این به آنها اجازه می دهد تا با چه کسی ارتباط برقرار کرده و چگونه انجام می دهند. آنها حتی می توانند بسته های IPv4 خود را جعلی کنند تا به نظر برسند که شما برای آنها ارسال کرده اید ، که بسیار شبیه این است که اگر آنها از سبک دست نویس شما کپی کرده و وانمود کنند که شما هستند.
همانطور که مشاهده می کنید ، این به سختی یک روش امن ارتباطی است و روش های بسیاری وجود دارد که می تواند توسط مهاجمین اختلال ایجاد کند. این همان چیزی است که منجر به توسعه IPsec شد. منt راهی برای تأیید صحت اتصالات ، اثبات صحت اطلاعات و محرمانه نگه داشتن آن ، همه در سطح شبکه فراهم کرد. بدون وجود IPsec یا پروتکل های امنیتی دیگر ، مهاجمان می توانند داده های حساس و با ارزش را که رهگیری کرده اند مشاهده یا تغییر دهند..
Encapsulating Security Payload (ESP): تجسم
ابتدا در مورد ESP صحبت خواهیم کرد زیرا این پروتکل متداول است. هنگامی که با احراز هویت در حالت تونل اجرا می شود ، از آن برای شکل دادن VPN استفاده می شود با خیال راحت میزبان ها و شبکه ها را در شبکه های واسطه ناامن متصل کنید که در میان است.
همانطور که در بالا دیدید ، انتقال اطلاعات حساس با IPv4 ناامن نیست. حالت ESP IPsec با ارائه راهی برای این مسئله ، این مسئله را حل می کند رمزگذاری داده ها, که اطلاعات را محرمانه می کند و از دسترسی مهاجمان جلوگیری می کند. همچنین می توان از ESP برای تأیید اعتبار داده ها استفاده کرد که می تواند مشروعیت آن را اثبات کند.
هنگامی که ESP با رمزگذاری استفاده می شود ، خیلی شبیه کارت پستال را در جعبه قفل شده و ارسال آن از طریق پیک ارسال می کنید. هیچ کس نمی تواند محتوای کارت پستال را ببیند ، و نه می تواند آنها را تغییر دهد. آنها می توانند اطلاعات پستی را که روی صندوق قفل نوشته شده است ببینند ، اما این با آنچه که روی کارت پستال نوشته شده است متفاوت است.
اگر از ESP با احراز هویت نیز استفاده شود ، مانند این است که کارت پستال را امضا کنید یا مهر شخصی خود را قبل از قرار دادن در جعبه قرار دهید. هنگامی که گیرنده جعبه قفل شده را دریافت می کند ، می توانند آن را باز کرده و کارت پستال را خارج کنند. هنگامی که آنها مهر یا امضا را می بینند ، می دانند که کارت پستال از نظر شما مشروعیت دارد.
وقتی ESP در حالت حمل و نقل قرار دارد ، به نظر می رسد که کارت پستال در یک جعبه قفل شده و از طریق پیک ارسال می شود ، به جز جعبه دارای یک پنجره روشن است که از طریق آن می توانید اطلاعات آدرس کارت پستال را ببینید. وقتی در حالت تونل است ، به نظر می رسد کارت پستال در یک جعبه محکم قرار دارد و اطلاعات مربوط به آدرس های مختلف در خارج از آن وجود دارد.
البته این فقط یک قیاس برای کمک به شما در تجسم آنچه در جریان است ، کمک می کند. در واقعیت ، برخی از آنها وجود دارد تفاوتهای بسیار چشمگیری مانند داده های مسافرتی بین شبکه ها و میزبان ها, به جای اینکه فقط یک نفر اطلاعات دیگری را ارسال کند.
Encapsulating Security Payload (ESP): جزئیات فنی
اکنون که ما به شما ایده خالی داده ایم که چگونه ESP برای محافظت از داده ها کار می کند ، وقت آن است که به سطح فنی تری نگاه کنیم. ESP را می توان با طیف وسیعی از الگوریتم های رمزگذاری مختلف استفاده کرد, با AES یکی از محبوب ترین. حتی می توان آن را بدون رمزگذاری پیاده سازی کرد ، اگرچه این عمل به ندرت انجام می شود. هدر بسته های داده ESP دارای یک شاخص پارامترهای امنیتی (SPI) و یک شماره دنباله هستند.
SPI شناسه ای است که به گیرنده اطلاع می دهد داده ها به چه ارتباطی ارتباط دارند و همچنین پارامترهای آن اتصال. شماره دنباله شناسه دیگری است که به جلوگیری از تغییر حمله بسته های داده کمک می کند.
ESP همچنین دارای یک تریلر ، که شامل padding ، جزئیات مربوط به نوع پروتکل برای عنوان بعدی ، و داده های تأیید اعتبار است (در صورت استفاده از احراز هویت). هنگامی که احراز هویت موجود است ، با a انجام می شود کد احراز هویت پیام hashed (HMAC), که با استفاده از الگوریتم هایی مانند SHA-2 و SHA-3 محاسبه می شود.
تأیید اعتبار ESP فقط هدر ESP و بار رمزگذاری شده را تأیید می کند ، اما بر بقیه بسته ها تأثیر نمی گذارد. هنگامی که یک بسته با ESP رمزگذاری می شود ، مهاجمان فقط می توانند داده های مربوط به هدر را مشاهده کنند و نه محموله بار.
محاصره کردن بار امنیتی (ESP): حالت حمل و نقل
حالت حمل و نقل ESP برای محافظت از اطلاعات ارسال شده بین دو میزبان استفاده می شود. هدر IP در بالای بسته ESP نگه داشته می شود ، و بخش اعظمی از اطلاعات مربوط به عنوان هدر از جمله آدرس منبع و مقصد یکسان است. این بسته را رمزگذاری و تأیید می کند و به صورت اختیاری بسته را تأیید می کند ، که محرمانه بودن آن را فراهم می کند و می تواند برای تأیید صحت بسته نیز مورد استفاده قرار گیرد.
محاصره کردن بار امنیتی (ESP): حالت تونل
وقتی ESP در حالت تونل قرار دارد ، تمام بسته های داده IP درون یکی دیگر قرار می گیرند و یک هدر جدید در بالا اضافه می شود. هنگامی که احراز هویت نیز موجود است ، حالت تونل ESP می تواند به عنوان VPN استفاده شود. این بیشترین پیکربندی مورد استفاده IPsec است.
تأیید صحت ، اثبات صحت و اقدامات محرمانه بودن درگیر در حالت تأیید اعتبار تونل ESP ، این امکان را برای پیوستن ایمن دو شبکه جداگانه در بین شبکه های غیر قابل اعتماد و بالقوه خطرناک بین آنها فراهم می کند..
این حالت به بهترین وجه با کلیشه مشترک ساخت تونل رمزگذاری شده بین دو نقطه توصیف می شود ، و ایجاد یک اتصال ایمن که مهاجمان نمی توانند در آن نفوذ کنند. هنگامی که ESP برای رمزگذاری و تأیید اعتبار استفاده می شود, مهاجمی که داده ها را رهگیری می کنند ، فقط می توانند ببینند که از یک VPN برای اتصال استفاده می شود. آنها نمی توانند مبلغ بار یا عنوان اصلی را ببینند.
VPN ها در ابتدا توسط مشاغل مورد استفاده قرار گرفتند تا دفاتر منطقه ای را با دفتر مرکزی ارتباط دهند. این نوع اتصال به شرکتها اجازه می دهد تا داده ها را به راحتی و با اطمینان به اشتراک بگذارند. در سالهای اخیر ، VPN ها نیز به یک سرویس محبوب برای افراد تبدیل شده اند. آنها اغلب برای جابجایی جغرافیایی یا تأمین امنیت اتصالات بخصوص هنگام استفاده از فای عمومی استفاده می شوند.
هدر احراز هویت (اِخ): تجسم
اکنون که ESP را پوشش داده ایم ، درک AH کمی ساده تر است. از آنجا که AH فقط می تواند برای تأیید صحت بسته های داده مورد استفاده قرار گیرد ، درست مانند امضای کارت پستال یا اضافه کردن مهر شخصی خود به آن است. از آنجا که هیچ رمزگذاری در آن دخیل نیست ، هیچ جعبه یا پیک قفل شده ای در این قیاس وجود ندارد.
عدم حفاظت از رمزگذاری شده ، کمی شبیه به کارت پستال است که از طریق نامه معمولی ارسال می شود ، جایی که پستچی و هر مهاجمی می توانند هم اطلاعات آدرس را مشاهده کنند و هم پیغامی که در پشت کارت نوشته شده است. اما به دلیل مهر یا امضا ، این اطلاعات قابل تغییر نیست. به همین ترتیب ، مهر و امضا به شما این امکان را می دهد تا ثابت کنید که فرستنده واقعی هستید نه یک کسی که سعی در تقلید از شما داشت.
در حالت حمل و نقل AH ، یک هدر تأیید اعتبار اضافه شده است ، که از payload و اکثر قریب به اتفاق اطلاعات هدر محافظت می کند. این نوعی کارت پستال خیالی است که دارای مهر و موم روشنی است که از اکثر مطالب آن محافظت می کند.
هر چیزی که در زیر مهر وجود دارد قابل تغییر نیست ، اما کل کارت پستال را هر کسی که می تواند آن را مشاهده کند ، مشاهده می کند. چند جزئیات تحت پوشش مهر و موم پوشیده نمی شوند و به طور بالقوه می توانند تغییر کنند ، اما تمام اطلاعات مهم توسط مهر تأمین می شود. این مهر همچنین حاوی اطلاعاتی است که بر روی آن نوشته شده است ، اما برای اهداف این مثال ، توضیح در حال حاضر مهم نیست.
که در در حالت تونل ، بسته در داخل قسمت دیگری پیچیده می شود ، و اکثریت آن تصدیق می شود. قیاس در این مورد کمی شکسته می شود ، اما نوعی مانند آن است که کارت پستال را در یک پاکت مشخص با مهر ببندید. پاکت نامه حاوی اطلاعات مربوط به آدرس خاص خود نیز است ، و مهر و موم تقریباً از همه چیز در برابر اصلاح محافظت می کند.
هدر تأیید اعتبار (اِخ): جزئیات فنی
AH برای تأیید صحت اینكه داده ها از یك منبع مشروعیت حاصل شود ، و همچنین اینكه تمامیت خود را حفظ می كند ، استفاده می شود. می توان از این روش استفاده کرد که نشان می دهد داده ها با استفاده از حملات پخش مجدد دستکاری نشده اند.
هجری قمری به طور مکرر اجرا نمی شود ، اما بحث هنوز هم مهم است. هدر تأیید اعتبار خود را اضافه می کند و از آن استفاده می کند کدهای تأیید هویت پیام هش (HMAC) برای محافظت از اکثر بسته های داده. این شامل کل بار و همچنین بسیاری از زمینه های موجود در سربرگ است. HMAC ها با الگوریتم های هش مانند SHA-2 محاسبه می شوند.
هدر تأیید اعتبار (AH): حالت حمل و نقل
حالت حمل و نقل AH است که به طور کلی برای استفاده می شود ارتباط دو طرفه بین میزبان. یک هدر AH به بسته اضافه می شود ، و برخی از پروتکل های کد به اطراف منتقل می شوند. وقتی یک بسته AH وارد می شود و HMAC بررسی می شود ، هدر AH برداشته می شود و چند تغییر دیگر ایجاد می شود. هنگامی که بسته داده به حالت عادی خود برگردد ، می تواند طبق معمول پردازش شود.
هدر تأیید اعتبار (AH): حالت تونل
در این حالت ، بسته اصلی در داخل دیگری قرار می گیرد و سپس با HMAC تأیید می شود. این پردازش یک هدر تأیید اعتبار اضافه می کند, تأیید صحت کل هدر اصلی (در حالت حمل و نقل ، چند قسمت از سرصفحه پوشانده نشده است) و همچنین اکثر هدر تازه اضافه شده. بارپرداخت نیز تأیید شده است.
هنگامی که این بسته ها به مقصد خود می رسند ، آنها تحت تأیید تأیید اعتبار قرار می گیرند ، سپس با از بین بردن هدر تازه اضافه شده ، و همچنین هدر تأیید اعتبار ، دوباره به حالت عادی برگردانده می شود..
انجمن های امنیتی (SA)
انجمن های امنیتی (SA) پارامترهای مربوط به اتصال IPsec را تنظیم و ذخیره می کنند. آنها توسط AH و ESP برای ایجاد یک فرایند ارتباطی پایدار که نیازهای امنیتی هر طرف را برآورده می کند ، استفاده می شوند. هر میزبان یا شبکه دارای SA های جداگانه ای برای هر مهمانی است که با آن ارتباط برقرار می کند و همه اینها پارامترهای خاص خود را دارند.
وقتی دو میزبان برای اولین بار در مورد ارتباط خود مذاکره می کنند ، آنها SA را با پارامترهایی که در اتصال استفاده خواهد شد تشکیل دهید. آنها این کار را در یک فرایند گام به گام انجام می دهند ، با این کار یک طرف سیاستی را ارائه می دهد که طرف دیگر می تواند آن را بپذیرد یا رد کند. این روند تا زمانی که آنها سیاستی اتخاذ کنند که قابل قبول است و برای هر پارامتر جداگانه تکرار می شود ، ادامه می یابد.
هر SA الگوریتم های مورد استفاده را شامل می شود, خواه برای احراز هویت (مانند SHA-2) یا رمزگذاری (مانند AES) باشند. SA همچنین شامل پارامترهای تبادل کلید (مانند IKE) ، خط مشی فیلتر IP ، محدودیت مسیریابی و موارد دیگر است. پس از تأسیس انجمن امنیتی ، آن را در بانک اطلاعات انجمن امنیت (SAD) ذخیره می کنید..
هنگامی که واسط یک بسته داده دریافت می کند ، از سه قطعه اطلاعات مختلف برای یافتن SA صحیح استفاده می کند. اولین مورد است آدرس IP شریک, که همانطور که ممکن است فرض کنید ، آدرس IP طرف مقابل در ارتباط است. مورد دوم است پروتکل IPsec, یا ESP یا AH.
قطعه نهایی اطلاعات است فهرست پارامترهای امنیتی (SPI), که یک شناسه است که به عنوان اضافه می شود. به منظور اطمینان از کاربرد پارامترهای صحیح از بین SA های اتصالات مختلف استفاده می شود.
هر SA فقط به یک مسیر می رود ، بنابراین حداقل به دو مورد نیاز است تا ارتباط بتواند از هر دو جهت پیش برود. اگر قرار است AH و ESP با هم استفاده شوند ، در این صورت برای هر پروتکل ، مجموعاً چهار مورد نیاز به SA است.
IPsec در مقابل TLS / SSL
بعضی اوقات درک تفاوت بین IPsec و پروتکل هایی مانند TLS / SSL دشوار است. از این گذشته ، هر دو آنها فقط امنیت را تأمین می کنند ، درست است؟ آنها انجام می دهند ، اما آنها به روش های مختلف و در سطوح مختلف انجام می دهند.
یکی از بهترین راه های مقایسه IPsec و TLS / SSL این است در زمینه مدل OSI به آنها نگاه کنید. مدل OSI یک سیستم مفهومی است که برای کمک به درک و استاندارد سازی جنبه ها و لایه های مختلف فرایند پیچیده ارتباطی ما استفاده می شود.
در این مدل, IPsec در لایه سوم عمل می کند, لایه شبکه ، به این معنی که برای انتقال بسته های داده به میزبان بیش از یک یا یک سری شبکه قرار دارد.
وقتی به TLS / SSL نگاه می کنیم ، مسائل کمی گیج کننده تر می شوند. دلیل این امر این است که آن را بیش از یک وسیله حمل و نقل دیگر ، TCP انجام می دهد. این باید جای بگیرد TLS / SSL بالای لایه چهار در مدل OSI.
TLS / SSL همچنین پیام های لرزش را ترتیب می دهد که سطح پنجم ، لایه جلسه است. این TLS / SSL را در هر دو لایه شش یا هفت قرار می دهد.
وقتی در نظر بگیرید که برنامه ها از TLS / SSL به عنوان پروتکل حمل و نقل استفاده می کنند ، پیچیده تر می شود. این امر TLS / SSL را در سطح چهار یا پایین تر قرار می دهد. ولی چگونه می تواند به طور همزمان در لایه های شش یا هفت و همچنین در لایه چهار یا زیر باشد?
پاسخ این است که TLS / SSL فقط به مدل وارد نمی شود. دلایل این امر خارج از محدوده این مقاله است. مهمترین چیزی که باید بدانید این است که مدل OSI فقط همین است ، یک مدل و گاهی واقعیت با مدل های مرتب و مرتب ما مطابقت ندارد.
وقتی در مورد این استانداردها به معنای عملی صحبت می کنیم, نقش TLS / SSL تأیید اعتبار داده ها ، بررسی صحت آن ، رمزگذاری آن و فشرده سازی آن است. این می تواند برای تأمین طیف وسیعی از پروتکل های دیگر مانند HTTP یا SMTP اجرا شود و همچنین در طیف گسترده ای از برنامه ها مانند VoIP و مرور وب مشاهده می شود..
IPsec از چند طریق متفاوت است ، اولین مورد این است این یک چارچوب است, به جای یک پروتکل واحد. همچنین پیچیده تر است ، که تنظیم و نگهداری آن را دشوار می کند.
در پایان ، TLS / SSL ساده تر از IPsec است ، که دلیل دیگری برای تمایل به اجرای گسترده تر آن است. این بخش اصلی یکی از پروتکل های جایگزین اصلی تونل سازی ، OpenVPN است.
همچنین مشاهده کنید: راهنمای نهایی برای TCP / IP
امنیت IPsec
در چند سال گذشته صحبت های زیادی درمورد این موضوع شده است آژانسهای دولتی درهای پشتی را در IPsec قرار می دهند و از آسیب پذیری ها برای هدف قرار دادن افراد با استفاده از پروتکل استفاده می کنند. برخی از اتهامات اولیه در سال 2010 مطرح شد ، هنگامی که گرگ پری با توسعه دهنده اصلی OpenBSD تماس گرفت.
او ادعا کرد که FBI تعداد زیادی از درپشتی ها و همچنین مکانیسم هایی برای نشت کلید کانال جانبی را در کد OpenBSD قرار داده بود. گفته می شود که این امر بر پشته OpenBSD IPsec تأثیر می گذارد ، که از آن بسیار استفاده می شود.
در نشت اسنودن در سال 2013 ، مشخص شد که این NSA در حال هدف قرار دادن انواع مختلف رمزگذاری و سایر ابزارهای امنیتی بود. به نظر می رسد این اسناد تأیید می کنند که NSA روش های خاص خود را برای دسترسی به کلیدهای مورد استفاده در IPsec داشته است و به آنها امکان می دهد از اتصالات خاصی استفاده کنند..
مستندات منتشر شده توسط Shadow Brokers در سال 2016 نشان می دهد که NSA ابزاری دارد که می تواند برای شکستن اجرای IPsec مورد استفاده در فایروال های PIX سیسکو مورد استفاده قرار گیرد. اگرچه این فایروال ها در سال 2009 قطع شدند ، حمله BENIGNCERTAIN برای دسترسی به رمزهای عبور برای دستگاههای PIX قابل استفاده است.
این حمله شامل ارسال بسته های Key Exchange Exchange (IKE) به سرور PIX بود, که باعث می شود بخشی از حافظه آن آزاد شود. این اطلاعات را می توان از طریق جستجو برای یافتن اطلاعات پیکربندی و کلید خصوصی RSA ، که سپس توسط NSA می تواند برای جاسوسی از اتصال IPsec استفاده کند. در نظر داشته باشید که این تنها یک پیاده سازی است که آسیب پذیر بوده و هیچگونه تأثیر بر فرم های فعلی IPsec ندارد.
در سال [year] ، محققان از نقص پروتکل IKE سوءاستفاده کردند و به آنها امکان رمزگشایی اتصالات را داد. اثبات مفهوم می تواند برای انجام حملات انسان در وسط مورد استفاده قرار گیرد ، در حالی که مهاجمان می توانند داده ها را رهگیری کنند ، با آن دستکاری کرده و یا حتی از انتقال آن جلوگیری کنند..
این تکنیک از اوراکلهای Bleichenbacher برای رمزگشایی قسمتهای اتصال استفاده می کند ، که احراز هویت RSA را در مرحله اول IKE مختل می کند. این به مهاجمان اجازه می دهد تا از کلیدهای متقارن تصدیق شده با هدف خود استفاده کنند. آنها سپس می توانند نقطه پایانی IPsec را فریب دهند و رمزگذاری را مختل کنند و به آنها امکان می دهد تا خود را در آنچه که قبلاً یک اتصال امن بود قرار دهند..
در حالی که این یک حمله نگران کننده است ، تکه هایی برای پیاده سازی هایی که مشخص است تأثیر دارد منتشر شده است. Huawei ، Cisco ، Clavister و XyXEL بلافاصله پس از هشدار نسبت به آسیب پذیری ، تکه هایی را منتشر کردند. استفاده از این پیاده سازی هایی که قبلاً تحت تأثیر قرار گرفته اند تا زمانی که به روز باشند ، بی خطر است.
چندین آسیب پذیری بالقوه دیگر در IPsec وجود دارد که بسیاری از آنها IKE را درگیر می کند. با وجود این مسائل, IPsec هنوز هم برای استفاده عمومی ایمن است, تا زمانی که به درستی پیاده سازی شده است و پیاده سازی از جدیدترین نسخه ها استفاده می کند.
IPsec خودش خراب نیست. مهم است که به یاد داشته باشید که این فقط یک چارچوب است که می تواند از تعدادی پروتکل مختلف استفاده کند. هنوز هم با خیال راحت می توانید از IPsec استفاده کنید ، مادامی که پروتکل های صحیح به روشی مناسب استفاده شوند. با این حال ، تنظیمات ناامن امکان حمله توسط NSA و سایر طرف ها را دارد ، بنابراین مهم است که از IPsec به درستی استفاده کنید.
باید از IPsec استفاده کنید?
IPsec بیشتر برای ایجاد تونل ایمن در VPN ها استفاده می شود ، اما این تنها گزینه نیست. اگر از امنیت خود نگران هستید ، بهتر است گزینه های دیگر را در نظر بگیرید و راه حلی را پیدا کنید که متناسب با مورد استفاده و نمایه ریسک شما باشد.
گزینه های اصلی PPTP ، SSTP و OpenVPN هستند. پروتکل تونلینگ Point-to-Point (PPTP) قدیمی است و مسائل امنیتی زیادی دارد ، بنابراین بهتر است در هر شرایطی از آن جلوگیری شود. پروتکل Secure Socket Tunneling (SSTP) گزینه بهتری برای کاربران ویندوز است ، با این حال ، این است مستقل حسابرسی نمی شود.
OpenVPN یک جایگزین منبع باز است که طیف وسیعی از گزینه های مختلف پیکربندی را در خود جای داده است. از SSL / TLS استفاده می کند و مشخص نیست که مشکلی امنیتی ندارد, بنابراین بهترین گزینه برای هرکسی است که نگران مشکلات امنیتی موجود در IPsec است.
این بدان معنا نیست که کلیه اتصالات IPsec ذاتاً ناامن هستند ، این بدان معناست که گزینه های مطمئن تری برای کسانی که دارای امنیت هستند یا با سطح تهدید بالایی روبرو هستند وجود دارد..
مربوط: IPSec vs SSL
صفحه کلید رایانه تحت مجوز CC0
ST برای امنیت اینترنت ، IPsec بود. این پروتکل در سال 1995 به عنوان یک استاندارد رسمی توسط IETF (Internet Engineering Task Force) تأیید شد. از آن زمان به بعد ، IPsec به عنوان یکی از پروتکل های امنیتی مهم در اینترنت شناخته شده است و بیشتر در VPN ها استفاده می شود. IPsec یکی از گزینه های مناسب برای امنیت اتصالات در موقعیت های خاص است و می تواند تا حدودی پیچیده باشد ، اما با استفاده از راهنمایی هایی مانند این مقاله ، می توان آن را به تکه های آسان تجزیه کرد و از آن به عنوان یک ابزار امنیتی موثر استفاده کرد.
ST برای امنیت اینترنت ، IPsec بود. این پروتکل در سال 1995 به عنوان یک استاندارد رسمی توسط IETF (Internet Engineering Task Force) تأیید شد. از آن زمان به بعد ، IPsec به عنوان یکی از پروتکل های امنیتی مهم در اینترنت شناخته شده است و بیشتر در VPN ها استفاده می شود. IPsec یکی از گزینه های مناسب برای امنیت اتصالات در موقعیت های خاص است و می تواند تا حدودی پیچیده باشد ، اما با استفاده از راهنمایی هایی مانند این مقاله ، می توان آن را به تکه های آسان تجزیه کرد و درک بهتری از نحوه عملکرد آن پیدا کرد.
ST برای امنیت اینترنت ، IPsec بود. این پروتکل در سال 1995 به عنوان یک استاندارد رسمی توسط IETF (Internet Engineering Task Force) تأیید شد. از آن زمان به بعد ، IPsec به عنوان یکی از پروتکل های امنیتی مهم در اینترنت شناخته شده است و بیشتر در VPN ها استفاده می شود. IPsec یکی از گزینه های مناسب برای امنیت اتصالات در موقعیت های خاص است و می تواند تا حدودی پیچیده باشد ، اما با استفاده از راهنمایی هایی مانند این مقاله ، می توان آن را به تکه های آسان تجزیه کرد و از آن به عنوان یک ابزار امنیتی موثر استفاده کرد.