IPSec - شرح كامل

**akbar** Sat Sep 05, 2009 5:17 pm

سيستم عاملها ميتوانند از اطلاعات شما در پشت ديواري از Permission ها محافظت كننر , ولي وقتي كه اين اطلاعات از طريق شبكه منتقل ميشوند در برابر حملات زير اسيب پذير هستند:
1-Packet Capturing
2-Data Modification
3-Spoofing
4-Password Compromise
5-DoS Attacks
6-Key Compromise
7-Application Layer Attacks
همين دلايل كافي است كه به فكر محافظت از اطلاعاتي باشيد كه در شبكه انتقال داده ميشوند.

IPSec چيست؟
IPSec مجموعه اي از استانداردهاست كه يك راهي را براي Encryption,Authentication& verification يك بسته IP كه قرار است در شبكه عبور كند فراهم ميكند;
Encryption اطلاعات در لايه 2 شبكه , احتياج به اين دارد كه Router ها بستهارا Decrypt كنند و دوباره Re-Encrypt كنند (براي تعويض Header & Trailer بسته IP), كه اين يك كار بسيار دشوار است و كلي بار روي Router ميگذارد ولي چون ماهيت IPSec در لايه 3 است پس احتياجي به پشتيباني IPSec در Router نيست و فقت كافي است كه دستگاههاي مبدآ و مقصد IPSec را پشتيباني بكنند
خوب اين هم يك دليل خوب براي بكارگيري IPSec.

IPSec Functions
IPSec Encryption براي محافظت از اطلاعاتي كه بايد در شبكه منتقل شوند بر پايه (DES) Data Encryption Algorithm و (3DES) Triple Data Encryption Algorithm است , اينها هر دو Symmetric Encryption Algorithms محسوب ميشوند به اين معنا كه هر 2 كامپيوتر از يك KEY براي Encrypt و Decrypt استفاده ميكنند هر 2 الگوريتم (DES & 3DES) اطلاعات را با بلاكهاي 64-Bit اي Encrypt ميكنند و فقط 3DES هر بلاك را 3 بار بيشتر Encrypt ميكند (بخاطر امنيت بيشتر).
بخاطر اين Security Function ,encryption زير را فراهم ميكند:
1-Nonrepudiation
2-Authentication
3-Antireplay
4-Packet Filtering
5-Integrity
با Protection Mechanism هاي فوق از روشهايي كه در اول مقاله بيان شد(Spoofing,packet filtering) جلوگيري ميشود و در نهايت يك هكر اگر با يك برنامه Network monitoring بسته اي را Capture كرد در اهداف زير ناكام ميماند:
1-خواندن محتواي بسته (بخاطر اينكه Encrypt شده است )
2-تغيير دادن محتواي بسته(Hash Message Authentication Code)
3- ناكام ماندن در Spoofing (بخاطر Authentication Mechanisms)
4-هكر نميتواند از يك بسته Undecrypted دوباره استفاده كند (بخاطر CBC Mechanism)
5-مانع شدن از Dos Attack (بخاطر Packet Filtering)

IPSec Protocols:

IPSec از 2 پروتكل مختلف براي فراهم كردن درجه امنيت استفاده ميكند:
1-IP Authentication Header-AH
2-IP Encapsulating Security Payload -ESP

Authentication Header:
پروتكل AH در RFC 2402 تعريف شده است و براي فراهم كردن Authentication,Antireply& Integrity براي بسته هاي IP طراحي شده است اما AH اطلاعات را Encrypt نميكند و فقط Sign ميكند(پس براي امنيت بيشتر انرا بايد با ESP بكار برد);
AH اين اطمينان را به شما ميدهد كه محتواي بسته IP را نميتوان تغيير داد, در غير اين صورت بسته IP وقتي به گيرنده برسد بي اعتبار شناخته ميشود, ولي هكر ميتواند به راحتي محتواي بسته را به راحتي بخواند.
ياد اور ميشوم كه قسمت Sign شده را نميتوان تغيير داد, در غير اين صورت بسته IP وقتي به گيرنده برسد بي اعتبار شناخته ميشود.

IP Encapsulation Security Payload :
روتكل ESP دقيقآ براي Encryption اطلاعات در يك بسته IP طراحي شده است و همچنين Authentication,Antireply & Integrity,
همه اطلاعات بسته IP با ESP Header & ESP Trailer,
Encrypt ميشود و ESP از خوانده شدن محتواي بسته IP جلوگيري ميكند;
پس در مجموع براي امنيت بيشتر بسته IP , بايد AH & ESP را با هم بكار برد.

Transport Mode & Tunnel Mode:
Transport Mode براي شبكه LAN & Private Wan Link استفاده ميشود ولي اگر بخواهيم فرضآ يك VPN داشته باشيم براي امنيت بيشتر IPSec را در Tunnel Mode استفاده ميكنيم مثل L2TP/IPSec.