امنیت در ویپیان
تبادل دادهها روی اینترنت چندان ایمن نیست. تقریباً هر کسی که در جای مناسب قرار داشته باشد میتواند جریان دادهها را زیر نظر گرفته و از آنها سوء مصرف نماید . شبکههای شخصی مجازی یا ویپیانها کار نفوذ را برای خرابکاران بسیار زیاد سخت میکنند.
شبکههای ویپیان بمنظور تامین امنیت (دادهها ارتباطات)از روشهای متعددی استفاده مینمایند، از عبارت :
دیوار آتش
رمزنگاری
آیپیسک
کارساز AAA
دیوار آتش
دیوار آتش یا فایروال دیواره مجازی بین شبکه اختصاصی سازمان و اینترنت ایجاد مینماید. با مصرف از دیوار آتش میتوان عملیات مفرق ی را در جهت اعمال سیاستهای امنیتی یک سازمان انجام داد. ایجاد محدودیت در تعداد پورتهای فعال، ایجاد محدودیت در رابطه به پروتکلهای خاص، ایجاد محدودیت در نوع بستههای اطلاعاتی و… نمونه هائی از عملیاتی است که میتوان با استفاده از یک دیوارآتش انجام داد.
رمزنگاری
Right
پیشنهاد شدهاست که این متن یا بخش با رمزنگاری ادغام گردد. (بحث)
رمزنگاری فرایندی است که بااستفاده از آن رایانه مبداءاطلاعاتی رمزشده را جهت رایانه دیگر ارسال مینماید.بقیه رایانه های مجاز قادر به رمزگشائی اطلاعات ارسالی خواهند بود. بدین ترتیب بعد از ارسال اطلاعات بوسیله فرستنده، دریافت کنندگان، قبل ازاستفاده ازاطلاعات میبایست كار به رمزگشائی اطلاعات ارسال شده نمایند. سیـستم های رمزنگاری در رایانه به دو گروه عمده تقسیم میگردد:
رمزنگاری کلید متقارن
در رمز نگاری کلید متقارن هر یک از رایانه ها یک کلید رمزنگاری (کد) بوده که بامصرف ازآن قادر به رمزنگاری بسته اطلاعاتی قبل از ارسال در شبکه برای رایانه دیگر میباشند. درآموزش فوق میبایست در ابتدا نسبت به رایانه هایی که قصد برقراری و ارسال اطلاعات برای یکدیگر را دارند، آگاهي کامل وجود داشته باشد. هر یک از رایانه های کمپانی کننده در مبادله اطلاعاتی میبایست دارای کلید رمزنگاری مشابه بمنظور رمزگشایی اطلاعات باشند. بمنظور رمزنگاری اطلاعات ارسالی هم از کلید فوق مصرف خواهد شد.
جهت مثال فرض بکنید قصد ارسال یک پیام رمز شده جهت یکی از دوست ها خود را داشته باشید. بدین منظور از الگوریتم ویِژگزینشه برای رمزنگاری مصرف میشود. در الگوریتم فوق هر حرف به دوحرف بعداز خود تبدیل میگردد. (حرف A به حرف C، حرف B به حرف D و…). بعد از رمزنمودن پیام ارسال آن، میبایست دریافت کننده پیام به این حقیقت واقف باشد که برای رمزگشائی پیام ارسال شده، هر حرف بایستی به دو حرف قبل از تبدیل گردد. در چنین حالتی میبایست به رفیق امین خود، واقعیت فوق (کلید رمزنگاری) گفته شود. در صورتیکه پیام فوق بوسیله افراد دیگری دریافت گردد، بدلیل عدم آبعضی از کلید، آنان قادر به رمزگشایی و استفاده از پیام ارسال شده نخواهند بود.
رمزنگاری کلید عمومی
در رمزنگاری عمومی از ترکیب یک کلید خصوصی و یک کلید عمومی استفاده میشود. کلید خصوصی صرفاً برای رایانه شما (ارسال کننده) قابل شناسایی استفادهاست. کلید عمومی توسط رایانه شما در اختیار تمام رایانه های دیگری که قصد رابطه با آن را داشته باشند گذاشته میشود. بمنظور رمزگشائی یک پیام رمز شده، رایانه میبایست با استفاده از کلید عمومی (ارائه شده بوسیله رایانه ارسال کننده) و کلید خصوصی مربوط به خود اقدام به رمزگشائی پیام ارسالی نماید. یکی از متداولترین وسائل های رمزنگاری کلید عمومی، روشی با نام پیجیپی است. با استفاده از اینروش میتوان كار به رمزنگاری اطلاعات دلخواه خود نمود.
آیپیسک
Right
پیشنهاد شدهاست که این متن یا بخش با آیپیسک ادغام گردد. (بحث)
پروتکل آیپیسک یکی از امکانات موجود برای ایجاد امنیت در ارسال و دریافت اطلاعات میباشد. قابلیت اینروش در مقایسه با الگوریتمهای رمزنگاری بمراتب بیشتر است. پروتکل فوق دارای دوروش رمزنگاری است: Tunnel، Transport. درراهنمای tunel، هدر Payload رمز شده درحالیکه درروش transport صرفاً payload رمز میگردد. پروتکل فوق قادر به رمزنگاری اطلاعات بین دستگاههای مفرق است:
روتر به روتر
فایروال به روتر
رایانه به روتر
رایانه به سرویسدهنده
جزئیات IP-Sec
VPN-Ipsec فقط برای اینترنت
Ipsec برخلافPPTP و L2TPروی لایه شبکه یعنی لایه سوم کار میکند. این پروتکل دادههایی که بایستی فرستاده شود را همراه با تمام اطلاعات جانبی مانند گیرنده و پیغامهای وضعیت رمز گذاری کرده به آن یک IP Header معمولی اضافه کرده به آن سوی تونل میفرستد.
رایانه ی که در آن سو قرار دارد IP Headerرا جدا کرده ، دادهها را رمز گشایی کرده آن را به رایانه مقصد میفرستد.Ipsec را میتوان با دو نحوه Tunneling پیکر بندی کرد. در این نحوه گزینش اختیاری تونل، سرویس گیرنده نخست رابطه معمولی با اینترنت برقرار میکند سبعد از این مسیر جهت ایجاد اتصال مجازی به رایانه مقصد مصرف میکند. برای این منظور، باید روی رایانه سرویس گیرنده پروتکل تونل نصب شده باشد. ً فرد اینترنت است که به اینترنت وصل میشود. ولی رایانه های داخل LAN هم میتوانند رابطه VPN برقرا کنند. از آنجا که رابطه IPاز پیش موجود است تنها برقرار کردن رابطه VPN کافی است.
در نحوه تونل اجباری، سرویس گیرنده نبایستی تونل را ایجاد نماید بلکه این کار به عهده فراهم ساز است. سرویس گیرنده تنها بایستی به ISP وصل شود. تونل به طور اتوماتیک از فراهم ساز تا ایستگاه مقصد وجود دارد. اما برای این کار بایستی همانگیهای لازم با ISPانجام بگیرد.
ویژگیهای امنیتی در IPsec
Ipsec از طریق AH مطمئن میشود که Packetهای دریافتی از طرف فرستنده واقعی نه از سوی یک نفوذ کننده(که قصد رخنه دارد) رسیده و محتویات شان تغییر نکرده .AH اطلاعات مربوط به تعیین اعتبار یک شماره توالی در خود دارد تا از حملات Replay پیشگیری نماید . ولی AH رمز گذاری نمیشود. رمز گذاری از طریق Encapsulation Security Header یا ESH انجام میگیرد. در این شیوه دادههای اصلی رمز گذاری شده و VPNاطلاعاتی رااز طریق ESH ارسال میکند.
ESH همچنین کارکرده ایی برای تعیین اعتبار خطایابی دارد. به این ترتیب دیگر به AH نیازی نیست. برای رمز گذاری تعیین اعتبارشیوه معین ثابتی وجود ندارد اما با این همه، IETF برای حفظ سازگاری بین محصولات مختلف، الگوریتمهای اجباری جهت پیاده سازی Ipsec تهیه دیده. جهت نمونه میتوان به MD5،DES یا Secure Hash Algorithm اشاره کرد. مهمترین استانداردها و روشهایی که در Ipsec به کار میروند عبارتنداز:
Diffie-Hellman برای مبادله کلیدها بین ایستگاههای دو سر ارتباط.
رمز گذاری Public Key برای ثبت اطمینان از کلیدهای مبادله شده همچنین اطمینان از هویت ایستگاههای سهیم در ارتباط.
الگوریتمهای رمز گذاری مانند DES جهت اطمینان از درستی دادههای انتقالی.
الگوریتمهای درهم ریزی (Hash) برای تعیین اعتبار تک تک Packetها.
امضاهای دیجیتال جهت تعیین اعتبارهای دیجیتالی.
Ipsec بدون تونل
Ipsec در مقایسه با دیگر روشها یک برتری دیگر هم دارد آن اینست که میتواند همچون پروتکل انتقال معمولی به کار برود.
در این حالت برخلاف حالت Tunneling تمام IP packet رمز گذاری و دوباره بسته بندی نمیشود. بجای آن، تنها دادههای اصلی رمزگذاری میشوند Header همراه با آدرسهای فرستنده گیرنده باقی میماند. این باعث میشود که دادههای سرباز (Overhead) کمتری جابجا شوند و بخشی از پهنای باند آزاد شود. اما روشن است که در این وضعیت، خرابکاران میتوانند به مبدا مقصد دادهها پی ببرند. از آنجا که در مد OSI دادهها از لایه ۳ به بالا رمز گذاری میشوند خرابکاران متوجه نمیشوند که این دادهها به رابطه با سرویس دهنده Mail مربوط میشود یا به چیز دیگر.
جریان یک رابطه Ipsec
بیش از آن که دو رایانه بتواننداز طریق Ipsec دادهها را میان جابجا کنند بایستی یکسری کارها انجام شود.
نخست می بایست ایمنی برقرار شود. برای این منظور، رایانه ها برای یکدیگر معین میکنند که رمز گذاری، تعیین اعتبار و تشخیص خطا یا هر سه آنها می بایست انجام بگیرد یا نه.
پس الگوریتم را معین میکنند، مثلاً DEC برای رمزگذاری MD5 جهت خطایابی.
در گام بعدی، کلیدها را میان خود مبادله میکنند.
Ipsec برای حفظ ایمنی رابطه از SA استفاده میکند. SA چگونگی رابطه بین دو یا چند ایستگاه سرویسهای ایمنی را معین میکند.SAهااز طرف SPI شناسایی میشوند.SPI از عدد تصادفی آدرس مقصد تشکیل میشود. این به آن مفهوم است که همواره بین دو رایانه دو SPI وجود دارد:
یکی جهت رابطه A B یکی برای رابطه B به A. اگر یکی از رایانه ها بخواهد در حالت حفاظت شده دادهها را منتقل نماید نخست روش رمز گذاری مورد توافق با رایانه دیگر را تحلیل کرده و آن نحوه را روی دادهها اعمال میکند. پس SPI را در Header نوشته Packet را به سوی مقصد میفرستد.
مدیریت کلیدهای رمز در Ipsec
اگر چه Ipsec فرض را بر این میگذارد که توافقی جهت ایمنی دادهها وجود دارد ولی خودش جهت ایجاد این توافق نمیتواند کاری انجام بدهد.
Ipsec در این کار به IKE تکیه میکند که کارکردی همچون IKMP دارد. برای ایجاد SA هر دو رایانه می بایست نخست تعیین اعتبار شوند. در حال حاضر جهت این کار از راههای زیر مصرف میشود:
Pre shared keys: روی هر دو رایانه یک کلید نصب میشود که IKE از روی آن عدد Hash ساخته آن را به سوی رایانه مقصد میفرستد. اگر هر دو رایانه بتوانند این عدد را بسازند پس هر دو این کلید دارند و به این ترتیب تعیین هویت انجام میگیرد
رمز گذاری Public Key:هر رایانه عدد تصادفی ساخته بعد از رمز گذاری آن با کلید عمومی رایانه مقابل، آن را به رایانه مقابل میفرستد. اگر رایانه مقابل بتواند با کلید شخصی خود این عدد را رمز گشایی کرده باز پس بفرستد برا ی رابطه مجاز است. در حال حاضر تنها ازروش RSA جهت این کار پیشنهاد میشود.
امضاء دیجیتال:در این شیوه، هر رایانه رشته داده را علامت گذاری(امضاء) کرده و به رایانه مقصد میفرستد. در حال حاضر جهت این کار از روشهای RSA DSS مصرف میشود. برای امنیت بخشیدن به تبادل دادهها می بایست هر دو سر رابطه نخست بر سر یک یک کلید به توافق برسند که جهت تبادل دادهها به کار میرود. برای این منظور میتوان همان کلید به دست آمده از طریق Diffie Hellman را به کاربر د که سریع تر است یا کلید دیگر تهیه که مطمئن تر است.
سرویس دهنده AAA
سرویس دهندگان AAA بمنظور ایجادامنیت بالا در محیطهای ویپیان از نوع دستیابی از راه دور مصرف میگردند. وقتی که فرد ان با استفاده از خط تلفن به سیـستم متصل میشوند، سرویس دهنده AAA درخواست آنها را اخذ عملیات زیر را انجام خواهد داد:
شما چه فردی هستید؟ (تایید،Authentication)
شما مجاز به انجام چه کاری هستید؟ (مجوز،Authorization)
چه کارهائی را انجام داده اید؟ (حسابداری،Accounting)
آذر ۱۷, ۱۳۹۷
مرداد ۱, ۱۳۹۷
تیر ۲, ۱۳۹۷
دی ۲۵, ۱۳۹۶