پروتکل IPsec گروهی از پروتکلها است که برای تنظیم اتصالات رمزگذاری شده بین دستگاهها با هم استفاده میشود و به ایمن نگه داشتن دادههای ارسالی از طریق شبکههای عمومی کمک میکند. IPsec غالباً برای راه اندازی VPN استفاده میشود و با رمزگذاری بستههای IP، همراه با تأیید اعتبار مبدأ بستهها، کار میکند.IP مخفف “پروتکل اینترنت” و “sec” مخفف “امنیت” است. پروتکل اینترنت، همان پروتکل اصلی مسیریابی است که در اینترنت استفاده میشود. این پروتکل مکانی را مشخص میکند که دادهها با استفاده از آدرسهای IP به آنجا میروند. امنیت IPsec به این دلیل است که رمزگذاری (رمزگذاری فرآیند پنهان سازی اطلاعات با تغییر ریاضی دادهها به گونهای است که تصادفی به نظر میرسد. به عبارت سادهتر، رمزگذاری استفاده از “کد مخفی” است که فقط اشخاص مجاز میتوانند آن را تفسیر کنند.) و تأیید اعتبار را به این فرآیند اضافه میکند.
VPN چیست؟ IPsec VPN چیست؟
شبکه خصوصی مجازی (VPN) یک اتصال رمزگذاری شده بین دو یا چند رایانه است. اتصالات VPN از طریق شبکههای عمومی انجام میشود، اما دادههای رد و بدل شده از طریق VPN هنوز خصوصی است زیرا رمزگذاری شده است.
VPN دسترسی و مبادله ایمن دادههای محرمانه از طریق زیرساخت شبکه مشترک، مانند اینترنت عمومی را امکان پذیر میکند. به عنوان مثال، وقتی کارمندان به جای کار در دفتر کار، دور کاری میکنند، اغلب از VPN برای دسترسی به پروندهها و برنامههای شرکت استفاده میکنند.
بسیاری از VPN ها از مجموعه پروتکل IPsec برای ایجاد و اجرای این اتصالات رمزگذاری شده استفاده میکنند. با این حال، همه VPN ها از IPsec استفاده نمیکنند. پروتکل دیگر VPN ها SSL / TLS است که در لایهای متفاوت از مدل OSI نسبت به IPsec عمل میکند. (مدل OSI نمایشی انتزاعی از فرایندهایی است که باعث کار کردن اینترنت میشود.)
چگونه کاربران به IPsec VPN متصل می شوند؟
کاربران میتوانند با ورود به یک برنامه VPN یا “مشتری” به یک IPsec VPN دسترسی پیدا کنند. به این منظور نیاز است تا کاربر برنامه را روی دستگاه خود نصب کند.
ورود به سیستم VPN معمولاً مبتنی بر رمز عبور است. در حالی که دادههای ارسالی از طریق VPN رمزگذاری شده است، در صورت به خطر افتادن رمزهای عبور کاربر، مهاجمان میتوانند به VPN وارد شوند و این دادههای رمزگذاری شده را سرقت کنند. استفاده از احراز هویت دو فاکتوری (۲FA) میتواند امنیت IPsec VPN را تقویت کند، زیرا از این پس سرقت رمز عبور به تنهایی امکان دسترسی را به مهاجم نخواهد داد.
پروتکل IPsec چگونه کار می کند؟
اتصالات پروتکل IPsec شامل مراحل زیر است:
تبادل کلید: کلیدها برای رمزگذاری لازم هستند. کلید یک رشته از کاراکترهای تصادفی است که میتواند برای “قفل کردن” (رمزگذاری) و “باز کردن” (رمزگشایی) پیامها استفاده شود. IPsec کلیدهایی را بین دستگاههای متصل تنظیم و مبادله میکند تا هر دستگاه بتواند پیامهای دستگاه دیگر را رمزگشایی کند.
عنوانها و تریلرهای بسته: تمام دادههایی که از طریق شبکه ارسال میشوند به قطعات کوچکتر به نام بسته تقسیم میشوند. بستهها هم شامل یک پی لود، یا دادههای واقعی ارسال شده، و عنوانها، یا اطلاعات مربوط به آن دادهها هستند تا کامپیوترهای دریافت کننده بستهها بدانند که با آنها چه باید بکنند. IPsec چندین عنوان را به بستههای داده حاوی اطلاعات احراز هویت و رمزگذاری اضافه میکند. IPsec همچنین تریلرهایی را اضافه میکند که به جای پی لود قبلی، پس از پی لود هر بسته قرار میگیرند.
بیشتر بخوانید: تفاوت MSS و MTU چیست؟
تأیید اعتبار: IPsec امکان تأیید اعتبار برای هر بسته را فراهم میکند، مانند مهر اصالت روی کالای کلکسیونی. این تضمین میکند که بستهها از یک منبع مطمئن هستند و نه یک مهاجم.
رمزگذاری: IPsec پی لودهای درون هر بسته و عنوان IP هر بسته را رمزگذاری میکند (مگر اینکه به جای تونل زنی از حالت انتقال استفاده شود). این دادههای ارسالی از طریق IPsec را امن و خصوصی نگه میدارد.
انتقال: بستههای رمزگذاری شده IPsec از طریق یک یا چند شبکه با استفاده از پروتکل حمل و نقل به مقصد میروند. در این مرحله، ترافیک IPsec با ترافیک IP معمولی متفاوت است زیرا اغلب از UDP به عنوان پروتکل حمل و نقل خود استفاده میکند، نه TCP.
TCP، پروتکل کنترل انتقال است که اتصالات اختصاصی بین دستگاهها را تنظیم و ورود همه بستهها را تضمین میکند. UDP، User Datagram Protocol، این اتصالات اختصاصی را تنظیم نمیکند. IPsec از UDP استفاده میکند زیرا این امکان را به بستههای IPsec میدهد تا از فایروالها عبور کنند.
رمزگشایی: در انتهای دیگر ارتباطات، بستهها رمزگشایی میشوند و برنامهها (به عنوان مثال یک مرورگر) اکنون میتوانند از دادههای تحویل داده شده استفاده کنند.
از چه پروتکل هایی در IPsec استفاده می شود؟
در شبکه سازی، پروتکل یک روش مشخص برای قالب بندی دادهها است به طوری که هر کامپیوتر شبکهای میتواند دادهها را تفسیر کند. IPsec یک پروتکل نیست بلکه مجموعهای از پروتکلها است. پروتکلهای زیر مجموعه، IPsec را تشکیل میدهند:
عنوان تایید اعتبار(AH): پروتکل AH اطمینان می دهد که بسته های داده از یک منبع معتبر تهیه شده اند و داده ها دستکاری نشده اند ، مانند مهر و موم ضد دستکاری روی یک کالای مصرفی. این عناوین رمزگذاری نمی کنند. آنها به مخفی کردن اطلاعات از طرف مهاجمین کمک نمی کنند.
Encapsulating Security Protocol (ESP) :ESP عنوان IP و پی لود هر بسته را رمزگذاری میکند – مگر اینکه از حالت حمل و نقل استفاده شود، که در این حالت فقط پی لود را رمزگذاری میکند. ESP عنوان و تریلر اختصاصی خود را به هر بسته داده اضافه میکند.
انجمن امنیت (SA :(SA به تعدادی از پروتکلهای مورد استفاده برای مذاکره در مورد کلیدهای رمزگذاری و الگوریتمها اشاره دارد. یکی از رایجترین پروتکلهای SA تبادل کلید اینترنتی (IKE) است.سرانجام، در حالی که پروتکل اینترنت (IP) بخشی از مجموعه IPsec نیست، IPsec مستقیماً در رأس IP اجرا میشود.